top of page

Bedingungen der Auftragsverarbeitung

(„BdA“)

Stand 01.04.2018

§1 Datenverarbeitung im Auftrag

1. Pflegeleistungen

Die Parteien sind sich einig, dass SHB im Rahmen der Erbringung von Pflegeleistungen ausschließlich über die IT-Infrastruktur des Kunden auf personenbezogene Daten, hinsichtlich derer der Kunde Verantwortlicher oder selbst Auftragsverarbeiter ist („Daten“) zugreifen kann und wird. Der Zugriff erfolgt jeweils durch individuelle Autorisierung des Kunden. SHB wird zu keinem Zeitpunkt Informationen aus dem System des Kunden oder eines Dritten auf seine Datenträger oder in seinen sonstigen Datenspeicher kopieren oder auf sonstige Weise übernehmen, soweit SHB der Zugriff auf solche Daten oder Informationen im Zusammenhang mit dem Pflegevertrag durch den Kunden oder auf dessen Veranlassung hin ermöglicht wurde.

 

2. Microsoft Azure

Im Hinblick auf den Einsatz von Produkten und Dienstleistungen unter der Bezeichnung Microsoft Azure sind sich die Parteien darüber einig, dass SHB selbst keinerlei Daten für den Kunden verarbeitet. Soweit Produkte oder Dienstleistungen unter der Bezeichnung Microsoft Azure Gegenstand der vertraglichen Vereinbarungen zwischen den Parteien sind, weist der Kunde demnach SHB an, die Microsoft Azure Produkte und Dienstleistungen nach den durch Microsoft definierten vertraglichen Regelungen zu beschaffen und die notwendigen Schritte zu unternehmen, die Produkte selbst nutzen zu können.

 

§2 Pflichten von SHB, technisch-organisatorische Maßnahmen

  1. SHB hat bei der Verarbeitung von Daten ausschließlich Personen einzusetzen, die sowohl während als auch für mindestens 12 Monate nach Beendigung der jeweiligen Verarbeitung von Daten für SHB einer vertraglichen oder gesetzlichen Verpflichtung zur Geheimhaltung der Daten unterliegen. Auf Verlangen des Kunden legt SHB dem Kunden eine Liste mit den Namen der von ihm mit der Verarbeitung von Daten betrauten Personen vor. Diese Liste enthält die Angabe, ob diese Personen einer vertraglichen oder gesetzlichen Vertraulichkeitsverpflichtung unterliegen. Auf Verlangen sind dem Kunden die jeweiligen Vertraulichkeitsverpflichtungen der zur Verarbeitung von Daten befugten Personen unverzüglich vorzulegen. Im Falle von gesetzlichen Vertraulichkeitsverpflichtungen hat SHB die gesetzlichen Grundlagen zu benennen.                                    

  2. Vorbehaltlich für SHB geltender gesetzlicher Aufbewahrungs- oder Dokumentationspflichten hat SHB spätestens nach Beendigung der Auftragsverarbeitung alle mit dieser im Zusammenhang stehenden Daten und Gegenstände, die SHB durch den Kunden bzw. auf dessen Geheiß zur Verfügung gestellt oder von SHB im Rahmen der Verarbeitung von Daten erstellt worden sind, nach Wahl des Kunden und auf dessen Kosten zu löschen bzw. an ihn herauszugeben. SHB hat dem Kunden unverzüglich eine schriftliche Bestätigung zu übermitteln, sobald SHB seine Verpflichtungen nach diesem Absatz vollständig erfüllt hat.                                                                                                                                                                                                                                                                                           

  3. SHB hat dem Kunden von jedem begründetem Verdacht einer weisungswidrigen Verarbeitung von Daten zu informieren. Entsprechendes gilt, soweit SHB aufgrund von SHB bekannten Informationen der Auffassung ist, dass die Verarbeitung von Daten oder eine Weisung des Kunden gegen datenschutzrechtliche Bestimmungen verstößt.                                                                                                      

  4. SHB hat die Verarbeitung von Daten in nachvollziehbarer Weise zu dokumentieren.                                    

  5. Auf Verlangen des Kunden unterstützt SHB den Kunden bei der Erfüllung von mit der Verarbeitung von Daten in Zusammenhang stehenden Ansprüchen Dritter gegen den Kunden sowie aller sonstigen datenschutzrechtlichen Pflichten des Kunden, insbesondere gegenüber Aufsichtsbehörden. Zu den von SHB zu erbringenden Unterstützungsleistungen gehört insbesondere das zur Verfügung stellen von im Zusammenhang mit der Auftragsverarbeitung stehenden Informationen und Materialien, die dem Zugriff von SHB unterliegen. Soweit SHB hierbei Kosten bzw. Aufwendungen entstehen, sind diese vorbehaltlich einer abweichenden Vereinbarung vom Kunden zu tragen.                                                                                                                                                                                                                                                                                                                                                        

  6. SHB wird Daten ausschließlich nach den Regelungen dieser BdA bzw. den Weisungen des Kunden verarbeiten. Bei Widersprüchen zwischen diesen BdA und einer Weisung gilt die Weisung vorrangig. Eine Verarbeitung der Daten entgegen dieser BdA bzw. ohne Weisung des Kunden ist unzulässig, soweit SHB nicht gesetzlich zu ihrer Durchführung verpflichtet ist. In einem solchen Fall informiert SHB den Kunden vor der Verarbeitung über das Bestehen einer entsprechenden Verpflichtung. Dies gilt nicht, soweit einer solchen Benachrichtigung wichtige öffentliche Interessen entgegenstehen. Die Konkretisierung der Weisung des Kunden erfolgt im Rahmen der individuellen Autorisierung des Zugriffs auf Daten durch den Kunden.                                                                                                                                                                                                                                                                                                                          

  7. Die Parteien sind sich weiterhin darüber einig, dass im Hinblick auf diese Form der Datenverarbeitung die von SHB zu treffenden technisch-organisatorischen Maßnahmen darin bestehen, die zur Leistungserbringung eingesetzten natürlichen Personen in datenschutzrechtlicher Hinsicht zu schulen sowie dazu zu verpflichten, keine Daten aus den Systemen des Kunden auf eigene Systeme zu exportieren und dies in regelmäßigen durch Stichproben zu prüfen.

 

§3 Zutrittsrechte, Kontrollrechte

  1. Der Kunde kann von SHB jederzeit auf eigene Kosten Auskünfte im Zusammenhang mit der Verarbeitung der Daten verlangen. Auf Verlangen des Kunden sind ihm diese Auskünfte schriftlich oder in Textform zu erteilen.                                                                                                                                            

  2. Unmittelbar vor und während der Verarbeitung von Daten durch SHB für den Kunden ist dieser in regelmäßigen Abständen berechtigt, nach Vorankündigung in Schrift- oder Textform mit einer Frist von 10 Werktagen ohne den Geschäfts- und Betriebsablauf zu stören, während der üblichen Geschäftszeiten von SHB die Einhaltung der sich aus diesen BdA ergebenden Verpflichtungen zu überprüfen.

§4 Beauftragung weiterer Auftragsverarbeiter

  1. SHB hat Dritten, die SHB in Übereinstimmung mit den Regelungen des Pflegevertrags zur Erbringung von Leistungen an den Kunden einsetzen darf, eine Beauftragung als weitere Auftragsverarbeiter zu erteilen. Sofern dies nicht bereits aus dem Pflegevertrag hervorgeht, hat SHB den Kunden vor der Beauftragung eines Dritten sowie bei jeder tatsächlichen oder beabsichtigten Änderung hinsichtlich bereits angezeigter Beauftragungen von Dritten in Textform zu informieren.                                                                                                                                                                     

  2. Der Kunde kann dem Einsatz von weiteren Auftragsverarbeitern durch unverzügliche Erklärung in Schrift- oder Textform widersprechen. In diesem Fall unterbleibt die entsprechende Beauftragung des Weiteren Auftragsverarbeiters durch SHB.                                                                                                         

  3. Wenn und soweit SHB in zulässiger Weise bestimmte Leistungen an einen weiteren Auftragsverarbeiter auslagert, hat er diesem weiteren Auftragsverarbeiter im Wege eines Vertrags dieselben datenschutzrechtlichen Pflichten aufzuerlegen, wie sie in diesen BdA für SHB festgelegt sind. SHB hat dem Kunden unverzüglich eine Kopie des Vertrags mit dem weiteren Auftragsverarbeiter vorzulegen. Entspricht der vorgelegte Vertrag nicht den gesetzlichen bzw. hier vereinbarten Anforderungen an derartige Verträge, hat der Kunde SHB unverzüglich die Mängel zu benennen. SHB wird sich in diesem Fall bemühen, die Mängel zu beheben. Die Parteien bestimmen gemeinsam, ob datenverarbeitungsspezifische Sonderabreden erforderlich sind, um den Inhalt des Vertrags mit dem weiteren Auftragsverarbeiter ordnungsgemäß abzubilden. Enthält der Vertrag zwischen SHB und dem weiteren Auftragsverarbeiter keine Regelung, wonach dem Kunden unmittelbar auch die vertraglichen Ansprüche von SHB gegen den weiteren Auftragsverarbeiter zustehen, hat SHB dem Kunden solche Ansprüche auf Verlangen unverzüglich abzutreten.

 

§5 Haftung, Freistellung

  1. SHB haftet gegenüber dem Kunden aufgrund oder in Zusammenhang mit einer Verarbeitung von Daten nach den gesetzlichen und vertraglichen Bestimmungen, soweit sich aus diesen BdA nichts anderes ergibt.                                                                                                                                                                     

  2. Soweit es auf ein Verschulden ankommt, haftet SHB auf Schadensersatz – gleich aus welchem Rechtsgrund – bei Vorsatz und grober Fahrlässigkeit. Bei einfacher Fahrlässigkeit haftet SHB vorbehaltlich eines milderen Haftungsmaßstabs nach den gesetzlichen Vorschriften (z.B. für Sorgfalt in eigenen Angelegenheiten) nur für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie für Schäden aus der nicht unerheblichen Verletzung einer Verpflichtung, deren Erfüllung die ordnungsgemäße Durchführung dieses Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertraut und vertrauen darf („wesentliche Vertragspflicht“); in diesem Fall ist die Haftung von SHB jedoch auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens, begrenzt.                                                                                                   

  3. Die sich aus dem vorstehenden Absatz ergebenden Haftungsbeschränkungen gelten auch bei Pflichtverletzungen durch und zugunsten von Personen, deren Verschulden SHB zu vertreten hat. Sie gelten nicht, soweit SHB einen Mangel arglistig verschwiegen oder eine Garantie für die Beschaffenheit einer Sache übernommen hat, sowie für Ansprüche des Kunden nach dem Produkthaftungsgesetz.                                                                                                                                                   

  4. Der Kunde stellt SHB von sämtlichen Schäden und Ansprüchen Dritter unverzüglich frei, soweit diese auf einer unzulässigen Weisung des Kunden beruhen, die dieser zu vertreten hat. Die Freistellung umfasst die angemessenen Kosten der Rechtsverteidigung sowie eigene Aufwände. Die Haftungsfreistellung entfällt, soweit der Schaden bzw. Anspruch auf einem vorsätzlichen oder grob fahrlässigen Verhalten von SHB beruht. Hat SHB die Schäden oder Ansprüche des Dritten lediglich leicht fahrlässig verursacht, entfällt die Freistellungsverpflichtung, soweit SHB eine wesentliche Vertragspflicht verletzt oder eine Garantie zur Einhaltung der verletzten Pflicht übernommen hat.

 

§6 Vertraulichkeit

  1. Soweit SHB nicht ausschließen kann, dass Dritte im Rahmen der Erbringung von allgemeinen Dienstleistungen an SHB Zugang zu Daten erhalten, ohne ausdrücklich zur Erbringung von Leistungen aus dem Pflegevertrag beauftragt worden zu sein (z.B. Reinigungsdienste, IT-Wartung, etc.), wird SHB geeignete Maßnahmen ergreifen und Vorkehrungen treffen, damit solche Dritte nicht unberechtigt auf die Daten zugreifen oder die Daten verarbeiten.                                                                                                                                                                                                                                                                      

  2. SHB ist berechtigt, die Existenz dieses Vertrags Dritten gegenüber offenzulegen, wenn und soweit sie in der Annahme, SHB sei Verantwortlicher im Hinblick auf die Daten, Anfragen an SHB richten oder Ansprüche gegen SHB erheben.

 

§7 Kosten

  1. Soweit der Kunde nach diesen BdA Kosten oder Aufwendungen von SHB zu tragen hat, hat SHB dem Kunden einen Kostenvoranschlag zur Freigabe vorzulegen. Der Kostenvoranschlag gilt als freigeben, wenn der Kunde nicht innerhalb einer Frist von 2 Wochen nach Zugang des Kostenvoranschlages Maßnahmen zur Reduzierung der Aufwendungen bzw. Kosten vorgeschlagen hat. In Falle eines solchen Vorschlags hat SHB zu prüfen, ob und falls ja, inwieweit die vorgeschlagenen Maßnahmen umgesetzt werden können, den Kostenvoranschlag entsprechend anzupassen und dem Kunden sodann erneut zur Prüfung vorzulegen. Der Kunde kann die Freigabe des aktualisierten Kostenvoranschlags nur aus wichtigem Grund ablehnen.                                                                                     

  2. Ist ein unverzügliches Handeln erforderlich, weist SHB den Kunden im Kostenvoranschlag auf die Notwendigkeit des unverzüglichen Handelns hin. In diesem Fall reduziert sich die Freigabefrist auf 3 Tage.

 

§8 Konkurrenz mit anderen Vereinbarungen, vorbestehende Vereinbarungen

  1. Die BdA regeln ausschließlich und abschließend alle datenschutzrechtlich relevanten Vorgänge zwischen den Parteien. Sie gelten zusätzlich zu gegebenenfalls weiteren Absprachen zwischen den Parteien im Hinblick auf die durch SHB zu erbringenden Leistungen. Etwaige zwischen den Parteien bestehenden sonstigen Vereinbarungen über eine Auftragsverarbeitung von SHB für den Kunden werden mit Abschluss dieser BdA ausdrücklich aufgehoben.

bottom of page