Wir verwenden Cookies, um Ihre Erfahrungen besser machen. Um der neuen e-Privacy-Richtlinie zu entsprechen, müssen wir um Ihre Zustimmung bitten, die Cookies zu setzen. Erfahren Sie mehr.
Auftragsverarbeitungsvereinbarung
Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gemäß Art. 28 Datenschutz-Grundverordnung (DS-GVO) zwischen dem Käufer als Verantwortlichen – nachfolgend „Auftraggeber“ genannt und Topcon als Auftragsverarbeiter – nachfolgend „Auftragnehmer“ genannt - Auftraggeber und Auftragnehmer nachfolgend jeder auch „Partei“ und gemeinsam „Parteien“.
Präambel
Der Auftragnehmer verkauft an den Auftraggeber Produkte im Bereich der Augenheilkunde und Vermessung unter Geltung der Verkaufsbedingungen („Hauptvertrag“). Soweit der Auftragnehmer an den Produkten Wartungsarbeiten im Rahmen der Mängelrechte durchführt, hat der Auftragnehmer unter Umständen Zugriff auf und verarbeitet personenbezogene Daten im Sinne der DS-GVO, die im Produkt gespeichert sind oder mit dem Produkt verarbeitet werden und für die der Auftraggeber als Verantwortlicher im Sinne der DS-GVO anzusehen ist. Zur Erfüllung der Anforderungen der DS-GVO an derartige Konstellationen schließen die Parteien diese Auftragsverarbeitungsvereinbarung („AVV“). Soweit der Auftragnehmer Wartungs- oder Reparaturarbeiten an den Produkten innerhalb oder außerhalb bestehender Gewährleistungsrechte durchführt, kann er Zugriff auf personenbezogene Daten im Sinne der DSGVO erhalten und diese verarbeiten, die im Produkt gespeichert sind oder mit dem Produkt verarbeitet werden und für deren Verarbeitung der Auftraggeber im Sinne der DSGVO als Verantwortlicher gilt.
1. GEGENSTAND/UMFANG DER BEAUFTRAGUNG
1.1. Die Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrags bringt es mit sich, dass der Auftragnehmer Zugriff auf personenbezogen Daten des Auftraggebers haben kann und diese ausschließlich im Auftrag und nach Weisung des Auftraggebers verarbeitet. Diese personenbezogenen Daten sind abschließend in Anhang 1 spezifiziert.
1.2. Die Verarbeitung der personenbezogenen Daten durch den Auftragnehmer erfolgt ausschließlich in der in Anhang 1 dieser Vereinbarung spezifizierten Art, Umfang und Zweck und bezüglich des dort spezifizierten Kreises der von der Datenverarbeitung betroffenen Personen.
1.3. Die AVV wird auf unbefristete Zeit geschlossen und kann von beiden Parteien nach Ablauf der Verjährungsfristen für Mängelrecht unter dem Hauptvertrag gekündigt werden.
2. WEISUNGSBEFUGNISSE DES AUFTRAGGEBERS
2.1. Der Auftragnehmer verarbeitet die personenbezogene Daten nur im Rahmen der AVV und ausschließlich im Auftrag und nach Weisung des Auftraggebers. Der Auftraggeber hat insoweit das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen ("Weisung“recht"). Die Weisung ist durch den Auftraggeber zu dokumentieren.
2.2. Die Weisungen des Auftraggebers werden erstmals durch diese AVV festgelegt und können vom Auftraggeber jederzeit in Schriftform geändert, ergänzt, ersetzt oder konkretisiert werden. Mündlich erteilte Weisungen sind vom Auftraggeber schriftlich zu bestätigen.
2.3. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.
2.4. Eine von den Weisungen des Auftraggebers abweichende Verarbeitung ist nur zulässig, sofern der Auftragnehmer durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
3. SCHUTZMAßNAHMEN DES AUFTRAGNEHMERS
3.1. Der Auftragnehmer hat seine innerbetriebliche Organisation so zu gestalten, dass alle von ihm als Auftragsverarbeiter zu beachtenden, besonderen datenschutzrechtlichen Anforderungen gewahrt werden.
3.2. Der Auftragnehmer hat insbesondere die nach Art. 32 DS-GVO technischen und organisatorischen Maßnahmen („TOM“) ergriffen, die erforderlich sind, um die Anforderungen an die Sicherheit der Verarbeitung zu gewährleisten.
3.3. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
3.4. Auf Anfrage legt der Auftragnehmer geeignete Nachweise dafür vor, dass er alle erforderlichen TOM umgesetzt hat.
3.5. Der Auftragnehmer ist bei der Verarbeitung personenbezogener Daten zur Vertraulichkeit und Verschwiegenheit verpflichtet.
3.6. Der Auftragsnehmer gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung Weisungen unbedingt erforderlich ist.
3.7. Der Auftragnehmer muss alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieser AVV betraut werden („Mitarbeiter“), in Schriftform zur Vertraulichkeit verpflichten und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen.
4. INFORMATIONS- UND UNTERSTÜTZUNGSPFLICHTEN DES AUFTRAGNEHMERS
4.1. Der Auftragnehmer ist verpflichtet, dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung dieser AVV festgelegten Pflichten zur Verfügung zu stellen.
4.2. Der Auftraggeber hat den Auftragnehmer unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der der Einhaltung der in Artikel 32 bis 38 DS-GVO genannten Pflichten zu unterstützen.
4.3. Der Auftragnehmer wird den Auftraggeber bei einer Datenschutzverletzung betreffend die von dieser AVV erfassten personenbezogenen Daten des Auftraggebers unverzüglich informieren und mit dem Auftraggeber zusammenarbeiten und ihn entsprechend unterstützt, damit der Auftraggeber seinen Verpflichtungen gemäß den Artikeln 33 und 34 DS-GVO nachkommen kann, wobei der Auftragnehmer die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.
4.4. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle gemäß Ziffer 7 dieser Vereinbarung erforderlich sind.
5. SONSTIGE VERPFLICHTUNGEN DES AUFTRAGNEHMERS
Der Auftragnehmer ist verpflichtet ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gem. Art. 30 Abs. 2 DS-GVO zu führen. Das Verzeichnis ist dem Auftraggeber auf Verlangen zur Verfügung zu stellen.
6. VERPFLICHTUNGEN DES AUFTRAGGEBERS
6.1. Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung durch den Auftragnehmer nach Maßgabe dieser AVV verantwortlich. Der Auftraggeber sichert dem Auftragnehmer zu, dass der Zugriff des Auftragnehmers auf die und dessen Verarbeitung der personenbezogenen Daten datenschutzrechtlich zulässig ist.
7. KONTROLLRECHTE
7.1. Der Auftragnehmer hat auf Verlangen des Auftraggebers diesem die Prüfung der Verarbeitungstätigkeiten im Rahmen der Vereinbarung in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung zu gestatten und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Prüfung kann der Auftraggeber einschlägige Zertifizierungen des Auftragnehmers berücksichtigen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragnehmers umfassen. Der Auftraggeber kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Der Auftraggeber verpflichtet sich eine Prüfung durch einen unabhängigen Prüfer zu ermöglichen und mit dem unabhängigen Prüfer in gleicher Weise wie mit dem Auftraggeber im Rahmen einer Prüfung zu kooperieren. Der Auftraggeber wird das Ergebnis der Prüfung in geeigneter Weise dokumentieren und dem Auftragnehmer in schriftlicher Form kostenlos zur Verfügung stellen. Falls die Prüfung durch einen unabhängigen Prüfer durchgeführt wird, wird dieser das Ergebnis der Prüfung in geeigneter Weise dokumentieren und dem Auftraggeber sowie dem Auftragnehmer in schriftlicher Form kostenlos zur Verfügung stellen. Der unabhängige Prüfer wird sich hinsichtlich der Durchführung der Prüfung mit dem Auftragnehmer im Vorfeld abstimmen.
7.2. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung informiert der Auftraggeber den Auftragnehmer rechtzeitig, sofern nicht eine Prüfung ohne vorherige Information erforderlich erscheint, weil andernfalls der Prüfungszweck gefährdet wird.
8. RECHTE BETROFFENER
8.1. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DS-GVO. Er wird dem Auftraggeber die erforderlichen Informationen erteilen, sofern der Auftraggeber nicht selbst über die entsprechenden Informationen verfügt.
8.2. Macht der Betroffene seine Rechte gemäß Art. 16 bis 18 DS-GVO geltend, ist der Auftragnehmer dazu verpflichtet, die personenbezogenen Daten auf Weisung des Auftraggebers zu berichtigen, löschen oder einzuschränken, soweit der Auftraggeber dies nicht selbst durchführen kann. Der Auftragnehmer wird dem Auftraggeber die Löschung, Berichtigung bzw. Einschränkung der Daten auf Verlangen schriftlich nachweisen.
8.3. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und wartet dessen Weisungen ab. Ohne entsprechende Einzelweisung wird der Auftragnehmer nicht mit der betroffenen Person in Kontakt treten.
9. UNTERAUFTRAGSVERHÄLTNISSE
9.1. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen nach Maßgabe dieser Ziffer 9 zur Begründung von Unterauftragsverhältnissen mit Unterauftragneh“ern ("Unterauftragnehmer") befugt.
9.2. Der Auftraggeber bestätigt, die in Anhang 2 genannten Unterauftragnehmer.
9.3. Der Auftragnehmer darf zukünftig weitere Unterauftragnehmer einsetzen, wenn er den Auftraggeber über den einzelnen Unterauftragnehmer vorab informiert hat und der Auftraggeber nicht innerhalb von 15 Tagen nach Erhalt der Informationen dem neuen Unterauftragnehmer widersprochen hat. Die Information erfasst hierbei den Namen und das Land des Unterauftragnehmers und die stichwortartige Beschreibung der Aufgaben des Unterauftragnehmers.
9.4. Der Auftragnehmer ist verpflichtet, mit jedem Unterauftragnehmer eine Vereinbarung zu schließen, die dem Unterauftragnehmer im Wesentlichen die gleichen Pflichten auferlegt, wie diejenigen in dieser AVV für den Auftragnehmer.
9.5. Der Auftragnehmer ist für die Verarbeitung der personenbezogenen Daten durch den Unterauftragnehmer verantwortlich.
10. UNTERAUFTRAGSNEHMER IM DRITTLAND
10.1. Soweit ein Unterauftragsnehmer in einem Land sitzt, dass außerhalb der EU liegt und das von der EU-Kommission auch nicht als ein Land mit angemessen Datenschutzniveau anerkannt wurde („Drittland“), oder ein Unterauftragnehmer die personenbezogenen Daten in einem Drittland verarbeitet, müssen die Informationen nach Ziffer 9.3 hierüber informieren.
10.2. Im Falle eines Unterauftragnehmers im Drittland wird der Auftragnehmer die Anforderungen der DS-GVO für Datenübermittlungen ins Drittland einhalten. Insbesondere wird der Auftragnehmer angemessene Schutzmaßnahmen, wie den Abschluss von EU Standardvertragsklauseln der EU-Kommission, ergreifen und sicherstellen, dass die personenbezogenen Daten im Drittland einen im Wesentlichen gleichen Datenschutzniveau unterliegen, wie in der EU.
11. LÖSCHUNG UND RÜCKGABE
Nach Ende dieser AVV, oder auf Weisung des Auftraggebers auch früher, wird der Auftragnehmer dem Auftraggeber sämtliche in seinen Besitz gelangten Daten, Datenträger und sonstige Materialien und Unterlagen, die im Zusammenhang mit dieser AVV stehen, übergeben oder datenschutzkonform vernichten, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht.
Anhang 1 der Vereinbarung
Beschreibung der Datenverarbeitung
|
1 |
Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden |
- End-Kunden des Auftragnehmers (z.B. Patienten) |
|
2 |
Kategorien der verarbeiteten personenbezogenen Daten |
- Patientiennummer - Name - Geburtsdatum
|
|
3 |
Verarbeitete sensibler Daten |
medizinische Daten im Zusammenhang mit Augenkrankheiten |
|
4 |
Art der Verarbeitung |
Remote-Zugriff des Auftragnehmers auf die Software der Produkte in den Grenzen der dem Auftragnehmer zugewiesenen Zugriffsrechte im Zusammenhang mit der Mängelbeseitigung im Rahmen des Hauptvertrags |
|
5 |
Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden |
Erfüllung der vertraglichen Pflichten des Hauptvertrags durch den Auftragnehmer |
|
6 |
Dauer der Verarbeitung |
Siehe Ziffer 1.3 der Vereinbarung |
Impressum:
OptikXL.de powered by Topcon Healthcare
Topcon Europe Medical B.V., German Branch
Hanns-Martin-Schleyer-Str. 41
47877 Willich, Deutschland
Telefon: +49 2154 / 88 55 88
E-Mail: info@optikxl.de
Handelsregister: Amtsgericht Krefeld, HRB 18209
USt-IdNr. DE 331786008
WEEE-Reg.-Nr.: DE 50917441
Geschäftsführer:
Lambertus Beugelsdijk
Shigehiro Ogino
Shigemasa Dohi