ARZT – DOCTENA DATENVERARBEITUNGSVERTRAG
 
 
Dieser Datenverarbeitungsvertrag (nachfolgend „Vertrag“ oder „Nachtrag“), datiert auf die digitale Signatur, ist Bestandteil der letzten vertraglichen Dienstleistungsvereinbarung (nachfolgend „Hauptvertrag“)
 zwischen: 
 __Dr. Wolfgang Traxler     1140 Wien, Kienmayergasse 31/11__________________________, _________________________________________________________  handelnd im eigenen Namen (nachfolgend „Datenverantwortlicher")  UND (markieren Sie das Feld, das Ihrem aktuellen Vertrag entspricht)  Österreich – Doctena Austria GmbH (formell a3L e­solutions), Mooslackengasse 17, A­1190 Wien  Belgien:      ­ Doctena Belgium Sprl, Square de Meeus 37, B­1000 Brüssel     ­ Sanmax Sprl, Square de Meeus 37, B­1000 Brüssel  Deutschland – Doctena Germany GmbH, Urbanstraße 116, 10967 Berlin  Luxemburg – Doctena SA, 35A av JF Kennedy 1855 Luxemburg  Niederlande – Doctena Netherlands BV, Barbara Strozzilaan 201, 1083 HN Amsterdam  Schweiz – Doctena Switzerland GmbH, Hagenholzstrasse 83b, 8050 Zürich handelnd im eigenen Namen (nachfolgend „Datenverarbeiter"),
 (nachfolgend gemeinsam „Parteien” genannt).
 
Die in diesem Vertrag verwendeten Begriffe haben die in diesem Vertrag festgelegten Bedeutungen. Begriffe, die hier nicht anders definiert sind, haben die Bedeutung, die ihnen im Hauptvertrag gegeben wird. Mit Ausnahme der nachstehenden Änderungen bleiben die Bestimmungen des Hauptvertrags in vollem Umfang in Kraft.  Die Parteien vereinbaren hiermit, dass die nachstehenden Bedingungen dem Hauptvertrag als Nachtrag hinzugefügt werden.  1. Zweck
 
Zweck des Vertrags ist die Festlegung der Bedingungen, zu deren Durchführung sich der Datenverarbeiter im Namen des Datenverantwortlichen verpflichtet, nämlich die nachfolgend definierte Verarbeitung personenbezogener Daten. 
 
Im Rahmen ihrer vertraglichen Beziehungen verpflichten sich die Parteien, die geltenden Vorschriften über die Verarbeitung personenbezogener Daten einzuhalten, insbesondere die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rats vom 27. April 2016, die ab dem 25. Mai 2018 geltende Allgemeine Datenschutz-Grundverordnung (nachfolgend „DSGVO“ genannt). 
Dr. Wolfgang Traxler 1140 Wien, Kienmayergasse 31/11
Doc ID: 64e47b41db66fca34df1bc28f25f0ad28ef31107
 2
2. Definitionen
 
In diesem Vertrag haben die folgenden Begriffe die nachstehend aufgeführten Bedeutungen und sind entsprechend auszulegen:  Die Begriffe „Prozess/Verarbeitung/Verarbeitet", „Datenverantwortlicher", „Datenverarbeiter", „betroffene Person“, „Persönliche Daten", „Besondere Kategorien personenbezogener Daten", „Verarbeitungstätigkeiten" und jede weitere Definition, die nicht in diesem Vertrag oder dem Hauptvertrag enthalten ist, haben die gleiche Bedeutung wie in der DSGVO. „EU” bedeutet Europäische Union. „EWR" bezeichnet den Europäischen Wirtschaftsraum. „Drittland" ist jedes Land außerhalb von EU/EWR, sofern dieses Land nicht Gegenstand einer gültigen Angemessenheitsentscheidung der Europäischen Kommission über den Schutz personenbezogener Daten in Drittländern ist. „Dienstleistungen” bezeichnet die Dienstleistungen, die der Datenverarbeiter dem Datenverantwortlichen gemäß dem Hauptvertrag zu erbringen hat.
 
3. Vertragsdauer Dieser Vertrag tritt mit der digitalen Unterzeichnung dieses Dokuments (nachfolgend „Inkrafttreten des Vertrags”) und bis zum Ablauf des Hauptvertrags in Kraft.
 
Der Datenverantwortliche hat den Datenverarbeiter beauftragt, Dienstleistungen bis zum Ablauf des Hauptvertrags zu erbringen.  4. Verpflichtungen des Datenverantwortlichen
 
Der Datenverantwortliche trägt die Hauptverantwortung und verpflichtet sich dazu,
 
1. dem Datenverarbeiter klare und ausreichend dokumentierte Anweisungen zu erteilen, wenn er besondere, nicht im Hauptvertrag enthaltene Anforderungen an die vereinbarten Dienstleistungen gestellt hat; 2. jede Anweisung, die sich auf die Verarbeitung der Daten durch den Datenverarbeiter bezieht, schriftlich zu dokumentieren; 3. dem Datenverarbeiter die unter Punkt 5 des Vertrags genannten Daten zur Verfügung zu stellen; 4. ein Register der Verarbeitungstätigkeiten in eigener Verantwortung zu führen;  5. von seiner Seite aus alle technischen und organisatorischen Sicherheitsmaßnahmen zu ergreifen, um ein ausreichendes Schutzniveau für personenbezogene Daten zu gewährleisten, die vom Datenverarbeiter verarbeitet werden; 6. vor und während der Verarbeitung die Einhaltung der in der DSGVO festgelegten Verpflichtungen sicherzustellen; 7. die Rechte der betroffenen Person zu respektieren;  8. dem Datenverarbeiter alle Sicherheitsvorfälle mitzuteilen, die die zur Verfügung gestellten Dienstleistungen betreffen; 9. die Verarbeitung zu überwachen, einschließlich der Durchführung von Audits und Inspektionen mit dem Datenverarbeiter.
 
 
Doc ID: 64e47b41db66fca34df1bc28f25f0ad28ef31107
 3
5. Beschreibung der zu beauftragenden Verarbeitung
 
Der Datenverantwortliche hat den Datenverarbeiter damit beauftragt, in seinem Namen folgende Leistungen zu erbringen:
 
(i) Verwaltung der Patientendaten in Bezug auf seine Arzttermine und Nachsorgeleistungen; (ii) Verwaltung der Agenda/des Kalenders des Arztes; (iii)Verwaltung der gesamten IT-Infrastruktur, Software, Wartung und Verwaltung aller Hard- und Software im Zusammenhang mit den Dienstleistungen des Hauptvertrags.
 
Bei den Tätigkeiten, die mit den Daten bzgl. i), ii) und iii) durchgeführt werden, handelt es sich um: • Erfassung, Speicherung und Änderung der persönlichen Daten des Patienten, die der Arzt für die Organisation des Termins benötigt; • Suche des Patientenkontos unter Verwendung seiner gespeicherten persönlichen Daten; • Kommunikation mit der betroffenen Person per E-Mail oder (Mobil-)Telefon; • Datenimport in Doctena-Dienste unter Verwendung der vom Arzt bereitgestellten strukturierten Daten (z.B. Onboarding); • Automatische Datensicherung.
 
Der Datenverarbeiter verpflichtet sich, die Daten ausschließlich zu dem/den Zweck(en) zu verarbeiten, die dem Hauptvertrag und den oben genannten Zwecken unterliegen.
 
Die Kategorie der betroffenen Person lautet: Patient.
 
Zur Erbringung der unter i), ii) und iii) genannten Dienstleistungen ist der Datenverarbeiter befugt, im Namen des Datenverantwortlichen die folgenden erforderlichen Kategorien personenbezogener Daten zu verarbeiten, je nachdem, welche Daten der Datenverantwortliche und/oder die betroffene Person zur Verfügung stellt:
 
1. Persönliche Daten zur Identifizierung: Name, Titel, E-Mail-Adresse, Anschrift (privat und beruflich), frühere Anschriften, (Mobil-)Telefonnummer (privat, beruflich), vom Datenverantwortlichen vergebene Kennungen;  2. Angaben zur Person: Alter, Geschlecht, Geburtsdatum, Geburtsort, Standesamt und Staatsangehörigkeit; 3. Identifikationsdaten: von öffentlichen Diensten, z.B. nationale Identifikationsnummer, Sozialversicherungsnummer, Nummer des Personalausweises, Reisepass. 4. Daten elektronischer Identifikation: IP-Adressen, Cookies, Verbindungsmomente, elektronische Signatur. 5. Behandlungsbezogene Daten: Angaben zu den für die medizinische und paramedizinische Versorgung der Patienten verwendeten Ressourcen und Verfahren (z.B. Arzt-/Patientennotizen, Besuchsgrund). 6. Angaben zu anderen Familienmitgliedern oder zum Hausstand: Kinder, unterstützte Personen, andere Haushaltsmitglieder, Informationen über Eltern und Verwandte. 7. Pseudonymisierung: Kontrollen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten (z.B. Hash-Credentials).
 
 
Doc ID: 64e47b41db66fca34df1bc28f25f0ad28ef31107
 4
6. Verpflichtungen des Datenverarbeiters
 
Solange der Datenverarbeiter personenbezogene Daten für den Datenverantwortlichen verarbeitet, gelten die folgenden Bedingungen gemäß Artikel 28 der DSGVO:
 
Pflichten des Datenverarbeiters gegenüber dem Datenverantwortlichen
 
1. Der Datenverarbeiter verpflichtet sich, alle gesetzlichen Bestimmungen der DSGVO und des nationalen Datenschutzrechts einzuhalten und die Datenverarbeitung (logisch und physikalisch) ausschließlich innerhalb der EU oder des EWR zu betreiben. Jede Form der Verlagerung der Datenverarbeitung (einschließlich der Verlegung des Geschäftssitzes des Datenverarbeiters) in ein Drittland (außerhalb der EU oder des EWR) bedarf der ausdrücklichen vorherigen schriftlichen Zustimmung des Datenverantwortlichen.
 
2. Der Datenverarbeiter verpflichtet sich, die Daten gemäß den dokumentierten Anweisungen des Datenverantwortlichen zu verarbeiten. Ist der Datenverarbeiter nach EU-Recht oder dem Recht eines Mitgliedstaats, dem der Datenverarbeiter unterliegt, verpflichtet, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss der Datenverarbeiter den Datenverantwortlichen über die gesetzliche Verpflichtung informieren, sofern dieses Gesetz derartige Informationen aus wichtigen Gründen des öffentlichen Interesses nicht verbietet.
 
3. Ist der Datenverarbeiter der Ansicht, dass eine vom Datenverantwortlichen erlassene Richtlinie gegen die DSGVO oder andere Datenschutzgesetze der EU oder eines Mitgliedstaats verstößt, muss er den Datenverantwortlichen unverzüglich und in gutem Glauben informieren.
 
4. Der Datenverantwortliche ist berechtigt, die Einhaltung aller anwendbaren Datenschutzbestimmungen und die Einhaltung der vertraglichen Bestimmungen selbst oder durch Dritte mit dem Datenverarbeiter und etwaigen Subunternehmern zu überprüfen. Zu diesem Zweck stellt der Datenverarbeiter dem Datenverantwortlichen die erforderlichen Unterlagen zur Verfügung, damit der Datenverantwortliche oder ein von ihm beauftragter Dritter Audits, einschließlich Inspektionen, durchführen kann; außerdem trägt er zu diesen Audits bei.
 
5. Der Datenverarbeiter stellt dem Datenverantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung seiner vertraglichen Verpflichtungen nachzuweisen.
 
6. Der Datenverarbeiter verpflichtet sich, die Daten ausschließlich zu dem/den Zweck(en) zu verarbeiten, die im Hauptvertrag aufgeführt sind.
 
Aufzeichnungen über Verarbeitungsvorgänge
 
7. Der Datenverarbeiter muss die Datenverarbeitung in dokumentierter Form durchführen, sofern er nicht aufgrund des Rechts der EU oder der Mitgliedstaaten, denen er unterliegt, anders handeln muss. In diesem Fall unterrichtet der Datenverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtlichen Anforderungen, sofern das betreffende Gesetz nicht eine derartige Kommunikation aufgrund eines erheblichen öffentlichen Interesses verbietet.
 
8. Gemäß Artikel 30 der DSGVO führt der Datenverarbeiter über alle Arten von Verarbeitungstätigkeiten, die er im Auftrag des Datenverantwortlichen durchführt, ein Protokoll mit folgenden Inhalten:
 
- Name und Kontaktdaten des Datenverantwortlichen, in dessen Auftrag der Datenverarbeiter handelt und aller anderen Datenverarbeiter und gegebenenfalls des Datenschutzbeauftragten; - Die Verarbeitungskategorien, die im Auftrag des Datenverantwortlichen durchgeführt werden;
Doc ID: 64e47b41db66fca34df1bc28f25f0ad28ef31107
 5
- Gegebenenfalls die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung dieses Drittlandes oder dieser internationalen Organisation, und – im Falle einer Übermittlung gemäß Artikel 49 (1), Unterabsatz 2 der DSGVO – die Dokumentation geeigneter Schutzmaßnahmen. - Soweit möglich eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahme, die u.a. Folgendes umfasst: • Die Pseudonymisierung und Verschlüsselung personenbezogener Daten; • Die Fähigkeit, die laufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten sicherzustellen; • Die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen; • Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung einer sicheren Datenverarbeitung.
 
Technische und organisatorische Maßnahmen
 
9. Der Datenverarbeiter verpflichtet sich, bei seinen Werkzeugen, Produkten, Anwendungen oder Dienstleistungen die Grundsätze des Datenschutzes bzgl. Design und Standard zu berücksichtigen.
 
10. Der Datenverarbeiter unterstützt den Datenverantwortlichen bei der Erfüllung der Pflichten gemäß Artikel 32 bis 36 der DSGVO (Ergreifen technischer und organisatorischer Maßnahmen, Meldung von Sicherheitsverletzungen, Erstellung einer Datenschutz-Folgenabschätzung). Der Datenverarbeiter unterstützt den Datenverantwortlichen bei der Durchführung der DatenschutzFolgenabschätzung. Der Datenverarbeiter unterstützt den Datenverantwortlichen bei der vorherigen Konsultation der zuständigen Aufsichtsbehörde. 
 
11. Der Datenverarbeiter trifft angemessene technische und organisatorische Maßnahmen, um ein Sicherheitsniveau für die Daten und/oder die Datenverarbeitung zu gewährleisten, das den festgestellten Risiken angemessen ist. Dazu gehören u.a.:
 
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten; - die Fähigkeit, die laufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten sicherzustellen;  - die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen; - ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung einer sicheren Datenverarbeitung.
 
Die Sicherheitsmaßnahmen sollen personenbezogene Daten vor Zerstörung oder versehentlichen oder unrechtmäßigen Verlusten oder Veränderungen oder unberechtigten Offenlegungen oder Zugriffen schützen.
 
Datenschutzbeauftragter
 
12. Der Datenverarbeiter teilt dem Datenverantwortlichen den Namen und die Kontaktdaten seines Datenschutzbeauftragten mit, sofern er diesen gemäß Artikel 37 der DSGVO benannt hat.
 
Untervergabe   13. Die Untervergabe oder der Einsatz von Subunternehmern (nachfolgend „Subunternehmer“) ist dem Datenverarbeiter grundsätzlich gestattet, sofern er den Datenverantwortlichen vorher über die beabsichtigte Untervergabe oder den beabsichtigten Einsatz von Subunternehmern informiert und
Doc ID: 64e47b41db66fca34df1bc28f25f0ad28ef31107
 6
der Datenverantwortliche dieser Untervergabe widersprechen kann. Der Datenverarbeiter muss alle Subunternehmer im Sinne von Artikels 28, Abs. 4 der DSGVO dazu verpflichten, ihre vertraglichen Verpflichtungen einzuhalten und alle Verpflichtungen, die der Datenverarbeiter erfüllen muss, auf den Subunternehmer übertragen. Der Subunternehmer muss innerhalb der EU oder des EWR ansässig sein und darf die Datenverarbeitung nur innerhalb der EU oder des EWR betreiben.
 
 Vertraulichkeit 
 
14. Der Datenverarbeiter stellt sicher, dass sich berechtigte Personen, die die zu verarbeitenden Daten verarbeiten oder Zugriff auf die Daten haben oder erhalten können, vor der Verarbeitung oder dem Zugriff auf diese Daten zur Vertraulichkeit verpflichtet haben, sofern sie nicht trotzdem einer Vertraulichkeitsverpflichtung unterliegen. Außerdem sorgt er für ein angemessenes Datenschutzbewusstsein und eine entsprechende Schulung.
 
15. Der Datenverarbeiter verpflichtet sich, die Vertraulichkeit der im Rahmen dieses Vertrags verarbeiteten personenbezogenen Daten zu gewährleisten.
 
Auskunftsrechte der betroffenen Personen
 
16. Zum Zeitpunkt der Datenerhebung muss der Datenverarbeiter den von der Verarbeitung betroffenen Personen Informationen über die von ihm durchgeführte Datenverarbeitung zur Verfügung stellen. 
 
Ausübung der Rechte der betroffenen Personen
 
17. Wendet sich eine betroffene Person statt an den Datenverantwortlichen an den Datenverarbeiter oder einen Subunternehmer, verpflichtet sich der Datenverarbeiter dazu, den Antrag an den Datenverantwortlichen zu richten, damit dieser den Antrag fristgerecht bearbeitet.
 
18. Der Datenverarbeiter unterstützt den Datenverantwortlichen so gut wie möglich mit geeigneten technischen und organisatorischen Maßnahmen zur Erfüllung seiner Verpflichtung, auf Anfragen betroffener Personen, die ihre Rechte gemäß Kapitel III der DSGVO ausüben (Anfrage, Zugriffsrecht, Berichtigung und Löschung, Information, Datenübertragbarkeit, Widerspruch und automatisierte Entscheidungsfindung im Einzelfall einschließlich Profilerstellung), innerhalb einer angemessenen Frist zu reagieren. Der Datenverarbeiter muss im Namen und im Auftrag des Datenverantwortlichen innerhalb der von der DSGVO genannten Fristen auf Anfragen der betroffenen Personen zur Ausübung ihrer Rechte in Bezug auf die im Rahmen des Unterauftrags erfassten Daten antworten.
 
Benachrichtigung bei Datenpannen   19. Der Datenverarbeiter informiert den Datenverantwortlichen über alle Datenpannen innerhalb von 48 Stunden, nachdem er davon Kenntnis erlangt hat,  per E-Mail. Diese Mitteilung ist zusammen mit allen erforderlichen Unterlagen zu übermitteln, damit der Datenverantwortliche diese Verletzung gegebenenfalls der zuständigen Aufsichtsbehörde melden kann.    Zukunft der persönlichen Daten
 
20. Der Datenverarbeiter wird bei Abschluss des Hauptvertrags entscheiden, ob die Daten gelöscht oder an den Datenverantwortlichen zurückgegeben werden, sofern nicht eine Verpflichtung nach EU- oder nationalem Recht besteht, die personenbezogenen Daten zu speichern. Zusammen mit der Rückgabe der Daten muss der Datenverarbeiter schriftlich nachweisen, dass diese Datenvernichtung stattgefunden hat.
 
 
Doc ID: 64e47b41db66fca34df1bc28f25f0ad28ef31107