Vereinbarung über Auftragsverarbeitung (Art. 28 DSGVO)
zwischen
WEPA Apothekenbedarf GmbH & Co. KG, Am Fichtenstrauch 6-10,
56204 Hillscheid
- im Folgenden: WEPA -
und
- im Folgenden: Apotheke -
Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch WEPA im Zusammenhang mit der Bereitstellung der Software „LabXpert“ (im Folgenden: Software) im Auftrag und nach Weisung der Apotheke. WEPA gewährt der Apotheke den Einsatz der Software auf der Grundlage eines Software-Lizenzvertrages (im Folgenden: Hauptvertrag).
Diese Vereinbarung konkretisiert insoweit die datenschutzrechtlichen Verpflichtungen der Vertragsparteien im Hinblick auf sämtliche Tätigkeiten, die mit der Leistungserbringung im Zusammenhang stehen und bei denen Mitarbeiter von WEPA oder durch WEPA beauftragte Dritte mit personenbezogenen Daten der Apotheke und/oder mit Daten von Kunden der Apotheke (im Folgenden: Endkunden) in Berührung kommen können.
Die im Hauptvertrag vereinbarten Leistungen von WEPA beschränken sich auf die Bereitstellung der Software auf einem zentralen Computersystem zur Nutzung durch die Apotheke via Internet als Software as a Service-Lösung, die Gewährung des Zugriffs auf diese Software für die Apotheke, die Wartung der Software sowie Supportleistungen. Im Rahmen der Leistungserbringung ist ein Zugriff auf Daten der Apotheke und der Endkunden grundsätzlich nicht vorgesehen; es ist jedoch nicht auszuschließen, dass WEPA und/oder von WEPA beauftragte Dritte zur Erfüllung ihrer vertraglichen Leistungen die Möglichkeit des Zugriffs auf personenbezogene Daten, die die Apotheke über die Software verarbeitet, erhält. Insofern finden die nachfolgenden Bestimmungen Anwendung.
Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüber hinausgehende Verpflichtungen ergeben. Eine Kündigung des Hauptvertrages bewirkt automatisch auch eine Kündigung dieser Vereinbarung. Eine isolierte Kündigung dieser Vereinbarung ist ausgeschlossen.
Zur Erbringung ihrer Leistungen nach den Vorgaben des Hauptvertrages verarbeitet WEPA folgende personenbezogene Daten der Apotheke:
Kategorien betroffener Personen |
Art der Daten |
Zweck der Datenverarbeitung |
Apotheke und ggf. mit dieser verbundene Personen (gesetzliche Vertreter, Beschäftigte etc.) |
Name und Anschrift der Apotheke; Name des Inhabers; Name, Telefon-Nummer und E-Mail-Adresse eines aktuellen Ansprechpartners; Kennung des Nutzerdatensatzes in der WEPA-Cloud |
Einrichtung, Änderung und Schließen eines Zugangs; Login über WEPA-Cloud |
Apotheke und ggf. mit dieser verbundene Personen (gesetzliche Vertreter, Beschäftigte etc.) |
Kundennummer/Kennung des Nutzerdatensatzes bei DAC/NRF-Abonnement; E-Mail-Adresse/Benutzername, Apotheken-Name und –Anschrift des Lizenznehmers bei DAC/NRF |
Nachweis des DAC/NRF-Abonnement |
Apotheke und ggf. mit dieser verbundene Personen (gesetzliche Vertreter, Beschäftigte etc.) |
Name und Anschrift der Apotheke; Name, Telefonnummer und E-Mail-Adresse eines Ansprechpartners; Pseudonym, Profilinformationen, Profilbild |
Support, Störungsmeldungen, Nutzung des Supportforums zu Anwendungs- und Rezepturfragen; Einrichtung einer Benutzerkennung zur Moderation im Supportforum |
Apotheke und ggf. mit dieser verbundene Personen (gesetzliche Vertreter, Beschäftigte etc.) |
Name und Anschrift der Apotheke; Name der verantwortlichen Apotheker/in; Name der herstellenden Person; Name der beaufsichtigenden Person; Zusammenstellung der Rezeptur |
Plausibilitätsprüfung, Erstellung von Herstellungsanweisungen, Herstellungs_protokollen, Risiko_beurteilungen, Prüfanweisungen und Prüfprotokollen |
Patienten/Kunden der Apotheke |
Name des Patienten; Name und Adresse des verschreibenden Arztes;
Bei Tierarzneimitteln: Name Tierhalter; Name und Adresse des verschreibenden Tierarztes |
Erstellung Herstellungsprotokoll gem. § 7 ApBetrO |
Umfang, Art und Zweck der Verarbeitung der Daten nach Ziff. 2.1 durch WEPA sind im Hauptvertrag und Anlage 1 zu dieser Vereinbarung konkret beschrieben. Die Daten werden grundsätzlich im Rahmen der Nutzung der Software durch die Apotheke selbst eingegeben, berichtigt, gelöscht und in der Verarbeitung eingeschränkt.
Die Verarbeitung der Daten findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung der Apotheke und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
WEPA verarbeitet die Daten ausschließlich in Übereinstimmung mit den Weisungen der Apotheke hinsichtlich Art, Umfang und Verfahren der Datenverarbeitung, wie sie in dieser Vereinbarung geregelt sind. Konkretisierende Einzelweisungen der Apotheke sind im Rahmen der im Hauptvertrag getroffenen Auftragsbeschreibung und nach Maßgabe der nachfolgenden Regelungen zulässig.
Die Apotheke erteilt alle Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen wird die Apotheke unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen.
WEPA unterrichtet die Apotheke unverzüglich, wenn sie der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche oder sonst einschlägige gesetzliche Vorgaben. WEPA ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch die Apotheke bestätigt oder geändert wird. Weisungen, die auf eine strafbare Handlung gerichtet sind oder WEPA dem Betroffenen oder einem Dritten gegenüber schadenersatzpflichtig machen würden, hat WEPA nicht Folge zu leisten.
WEPA wird in ihrem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. WEPA wird gemäß Art. 28 Abs. 3 lit. c und Art. 32 DSGVO technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten der Apotheke und der Endkunden treffen, die den einschlägigen gesetzlichen Anforderungen genügen. WEPA hat Maßnahmen zu treffen, welche die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung dauerhaft sicherstellen. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 DSGVO zu berücksichtigen.
Eine konkrete Darstellung der von der Apotheke als hinreichend akzeptierten technischen und organisatorischen Maßnahmen enthält die Anlage 2 zu dieser Vereinbarung.
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterent_wicklung. WEPA ist berechtigt, alternative adäquate Maßnahmen umzusetzen, sofern sichergestellt ist, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren und mit der Apotheke abzustimmen.
Soweit dies nicht Bestandteil des Auftrags ist, hat WEPA personenbezogene Daten, die im Auftrag der Apotheke verarbeitet werden, nur nach dokumentierter Weisung der Apotheke zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Wendet sich ein Betroffener mit der Forderung nach Berichtigung, Löschung, Einschränkung der Verarbeitung, Auskunft oder Datenübertragung unmittelbar an WEPA, wird WEPA den Betroffenen an die Apotheke verweisen. WEPA leitet hierzu den Antrag des Betroffenen unverzüglich an die Apotheke weiter und wird die Apotheke auf Weisung im Rahmen ihrer Möglichkeiten unterstützen.
WEPA haftet nicht, wenn das Ersuchen des Betroffenen von der Apotheke nicht, nicht richtig oder nicht fristgerecht beantwortet wird. Die Umsetzung des Löschkonzepts der Apotheke sowie der betroffenen Rechte auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft ist nur soweit durch WEPA unmittelbar sicherzustellen, als dies vom vertraglich vereinbarten Leistungsumfang erfasst ist.
Für die Einhaltung der einschlägigen datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an WEPA, die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen im Rahmen dieser Vereinbarung ist allein die Apotheke verantwortlich („Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO). Die Apotheke wird in ihrem Verantwortungsbereich dafür Sorge tragen, dass die gesetzlich notwendigen Voraussetzungen geschaffen werden, damit WEPA die vereinbarten Leistungen rechtmäßig erbringen kann.
Die Apotheke hat WEPA unverzüglich und vollständig zu informieren, wenn sie bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
WEPA stellt gemäß Art. 28 Abs. 3 lit. h DSGVO sicher, dass sich die Apotheke von der Einhaltung der gesetzlichen Kontroll- und Prüfpflichten seitens WEPA auf eigene Kosten unter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen und des Datenschutzes selbst oder durch einen beruflich zur Verschwiegenheit verpflichteten Prüfer überzeugen kann. WEPA verpflichtet sich dazu, der Apotheke auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen mit geeigneten Mitteln nachzuweisen. Dabei kann der Nachweis nach Wahl von WEPA auch durch
erbracht werden.
Sollten im Einzelfall Inspektionen durch die Apotheke oder einen unabhängigen externen Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufes durchgeführt. WEPA darf diese von einer vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Für die Unterstützung bei der Durchführung von Inspektionen darf WEPA eine angemessene Vergütung verlangen.
Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde der Apotheke eine Inspektion vornehmen, gilt das Vorstehende entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn die Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
Als Unterauftragsverhältnisse im Sinne dieser Vereinbarung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der (haupt-) vertraglich vereinbarten Leistungen beziehen. Nicht hierzu gehören Nebenleistungen, die WEPA bei der Auftragsdurchführung in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software der Datenverarbeitungsanlagen. WEPA ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten der Apotheke und der Endkunden auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
WEPA darf Unterauftragnehmer (weitere Auftragnehmer) nur mit dokumentierter Zustimmung der Apotheke nach Maßgabe der folgenden Regelungen beauftragen:
WEPA ist verpflichtet, nach Abschluss der vertraglich vereinbarten Leistungen oder früher, sofern die Apotheke dies anweist und dies vom Weisungsrecht erfasst ist, spätestens aber mit Beendigung des Hauptvertrages, sämtliche in ihren Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, an die Apotheke auszuhändigen oder mit deren Zustimmung datenschutzkonform zu vernichten. Gleiches gilt für Test- und Ausschussmaterial sowie ggf. angefertigte Sicherungskopien; im Falle von Test- und Ausschussmaterialien ist WEPA stets zur Löschung berechtigt.
Eine Pflicht zur Löschung von Daten besteht nicht, soweit WEPA gesetzlich, vertraglich oder satzungsmäßig zur Aufbewahrung der personenbezogenen Daten über das Vertragsende hinaus verpflichtet ist. In diesen Fällen sind die Daten erst nach Ablauf der jeweils einschlägigen Aufbewahrungsfristen datenschutzkonform zu löschen. Entsprechend sind Dokumentationen, die dem Nachweis der auftrags- oder ordnungsgemäßen Datenverarbeitung dienen, durch WEPA entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. WEPA kann diese Dokumentationen zu ihrer Entlastung bei Vertragsende der Apotheke übergeben.
Trifft die Apotheke durch Einzelweisungen weitergehende Vorgaben betreffend die Aushändigung oder Löschung der Daten, so hat sie die WEPA hierbei entstehenden zusätzlichen Kosten zu erstatten.
Die Haftung von WEPA bemisst sich nach den Regelungen des Hauptvertrages.
Änderungen, Ergänzungen und die Aufhebung dieser Vereinbarung bedürfen der Schriftform. Gleiches gilt für eine Änderung oder Aufhebung des Schriftformerfordernisses.
Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den einschlägigen datenschutzrechtlichen Vorgaben genügt.
Hillscheid, im Juni 2018
Anlage 1
zur Vereinbarung über Auftragsverarbeitung (Art. 28 DSGVO)
Gegenstand der Datenverarbeitung LabXpert
Nr. |
Zweck der Verarbeitung |
Betroffenengruppen |
Datenkategorien |
1 |
Einrichtung eines Zugangs |
Apotheke |
Name und Anschrift der Apotheke, Name des Inhabers, Name, Telefon-Nummer und E-Mail-Adresse eines aktuellen Ansprechpartners, Kennung des Nutzerdatensatzes in der Wepa Cloud |
2 |
Änderung eines Zugangs |
Apotheke |
Name und Anschrift der Apotheke, Name des Inhabers, Name, Telefon-Nummer und E-Mail-Adresse eines aktuellen Ansprechpartners, Kennung des Nutzerdatensatzes in der Wepa Cloud |
3 |
Schließen eines Zugangs |
Apotheke |
Kennung des Nutzerdatensatzes in der Wepa Cloud |
4 |
Login über Wepa Cloud |
Apotheke |
Kennung des Nutzerdatensatzes in der Wepa Cloud |
5 |
Nachweis des DAC/NRF-Abonnements |
Apotheke |
Kundennummer/Kennung des Nutzerdatensatzes, E-Mail-Adresse/Benutzername, Apotheken-Name und -Anschrift des Lizenznehmers bei DAC/NRF |
6 |
Support auf Weisung der Wepa |
Apotheke |
Name und Anschrift des betroffenen Kunden, aktueller Ansprechpartner und Erreichbarkeit (Telefon/E-Mail) |
7 |
Störungsmeldung |
Apotheke |
Name und Anschrift des betroffenen Kunden, aktueller Ansprechpartner und Erreichbarkeit (Telefon/E-Mail) |
8 |
Nutzung des Support-Forums zu Anwendungs- und Rezepturfragen |
Apotheke |
Name oder Pseudonym, E-Mail-Adresse, Profil-Informationen, Profilbild |
10 |
Plausibilitätsprüfung Rezeptur (gem. § 7 ApBetrO) und Defektur (gem. § 8 ApBetrO) |
Apotheke und deren Mitarbeiter |
Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name verantw. ApothekerIn |
11 |
Herstellungsanweisung Rezeptur (gem. § 7 ApBetrO) und Defektur (gem. § 8 ApBetrO) |
Apotheke und deren Mitarbeiter |
Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name verantw. ApothekerIn |
12 |
Herstellungsprotokoll Rezeptur (gem. § 7 ApBetrO) |
Apotheke und deren Mitarbeiter, Patient, Arzt |
Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name herstellende Person, Name verantw. ApothekerIn |
13 |
Risikobeurteilung Defektur (gem. § 8 ApBetrO) |
Apotheke und deren Mitarbeiter |
Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name verantw. ApothekerIn |
14 |
Prüfanweisung Defektur (gem. § 8 ApBetrO) |
Apotheke und deren Mitarbeiter |
Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name verantw. ApothekerIn |
15 |
Herstellungsprotokoll Defektur (gem. § 8 ApBetrO) |
Apotheke und deren Mitarbeiter |
Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name herstellende Person, Name beaufsichtigende Person, Name verantw. ApothekerIn |
16 |
Prüfprotokoll Defektur (gem. § 8 ApBetrO) |
Apotheke und deren Mitarbeiter |
Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name prüfende Person, Name beaufsichtigende Person, Name verantw. ApothekerIn |
17 |
Prüfprotokoll Ausgangsstoffe (gem. §§ 6, 11 ApBetrO) |
Apotheke und deren Mitarbeiter |
Name und Anschrift der Apotheke, Name verantw. ApothekerIn |
18 |
Prüfprotokoll Fertigarzneimittel (gem. §12 ApBetrO) |
Apotheke und deren Mitarbeiter |
Name und Anschrift der Apotheke, Name verantw. ApothekerIn |
19 |
Prüfprotokoll apothekenpflichtiger Medizinprodukte (gem. §12 ApBetrO) |
Apotheke und deren Mitarbeiter |
Name und Anschrift der Apotheke, Name verantw. ApothekerIn |
20 |
Prüfprotokoll Primärpackmittel (gem. §§ 6, 13 ApBetrO) |
Apotheke und deren Mitarbeiter |
Name und Anschrift der Apotheke, Name verantw. ApothekerIn |
23 |
Protokollierung von Fehlern und Zugriffen |
Apotheke |
Kennung des Nutzerdatensatzes |
24 |
Durchführung von Backups |
Alle in dieser Übersicht erfassten Betroffenen |
Alle in dieser Übersicht erfassten Daten |
Anlage 2
zur Vereinbarung über Auftragsverarbeitung (Art. 28 DSGVO)
Beschreibung der bestehenden technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO
Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:
Die Anlagen zur Datenverarbeitung werden von einem Dienstleister betrieben:
Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind:
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
Anlage 3
zur Vereinbarung über Auftragsverarbeitung (Art. 28 DSGVO)
Unterauftragnehmer LabXpert
Nr. |
Name und Anschrift des Unterauftragnehmers |
Beschreibung der Teilleistungen |
Ort der Leistungserbringung |
1 |
pharma4U GmbH |
Bereitstellung und Betrieb der Software |
Deutschland |
2 |
Hetzner Online GmbH |
Bereitstellung und Betrieb der Server, jedoch ohne Benutzerzugänge auf den Servern (Bereitstellung von dedizierten Servern), |
Deutschland |
3 |
Avoxa – Mediengruppe Deutscher Apotheker GmbH |
Nachweis des DAC/NRF-Abonnements (siehe Verarbeitungsübersicht LabXpert - Nr. 5) |
Deutschland |
4 |
Microsoft Ireland Operations Ltd 1 Microsoft Plc, Leopardstown South County Business Park Dublin 18, D18 P521 Ireland |
Stellung der Cloud Platform |
Microsoft EU Cloud |
5 |
Axians IT Solutions GmbH Hörvelsinger Weg 17 89081 Ulm |
Software Support |
Deutschland |
6 |
RITTER Elektronik GmbH Leverkuser Straße 65 D-42897 Remscheid |
Hardware Support für den apotec® Connect |
Deutschland |
7 |
Hetzner Online GmbH |
Bereitstellung und Betrieb der Server, jedoch ohne Benutzerzugänge auf den Servern (Bereitstellung von dedizierten Servern), Bereitstellung von Speicherkapazitäten für Backups, Bereitstellung des E-Mail-Servers für Anfragen und Support-Leistungen in Bezug auf LabXpert |
Deutschland |
8 |
Mailjet SAS – Politique de confidentialité 13-13bis, Rue de l’Aubrac 75012 Paris |
Zustellung von Transaktions-E-Mails (bspw. einer Erinnerung, dass die Testphase bald endet) inkl. Maßnahmen um zu vermeiden, dass E-Mails im Spam-Filter landen. |
Frankreich |