Vereinbarung zur Verarbeitung personenbezogener Daten Anhang zum mit der Apotheke abgeschlossenen Vertrag

Verantwortlicher für die Verarbeitung: Die Apotheke fungiert als Verantwortlicher für die Verarbeitung der Daten der betroffenen Personen, deren personenbezogene Daten gemäß dem Anhang zu diesem Vertrag (Details zu den Verarbeitungstätigkeiten) auf der Plattform verarbeitet werden.

Der Verantwortliche für die Verarbeitung muss sich an die geltenden Datenschutzgesetze halten, insbesondere das Bundesgesetz und seine Verordnungen zum Schutz personenbezogener Daten.

Auftragsverarbeiter: Der Verantwortliche für die Verarbeitung beauftragt die Plattform als Auftragsverarbeiter, um diese Daten in seinem Namen zu verarbeiten und eine angemessene Datenschutzmaßnahme für die übermittelten personenbezogenen Daten sicherzustellen. Der Zweck, die Dauer und die Details der Verarbeitungstätigkeiten, die der Verantwortliche dem Auftragsverarbeiter zur Verarbeitung gestattet, sind im Anhang zu diesem Vertrag aufgeführt.

Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten nur zu verarbeiten: :

• gemäß vorheriger Anweisung des Verantwortlichen für die Verarbeitung
• soweit und solange es für die Erfüllung der Zwecke des Verantwortlichen für die Verarbeitung oder gemäß dem Vertrag erforderlich ist ;
• unter Einhaltung des geltenden Rechts;
• entsprechend der Art, dem Umfang und dem Zweck des Vertrags und gemäß dem Anhang zu diesem Vertrag;
• wenn personenbezogene Daten in ein Land ohne angemessenen Datenschutz übertragen werden, unter Verwendung angemessener und von der zuständigen Behörde anerkannter Garantien und rechtlicher Mittel.

Der Verantwortliche behält sich das Recht vor, Anweisungen zur Art, zum Umfang, zu den Zwecken und zur Art der Datenverarbeitung mündlich oder schriftlich zu erteilen. 

Der Auftragsverarbeiter kann die verarbeiteten personenbezogenen Daten für seine legitimen Zwecke im Zusammenhang mit der Erbringung der Dienstleistungen verwenden, insbesondere zur Sicherheit seiner Infrastruktur, zur Verbesserung der Dienstleistungen oder zur Einhaltung der gesetzlichen Bestimmungen, wie in seiner Datenschutzrichtlinie beschrieben oder im Fall eines überwiegenden eigenen Interesses. In diesem Fall handelt der Auftragsverarbeiter als Verantwortlicher für die Verarbeitung für diese Aktivitäten.

Der Verantwortliche muss alle Personen, die personenbezogene Daten verarbeiten, zur Einhaltung der Vertraulichkeit, Sicherheit und Verfügbarkeit der personenbezogenen Daten verpflichten und sie angemessen schulen, um die grundlegenden Datenschutzprinzipien sicherzustellen. 

Der Auftragsverarbeiter stellt sicher, dass physische Personen, die ihm unterstellt sind und Zugriff auf Vertragsdaten haben, diese nur vertraulich und gemäß seinen Anweisungen verarbeiten, es sei denn, sie sind gesetzlich zur Verarbeitung verpflichtet. 

Der Auftragsverarbeiter ergreift alle erforderlichen technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Standes der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der bestellten Datenverarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere der Risiken für die Persönlichkeit und die Grundrechte der betroffenen Personen erforderlich sind, um ein angemessenes Datenschutzniveau für die bestellten Daten sicherzustellen. 

Vor Beginn der Datenverarbeitung muss der Verantwortliche für die Verarbeitung insbesondere die erforderlichen technischen und organisatorischen Maßnahmen ergreifen und während der Vertragslaufzeit aufrechterhalten, um sicherzustellen, dass die Datenverarbeitung gemäß diesen Maßnahmen durchgeführt wird. 

Der Verantwortliche ermächtigt hiermit im Allgemeinen den Einsatz anderer Auftragsverarbeiter durch den Auftragsverarbeiter.

Der Auftragsverarbeiter legt allen anderen Auftragsverarbeitern vertraglich die gleichen Datenschutzverpflichtungen auf wie sie in diesem Vertrag für den Auftragsverarbeiter festgelegt sind. 

Der Auftragsverarbeiter überprüft vor jeder Beauftragung und regelmäßig während der Beauftragung, dass andere Verantwortliche für die Auftragsverarbeitung angemessene technische und organisatorische Maßnahmen ergriffen haben und dass diese Maßnahmen gemäß diesem Vertrag umgesetzt werden. 

Im Falle von Übermittlungen personenbezogener Daten in Länder ohne angemessenen Datenschutz erzwingt der Auftragsverarbeiter sowie seine gegebenenfalls eigenen Auftragsverarbeiter die Einrichtung geeigneter vertraglicher oder rechtlicher Vorkehrungen, die von den zuständigen Behörden anerkannt werden, einschließlich beispielsweise der Standardvertragsklauseln.

Der Auftragsverarbeiter wird dem Verantwortlichen soweit vernünftig möglich dabei helfen, seiner Verpflichtung nachzukommen, auf Anfragen zur Ausübung der ihnen zustehenden Rechte seitens der betroffenen Personen zu antworten. 

Der Auftragsverarbeiter muss insbesondere: 

• den Verantwortlichen so schnell wie möglich informieren, wenn eine betroffene Person sich direkt an den Auftragsverarbeiter wenden muss, um ihre Rechte in Bezug auf die verarbeiteten Daten auszuüben;
• auf Anfrage dem Verantwortlichen alle Informationen zur Verfügung stellen, die er über die Datenverarbeitung besitzt und die der Verantwortliche benötigt, um auf die Anfrage einer betroffenen Person zu antworten und die der Verantwortliche nicht selbst hat.

Der Auftragsverarbeiter kann von diesem Artikel abweichen und direkt auf Anfragen von betroffenen Personen oder Behörden antworten, um seine eigenen Rechte zu wahren oder wenn er dies aufgrund einer gesetzlichen Verpflichtung tun muss. Er wird jedoch den Verantwortlichen für die Verarbeitung über alle Maßnahmen informieren, die er in diesem Zusammenhang ergreift.

Der Verantwortliche für die Verarbeitung verpflichtet sich, Informationen zum Datenschutz für betroffene Personen bereitzustellen, insbesondere durch die Datenschutzrichtlinie auf der Plattform und gemäß den geeigneten rechtlichen Grundlagen für die Verarbeitung personenbezogener Daten betroffener Personen.

Wenn die Einwilligung für die Verarbeitung personenbezogener Daten erforderlich ist, muss der Verantwortliche für die Verarbeitung die rechtliche Grundlage sowie gegebenenfalls die Einholung oder den Widerruf der Einwilligung für die betreffenden Zwecke verwalten. Er gibt die erforderlichen Anweisungen an den Auftragsverarbeiter zur Verwaltung der Zwecke und der gesammelten Daten gemäß der geeigneten rechtlichen Grundlage.

Wenn der Auftragsverarbeiter, um die Dienstleistungen bereitzustellen, entweder:

• die personenbezogenen Daten betroffener Personen (einschließlich der Mitarbeiter der Apotheken) vor der Übermittlung der Daten an den Verantwortlichen selbst erhebt; oder 
• von dem Verantwortlichen für die Verarbeitung die Kontaktdaten betroffener Personen erhält, um mit ihnen zu interagieren oder zu kommunizieren;

wird der Auftragsverarbeiter die betroffenen Personen über die Details der Datenverarbeitung informieren und ihnen gegebenenfalls den Zugang zu den Informationen in seiner Datenschutzmeldung für Gesundheitsfachkräfte und Nicht-Gesundheitsfachkräfte ermöglichen.

Wenn der Verantwortliche für die Verarbeitung vom Auftragsverarbeiter die Erhebung personenbezogener Daten verlangt, wird der Verantwortliche dem Auftragsverarbeiter die entsprechenden Informationen bereitstellen.

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich alle Verletzungen der Datensicherheit, insbesondere Vorfälle, die zur Zerstörung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von Bestelldaten oder zum unbefugten Zugriff auf solche Daten führen.  

Falls der Verantwortliche für die Verarbeitung verpflichtet ist, die Aufsichtsbehörde, den PFPDT, gemäß Art. 24 LPD (Meldung von Verletzungen der Datensicherheit) zu informieren, wird der Auftragsverarbeiter den Verantwortlichen auf Anfrage bei der Erfüllung dieser Verpflichtungen unterstützen. Der Auftragsverarbeiter wird jede vernünftige Unterstützung leisten.

Bei der Zusammenarbeit und vernünftiger Unterstützung durch den Auftragsverarbeiter tragen beide Parteien ihre eigenen Kosten. Im Falle einer Datenverletzung oder erforderlicher Maßnahmen, die durch den Verantwortlichen für die Verarbeitung verursacht wurden, müssen alle Hilfeleistungen, Kooperationen, Unterstützungen und Dienstleistungen, die dem Auftragsverarbeiter ermöglicht wurden, vom Verantwortlichen für die Verarbeitung erstattet werden.

Auf Anweisung des Verantwortlichen wird der Auftragsverarbeiter am Ende des Vertrags entweder alle Daten vollständig und unwiderruflich löschen oder sie an den Verantwortlichen zurückgeben, es sei denn, das Gesetz verpflichtet den Auftragsverarbeiter, die Daten weiterhin aufzubewahren.

Der Auftragsverarbeiter muss sicherstellen, dass die Datenverarbeitung gemäß diesem Vertrag und den Anweisungen des Verantwortlichen erfolgt.

Wenn dies gesetzlich vorgeschrieben ist, führt der Auftragsverarbeiter ein Register der Verarbeitung personenbezogener Daten. Dieses Register wird dem Kunden auf Anfrage zur Verfügung gestellt. 

Dieser Anhang enthält weitere Informationen zu den von der Verantwortlichen Stelle gegenüber dem oder den Auftragsverarbeitern autorisierten Verarbeitungstätigkeiten.

Die folgende Tabelle fasst die Rollen und Verantwortlichkeiten sowie die Kategorien von Daten, betroffenen Personen und autorisierten Empfängern zusammen.