Zwischen Computerexperte/SERVKO und dem Auftraggeber wird die nachfolgende Vereinbarung über die Betreuung und Wartung von IT-Systemen des Auftraggebers geschlossen.


Gegenstand der Vereinbarung

 

Der Auftragnehmer übernimmt die Betreuung und Wartung des/der beim Auftraggeber eingesetzten informationstechnischen Systems/Systeme im Rahmen der Telefonischen Beratungszeit:

Beschreibung des IT-Systems/der IT-Systeme:

Der Auftrag umfasst

Der Auftragsinhalt ist individuell und Auftragsbezogen und wird vorab per Telefon/Chat abgesprochen. Der Auftragsinhalt wird auf der Rechnung benannt.

Der Auftrag

 

Gilt nur für die Dauer des Telefonats, des Einzelauftrages im Rahmen der telefonischen

Lösungsbearbeitung.


Rechte und Pflichten des Auftraggebers

 

Für die Beurteilung der Zulässigkeit von Zugriffen auf personenbezogene Daten sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. Er trägt Sorge, dass die Voraussetzungen für eine ggf. erforderliche Verarbeitung von Patientendaten erfüllt sind (Offenbarungsbefugnis).

 

Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich durch Ticketerstellung auf unserer Homepage und durch Anruf der Supportrufnummer 0900/388333. Änderungen des Umfangs der Beauftragung sind gemeinsam abzustimmen.

 

Der Auftraggeber hat das Recht, dem Auftragnehmer im Rahmen der Beauftragung Weisungen zu erteilen.

Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger / die Nachfolgerin bzw. der Vertreter / die Vertreterin mitzuteilen.

 

Der Auftraggeber ist berechtigt, sich jederzeit von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen nach § 9 Bundesdatenschutzgesetz (BDSG) zu überzeugen. Der Auftraggeber kann diese Kontrolle auch durch einen Dritten durchführen lassen.

 

Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er im Rahmen der Beauftragung Fehler oder Unregelmäßigkeiten feststellt.

Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.

 

Pflichten des Auftragnehmers

 

Der Auftragnehmer ist verpflichtet, die übertragenen Aufgaben ausschließlich im Rahmen der getroffenen Vereinbarungen und Weisungen des Auftraggebers wahrzunehmen.

 

Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Auffassung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen mitwirkt.

 

Nach Ende der Beauftragung (Nr. I.3) hat der Auftragnehmer alle den Auftrag betreffende Unterlagen (System- und Anwendungsdokumentation, Administrations- und Konfigurationsunterlagen, Protokolldaten, Zugangscodes/-token, Kryptografische Schlüssel u.Ä.) dem Auftraggeber auszuhändigen oder auf sein Verlangen hin zu vernichten. Ausgenommen hiervon sind Unterlagen die der Auftragnehmer zur Erfüllung gesetzlicher, z.B. steuerlicher oder handelsrechtlicher, Vorschriften benötigt. In diesem Fall sind dem Auftraggeber entsprechende Kopien zur Verfügung zu stellen.

 

Im Rahmen der Auftragsabwicklung erhaltene Daten und Datenträger sind dem Auftraggeber zu übergeben oder auf sein Verlangen hin zu löschen bzw. ordnungsgemäß zu vernichten. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich zu bestätigen.

 

Die Beauftragung von Unterauftragnehmern ist nur mit schriftlicher Zustimmung des Auftraggebers zugelassen. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer Namen und Anschrift des Unterauftragnehmers und die von diesem durchzuführenden Arbeiten mitteilt. Der Auftragnehmer muss versichern, dass er den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt hat. Er hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber diesem gelten. Der Auftragnehmer hat die Einhaltung der Pflichten durch den Unterauftragnehmer regelmäßig zu überprüfen (vgl. § 11 Abs. 2 BDSG). Das Ergebnis der Überprüfungen ist zu dokumentieren.

 

Der Auftragnehmer verpflichtet sich, bei der Durchführung des Auftrags das Datengeheimnis zu wahren. Soweit im Rahmen einer nach Nr. 2.1 zu erbringenden Leistung ein Zugriff auf personenbezogene Daten, insbesondere Patientendaten, erforderlich ist, hat der Auftragnehmer den Auftraggeber vorab darauf hinzuweisen. Der Zugriff ist nur mit Zustimmung des Auftraggebers zulässig.

 

Daten dürfen aus dem IT-System des Auftraggebers nur mit dessen Zustimmung übernommen werden. Der Auftragnehmer darf im Rahmen der Beauftragung erhaltene Daten ausschließlich für die Durchführung des Auftrag verarbeiten oder nutzen.

 

Datenträger mit personenbezogenen Daten, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden (z.B. Sicherungsdatenträger), sind eindeutig zu kennzeichnen. Eingang und Ausgang bzw. der Verbleib sind zu dokumentieren.

 

Der Auftragnehmer bestätigt, dass ihm die Vorschriften des Bundesdatenschutzgesetzes sowie folgende datenschutzrechtlichen Vorschriften bekannt sind:

§ 203 Strafgesetzbuch (Verletzung von Privatgeheimnissen)

§ 9 Berufsordnung für Ärztinnen und Ärzte in Rheinland-Pfalz

Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis nach § 5 Bundesdatenschutzgesetz (BDSG) schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der hier angegebenen datenschutzrechtlichen Vorschriften.

 

 Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.


Technische und organisatorische Maßnahmen bei Fernzugriffen

 

Soweit die nach Nr. 2.1 vereinbarten Arbeiten nicht vor Ort beim Auftraggeber vorgenommen werden verpflichtet sich der Auftragnehmer dazu, geeignete Maßnahmen nach § 9 Bundesdatenschutzgesetz (BDSG) zu treffen.

 

Der Auftragnehmer gewährleistet, dass ein Fernzugriff jeweils nur mit Einverständnis des Auftraggebers erfolgt. Hierzu ist ein Verfahren zur Einleitung einer Fernwartung (Benachrichtigung, Freischaltung) zu vereinbaren.

 

Die Fernwartungsarbeiten sind unter einer separaten, über Identifikations- und Authentisierungsmechanismen (Benutzerkennung, Passwort, Token etc.) geschützten Zugangskennung durchzuführen. Solange Fernwartungszugriffe nicht erforderlich sind, sollte die Zugangskennung deaktiviert sein. Die Zugriffsmöglichkeiten sind auf das für die Durchführung der jeweiligen Wartungsarbeiten erforderliche Maß zu beschränken. Für Arbeiten, die besondere Berechtigungen erfordern sind gesonderte Zugangskennungen einzurichten.

 

Der Auftragnehmer stellt sicher, dass Zeitpunkt sowie Art und Umfang der im Rahmen einer Fernwartung durchgeführten Arbeiten hinreichend nachvollzogen werden können. Dabei muss insbesondere erkennbar sein, von wem zu welchem Zeitpunkt auf welche Daten zugegriffen wurde bzw. welche Arbeiten vorgenommen wurden (siehe Nr. III.5): Die Protokolle sind für die Dauer von zwölf Monaten aufzubewahren und dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

 

Die Übernahme neuer Programmversionen sollte grundsätzlich nicht im Rahmen der Fernwartung erfolgen. Soweit im Einzelfall unvermeidlich, ist die Übernahme zu dokumentieren und die Integrität der übernommenen Software durch geeignete Maßnahmen sicherzustellen (z.B. Hashwerte).

 

Der Auftragnehmer dokumentiert die getroffenen Maßnahmen in einem Datensicherheitskonzept und stellt dieses dem Auftraggeber zur Verfügung.

 

Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren.

 

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Durchführung des Auftrags mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers nach § 42 a BDSG. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen Pflichten nach § 42 a BDSG zu unterstützen.


Haftung

 

Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen.

Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten.


Sonstiges

 

Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

Für Nebenabreden ist die Schriftform erforderlich.

Wirksamkeit der Vereinbarung

 

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Rest nicht.