Medical-Device-Support-Vertrag

§ 1 Vertragsgegenstand
Die Auftraggebende Partei ist zahnärztlich approbiert und unter der o.g. Anschrift niedergelassen. Sie führt die kieferorthopädische Behandlung alleine und letztverantwortlich nach den Vorgaben ihres Faches und ihres Berufsrechtes durch. Die Auftragnehmende Partei unterstützt sie hierbei im Hinblick auf den Einsatz spezieller Medizin- und Zahntechnik, insbesondere hinsichtlich der Verwendung des oben aufgeführten Alignersystems und der diesem zugrunde liegenden Anwendersoftware (Setup-Software).

§ 2 Vertragsleistungen
Support-Leistungen im Sinne dieses Vertrages sind u.a.: Begleitung des EDV-gestützten Planungsprozesses unter zahntechnischen Gesichtspunkten, sobald die Entscheidung für die Verwendung des vorgenannten Systems im Arzt-Patientenkontakt gefallen ist, bis hin zur Genehmigung der Planung durch die Auftraggebende Partei gegenüber des entsprechenden Alignerherstellers. Führung der Korrespondenz und der Kommunikation mit dem seitens des Alignerherstellers betriebenen externen Zahntechniklabors einerseits und der Auftraggebenden Partei andererseits. Bearbeitung des digitalen Setup-Entwurfes unter Berücksichtigung der spezifischen klinischen Präferenzen der Auftraggebenden Partei, unter möglichst effizienter Verwendung der o.g. Medizinprodukte und möglichst weitreichender Erfüllung der zahntechnischen Planungsanforderungen der Auftraggebenden Partei. Der Umfang der Support-Leistungen wird nach den Anforderungen des Einzelfalls durch die Auftraggebende Partei im Zeitpunkt der Auftragserteilung bestimmt. Werden nach der Einschätzung der Auftraggebenden Partei im Laufe der Behandlung eine oder mehrere weitere Beauftragungen der Auftragnehmenden Partei erforderlich (Zusätzliche Aligner-Bestellungen (Refinement), Mid-Course- Corrections, Trouble-Shooting), gelten die Bestimmungen dieses Vertrages entsprechend. Die Auftragnehmende Partei weist die Auftraggebende Partei zeitnah darauf hin, falls die von der Auftraggebenden Partei aufgestellten Planungsziele unter Verwendung dieser Medizinprodukte aus zahntechnischen Gründen schwierig vorhersehbar sind oder sonstige zahntechnische Hindernisse z.B. im Hinblick auf Abdrücke, Abformungen oder Scans vorliegen.

§ 3 Zusammenarbeit
Die Auftragnehmende Partei ist nicht in die Praxis der Auftraggebenden Partei eingebunden, sondernerbringt ihre Leistungen selbstständig und innerhalb ihres Faches der Zahntechnik weisungsfrei. Dabei hat sie im Rahmen der Auftragsbearbeitung ihre medizintechnischen Kenntnisse und ihr zahntechnisches Erfahrungswissen bei Anwendung der Planungssoftware in den Dienst der zahnärztlichen Behandlungsvorgaben zu stellen. Die Auftragnehmende Partei steht zu der Auftraggebenden Partei weder in einem Anstellungsverhältnis noch in einem arbeitnehmerähnlichen Verhältnis.

§ 4 Schweigepflicht und Gesundheitsdatenschutz
Die Auftraggebende Partei stellt sicher, dass ihr Patient mit der Einbindung der Auftragnehmenden Partei nach Maßgabe der EU-Datenschutz-Grundverordnung (DSGVO) in den Planungsvorgang, insbesondere mit der elektronischen Weitergabe der Gesundheitsdaten an die namentlich benannte Auftragnehmende Partei zur Erfüllung des Vertragszwecks einverstanden ist. Die Speicherung der Daten des Patienten bei der Auftragnehmenden Partei erfolgt beschränkt auf die Zwecke und für die Dauer der Auftragsausführung.

§ 5 Abrechnung
Die Auftragnehmende Partei rechnet ihre Leistungen gegenüber der Auftraggebenden Partei ab. Die Das aktuelle Preis- und Leistungsverzeichnisses liegt diesem Vertrag bei. Die Abrechnung erfolgt monatlich.

Einverständniserklärung zur Auftragserteilung

Hiermit beauftrage ich die Firma TP SOLUTION GmbH,
in meinem Namen den Kundendienst des Herstellers des oben genannten Alignersystems zu Behandlungen meiner Patienten zu kontaktieren und, falls nötig, diesen zu beauftragen.
TP SOLUTION wird hiermit auch ermächtigt, Informationen zu meinen Patienten für michentgegenzunehmen.

Vertrag zur Auftragsverarbeitung

1. Gegenstand und Dauer der Auftragsverarbeitung
1.1 Der Auftragsverarbeiter erhebt, verarbeitet und nutzt im Rahmen des Auftrags für den Verantwortlichen personenbezogene Daten für Zwecke der Bereitstellung der in Ziffer 2.1 beschriebenen Dienste des Auftragsverarbeiters.
1.2 Der Vertrag beginnt mit der beiderseitigen Unterzeichnung und wird auf unbestimmte Zeit geschlossen und kann von beiden Parteien mit einer Frist von vier Wochen zum Monatsende gekündigt werden. Die Möglichkeit zur fristlosen Kündigung bleibt hiervon unberührt. Aufgrund der Abhängigkeit zum Service-Vertrag (nachfolgend als „Hauptvertrag“ bezeichnet) endet dieser Vertrag jedenfalls mit Beendigung des Hauptvertrags.
1.3 Diese Regelungen zur Auftragsdatenverarbeitung ergänzen den Hauptvertrag. Im Falle eines Widerspruchs zwischen diesen Regelungen und dem Hauptvertrag gehen diese Regelungen zur Auftragsverarbeitung vor.

2. Konkretisierung des Auftragsinhalts
2.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen im Hinblick auf den Einsatz spezieller Medizin- und Zahntechnik, insbesondere hinsichtlich der Verwendung des oben benannten Alignersystems und der diesem zugrunde liegenden Anwendersoftware (Setup-Software).
2.2 Der Auftragsverarbeiter ist verpflichtet, die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich zur Erbringung der vertraglich vereinbarten Leistung zu verwenden. Dem Auftragsverarbeiter ist es gestattet, verfahrens- und sicherheitstechnisch erforderliche Zwischen-, Temporär- oder Duplikatsdateien zur leistungsgemäßen Verarbeitung oder Nutzung der personenbezogenen Daten zu erstellen, soweit dies nicht zu einer inhaltlichen Umgestaltung führt. Dem Auftragsverarbeiter ist nicht gestattet, personenbezogene Daten des Verantwortlichen in Systeme Dritter einzuspielen, auch nicht zu Testzwecken, es sei denn, der Dritte ist genehmigter Unterauftragsnehmer des Auftragsverarbeiters. Im Übrigen ist es dem Auftragsverarbeiter nicht gestattet, unautorisiert Kopien der personenbezogenen Daten zu erstellen.
2.3 In Abstimmung mit dem Verantwortlichen ist es dem Auftragsverarbeiter gestattet, zum Zwecke der Hilfestellung und Überprüfung von Fehlern einzelne Datensätze wie beispielsweise Kundenkonten zu überprüfen. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
2.4 Weitere Einzelheiten zu Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung sind unter Buchstabe A. der Anlage 1 zu diesem Vertrag aufgeführt.
2.5 Die Arten der personenbezogenen Daten sind unter Buchstabe B. der Anlage 1 aufgeführt.
2.6 Der Kreis der Betroffenen ist unter Buchstabe C. der Anlage 1 aufgeführt.
2.7 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung der Daten in oder jeder Zugriff auf diese Daten aus einem Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums bedarf der vorherigen schriftlichen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn durch die Einhaltung der besonderen Voraussetzungen der Art. 44 ff. DSGVO ein angemessenes Datenschutzniveau vorhanden ist. Ein angemessenes Datenschutzniveau erfordert (a) einen Angemessenheitsbeschluss der Europäischen Kommission, (b) verbindliche interne Datenschutzvorschriften, (c) den Einsatz von EU-Standarddatenschutzklauseln oder (d) genehmigte Verhaltensregeln.

3. Technische und organisatorische Maßnahmen
3.1 Unter Berücksichtigung des technischen Fortschritts und der Weiterentwicklung, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der Auftragsverarbeiter hat die Umsetzung der technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung insbesondere hinsichtlich der konkreten Auftragsdurchführung schriftlich oder in anderer zur Vorlage gegenüber Dritten geeigneter Form zu dokumentieren und auf Anfrage dem Verantwortlichen zur Verfügung zu stellen.
3.2 Die hier festgelegten Maßnahmen müssen unter anderem Aspekte der Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sowie die Verfügbarkeit der Daten umfassen. Zudem muss ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung eingeführt sein. Stellen sich Maßnahmen im Rahmen der Überprüfung und Bewertung, insbesondere unter Berücksichtigung des technischen Fortschritts, als unwirksam zur Gewährleistung der Sicherheit der Verarbeitung heraus, ist der Auftragsverarbeiter verpflichtet, unverzüglich geeignete technische und organisatorische Maßnahmen i.S.v. Ziffer 3.1 zu implementieren und dieses Vorgehen zu dokumentieren und auf Anfrage zur Verfügung zu stellen.
3.3 Dem Auftragsverarbeiter ist es gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und auf Anfrage zur Verfügung zu stellen.

4. Berichtigung, Löschung und Sperrung von Daten
4.1 Der Auftragsverarbeiter darf nur nach Weisung des Verantwortlichen die Daten, die im Auftrag verarbeitet werden, berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter zwecks Berichtigung, Löschung oder Einschränkung der Verarbeitung seiner Daten wenden sollte, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich in Textform an den Verantwortlichen weiterleiten.
4.2 Soweit die Parteien im Hauptvertrag nicht etwas Abweichendes vereinbart haben, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Daten Portabilität und Auskunft nach dokumentierter Weisung des Verantwortlichen im Sinne der Ziff. 9 dieses Vertrages unmittelbar durch den Auftragsverarbeiter sicherzustellen.

5. Pflichten des Auftragsverarbeiters
5.1 Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten nur auf dokumentierte Weisung
des Verantwortlichen zu verarbeiten. 5.2 Der Auftragsverarbeiter verpflichtet alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit oder stellt sicher, dass sie einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und hat diese vor der Durchführung der Arbeiten mit den für sie relevanten Bestimmungen zum Datenschutz vertraut zu machen. Ziffer 5.1 gilt für diese Personen entsprechend.
5.3 Unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen unterstützt dieser den Verantwortlichen nach besten Kräften bei der Einhaltung der Pflichten des Verantwortlichen bezüglich der Sicherheit der Verarbeitung, bei der Meldung von Verletzungen des Schutzes personenbezogener Daten gegenüber Aufsichtsbehörden und den betroffenen Personen sowie bei der Datenschutz-Folgenabschätzung und bei einem sich daraus ergebenen Konsultationserfordernis gegenüber Aufsichtsbehörden.
5.4 Der Auftragsverarbeiter unterwirft sich eventuellen Kontrollmaßnahmen der Datenschutzaufsichtsbehörden und wird den Verantwortlichen über eine eventuelle Kontrollmaßnahme unverzüglich in Textform informieren, wenn Daten aus dem Auftrag mit dem Verantwortlichen betroffen sind. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt. Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, unterstützt ihn der Auftragsverarbeiter nach besten Kräften. Die Unterstützungsleistungen umfassen die Informationsbeschaffung und sind nur dann vorzunehmen, wenn sie gesetzlich möglich sind und der Aufwand der Unterstützungsleistungen angemessen ist. Insbesondere besteht keine Kostentragungspflicht seitens des Auftragsverarbeiters.
5.5 Der Auftragsverarbeiter ist verpflichtet, die einschlägigen Vorschriften zur Bestellung des Datenschutzbeauftragten zu beachten. Die Kontaktdaten des Datenschutzbeauftragten werden dem Verantwortlichen zum Zweck der direkten Kontaktaufnahme auf Anforderung mitgeteilt. Ebenso wird dem Verantwortlichen ein Wechsel des Datenschutzbeauftragten unverzüglich in Textform mitgeteilt.
5.6 Der Auftragsverarbeiter ist verpflichtet, technische und organisatorische Maßnahmen in einem angemessenen Verhältnis zum angestrebten Schutzzweck einzuhalten und umzusetzen sowie regelmäßig diese Maßnahmen sowie die internen Prozesse diesbezüglich zu kontrollieren. Der Auftragsverarbeiter gewährleistet die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen.
5.7 Der Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten.
5.8 Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich in Textform zu informieren, falls er der Auffassung ist, dass eine Weisung gegen deutsche oder europäische Datenschutzvorschriften verstößt.

6. Unterauftragsverhältnisse
6.1 Der Verantwortliche ist grundsätzlich damit einverstanden, dass der Auftragsverarbeiter an sorgfältig ausgewählte Drittunternehmen Unteraufträge erteilt. Über jede beabsichtigte Änderung in Bezug auf Hinzuziehung oder Ersetzung anderer Unterauftragsverarbeiter wird mindestens 14 Tage im Voraus informiert. Der Verantwortliche willigt ein, einer Änderung der Unterauftragsverarbeiter nur aus wichtigem Grunde zu widersprechen.
6.2 Bei dem Einsatz eines Unterauftragsverarbeiters wird der Auftragsverarbeiter einen Vertrag über die Verarbeitung von Daten im Auftrag mit dem Unterauftragsverarbeiter schließen. Der Unterauftrag ist schriftlich zu fixieren. In dem Vertrag sind dem Unterauftragsverarbeiter Datenschutzpflichten aufzuerlegen, die den Festlegungen im Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter entsprechen.
6.3 Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jedes Unterauftragsverarbeiters. Die allgemeinen Vorschriften hinsichtlich des Verhältnisses zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter bleiben unberührt.
6.4 In Anlage 2 zu diesem Vertrag werden sämtliche Unterauftragsverarbeiter des Auftragsverarbeiters zum Zeitpunkt des Vertragsschlusses aufgelistet.
6.5 Die Weitergabe von personenbezogenen Daten des Verantwortlichen an den Unterauftragsverarbeiter ist erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch geeignete Maßnahmen sicher.
6.6 Eine weitere Auslagerung des Unterauftragsverarbeiters an weitere Unterauftragsverarbeiter bedarf der ausdrücklichen Zustimmung des Verantwortlichen in Textform.
6.7 Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Post/Transportdienstleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

7. Kontrollrechte des Verantwortlichen; Mitwirkungspflichten des Auftragsverarbeiters
7.1 Der Auftragsverarbeiter räumt dem Verantwortlichen und/oder dessen Bevollmächtigten bezüglich der getroffenen Datenschutz- und Datensicherungsvorkehrungen ein Besichtigungs- und Kontrollrecht (Inspektionsrecht) ein.
7.2 Dieses Inspektionsrecht hat das Ziel, die Einhaltung der dem Auftragsverarbeiter obliegenden Pflichten in dessen Geschäftsbetrieb zu überprüfen. Der Nachweis kann neben Vor-Ort-Kontrollen auch durch unabhängige Prüfberichte und Zertifizierungen sichergestellt werden. Sofern Vor-Ort-Kontrollen durchgeführt werden sollen, sind diese als Stichprobenkontrollen auszugestalten und grundsätzlich rechtzeitig anzumelden. Der Auftragsverarbeiter erteilt dem Verantwortlichen ferner alle erforderlichen Auskünfte. Die Ausübung des Inspektionsrechts darf den Geschäftsbetrieb nicht unangemessen stören oder missbräuchlich sein. Der Verantwortliche stimmt der Benennung eines unabhängigen externen Prüfers durch den Auftragsverarbeiter zu, sofern der Auftragsverarbeiter eine Kopie des Auditberichts zur Verfügung stellt. Sollte der durch den Auftragsverarbeiter beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Verantwortlichen stehen, hat der Verantwortliche gegen diesen ein Einspruchsrecht. Die Kosten für einen externen Prüfer sind vom Verantwortlichen zu tragen. Für die Unterstützung bei der Durchführung einer Prüfung darf der Auftragsverarbeiter eine angemessene Vergütung verlangen.

8. Mitteilung bei Verstößen des Auftragsverarbeiters
8.1 Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen unverzüglich in Textform zu benachrichtigen, wenn ein begründeter Verdacht einer Verletzung von in diesem Vertrag festgelegten Datenschutz- und Datensicherheitsbestimmungen durch den Auftragsverarbeiter selbst oder durch von ihm beauftragte Dritte besteht. Das Gleiche gilt bei Verstößen gegen die allgemeinen Vorschriften zum Schutz personenbezogener Daten.
8.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten zur Sicherheit personenbezogener Daten, der Meldepflichten bei Datenschutzverstößen, bei Datenschutzfolgeabschätzungen und im Rahmen der vorherigen Konsultation einer Aufsichtsbehörde.
8.3 Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, kann der Auftragsverarbeiter eine angemessene Vergütung beanspruchen. Bevor der Auftragsverarbeiter zur Erfüllung seiner Unterstützungsleistungen externe Dienstleister hinzuzieht, hat er sich zur Erhaltung seines Kostenerstattungsanspruches vorab mit dem Verantwortlichen wegen der dabei entstehenden Kosten abzustimmen.

9. Weisungsbefugnis des Verantwortlichen
9.1 Der Auftragsverarbeiter darf die Daten nur im Rahmen der Weisungen des Verantwortlichen verarbeiten. Die Weisungen müssen schriftlich oder in anderer zur Vorlage gegenüber Dritten geeigneter Form dokumentiert werden. Dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Der Verantwortliche behält sich im Rahmen der in diesem Vertrag getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, dass er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen.
9.2 Falls der Auftragsverarbeiter eine Weisung nicht einhalten kann, verpflichtet er sich, den Verantwortlichen unverzüglich davon in Textform in Kenntnis zu setzen. Der Verantwortliche ist in diesem Fall berechtigt, die Datenweitergabe auszusetzen und/oder von diesem Vertrag und vom Hauptvertrag, zu dem dieser Vertrag geschlossen wurde, zurückzutreten.
9.3 Mündliche Weisungen wird der Verantwortliche unverzüglich in Textform bestätigen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen in Textform bestätigt oder geändert wird.
9.4 Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich in Textform darauf aufmerksam machen, wenn eine vom Verantwortlichen erteilte Weisung seiner Meinung nach gegen Vorschriften über den Datenschutz verstößt.

10. Löschung der Daten nach Beendigung des Auftrags
10.1 Nach Abschluss der Arbeiten beziehungsweise früher nach Aufforderung durch den Verantwortlichen oder bei Beendigung oder Kündigung dieses Vertrages hat der Auftragsverarbeiter sämtliche in seinen Besitz