, , , , ,

Auftragsverarbeitungsvertrag (AVV) Musterregelungen für techn. & org. Maßnahmen (toM)

min Lesezeit

Dieses Muster der AVV wird unter der Creative Commons Zero (CC0) Lizenz veröffentlicht, die eine weitgehende Freigabe von Urheber- und Nutzungsrechten ermöglicht. Damit kann das Muster ohne Einschränkungen und ohne Angabe von Urheber- oder Quellennachweisen weiterverwendet werden.

Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtlicher Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der die Bedingungen der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen regelt. Im Rahmen des AVV müssen technische und organisatorische Maßnahmen (toM) implementiert werden, um die Sicherheit der personenbezogenen Daten zu gewährleisten.

Für das Beispiel eines IT-Dienstleisters als Datenbankentwickler, der ausschließlich lokal und ohne Cloud-Daten arbeitet und keinen Remote-Zugriff außerhalb des LANs hat, gelten die Mindestanforderungen an technische und organisatorische Maßnahmen gemäß § 9 BDSG und DSGVO. Dies umfasst insbesondere die Gewährleistung von Zugangskontrolle und Datensicherung sowie die Schulung der Mitarbeiter zu Datenschutz- und Sicherheitsaspekten. Zusätzliche Maßnahmen sind nur dann erforderlich, wenn besondere Schutzbedürftigkeit der personenbezogenen Daten gegeben ist.

Ein AVV sollte in der Regel folgende Musterregelungen im Kontext mit toM des Entwicklerteams enthalten:

  • Gegenstand und Dauer: In diesem Abschnitt wird der Gegenstand des AVV und die Dauer der Verarbeitung der personenbezogenen Daten festgelegt.
    • Die Dauer der Verarbeitung personenbezogener Daten durch ein KIS (Krankenhausinformationssystem) ist auf den Zeitraum beschränkt, der für den Zweck, für den die Daten erhoben wurden, erforderlich ist. Sofern eine gesetzliche Aufbewahrungspflicht besteht oder das KIS als Auftragsverarbeiter tätig ist, kann die Dauer der Verarbeitung entsprechend den geltenden gesetzlichen Vorschriften oder den Bestimmungen des Vertrags zwischen dem KIS und dem Krankenhaus verlängert werden. In allen anderen Fällen darf die Verarbeitung personenbezogener Daten durch das KIS nicht länger als erforderlich und angemessen erfolgen.
  • Art, Umfang und Zweck der Datenverarbeitung: Hier wird definiert, welche Art von personenbezogenen Daten verarbeitet werden, welche Verarbeitungstätigkeiten durchgeführt werden und zu welchem Zweck die Verarbeitung erfolgt.
    • Die Art, der Umfang und der Zweck der Verarbeitung personenbezogener Daten durch das KIS (Krankenhausinformationssystem) sind auf das notwendige Minimum beschränkt, um den Zweck zu erfüllen, für den die Daten erhoben wurden. Die Verarbeitung darf nur in dem Umfang erfolgen, der für den jeweiligen Zweck erforderlich ist. Soweit eine gesetzliche Verpflichtung besteht oder das KIS als Auftragsverarbeiter tätig ist, kann die Verarbeitung personenbezogener Daten entsprechend den geltenden gesetzlichen Vorschriften oder den Bestimmungen des Vertrags zwischen dem KIS und dem Krankenhaus erweitert werden. In allen anderen Fällen darf die Verarbeitung personenbezogener Daten durch das KIS nicht weitergehen als erforderlich und angemessen für den jeweiligen Zweck.
  • Technische und organisatorische Maßnahmen: Dieser Abschnitt enthält eine Liste der toM, die der Auftragsverarbeiter implementieren wird, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies kann die Verwendung von Verschlüsselungstechnologien, die Implementierung von Zugriffskontrollen, die Durchführung von Schwachstellenmanagement und die regelmäßige Schulung von Mitarbeitern umfassen.
    • Da die Anforderungen je nach Art und Umfang der Datenverarbeitung sowie der Kategorie der personenbezogenen Daten variieren können, verlangen im Allgemeinen die Datenschutzgesetze, dass IT-Dienstleister geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten.
    • Im deutschen Datenschutzrecht wird dies in § 9 Bundesdatenschutzgesetz (BDSG) und in der Datenschutz-Grundverordnung (DSGVO) geregelt. Die Anforderungen sind jedoch nicht explizit spezifiziert und können je nach Einzelfall variieren. Es liegt in der Verantwortung des IT-Dienstleisters, geeignete Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich der Verwendung von Verschlüsselungstechnologien, der Implementierung von Zugriffskontrollen, der Durchführung von Schwachstellenmanagement und der regelmäßigen Schulung von Mitarbeitern.
      • Die Mindestanforderungen an technische und organisatorische Maßnahmen gemäß § 9 BDSG und DSGVO umfassen unter anderem:
      • Zutrittskontrolle und Zugangskontrolle (physische und logische)
      • Zugriffskontrolle und Rechteverwaltung
      • Überwachung und Protokollierung
      • Datensicherung und Notfallplanung
      • Verschlüsselung und Pseudonymisierung
      • Integrität und Verfügbarkeit der Daten
      • Schulung und Sensibilisierung der Mitarbeiter
      • Risikobewertung und Datenschutzfolgeabschätzung
        • Wir führen regelmäßige Risikobewertungen und Datenschutzfolgeabschätzungen durch, um mögliche Datenschutzrisiken frühzeitig zu identifizieren und geeignete Maßnahmen zur Risikominimierung zu ergreifen.
        • Unsere Experten verfügen über langjährige Erfahrung im Bereich der Risikobewertung und Datenschutzfolgeabschätzung und sind in der Lage, schnell und effektiv auf potenzielle Risiken zu reagieren.
        • Wir arbeiten eng mit unseren Kunden zusammen, um sicherzustellen, dass alle Datenschutzrisiken im Zusammenhang mit dem KIS-System identifiziert und angemessen bewertet werden, um die Sicherheit und Integrität der personenbezogenen Daten zu gewährleisten.
      • Regelungen zur Auftragskontrolle und Unterauftragsvergabe
      • Datenschutzvereinbarungen mit Dritten
      • Technische und organisatorische Maßnahmen zur Absicherung von Netzwerk und IT-Systemen
        • Wir setzen modernste Technologien und Tools zur Absicherung von Netzwerk und IT-Systemen ein, um einen optimalen Schutz vor Cyberangriffen und Datenverlusten zu gewährleisten.
        • Unsere Experten implementieren umfassende Zugriffskontrollen und Firewall-Systeme, um sicherzustellen, dass nur autorisierte Personen auf das Netzwerk und IT-Systeme zugreifen können.
        • Wir halten uns stets auf dem neuesten Stand der IT-Sicherheit und setzen kontinuierlich Maßnahmen um, um die Integrität und Verfügbarkeit der Daten unserer Kunden zu schützen und einen reibungslosen Betrieb des IT-Systems zu gewährleisten.
      • Regelmäßige Überprüfung und Aktualisierung der Maßnahmen.
      • Diese Maßnahmen sind gesetzlich vorgeschrieben und müssen von IT-Dienstleistern in Bezug auf KIS Systeme in Deutschland zwingend eingehalten werden.

12 mögliche Szenarien für IT-Dienstleister in Bezug auf die Anforderungen an die technischen und organisatorischen Maßnahmen (toM)

Szenarien-StufenBeschreibung
1Keine besonderen Anforderungen, da der IT-Dienstleister nur geringe oder keine personenbezogenen Daten verarbeitet.
2Der IT-Dienstleister verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen, jedoch ohne besondere Schutzbedürftigkeit. Es sind grundlegende Maßnahmen wie Zugangskontrolle und Datensicherung erforderlich.
3Der IT-Dienstleister verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen, jedoch mit besonderer Schutzbedürftigkeit wie Gesundheitsdaten. Es sind zusätzliche Maßnahmen wie Pseudonymisierung oder Verschlüsselung erforderlich.
4Der IT-Dienstleister verarbeitet personenbezogene Daten für den Verantwortlichen, jedoch auf eigenen Systemen. Es sind zusätzliche Maßnahmen erforderlich, um die Vertraulichkeit und Integrität der Daten zu gewährleisten.
5Der IT-Dienstleister ist für den Betrieb und die Wartung der IT-Infrastruktur des Verantwortlichen verantwortlich. Es sind zusätzliche Maßnahmen erforderlich, um die Verfügbarkeit und Integrität der Daten zu gewährleisten.
6Der IT-Dienstleister ist für die Entwicklung und den Betrieb von Cloud-Diensten für den Verantwortlichen verantwortlich. Es sind zusätzliche Maßnahmen erforderlich, um die Daten in der Cloud zu schützen.
7Der IT-Dienstleister verarbeitet personenbezogene Daten für den Verantwortlichen, jedoch auf Servern in Drittländern. Es sind zusätzliche Maßnahmen erforderlich, um die Anforderungen an den Datentransfer in Drittländer zu erfüllen.
8Der IT-Dienstleister ist für die Implementierung von Sicherheitsmaßnahmen für den Verantwortlichen verantwortlich, um auf potenzielle Sicherheitslücken reagieren zu können.
9Der IT-Dienstleister ist für die Überwachung von Sicherheitsrisiken und das Eindämmen von Sicherheitsvorfällen für den Verantwortlichen verantwortlich.
10Der IT-Dienstleister ist für die Durchführung von Datenschutzfolgenabschätzungen für den Verantwortlichen verantwortlich.
11Der IT-Dienstleister ist für die Schulung von Mitarbeitern des Verantwortlichen in Bezug auf den Datenschutz verantwortlich.
12Der IT-Dienstleister ist für die Erstellung von Datenschutzrichtlinien und -prozessen für den Verantwortlichen verantwortlich.
  • Unterstützung des Verantwortlichen: Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen bei der Erfüllung seiner Datenschutzpflichten zu unterstützen, einschließlich der Zusammenarbeit bei der Erfüllung von Anfragen von betroffenen Personen, der Meldung von Datenschutzverletzungen und der Durchführung von Datenschutzfolgenabschätzungen.
    • Die Unterstützung des Verantwortlichen bei der Erfüllung seiner Datenschutzpflichten ist im deutschen Datenschutzrecht in § 28 DSGVO und § 62 BDSG geregelt. Gemäß § 28 DSGVO muss der IT-Dienstleister dem Verantwortlichen alle notwendigen technischen und organisatorischen Maßnahmen zur Verfügung stellen, um die Erfüllung der Datenschutzpflichten zu gewährleisten. Hierzu kann der IT-Dienstleister beispielsweise die Implementierung von Zugriffskontrollen, die Verschlüsselung von Daten oder die Durchführung von Schwachstellenmanagement bereitstellen. Darüber hinaus hat der IT-Dienstleister dem Verantwortlichen bei der Wahrnehmung seiner Informationspflichten gemäß Art. 13 und 14 DSGVO zu unterstützen und auf Anfrage Auskunft über die durchgeführten Maßnahmen zu geben.
    • § 62 BDSG legt fest, dass der IT-Dienstleister als Auftragsverarbeiter nur im Rahmen der Weisungen des Verantwortlichen tätig werden darf und die personenbezogenen Daten ausschließlich nach den Anweisungen des Verantwortlichen verarbeiten darf. Der IT-Dienstleister ist auch verpflichtet, alle erforderlichen Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten und dem Verantwortlichen bei der Erfüllung seiner Informationspflichten zu unterstützen.
  • Vertraulichkeit: Hier wird geregelt, dass der Auftragsverarbeiter und seine Mitarbeiter verpflichtet sind, die Vertraulichkeit der personenbezogenen Daten zu wahren.
  • Unterauftragsverarbeitung: Der Auftragsverarbeiter muss den Verantwortlichen vor der Unterauftragsverarbeitung informieren und sicherstellen, dass der Unterauftragnehmer ebenfalls einen AVV unterzeichnet hat und toM implementiert.
  • Haftung: In diesem Abschnitt wird die Haftung des Auftragsverarbeiters bei Verletzung seiner Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten festgelegt.

Diese Regelungen sind nicht abschließend und können je nach spezifischen Anforderungen und Anforderungen des Verantwortlichen angepasst werden.

Patientendaten IT

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert