TPSOLUTION Vertrag zur Auftragsverarbeitung
§1 GEGENSTAND UND DAUER DER AUFTRAGSVERARBEITUNG
1.1. Um die nachfolgend unter Ziffer 2.1. beschriebenen Dienste ausführen zu können, erheben,
verarbeiten und nutzen wir personenbezogene Daten.
1.2. Dieser Vertrag ist wirksam, sobald Sie ihn unten akzeptieren. Er wird auf unbestimmte Zeit
geschlossen und kann sowohl von Ihnen als auch von uns mit einer Frist von vier Wochen zum
Monatsende gekündigt werden. Die Möglichkeit zur fristlosen Kündigung bleibt hiervon
unberührt. Da dieser Vertrag abhängig vom Medical-Device-Support-Vertrag ist, wird dieser
Vertrag beendet, sobald der Medical-Device-Support-Vertrag beendet wird.
1.3. Die hier aufgeführten Regelungen ergänzen den Medical-Device-Support-Vertrag. Im Falle
eines Widerspruchs zwischen den Regelungen gehen die hier aufgeführten Regelungen vor.
§2 KONKRETISIERUNG DES AUFTRAGSINHALTS
2.1. Wir unterstützen Sie beim Einsatz spezieller Medizin- und Zahntechnik, insbesondere bei
der Verwendung des von Ihnen angegebenen Alignersystems und der diesem System zugrunde
liegenden Anwendersoftware (Setup-Software).
2.2. Wir verwenden die uns zur Verfügung gestellten personenbezogenen Daten ausschließlich
zur Erbringung der vertraglich vereinbarten Leistung. Um die personenbezogenen Daten
leistungsgemäß verarbeiten oder nutzen zu können, dürfen wir Zwischen-, Temporär- oder
Duplikatsdateien der personenbezogenen Daten erstellen, wenn es verfahrens- oder
sicherheitstechnisch notwendig sein sollte. Wir dürfen personenbezogene Daten nicht in
Systeme Dritter einspielen, auch nicht zu Testzwecken, außer, der Dritte ist genehmigter
Unterauftragsnehmer von TPSOLUTION. Im Übrigen dürfen wir nicht unautorisiert Kopien der
personenbezogenen Daten erstellen.
2.3. Nach vorheriger Absprache mit Ihnen und zum Zwecke der Hilfestellung und Überprüfung
von Fehlern dürfen wir einzelne Datensätze, wie beispielsweise Kundenkonten, überprüfen.
Wenn wir hier Fehler oder Unregelmäßigkeiten feststellen sollten, informieren wir Sie
unverzüglich.
2.4. Weitere Einzelheiten zu Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -
nutzung sind unter Buchstabe A. der Anlage 1 zu diesem Vertrag aufgeführt.
2.5. Die Arten der personenbezogenen Daten sind unter Buchstabe B. der Anlage 1 aufgeführt.
2.6. Der Kreis der Betroffenen ist unter Buchstabe C. der Anlage 1 aufgeführt.
2.7. Wir verarbeiten Ihre Daten ausschließlich in einem Mitgliedsstaat der Europäischen Union
oder in einem anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum. Sollten wir jemals die Daten in ein Land außerhalb der Europäischen Union
oder des Europäischen Wirtschaftsraums verlagern oder von dort aus darauf Zugriff darauf
erlauben, werden wir Sie vorher schriftlich um Ihre Zustimmung bitten. Dies würde auch nur
dann erfolgen, wenn durch angemessenes Datenschutzniveau die besonderen
Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Angemessenes Datenschutzniveau
erfordert (a) einen Angemessenheitsbeschluss der Europäischen Kommission, (b) verbindliche
interne Datenschutzvorschriften, (c) den Einsatz von EU-Standarddatenschutzklauseln oder
(d) genehmigte Verhaltensregeln.
2.8. Durch die Vergabe eines Auftrages an uns erklären Sie sich ausdrücklich damit
einverstanden, dass wir in Ihrem Namen den Kundendienst des Alignerherstellers zu
Behandlungen Ihrer Patienten kontaktieren und, falls nötig, diesen zu beauftragen. Sie erklären
sich weiterhin damit einverstanden, dass wir Informationen zu Ihren Patienten für Sie
entgegennehmen.
§3 TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
3.1. Wir treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten. Hierbei berücksichtigen wir technischen
Fortschritt und Weiterentwicklung, Implementierungskosten und die Art, den Umfang und die
Umstände und Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit
und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Bevor wir mit der
Verarbeitung beginnen, dokumentieren wir die Umsetzung der technischen und
organisatorischen Maßnahmen insbesondere hinsichtlich der konkreten
Auftragsdurchführung. Dies tun wir schriftlich oder in anderer, zur Vorlage gegenüber Dritten
geeigneter Form, und stellen sie Ihnen auf Anfrage zur Verfügung.
3.2. Die hier festgelegten Maßnahmen umfassen Aspekte der Pseudonymisierung,
Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und
Dienste sowie die Verfügbarkeit der Daten. Zudem ist ein Verfahren zur regelmäßigen
Überprüfung und Bewertung der Wirksamkeit dieser technischen und organisatorischen
Maßnahmen eingeführt. Stellen sich diese Maßnahmen während der Überprüfung und
Bewertung, insbesondere unter Berücksichtigung des technischen Fortschritts, als unwirksam
zur Gewährleistung der Sicherheit der Verarbeitung heraus, implementieren wir unverzüglich
geeignete technische und organisatorische Maßnahmen i.S.v. Ziffer 3.1. und dokumentieren
dieses Vorgehen. Auch dieses stellen wir Ihnen auf Anfrage zur Verfügung.
3.3. Wir dürfen alternative adäquate Maßnahmen umsetzen, wobei das Sicherheitsniveau der
festgelegten Maßnahmen nicht unterschritten werden darf. Wesentliche Änderungen werden
wir dokumentieren und Ihnen auf Anfrage zur Verfügung stellen.
§4 BERICHTIGUNG, LÖSCHUNG UND SPERRUNG VON DATEN
4.1. Die Daten, die wir in Ihrem Auftrag verarbeiten, dürfen wir nur nach Ihrer Weisung
berichtigen, löschen oder deren Verarbeitung einschränken. Sollte sich eine betroffene Person
zwecks Berichtigung, Löschung oder Einschränkung der Verarbeitung seiner Daten direkt an
uns wenden, werden wir dieses Ersuchen unverzüglich in Textform an Sie weiterleiten.
4.2. Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Daten Portabilität und Auskunft
nach Ihrer Weisung im Sinne der Ziffer 9 dieses Vertrags werden wir unmittelbar sicherstellen,
soweit im Medical-Device-Support-Vertrag nichts Abweichendes mit Ihnen vereinbart wurde.
§5 PFLICHTEN VON TPSOLUTION
5.1. Wir verpflichten uns, personenbezogene Daten nur auf Ihre dokumentierte Weisung zu
verarbeiten.
5.2. Wir verpflichten alle Personen, die zur Verarbeitung der personenbezogenen Daten befugt
sind, zur Vertraulichkeit und stellen sicher, dass sie einer angemessenen gesetzlichen
Verschwiegenheitspflicht unterliegen. Vor der Durchführung der Arbeiten haben wir diese
Personen mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht. Ziffer
5.1. gilt für diese Personen entsprechend.
5.3. Wir unterstützen Sie nach besten Kräften bei der Einhaltung Ihrer Pflichten bezüglich der
Sicherheit der Verarbeitung, bei der Meldung von Verletzungen des Schutzes
personenbezogener Daten gegenüber Aufsichtsbehörden und den betroffenen Personen.
Ebenso unterstützen wir Sie bei der Datenschutz-Folgenabschätzung und bei einem sich
daraus ergebenen Konsultationserfordernis gegenüber Aufsichtsbehörden. In allen Fällen
werden die Art der Verarbeitung und die uns zur Verfügung stehenden Informationen
berücksichtigt.
5.4. Wir unterwerfen uns eventuellen Kontrollmaßnahmen der Datenschutzaufsichtsbehörden.
Über eine solche Kontrollmaßnahme werden wir Sie umgehend in Textform informieren, wenn
Daten aus Ihrem Auftrag betroffen sind. Dies gilt auch, soweit eine zuständige Behörde im
Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung
personenbezogener Daten bei der Auftragsverarbeitung bei TPSOLUTION ermittelt. Soweit Sie
Ihrerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder
Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder
einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung bei TPSOLUTION
ausgesetzt sind, unterstützen wir Sie nach besten Kräften. Die Unterstützungsleistungen
umfassen die Informationsbeschaffung und sind nur dann vorzunehmen, wenn sie gesetzlich
möglich sind und der Aufwand der Unterstützungsleistungen angemessen ist. Insbesondere
besteht keine Kostentragungspflicht seitens TPSOLUTION.
5.5. Wir verpflichten uns, die einschlägigen Vorschriften zur Bestellung des
Datenschutzbeauftragen zu beachten. Sollten Sie diesen direkt kontaktieren wollen, stellen wir
Ihnen die Kontaktdaten zur Verfügung. Bei einem Wechsel des Datenschutzbeauftragten
werden wir Sie unverzüglich informieren.
5.6. Wir verpflichten uns, in einem angemessenen Verhältnis zum angestrebten Schutzzwecke
technische und organisatorische Maßnahmen einzuhalten, umzusetzen sowie regelmäßig zu
kontrollieren. Dies gilt ebenso für die diesbezüglichen internen Prozesse. Wir gewährleisten
Ihnen gegenüber die Nachweisbarkeit der getroffenen technischen und organisatorischen
Maßnahmen.
5.7. Wir führen ein Verzeichnis zu allen Kategorien von in Ihrem Auftrag durchgeführten
Verarbeitungstätigkeiten.
5.8. Wir informieren Sie unverzüglich in Textform, falls wir der Auffassung sind, dass eine
Weisung gegen deutsche oder europäische Datenschutzvorschriften verstößt.
§6 UNTERAUFTRAGSVERHÄLTNISSE
6.1. Sie sind grundsätzlich damit einverstanden, dass wir Unteraufträge an sorgfältig
ausgewählte Drittunternehmen erteilen. Über jede beabsichtigte Änderung in Bezug auf
Hinzuziehung oder Ersetzung anderer Unterauftragsverarbeiter wird mindestens 14 Tage im
Voraus informiert. Sie willigen ein, einer Änderung der Unterauftragsverarbeiter nur aus
wichtigem Grunde zu widersprechen.
6.2. Sollten wir einen Unterauftragsverarbeiter einsetzen, werden wir einen Vertrag über die
Verarbeitung von Daten mit diesem schließen. Der Unterauftrag wird schriftlich fixiert. Die
Datenschutzpflichten des Vertrags zwischen uns und dem Unterauftragsverarbeiter
entsprechen den Festlegungen des Vertrags zwischen Ihnen und uns.
6.3. Wir haften Ihnen gegenüber für die Einhaltung der Pflichten jedes
Unterauftragsverarbeiters. Die allgemeinen Vorschriften hinsichtlich des Verhältnisses
zwischen uns und dem Unterauftragsverarbeiter bleiben hiervon unberührt.
6.4. Sämtliche Unterauftragsverarbeiter, mit denen wir zum Zeitpunkt des Vertragsschlusses
arbeiten, sind in Anlage 2 aufgeführt.
6.5. Die Weitergabe von Ihren personenbezogenen Daten an den Unterauftragsverarbeiter ist
erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Erbringt der
Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR, stellt
TPSOLUTION die datenschutzrechtliche Zulässigkeit durch geeignete Maßnahmen sicher.
6.6. Eine weitere Auslagerung des Unterauftragsverarbeiters an weitere
Unterauftragsverarbeiter bedarf Ihrer ausdrücklichen Zustimmung.
6.7. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen
zu verstehen, die wir bei Dritten als Nebenleistung zur Unterstützung bei der
Auftragsdurchführung in Anspruch nehmen. Dazu zählen z.B. Telekommunikationsleistungen,
Post/Transportdienstleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder
die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der
Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von
Datenverarbeitungsanlagen. Wir sind jedoch verpflichtet, zur Gewährleistung des Schutzes
und der Sicherheit Ihrer Daten auch bei fremd vergebenen Nebenleistungen angemessene und
gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu
ergreifen.
§7 IHRE KONTROLLRECHTE; MITWIRKUNGSPFLICHTEN VON TPSOLUTION
7.1. Wir räumen Ihnen und/oder Ihren Bevollmächtigten bezüglich der getroffenen
Datenschutz- und Datensicherungsvorkehrungen ein Besichtigungs- und Kontrollrecht
(Inspektionsrecht) ein.
7.2. Dieses Inspektionsrecht hat das Ziel, die Einhaltung der TPSOLUTION obliegenden Pflichten
in unserem Geschäftsbetrieb zu überprüfen. Der Nachweis kann neben Vor-Ort-Kontrollen
auch durch unabhängige Prüfberichte und Zertifizierungen sichergestellt werden. Sofern Vor-
Ort-Kontrollen durchgeführt werden sollen, sind diese als Stichprobenkontrollen
auszugestalten und grundsätzlich rechtzeitig anzumelden. TPSOLUTION erteilt Ihnen ferner
alle erforderlichen Auskünfte. Die Ausübung des Inspektionsrechts darf den Geschäftsbetrieb
nicht unangemessen stören oder missbräuchlich sein. Sie stimmen der Benennung eines
unabhängigen externen Prüfers durch TPSOLUTION zu, sofern wir Ihnen eine Kopie des
Auditberichts zur Verfügung stellen. Sollte der durch TPSOLUTION beauftragte Prüfer in einem
Wettbewerbsverhältnis zu Ihnen stehen, haben Sie gegen diesen ein Einspruchsrecht. Die
Kosten für einen externen Prüfer sind von Ihnen zu tragen. Für die Unterstützung bei der
Durchführung einer Prüfung dürfen wir eine angemessene Vergütung verlangen.
§8 MITTEILUNG BEI VERSTÖSSEN SEITENS TPSOLUTION
8.1. Wir sind verpflichtet, Sie unverzüglich in Textform zu benachrichtigen, wenn ein
begründeter Verdacht besteht, dass durch uns oder durch von uns beauftragte Dritte die in
diesem Vertrag festgelegten Datenschutz- und Datensicherheitsbestimmungen verletzt
wurden.
8.2. Wir unterstützen Sie bei der Einhaltung der Pflichten zur Sicherheit personenbezogener
Daten, der Meldepflichten bei Datenschutzverstößen, bei Datenschutzfolgeabschätzungen
und im Rahmen der vorherigen Konsultation einer Aufsichtsbehörde.
8.3. Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht
auf ein Fehlverhalten von TPSOLUTION zurückzuführen sind, kann TPSOLUTION eine
angemessene Vergütung beanspruchen. Bevor wir zur Erfüllung unserer
Unterstützungsleistungen externe Dienstleister hinzuziehen, stimmen wir uns zur Erhaltung
unseres Kostenerstattungsanspruches vorab mit Ihnen wegen der dabei entstehenden Kosten
ab.
§9 IHRE WEISUNGSBEFUGNIS
9.1. Wir dürfen die Daten nur im Rahmen Ihrer Weisungen verarbeiten. Diese Weisungen
müssen schriftlich dokumentiert werden, oder in einer anderen Form, die zur Vorlage
gegenüber Dritten geeignet ist. Dies gilt insbesondere in Bezug auf die Übermittlung
personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Im Rahmen
der in diesem Vertrag getroffenen Auftragsbeschreibung behalten Sie sich ein umfassendes
Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor. Diese können Sie
durch Einzelanweisungen konkretisieren. Änderungen des Verarbeitungsgegenstands oder der
Verfahren sind gemeinsam abzustimmen.
9.2. Sollten wir eine Weisung nicht einhalten können, werden wir Sie unverzüglich darüber
informieren. In diesem Fall sind Sie berechtigt, die Datenweitergabe auszusetzen und/oder von
diesem Vertrag und vom Medical-Device-Support-Vertrag, zu dem dieser Vertrag geschlossen
wurde, zurückzutreten.
9.3. Mündliche Weisungen bestätigen Sie unverzüglich in Textform. Solange die Weisungen
nicht in schriftlicher Form vorliegen, sind wir berechtigt, die Durchführung der entsprechenden
Weisungen auszusetzen.
9.4. Sollte eine von Ihnen erteilte Weisung unserer Meinung nach gegen die Vorschriften über
den Datenschutz verstoßen, werden wir Sie unverzüglich schriftlich hierüber informieren.
§10 LÖSCHUNG DER DATEN NACH BEENDIGUNG DES AUFTRAGS
10.1. Nach Abschluss der Arbeiten, oder früher nach Ihrer Aufforderung oder bei Beendigung
oder Kündigung dieses Vertrages werden wir Ihnen sämtliche in unseren Besitz gelangten
Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im
Zusammenhang mit dem Auftragsverhältnis stehen, aushändigen oder nach Ihrer vorherigen
schriftlichen Zustimmung datenschutzgerecht vernichten. Die Datenlöschung und
Datenvernichtung wird vollständig und nach anerkannten, dem Stand der Technik
entsprechenden Verfahren zum mehrfachen Überschreiben von Daten vorgenommen. Das
gleiche gilt auch für Test- und Ausschussmaterial, das bis zur Löschung oder Rückgabe unter
datenschutzgerechtem Verschluss gehalten wird. Auf Anforderung legen wir Ihnen das
Protokoll der Löschung vor und händigen Ihnen eine Kopie des Protokolls aus.
10.2. Soweit und solange wir die Daten im Einzelfall für berechtigte eigene Zwecke,
insbesondere zur Dokumentation des Nachweises der auftrags- und ordnungsgemäßen
Datenverarbeitung benötigen (beispielsweise zur Rechnungsstellung), oder soweit und
solange wir aufgrund gesetzlicher Vorgaben oder behördlicher Anordnung zur Speicherung
verpflichtet sind, unterbleibt eine Datenlöschung.
ANLAGEN
ANLAGE 1
A. ZU ZIFFER 2 - ART UND ZWECK DER DATENVERARBEITUNG
Begleitung des EDV-gestützten Planungsprozesses unter zahntechnischen Gesichtspunkten,
bis hin zur Genehmigung der Planung durch die Kieferorthopädin/des Kieferorthopäden
gegenüber des Alignerherstellers. Führung der Korrespondenz und der Kommunikation mit
dem seitens des Alignerherstellers betriebenen externen Zahntechniklabors einerseits und der
Kieferorthopädin/des Kieferorthopäden andererseits. Bearbeitung der digitalen
Behandlungsplan-Entwurfes unter Berücksichtigung der spezifischen klinischen Präferenzen
der Kieferorthopädin/des Kieferorthopäden, unter möglichst effizienter Verwendung der
Medizinprodukte und möglichst weitreichender Erfüllung der zahntechnischen
Planungsanforderungen der Kieferorthopädin/des Kieferorthopäden.
Der Umfang der Support-Leistungen wird nach den Anforderungen des Einzelfalls durch den
Kieferorthopäden/die Kieferorthopädin im Zeitpunkt der Auftragserteilung bestimmt.
B. ZU ZIFFER 2 - ART DER PERSONENBEZOGENEN DATEN
Name, Vorname, Fotos, Röntgenbilder, Geburtsdatum und E-Mail-Adresse des Patienten/der
Patientin, Behandlungsablauf.
C. ZU ZIFFER 2 - KREIS DER BETROFFENEN
Patienten, die an einer entsprechenden Behandlung teilnehmen.
ANLAGE 2: LISTE DER UNTERAUFTRAGSVERARBEITER
Zur Zeit werden keine Unterauftragsverarbeiter eingesetzt.
