Datenschutzerklärung
Datenschutzerklärung zwischen Betroffenen u. dem Datenverarbeiter Reinecker Vision
(i.F. RV genannt). Betroffene sind Augenkliniken u. niedergelassene Augenärzte, Augenoptiker, Behörden, Institute, Vereine, Verbände u. Beratungsstellen, Krankenkassen, Ersatzkassen, Kostenträger, Behörden etc., Versicherte der Krankenkassen u. Privatkunden. RV übernimmt für Betroffene Beratung, Auslieferung, Einweisung, Wartung u. Service von Hilfsmitteln für sehbehinderte u. blinde Menschen. In diesem Zusammenhang ist es erforderlich, dass RV Zugriff auf personenbezogene Daten v. Betroffenen erlangt bzw. direkt beim Betroffenen gem. Art. 6 Abs. a und b Datenschutz-Grundverordnung (DSGVO) erhebt. Diese Vereinbarung zur Dienstleistung u. Datenverarbeitung konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien nach den Vorschriften der DSGVO. Er findet Anwendung auf alle Tätigkeiten v. RV, die damit in Zusammenhang stehen u. bei denen Beschäftigte von RV oder Mitarbeiter externer Dienstleister u. Subunternehmer mit personenbezogenen Daten des Betroffenen u./od. der Kunden des Betroffenen u./od. der Partner des Betroffenen in Berührung kommen könnten. Soweit sich in dieser Vereinbarung Verweise auf das BDSG (neu) finden, gelten diese mit der Maßgabe, dass sie sich auf die inhaltlich entsprechenden Regelungen der DSGVO beziehen. Die in dieser Vereinbarung verwendeten datenschutzrechtlichen Rechtsbegriffe orientieren sich an den in der DSGVO verwendeten Begriffen. Entsprechend den gesetzlichen Vorschriften über die Datenverarbeitung werden die folgenden Punkte geregelt:
1. Gegenstand u. Dauer der Verarbeitung
1.1. Der Gegenstand u. die Dauer der Datenverarbeitung zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten von Betroffenen ergeben sich aus der Art der Hilfsmittelversorgung, der Art des Hilfsmittels als Medizinprodukt bzw. der Versorgungsart (Beratung, Vorführung, Versorgungspauschale, Kauf-Wiedereinsatz etc.). Die im Medizinproduktegesetz (MPG) vorgeschriebene Produktbeobachtungspflicht des Herstellers bzw. Leistungserbringers in der, der Produktion nachgelagerten Phase, endet für den Hilfsmittel-Anwender erst mit dem Wegfall der Notwendigkeit.
1.2. Art der Daten: Die Daten umfassen u.a.: Adressdaten, Kontakt- u. Kommunikationsdaten, Geburtsdatum, Geschlecht, Gesundheitsdaten auch nach Art. 4 Nr. 15 DSGVO, Sozialdaten gem. § 67 Abs.1 SGB X, Daten, die für eine Genehmigung von Leistungen bzw. Hilfsmittelversorgung durch die Kostenträger erforderlich sind, sowie Versicherungsdaten, zuständige Ärzte, Rechnungsdaten, Zahlungsdaten, Kundenhistorie.
2. Anwendungsbereich u. Verantwortlichkeit, Haftungsfreistellung
2.1. RV verarbeitet personenbezogene Daten im Auftrag der/des Betroffenen. Dies umfasst Tätigkeiten, die vertraglich bzw. im Auftrag konkretisiert sind. RV ist im Rahmen dieses Auftrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an Dienstleister sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („verantwortliche Stelle“ im Sinne des Kapitel ; Art. 24 DSGVO und Art. 4 Nr. 7 DSGVO), soweit nicht das anwendbare Datenschutzrecht ausdrücklich eine eigenständige Verantwortlichkeit oder Haftung eines Dienstleisters vorsieht (z.B. im Rahmen der Versorgung involvierte und für Krankenkassen tätige Reservierungsportale wie u.a. MIP, EGEKO).
3. Technisch-organisatorische Maßnahmen
3.1. Unter Berücksichtigung des Stands der Technik u. der Art, des Umfangs, der Umstände u. der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit u. Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft RV geeignete technische u. organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten Art. 32 DSGVO.
3.2. RV ist im Rahmen dieser Vereinbarung allein verantwortlich für die Beurteilung der Angemessenheit der technischen u. organisatorischen Maßnahmen Art. 32 DSGVO.
3.3. Bei den zu treffenden Maßnahmen handelt es sich um Maßnahmen, die den angemessenen Schutz der personenbezogenen Daten des Betroffenen sicher stellen sollen u. die den Anforderungen der DSGVO (Art. 32) genügen. Diese Maßnahmen werden wie folgt festgelegt, sind entsprechend zu dokumentieren u. dem Betroffenen vorzulegen: Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie die Einhaltung des Trennungsgebots. Darüber hinaus sind auch auftragsspezifische Maßnahmen umzusetzen, insbesondere im Hinblick auf die Art des Datenaustauschs/Bereitstellung von Daten, Art/Umstände der Verarbeitung/der Datenhaltung sowie Art/Umstände beim Output/Datenversand. Die Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung u. Verschlüsselung personenbezogener Daten, die Fähigkeit,
die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme u. Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten u. den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
3.4. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es RV gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. RV hat auf Anforderung die Angaben nach Art. 15 DSGVO Betroffenen zur Verfügung zu stellen.
3.5. RV unternimmt Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
4. Anfragen Betroffener, Berichtigung, Sperrung und Löschung von Daten; Unterstützung durch Auftragsverarbeiter
4.1. RV hat nur nach Weisung des Betroffenen die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen od. zu sperren. Soweit ein Betroffener sich unmittelbar in Schriftform an RV zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird dieses Ersuchen unverzüglich überprüft und wenn zutreffend umgesetzt.
4.2. RV bemüht sich, Kunden und Partnerunternehmen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen in Ansehung der Art der Verarbeitung dabei zu unterstützen, ihrer Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in § 34 BDSG neu und Kapitel (Art. 15, 16, 17, 18, 19, 20, 21) DSGVO der Datenschutzgrundverordnung genannten Rechte der betroffenen Person nachzukommen.
4.3. Ist RV auf Grund geltender Datenschutzgesetze gegenüber einem Betroffenen verpflichtet, Auskünfte zur Erhebung, Verarbeitung od. Nutzung von Daten dieser Person zu erteilen. Ist RV zur Berichtigung, Löschung, Einschränkung der Verarbeitung oder zur Datenübertragung verpflichtet, wird RV seiner Pflicht zur Beantwortung v. schriftlich formulierten Anträgen auf Wahrnehmung dieser Rechte nachkommen.
4.4. Der Betroffene muss RV schriftlich oder in Textform zur Auskunft auffordern.
4.5. Gemäß Art. 77 DSGVO haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren.
5. Kontrolle u. sonstige Pflichten
5.1. RV hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags folgende Pflichten: Die Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 37 bis 39 DSGVO ausüben kann. Dessen Kontaktdaten werden dem Betroffenen zum Zweck der direkten Kontaktaufnahme mitgeteilt.
5.2. Die Wahrung des Datengeheimnisses. Alle Personen, insbesondere Mitarbeiter der RV, die auftragsgemäß auf personenbezogene Daten des Betroffenen zugreifen können, müssen auf das Datengeheimnis verpflichtet u. über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden. Die Umsetzung und Einhaltung aller für diesen Prozess notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32 DSGVO.
5.3. Unterstützung des Betroffenen unter Berücksichtigung der Art der Verarbeitung und den RV zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zur Sicherheit der Verarbeitung (z.B. Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Durchführung einer Datenschutz-Folgenabschätzung oder der vorherigen Konsultation der Aufsichtsbehörde). Die unverzügliche Information des Betroffenen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach Art. 33, 34 DSGVO, soweit die Datenverarbeitungsprozesse die von RV für den Betroffenen ausgeführt werden, betroffen sind. Dies gilt auch, soweit eine zuständige Behörde nach §§ 43, 44 BDSG neu und Art. 83, 84 DSGVO bei RV ermittelt.
Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch RV im Hinblick auf die Ausführung der Vereinbarung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags. Die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Betroffenen: Hierzu kann RV auch aktuelle interne Datenschutzauditberichte oder eine geeignete ISO Zertifizierung als Nachweis für Art. 40, 42 DSGVO vorlegen.
6. Unterauftragsverhältnisse, Dienstleister
Soweit bei der Verarbeitung oder Nutzung personenbezogener Daten von RV Unterauftragsverarbeiter einbezogen werden sollen, wird dies von RV nur genehmigt, wenn folgende Voraussetzungen vorliegen: RV hat eine vertragliche Vereinbarung mit dem/den Dienstleistern abgeschlossen, die so gestaltet ist, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen dem Betroffenen und RV entsprechen, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass sie den gesetzlichen Anforderungen des Datenschutzrechts gemäß Art. 28 Abs. 2 -4 DSGVO entsprechen. Bei der Unterbeauftragung sind Kontroll- und Überprüfungsrechte des Betroffenen entsprechend dieser Vereinbarung und des Art. 32 DSGVO RV einzuräumen. Dies umfasst auch das Recht des Betroffenen von RV auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die RV bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. RV ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Betroffenen auch bei fremdvergebenen Leistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
7. Kontrollrechte des Betroffenen
RV verpflichtet sich, dem Betroffenen auf Anforderung in Textform innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen. Der Nachweis solcher Maßnahmen kann erfolgen durch: Die Einhaltung genehmigter Verträge und Verhaltensregeln gemäß Art. 40 DSGVO Ergebnisberichte, Bewertungen intern durchgeführter Datenschutzaudits. Für die Ermöglichung von Kontrollen durch Auftraggeber kann RV als Auftragnehmer einen Vergütungsanspruch geltend machen. Dieser darf die tatsächlich entstandenen Kosten nicht überschreiten.
8. Mitteilung bei Verstößen von RV
RV unterrichtet den Betroffenen unverzgl. bei schwerwiegenden Verstößen von bei ihm im Rahmen des Auftragsbeschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten des Betroffenen oder die in der Vereinbarung getroffenen Festlegungen. RV trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Verantwortlichen ab.
9. Weisungsbefugnis des Verantwortlichen
Der Umgang mit den Daten erfolgt ausschließlich im Rahmen von getroffenen Vereinbarungen bzw. dem zu Grunde liegenden Vertrag und dieser Vereinbarung zur Auftragsdatenverarbeitung. Der Betroffene behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte darf RV nur nach vorheriger schriftlicher Zustimmung des Betroffenen erteilen. Der Betroffene wird mündliche Weisungen unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. RV verwendet die Daten für keine anderen Zwecke u. ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben, die nicht in den Prozess der Hilfsmittelversorgung eingebunden sind. Kopien und Duplikate werden ohne Wissen des Betroffenen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Die vorstehenden Beschränkungen der Ziffer 9 bezüglich der Verarbeitung personenbezogener Daten gelten nur, sofern RV nicht durch das Recht der Union oder der Mitgliedstaaten, hierzu verpflichtet ist; in einem solchen Fall teilt RV dem Betroffenen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. RV hat den Betroffenen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. RV ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Betroffenen bestätigt oder geändert wird.
10. Löschung von Daten
Im Verlauf und nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Betroffenen – spätestens mit Erfüllung des Vertrages hat RV sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- u. Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach den gesetzlichen Vorgaben zu archivieren. Für die Versorgung mit Hilfsmitteln gelten die Richtlinien und Gesetze für Medizinprodukte (Richtlinie 93/42 EWG medical device direction und die medical device regulation) sowie die nationale Umsetzung als Medizinproduktgesetz (MPG) bzw. unter anderem die Medizinprodukte Sicherheitsplanverordnung (MPSV). Eine Löschung von Daten erfolgt aber nur, sofern nicht nach dem Unionsrecht oder dem anwendbaren Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
11. Informationspflichten, Schriftformklausel, Rechtswahl
11.1. Sollten Daten des Betroffenen bei RV durch Pfändung od. Beschlagnahme durch ein Insolvenz- od. Vergleichsverfahren od. durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat RV den Betroffenen unverzüglich darüber zu informieren. Änderungen u. Ergänzungen dieses Auftrages u. aller ihrer Bestandteile bedürfen einer schriftlichen Vereinbarung u. des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zur Auftragsdatenverarbeitung zum Datenschutz, ggf. bestehenden datenschutzrechtlichen Regelungen des zu Grunde liegenden oder abzuschließenden Vertrages, vor. Sollten einzelne Teile dieses Auftragsdatenverarbeitungsvertrages unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.
11.2. Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.
FBM 751-003 Version 1.3, Stand 19.10.2020