JavaScript is required

Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag (AVV) ist fester Bestandteil der Vereinbarung zwischen dem Kunden (dem Verantwortlichen) und The MedGuide Company B.V., ansässig in Danzigerkade 227B, 1013 AP Amsterdam, Niederlande (dem Auftragsverarbeiter).

Artikel 1. Definitionen

Sofern in dieser Vereinbarung nicht anders definiert, haben die verwendeten Begriffe die ihnen in der Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) zugewiesene Bedeutung.

Artikel 2. Gegenstand und Umfang der Verarbeitung

  1. Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten in seinem Namen; dieser Auftrag wird hiermit vom Auftragsverarbeiter angenommen.
  2. Der Verantwortliche bleibt der datenschutzrechtlich Verantwortliche im Sinne der DSGVO. Der Auftragsverarbeiter hat keine eigenständige Entscheidungsbefugnis über die personenbezogenen Daten.
  3. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen, es sei denn, die Verarbeitung ist durch geltendes Recht vorgeschrieben.
  4. Verstößt eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich.
  5. Der Auftragsverarbeiter verarbeitet nur die personenbezogenen Daten und zu den Zwecken, die in Anhang 1 beschrieben sind.

Artikel 3. Einhaltung von Rechtsvorschriften

Der Auftragsverarbeiter hält bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen die DSGVO sowie alle anderen geltenden Datenschutzvorschriften ein.

Artikel 4. Haftung

  1. Der Auftragsverarbeiter haftet nur für direkte Schäden, die aus einer schuldhaften Nichterfüllung dieses AVV oder der DSGVO resultieren.
  2. Die Haftung für indirekte Schäden, Folgeschäden, entgangenen Gewinn, Einnahmeverluste, Rufschädigung oder Datenverlust ist ausgeschlossen.
  3. Die Gesamthaftung des Auftragsverarbeiters ist auf den Betrag begrenzt, der von seiner Haftpflichtversicherung ausgezahlt wird.
  4. Erfolgt keine Versicherungsleistung, ist die Haftung auf die Gesamtsumme der Gebühren begrenzt, die der Verantwortliche in den dem Ereignis vorausgegangenen zwölf (12) Monaten gezahlt hat.
  5. Diese Beschränkungen gelten auch für vom Auftragsverarbeiter beauftragte Personen.
  6. Die Beschränkungen gelten nicht bei Vorsatz oder grober Fahrlässigkeit seitens der Geschäftsführung des Auftragsverarbeiters.

Artikel 5. Sicherheitsmaßnahmen und Audits

  1. Der Auftragsverarbeiter trifft und unterhält angemessene technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO.
  2. Diese Maßnahmen orientieren sich an anerkannten Informationssicherheitsstandards, einschließlich ISO 27001 und NEN 7510.
  3. Auf Anfrage stellt der Auftragsverarbeiter Informationen zur Verfügung, die zum Nachweis der Einhaltung erforderlich sind.
  4. Der Verantwortliche kann einmal pro Jahr ein Audit durchführen oder in Auftrag geben. Die Auditkosten trägt der Verantwortliche, sofern keine wesentliche Nichteinhaltung festgestellt wird.

Artikel 6. Verletzungen des Schutzes personenbezogener Daten

  1. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch 48 Stunden nach Entdeckung, über eine Verletzung des Schutzes personenbezogener Daten.
  2. Der Auftragsverarbeiter ergreift alle angemessenen Maßnahmen, um die Verletzung abzumildern und zu beheben.
  3. Einzelheiten zur Benachrichtigung bei Verletzungen sind in Anhang 2 dargelegt.
  4. Die Benachrichtigung von Aufsichtsbehörden oder betroffenen Personen erfolgt ausschließlich durch den Verantwortlichen, erforderlichenfalls mit Unterstützung des Auftragsverarbeiters.

Artikel 7. Unterauftragsverarbeiter

  1. Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen beauftragen.
  2. Unterauftragsverarbeiter müssen gleichwertige Garantien hinsichtlich Datenschutz und Informationssicherheit bieten.
  3. Der Auftragsverarbeiter bleibt für die Einhaltung durch seine Unterauftragsverarbeiter voll haftbar.

Artikel 8. Vertraulichkeit

  1. Der Auftragsverarbeiter stellt sicher, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind.
  2. Die Vertraulichkeitspflichten bestehen auch nach Beendigung dieses AVV fort.

Artikel 9. Betroffenenrechte

  1. Richtet eine betroffene Person eine Anfrage direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter.
  2. Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessenem Umfang bei der Erfüllung seiner Verpflichtungen gegenüber betroffenen Personen.

Artikel 10. Schlussbestimmungen

  1. Dieser AVV unterliegt ausschließlich niederländischem Recht.
  2. Streitigkeiten werden dem zuständigen Gericht am Sitz des Auftragsverarbeiters vorgelegt.
  3. Dieser AVV tritt mit Unterzeichnung in Kraft und bleibt für die Dauer des Hauptvertrages wirksam.
  4. Bei Unstimmigkeiten zwischen dieser englischen Fassung und der niederländischen Fassung ist die niederländische Fassung maßgebend.

Anhang 1 - Beschreibung der Verarbeitungstätigkeiten

Verarbeitungstätigkeiten

Der Auftragsverarbeiter führt im Auftrag des Verantwortlichen die folgenden Tätigkeiten aus:
  • Analyse, Priorisierung und Berichterstattung über pharmakotherapeutische Fragestellungen für Patienten des Verantwortlichen mittels einer pharmakotherapeutischen Analyse.
  • Präsentation der Ergebnisse für den Verantwortlichen über ein Online-Ergebnis-Dashboard.
  • Bereitstellung der Ergebnisse für den Export aus dem Online-Dashboard durch den Verantwortlichen.

Betroffene Personen

Patienten des Verantwortlichen.

Kategorien personenbezogener Daten

  • Patienten-Identifikationsnummer
  • Name
  • Adresse
  • Wohnort
  • E-Mail-Adresse
  • Telefonnummer
  • Geschlecht
  • Alter oder Geburtsdatum
  • Zusätzliche personenbezogene Daten, die für die Erbringung der Dienstleistungen zwingend erforderlich sind
Der Verantwortliche stellt sicher, dass nicht mehr personenbezogene Daten bereitgestellt werden als unbedingt erforderlich.

Aufbewahrungsfristen

Datendateien
Um die Speicherung unnötiger Client-Daten auf den Servern der MedGuide-Plattform zu vermeiden, werden automatisch bereitgestellte Datendateien nach 30 Tagen gelöscht, sofern nicht anders vereinbart.

Unterauftragsverarbeiter innerhalb des Europäischen Wirtschaftsraums
Der Kunde erteilt die Erlaubnis zur Einschaltung der folgenden im Europäischen Wirtschaftsraum ansässigen Unterauftragsverarbeiter:
NameAdressdatenVerarbeitungsvorgänge
Microsoft NetherlandsEvert van Beekstraat 354, 1118 CZ SchipholMS Azure
MongoDBWilhelminakade 173, 3072 AP RotterdamDatenbank

Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums
Der Kunde erteilt die Erlaubnis zur Einschaltung der folgenden außerhalb des Europäischen Wirtschaftsraums ansässigen Unterauftragsverarbeiter:
  • Nicht zutreffend.

Anhang 2 - Meldung von Verletzungen des Schutzes personenbezogener Daten durch den Auftragsverarbeiter

Meldung einer Datenpanne

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen innerhalb von 48 Stunden nach Entdeckung über eine Verletzung des Schutzes personenbezogener Daten. Aktualisierungen werden bereitgestellt, sobald sie verfügbar sind.

Meldeformular für Datenschutzverletzungen

1. Kontaktpersonen

Ansprechpartner Auftragsverarbeiter

Name
Jan van der Kleij
Funktion
Security Officer
Telefonnummer
+31 (0)6-53838654
E-Mail-Adresse
security@themedguidecompany.com

2. Ist dies eine Folgemeldung zu einer früheren Benachrichtigung?

3. Falls Frage 2 mit 'ja' beantwortet wurde: Was ist das Datum der ursprünglichen Meldung?

4. Falls Frage 2 mit 'ja' beantwortet wurde: Was ist der Zweck der Folgemeldung?

Kreuzen Sie die richtige Option an.

5. Bei Wahl von Option B für Frage 4: Was ist der Grund für die Rücknahme?

6. Geben Sie eine Zusammenfassung des Vorfalls an, bei dem es zur Verletzung des Schutzes personenbezogener Daten kam.

7. Wie viele Personen sind von der Datenschutzverletzung betroffen?

8. Beschreiben Sie die Personengruppe, deren personenbezogene Daten von der Verletzung betroffen sind.

9. Wann ist die Verletzung aufgetreten?

Wählen Sie die richtige Option und geben Sie das Datum bzw. die Daten ein.

10. Wann wurde die Verletzung entdeckt?

11. Welcher Art ist die Verletzung?

Kreuzen Sie die richtige(n) Option(en) an. Hinweis: Mehrfachantworten möglich.

12. Welche Arten von personenbezogenen Daten sind betroffen?

Kreuzen Sie die richtige(n) Option(en) an. Hinweis: Mehrfachantworten möglich.

13. Welche Folgen kann die Verletzung für la Privatsphäre der betroffenen Person haben?

Kreuzen Sie die richtige(n) Option(en) an. Hinweis: Mehrfachantworten möglich.

14. Welche technischen und organisatorischen Maßnahmen hat Ihre Organisation ergriffen, um die Verletzung zu beheben und weitere Verletzungen zu verhindern?

15. Wann wurde die Datenschutzverletzung dem Kunden gemeldet?

16. Mit welchen Mitteln wurde die Meldung erstattet?

Kreuzen Sie die richtige Option an.

17. Wurden die personenbezogenen Daten verschlüsselt, gehasht oder auf andere Weise für unbefugte Parteien unleserlich ou unzugänglich gemacht?

Kreuzen Sie die richtige Option an.

18. Wenn die personenbezogenen Daten ganz oder teilweise unleserlich oder unzugänglich gemacht wurden, auf welche Weise geschah dies?

19. Ist dieser Bericht Ihrer Meinung nach vollständig?

Kreuzen Sie die richtige Option an.

20. Fazit

21. Das Formular ging beim Kunden ein am

Dieses Dokument wurde zuletzt am 29. Januar 2026 aktualisiert.