Vereinbarung über Auftragsverarbeitung (Art. 28 DSGVO)

zwischen

WEPA Apothekenbedarf GmbH & Co. KG, Am Fichtenstrauch 6-10,
56204 Hillscheid

- im Folgenden: WEPA -

und dem Nutzer der Software-Lösung LabXpert

- im Folgenden: Apotheke -

1.         Gegenstand und Dauer des Auftrags

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch WEPA im Zusammenhang mit der Bereitstellung der Software „LabXpert“ (im Folgenden: Software) im Auftrag und nach Weisung der Apotheke. WEPA gewährt der Apotheke den Einsatz der Software auf der Grundlage eines Software-Lizenzvertrages (im Folgenden: Hauptvertrag).

Diese Vereinbarung konkretisiert insoweit die datenschutzrechtlichen Verpflichtungen der Vertragsparteien im Hinblick auf sämtliche Tätigkeiten, die mit der Leistungserbringung im Zusammenhang stehen und bei denen Mitarbeiter von WEPA oder durch WEPA beauftragte Dritte mit personenbezogenen Daten der Apotheke und/oder mit Daten von Kunden der Apotheke (im Folgenden: Endkunden) in Berührung kommen können.

Die im Hauptvertrag vereinbarten Leistungen von WEPA beschränken sich auf die Bereitstellung der Software auf einem zentralen Computersystem zur Nutzung durch die Apotheke via Internet als Software as a Service-Lösung, die Gewährung des Zugriffs auf diese Software für die Apotheke, die Wartung der Software sowie Supportleistungen. Im Rahmen der Leistungserbringung ist ein Zugriff auf Daten der Apotheke und der Endkunden grundsätzlich nicht vorgesehen; es ist jedoch nicht auszuschließen, dass WEPA und/oder von WEPA beauftragte Dritte zur Erfüllung ihrer vertraglichen Leistungen die Möglichkeit des Zugriffs auf personenbezogene Daten, die die Apotheke über die Software verarbeitet, erhält. Insofern finden die nachfolgenden Bestimmungen Anwendung.

Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüber hinausgehende Verpflichtungen ergeben. Eine Kündigung des Hauptvertrages bewirkt automatisch auch eine Kündigung dieser Vereinbarung. Eine isolierte Kündigung dieser Vereinbarung ist ausgeschlossen.

2.         Konkretisierung des Auftragsinhalts

2.1      Art der Daten und Kreis der Betroffenen

Zur Erbringung ihrer Leistungen nach den Vorgaben des Hauptvertrages verarbeitet WEPA folgende personenbezogene Daten der Apotheke:

 

Kategorien betroffener Personen	Art der Daten	Zweck der Datenverarbeitung
Apotheke und ggf. mit dieser verbundene Personen (gesetzliche Vertreter, Beschäftigte etc.)	Name und Anschrift der Apotheke; Name des Inhabers; Name, Telefon-Nummer und E-Mail-Adresse eines aktuellen Ansprechpartners; Kennung des Nutzerdatensatzes in der WEPA-Cloud	Einrichtung, Änderung und Schließen eines Zugangs; Login über WEPA-Cloud
Apotheke und ggf. mit dieser verbundene Personen (gesetzliche Vertreter, Beschäftigte etc.)	Kundennummer/Kennung des Nutzerdatensatzes bei DAC/NRF-Abonnement; E-Mail-Adresse/Benutzername, Apotheken-Name und –Anschrift des Lizenznehmers bei DAC/NRF	Nachweis des DAC/NRF-Abonnement
Apotheke und ggf. mit dieser verbundene Personen (gesetzliche Vertreter, Beschäftigte etc.)	Name und Anschrift der Apotheke; Name, Telefonnummer und E-Mail-Adresse eines Ansprechpartners; Pseudonym, Profilinformationen, Profilbild	Support, Störungsmeldungen, Nutzung des Supportforums zu Anwendungs- und Rezepturfragen; Einrichtung einer Benutzerkennung zur Moderation im Supportforum
Apotheke und ggf. mit dieser verbundene Personen (gesetzliche Vertreter, Beschäftigte etc.)	Name und Anschrift der Apotheke; Name der verantwortlichen Apotheker/in; Name der herstellenden Person; Name der beaufsichtigenden Person; Zusammenstellung der Rezeptur	Plausibilitätsprüfung, Erstellung von Herstellungsanweisungen, Herstellungs_protokollen, Risiko_beurteilungen, Prüfanweisungen und Prüfprotokollen
Patienten/Kunden der Apotheke	Name des Patienten; Name und Adresse des verschreibenden Arztes; Bei Tierarzneimitteln: Name Tierhalter; Name und Adresse des verschreibenden Tierarztes	Erstellung Herstellungsprotokoll gem. § 7 ApBetrO

 

2.2      Umfang, Art und Zweck der vorgesehenen Verarbeitung von Daten

Umfang, Art und Zweck der Verarbeitung der Daten nach Ziff. 2.1 durch WEPA sind im Hauptvertrag und Anlage 1 zu dieser Vereinbarung konkret beschrieben. Die Daten werden grundsätzlich im Rahmen der Nutzung der Software durch die Apotheke selbst eingegeben, berichtigt, gelöscht und in der Verarbeitung eingeschränkt.

 

2.3      Ort der Leistungserbringung

Die Verarbeitung der Daten findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung der Apotheke und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

3.         Weisungsbefugnisse der Apotheke

WEPA verarbeitet die Daten ausschließlich in Übereinstimmung mit den Weisungen der Apotheke hinsichtlich Art, Umfang und Verfahren der Datenverarbeitung, wie sie in dieser Vereinbarung geregelt sind. Konkretisierende Einzelweisungen der Apotheke sind im Rahmen der im Hauptvertrag getroffenen Auftragsbeschreibung und nach Maßgabe der nachfolgenden Regelungen zulässig.

Die Apotheke erteilt alle Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen wird die Apotheke unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen.

WEPA unterrichtet die Apotheke unverzüglich, wenn sie der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche oder sonst einschlägige gesetzliche Vorgaben. WEPA ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch die Apotheke bestätigt oder geändert wird. Weisungen, die auf eine strafbare Handlung gerichtet sind oder WEPA dem Betroffenen oder einem Dritten gegenüber schadenersatzpflichtig machen würden, hat WEPA nicht Folge zu leisten.

4.         Technische und organisatorische Maßnahmen

WEPA wird in ihrem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. WEPA wird gemäß Art. 28 Abs. 3 lit. c und Art. 32 DSGVO technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten der Apotheke und der Endkunden treffen, die den einschlägigen gesetzlichen Anforderungen genügen. WEPA hat Maßnahmen zu treffen, welche die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung dauerhaft sicherstellen. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 DSGVO zu berücksichtigen.

Eine konkrete Darstellung der von der Apotheke als hinreichend akzeptierten technischen und organisatorischen Maßnahmen enthält die Anlage 2 zu dieser Vereinbarung.

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterent_wicklung. WEPA ist berechtigt, alternative adäquate Maßnahmen umzusetzen, sofern sichergestellt ist, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren und mit der Apotheke abzustimmen.

5.         Berichtigung, Einschränkung und Löschung von Daten

Soweit dies nicht Bestandteil des Auftrags ist, hat WEPA personenbezogene Daten, die im Auftrag der Apotheke verarbeitet werden, nur nach dokumentierter Weisung der Apotheke zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Wendet sich ein Betroffener mit der Forderung nach Berichtigung, Löschung, Einschränkung der Verarbeitung, Auskunft oder Datenübertragung unmittelbar an WEPA, wird WEPA den Betroffenen an die Apotheke verweisen. WEPA leitet hierzu den Antrag des Betroffenen unverzüglich an die Apotheke weiter und wird die Apotheke auf Weisung im Rahmen ihrer Möglichkeiten unterstützen.

WEPA haftet nicht, wenn das Ersuchen des Betroffenen von der Apotheke nicht, nicht richtig oder nicht fristgerecht beantwortet wird. Die Umsetzung des Löschkonzepts der Apotheke sowie der betroffenen Rechte auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft ist nur soweit durch WEPA unmittelbar sicherzustellen, als dies vom vertraglich vereinbarten Leistungsumfang erfasst ist.

6.         Weitere Pflichten von WEPA

• WEPA verarbeitet die über die Software gespeicherten Daten – vorbehaltlich abweichender Vereinbarungen – nur im Rahmen des Auftrages und der dokumentierten Weisungen der Apotheke, es sei denn das Recht der Europäischen Union oder der Bundesrepublik Deutschland verpflichtet WEPA zu einer anderen Verarbeitung. In einem solchen Fall teilt WEPA der Apotheke diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
• Kopien werden ohne Wissen der Apotheke nicht erstellt. Hiervon ausgenommen sind Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind sowie Daten, die zur Einhaltung vertraglicher, gesetzlicher oder satzungsmäßiger Aufbewahrungspflichten erforderlich sind.
• WEPA bestellt einen Datenschutzbeauftragten, der seine Tätigkeit gemäß den einschlägigen gesetzlichen Vorgaben ausüben kann. Die jeweils aktuellen Kontaktdaten des Datenschutzbeauftragten sind auf der Homepage von WEPA unter der Rubrik Impressum / Datenschutzhinweis hinterlegt.
• WEPA verpflichtet sich, ihren gesetzlichen Kontrollpflichten nachzukommen. WEPA wird insbesondere regelmäßig kontrollieren, ob die Verarbeitung der personenbezogen Daten der Apotheke und den Endkunden in Übereinstimmung mit den vertraglichen Vereinbarungen und den Weisungen der Apotheke erfolgt sowie ob die Einhaltung, Nachweisbarkeit und Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung sichergestellt ist.
• WEPA unterstützt die Apotheke im Rahmen ihrer Möglichkeiten bei der Erfüllung von Anfragen und Ansprüchen betroffener Personen sowie unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten von der Apotheke nach Art. 32 bis 36 DSGVO. Hierzu zählen
• die Sicherstellung des vereinbarten Schutzniveaus durch technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,
• die Meldepflicht bei Datenschutzverletzungen gemäß Art. 33 DSGVO, soweit diese im Zusammenhang mit der Erfüllung dieser Vereinbarung geschehen,
• die Verpflichtung, die Apotheke im Rahmen ihrer Informationspflicht gegenüber den von einer Datenschutzverletzung Betroffenen gemäß Art. 34 DSGVO zu unterstützen und ihr in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung zu stellen,
• die Unterstützung der Apotheke bei deren Datenschutz-Folgeabschätzung gemäß Art. 35 DSGVO sowie im Rahmen vorheriger Konsultationen gemäß Art. 36 DSGVO.
• Für die vorstehenden Unterstützungsleistungen, die nicht in der Leistungsbeschreibung des Hauptvertrages enthalten oder auf ein Fehlverhalten von WEPA zurückzuführen sind, kann WEPA eine angemessene Vergütung verlangen.
• WEPA wird der Apotheke unverzüglich über Kontrollhandlungen und Maßnahmen der Datenschutzaufsichtsbehörden informieren, sofern diese Handlungen und Maßnahmen die Verarbeitung von personenbezogenen Daten der Apotheke und/oder der Endkunden durch WEPA zum Gegenstand haben.

7.         Vertraulichkeit und Geheimnisschutz

• WEPA wird bei der Erbringung ihrer Leistungen nur Mitarbeiter oder andere für WEPA tätige Personen einsetzen, die auf die Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b DSGVO sowie – sofern einschlägig – das Sozialgeheimnis verpflichtet wurden oder einer angemessenen gesetzlichen Vertraulichkeit unterliegen und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Die Vertraulichkeitspflicht besteht auch nach Beendigung der Vereinbarung fort. WEPA gewährleistet, dass es den mit der Verarbeitung der Daten der Apotheke und der Endkunden befassten Mitarbeitern und anderen für WEPA tätigen Personen untersagt ist, die Daten außerhalb der Weisungen der Apotheke zu verarbeiten. Gesetzliche Offenbarungspflichten von WEPA bleiben unberührt.
• WEPA ist bekannt, dass die Apotheke zum Geheimnisschutz verpflichtet ist und die vertrauliche Behandlung ihr anvertrauter oder bekanntgewordener fremder Geheimnisse sicherstellen muss. Die unbefugte Offenbarung von fremden Geheimnissen ist nach § 203 StGB strafbar. Personen, wie WEPA, die an der beruflichen Tätigkeit der Apotheke mitwirken (sog. mitwirkende Personen) können sich ebenfalls strafbar machen,
• wenn sie unbefugt fremde Geheimnisse offenbaren, die ihnen bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit als mitwirkende Person bei dem Auftraggeber bekannt geworden sind und/oder
• wenn sie sich einer weiteren mitwirkenden Person bedienen, die unbefugt ein fremdes, ihr bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, und nicht dafür Sorge getragen haben, dass diese weitere mitwirkende Person zur Geheimhaltung verpflichtet wurde.

8.         Pflichten der Apotheke

Für die Einhaltung der einschlägigen datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an WEPA, die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen im Rahmen dieser Vereinbarung ist allein die Apotheke verantwortlich („Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO). Die Apotheke wird in ihrem Verantwortungsbereich dafür Sorge tragen, dass die gesetzlich notwendigen Voraussetzungen geschaffen werden, damit WEPA die vereinbarten Leistungen rechtmäßig erbringen kann.

Die Apotheke hat WEPA unverzüglich und vollständig zu informieren, wenn sie bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

9.         Kontrollrechte

WEPA stellt gemäß Art. 28 Abs. 3 lit. h DSGVO sicher, dass sich die Apotheke von der Einhaltung der gesetzlichen Kontroll- und Prüfpflichten seitens WEPA auf eigene Kosten unter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen und des Datenschutzes selbst oder durch einen beruflich zur Verschwiegenheit verpflichteten Prüfer überzeugen kann. WEPA verpflichtet sich dazu, der Apotheke auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen mit geeigneten Mitteln nachzuweisen. Dabei kann der Nachweis nach Wahl von WEPA auch durch

• die Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO),
• die Zertifizierung nach einem genehmigten Zertifizierungsverfahren (Art. 42 DSGVO),
• aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzauditoren, Qualitätsauditoren) oder
• eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz, ISO 27001)

erbracht werden.

Sollten im Einzelfall Inspektionen durch die Apotheke oder einen unabhängigen externen Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufes durchgeführt. WEPA darf diese von einer vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Für die Unterstützung bei der Durchführung von Inspektionen darf WEPA eine angemessene Vergütung verlangen.

Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde der Apotheke eine Inspektion vornehmen, gilt das Vorstehende entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn die Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

10.      Unterauftragnehmer

Als Unterauftragsverhältnisse im Sinne dieser Vereinbarung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der (haupt-) vertraglich vereinbarten Leistungen beziehen. Nicht hierzu gehören Nebenleistungen, die WEPA bei der Auftragsdurchführung in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software der Datenverarbeitungsanlagen. WEPA ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten der Apotheke und der Endkunden auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

WEPA darf Unterauftragnehmer (weitere Auftragnehmer) nur mit dokumentierter Zustimmung der Apotheke nach Maßgabe der folgenden Regelungen beauftragen:

• Die Apotheke erklärt hiermit ihre Zustimmung (allgemeine Genehmigung im Sinne von Art. 28 Abs. 2 DSGVO), dass WEPA zur Erfüllung ihrer vertraglich vereinbarten Leistungen verbundene Unternehmen von WEPA zur Leistungserfüllung heranzieht bzw. verbundene Unternehmen von WEPA mit Leistungen unterbeauftragt. Eine Auflistung sämtlicher verbundener Unternehmen von WEPA stellt diese der Apotheke bei Bedarf zur Verfügung.
• Die Apotheke erklärt hiermit ferner ihre Zustimmung (allgemeine Genehmigung im Sinne von Art. 28 Abs. 2 DSGVO), dass WEPA zur Erfüllung ihrer vertraglich vereinbarten Leistungen die in der Anlage 3 aufgeführten weiteren Unternehmen zur Leistungserfüllung heranzieht bzw. unterbeauftragt.
• Vor der Heranziehung weiterer oder der Ersetzung eines Unterauftragnehmers wird WEPA die Apotheke informieren. Die Apotheke kann der beabsichtigten Heranziehung oder Ersetzung von Unterauftragnehmern innerhalb einer von WEPA gesetzten angemessenen Frist, die in der Regel nicht weniger als zehn Werktage betragen soll, widersprechen. Geht kein Widerspruch innerhalb der Frist bei WEPA ein, gilt die Zustimmung zur Heranziehung bzw. Ersetzung als erteilt. Eine Weitergabe von personenbezogenen Daten an den Unterauftragnehmer und dessen erstmaliges Tätigwerden dürfen erst mit Zustimmung der Apotheke bzw. mit Ablauf der Widerspruchsfrist erfolgen.
• Erteilt WEPA Aufträge an Unterauftragnehmer, so obliegt es WEPA, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag dem Unterauftragnehmer zu übertragen. Hierzu wird WEPA mit Unterauftragnehmern vertragliche Vereinbarungen gemäß Art. 28 Abs. 2 – 4 DSGVO treffen. Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung von WEPA. Sämtliche vertragliche Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

11.      Löschung von Daten und Rückgabe von Datenträgern

WEPA ist verpflichtet, nach Abschluss der vertraglich vereinbarten Leistungen oder früher, sofern die Apotheke dies anweist und dies vom Weisungsrecht erfasst ist, spätestens aber mit Beendigung des Hauptvertrages, sämtliche in ihren Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, an die Apotheke auszuhändigen oder mit deren Zustimmung datenschutzkonform zu vernichten. Gleiches gilt für Test- und Ausschussmaterial sowie ggf. angefertigte Sicherungskopien; im Falle von Test- und Ausschussmaterialien ist WEPA stets zur Löschung berechtigt.

Eine Pflicht zur Löschung von Daten besteht nicht, soweit WEPA gesetzlich, vertraglich oder satzungsmäßig zur Aufbewahrung der personenbezogenen Daten über das Vertragsende hinaus verpflichtet ist. In diesen Fällen sind die Daten erst nach Ablauf der jeweils einschlägigen Aufbewahrungsfristen datenschutzkonform zu löschen. Entsprechend sind Dokumentationen, die dem Nachweis der auftrags- oder ordnungsgemäßen Datenverarbeitung dienen, durch WEPA entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. WEPA kann diese Dokumentationen zu ihrer Entlastung bei Vertragsende der Apotheke übergeben.

Trifft die Apotheke durch Einzelweisungen weitergehende Vorgaben betreffend die Aushändigung oder Löschung der Daten, so hat sie die WEPA hierbei entstehenden zusätzlichen Kosten zu erstatten.

12.      Haftung

Die Haftung von WEPA bemisst sich nach den Regelungen des Hauptvertrages.

13.      Schlussbestimmungen

Änderungen, Ergänzungen und die Aufhebung dieser Vereinbarung bedürfen der Schriftform. Gleiches gilt für eine Änderung oder Aufhebung des Schriftformerfordernisses.

Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den einschlägigen datenschutzrechtlichen Vorgaben genügt.

 

Hillscheid, im Juni 2018

 

 

 

 

 

Anlage 1
zur Vereinbarung über Auftragsverarbeitung (Art. 28 DSGVO)

Gegenstand der Datenverarbeitung LabXpert

Nr.	Zweck der Verarbeitung	Betroffenengruppen	Datenkategorien
1	Einrichtung eines Zugangs	Apotheke	Name und Anschrift der Apotheke, Name des Inhabers, Name, Telefon-Nummer und E-Mail-Adresse eines aktuellen Ansprechpartners, Kennung des Nutzerdatensatzes in der Wepa Cloud
2	Änderung eines Zugangs	Apotheke	Name und Anschrift der Apotheke, Name des Inhabers, Name, Telefon-Nummer und E-Mail-Adresse eines aktuellen Ansprechpartners, Kennung des Nutzerdatensatzes in der Wepa Cloud
3	Schließen eines Zugangs	Apotheke	Kennung des Nutzerdatensatzes in der Wepa Cloud
4	Login über Wepa Cloud	Apotheke	Kennung des Nutzerdatensatzes in der Wepa Cloud
5	Nachweis des DAC/NRF-Abonnements	Apotheke	Kundennummer/Kennung des Nutzerdatensatzes, E-Mail-Adresse/Benutzername, Apotheken-Name und -Anschrift des Lizenznehmers bei DAC/NRF
6	Support auf Weisung der Wepa	Apotheke	Name und Anschrift des betroffenen Kunden, aktueller Ansprechpartner und Erreichbarkeit (Telefon/E-Mail)
7	Störungsmeldung	Apotheke	Name und Anschrift des betroffenen Kunden, aktueller Ansprechpartner und Erreichbarkeit (Telefon/E-Mail)
8	Nutzung des Support-Forums zu Anwendungs- und Rezepturfragen	Apotheke	Name oder Pseudonym, E-Mail-Adresse, Profil-Informationen, Profilbild
10	Plausibilitätsprüfung Rezeptur (gem. § 7 ApBetrO) und Defektur (gem. § 8 ApBetrO)	Apotheke und deren Mitarbeiter	Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name verantw. ApothekerIn
11	Herstellungsanweisung Rezeptur (gem. § 7 ApBetrO) und Defektur (gem. § 8 ApBetrO)	Apotheke und deren Mitarbeiter	Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name verantw. ApothekerIn
12	Herstellungsprotokoll Rezeptur (gem. § 7 ApBetrO)	Apotheke und deren Mitarbeiter, Patient, Arzt	Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name herstellende Person, Name verantw. ApothekerIn Zusätzlich: bei Anforderung durch Arzt: Name Patient, Name und Adresse des verschreibenden Arztes; bei Anforderung durch Tierarzt: Name Tierhalter, Name und Adresse des verschreibenden Tierarztes; bei Anforderung durch Kunde: Name Kunde
13	Risikobeurteilung Defektur (gem. § 8 ApBetrO)	Apotheke und deren Mitarbeiter	Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name verantw. ApothekerIn
14	Prüfanweisung Defektur (gem. § 8 ApBetrO)	Apotheke und deren Mitarbeiter	Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name verantw. ApothekerIn
15	Herstellungsprotokoll Defektur (gem. § 8 ApBetrO)	Apotheke und deren Mitarbeiter	Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name herstellende Person, Name beaufsichtigende Person, Name verantw. ApothekerIn
16	Prüfprotokoll Defektur (gem. § 8 ApBetrO)	Apotheke und deren Mitarbeiter	Name und Anschrift der Apotheke, Zusammenstellung der Rezeptur, Name prüfende Person, Name beaufsichtigende Person, Name verantw. ApothekerIn
17	Prüfprotokoll Ausgangsstoffe (gem. §§ 6, 11 ApBetrO)	Apotheke und deren Mitarbeiter	Name und Anschrift der Apotheke, Name verantw. ApothekerIn
18	Prüfprotokoll Fertigarzneimittel (gem. §12 ApBetrO)	Apotheke und deren Mitarbeiter	Name und Anschrift der Apotheke, Name verantw. ApothekerIn
19	Prüfprotokoll apothekenpflichtiger Medizinprodukte (gem. §12 ApBetrO)	Apotheke und deren Mitarbeiter	Name und Anschrift der Apotheke, Name verantw. ApothekerIn
20	Prüfprotokoll Primärpackmittel (gem. §§ 6, 13 ApBetrO)	Apotheke und deren Mitarbeiter	Name und Anschrift der Apotheke, Name verantw. ApothekerIn
23	Protokollierung von Fehlern und Zugriffen	Apotheke	Kennung des Nutzerdatensatzes
24	Durchführung von Backups	Alle in dieser Übersicht erfassten Betroffenen	Alle in dieser Übersicht erfassten Daten

Anlage 2
zur Vereinbarung über Auftragsverarbeitung (Art. 28 DSGVO)

Beschreibung der bestehenden technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO

 

1.         Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:

Die Anlagen zur Datenverarbeitung werden von einem Dienstleister betrieben:

• elektronisches Zutrittskontrollsystem mit Protokollierung,
• Hochsicherheitszaun um den gesamten Datacenterpark,
• dokumentierte Schlüsselvergabe,
• Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude,
• 24/7 personelle Besetzung der Rechenzentren,
• Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen

2.         Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:

• Zugang ist geschützt durch Benutzername und Passwort,
• verwendete Passwörter müssen Mindestlänge haben und werden in regelmäßigen Abständen erneuert,
• Fern-Zugriff erfolgt ausschließlich über verschlüsselte Verbindungen,
• automatische vorrübergehende Sperrung eines Zugangs bei wiederholter Fehleingabe eines Passworts,
• Autorisierung von Endkunden über standardisiertes, sicheres Protokoll,
• die Vergabe von Passwörtern für Endkunden erfolgt auf Systemen des Auftraggebers, die Verantwortung für die Sicherheit dieser Passwörter liegt beim Auftraggeber.

3.         Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

• Berechtigungskonzept mit differenzierten Rollen,
• Anzahl der Administratoren auf das „Notwendigste“ reduziert,
• durch regelmäßige Sicherheitsupdates wird sichergestellt, dass unberechtigte Zugriffe verhindert werden,
• applikationsseitige Trennung der Daten verschiedener Nutzer in Kombination mit Verschlüsselung besonders sensibler Daten,
• Verschlüsselung der Datenbank-Dateien,
• Nutzerspezifische Verschlüsselung besonders sensibler Daten

4.         Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

• Austausch von Daten über Datenträger erfolgt ausschließlich verschlüsselt,
• alle Mitarbeiter sind auf das Datengeheimnis nach § 5 BDSG verpflichtet,
• Datenschutzgerechte Löschung der Daten nach Auftragsbeendigung,
• Verschlüsselte Übertragung der Daten nach Stand der Technik,
• Verschlüsselung aller Backups

5.         Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind:

• Die Daten werden vom Nutzer selbst eingegeben bzw. erfasst,
• Berichtigung, Löschung und Sperrung der Daten durch den Auftraggeber erfolgt in der Regel im Rahmen der allgemeinen Nutzung der Anwendung durch den Kunden,
• Änderungen der Daten werden protokolliert

6.         Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

• Eindeutige Vertragsgestaltung,
• Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten hinsichtlich Datenschutz und Datensicherheit

7.         Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

• Einsatz von Festplattenspiegelung auf Servern,
• Backup- und Recovery-Konzept mit täglicher Sicherung aller relevanten Daten,
• Aufbewahrung von Datei-Backups für min. 14 Tage und Datenbank-Backups für min. drei Monate,
• Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter),
• Monitoring aller relevanten Server,
• Einsatz unterbrechungsfreier Stromversorgung,
• DDoS-Schutz

8.         Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

• die Datensicherung erfolgt auf physikalisch getrennten Systemen,
• applikationsseitige Trennung der Daten verschiedener Nutzer, in Kombination mit Verschlüsselung besonders sensibler Daten,
• Funktions-Trennung von Produktiv- und Test-Systemen

 

 

Anlage 3
zur Vereinbarung über Auftragsverarbeitung (Art. 28 DSGVO)

Unterauftragnehmer LabXpert

 

 

Nr.	Name und Anschrift des Unterauftragnehmers	Beschreibung der Teilleistungen	Ort der Leistungserbringung
1	pharma4U GmbH Carl-Mannich-Straße 26 65760 Eschborn	Bereitstellung und Betrieb der Software	Deutschland
2	Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen Deutschland Registergericht Ansbach, HRB 6089 Geschäftsführer: Martin Hetzner	Bereitstellung und Betrieb der Server, jedoch ohne Benutzerzugänge auf den Servern (Bereitstellung von dedizierten Servern), Bereitstellung von Speicherkapazitäten für Backups, Bereitstellung des E-Mail-Servers für Anfragen und Support-Leistungen in Bezug auf LabXpert	Deutschland
3	Avoxa – Mediengruppe Deutscher Apotheker GmbH Apothekerhaus Eschborn Carl-Mannich-Straße 26 65760 Eschborn Registergericht: Amtsgericht Frankfurt am Main, HRB 9085 Geschäftsführer: Metin Ergül, Peter Steinke	Nachweis des DAC/NRF-Abonnements (siehe Verarbeitungsübersicht LabXpert - Nr. 5)	Deutschland
4	Microsoft Ireland Operations Ltd    1 Microsoft Plc, Leopardstown  South County Business Park  Dublin 18, D18 P521  Ireland	Stellung der Cloud Platform	Microsoft EU Cloud
5	Axians IT Solutions GmbH    Hörvelsinger Weg 17  89081 Ulm	Software Support	Deutschland
6	RITTER Elektronik GmbH Leverkuser Straße 65 D-42897 Remscheid	Hardware Support für den apotec® Connect	Deutschland
7	Hetzner Online GmbH	Bereitstellung und Betrieb der Server, jedoch ohne Benutzerzugänge auf den Servern (Bereitstellung von dedizierten Servern), Bereitstellung von Speicherkapazitäten für Backups, Bereitstellung des E-Mail-Servers für Anfragen und Support-Leistungen in Bezug auf LabXpert	Deutschland
8	Mailjet SAS – Politique de confidentialité 13-13bis, Rue de l’Aubrac 75012 Paris	Zustellung von Transaktions-E-Mails (bspw. einer Erinnerung, dass die Testphase bald endet) inkl. Maßnahmen um zu vermeiden, dass E-Mails im Spam-Filter landen.	Frankreich