Nutzungsvereinbarung und Datenschutz für Zuweiser

Vereinbarung über die Nutzung des Portals der Klinikum Oberberg GmbH
(nachfolgend genannt: Nutzungsvereinbarung)
zwischen
Klinikum Oberberg GmbH
Wilhelm-Breckow-Allee 20
51643 Gummersbach
nachfolgend genannt: Diensteanbieter
und dem teilnehmenden Arzt
nachfolgend genannt: Arzt

Präambel

Die Klinikum Oberberg GmbH (nachfolgend genannt: Diensteanbieter) betreibt als Anbieter eines informationstechnischen Systems ein Portal [nachfolgend genannt: Mein KlinO] als eigenständige Plattform in einem separaten EDV-Bereich des zentralen Rechenzentrums.

Das Mein KlinO ermöglicht den sicheren und datenschutzkonformen Austausch von Informationen, Befunden, Arztbriefen etc. zwischen Zuweisern und den Mitarbeitern des Klinikum Oberberg. Die elektronische Übermittlung der personenbezogenen und sensiblen Daten erfolgt verschlüsselt, Vertraulichkeit, Daten-Integrität und Löschroutinen sind gewährleistet.

Die im Mein KlinO übermittelten Daten dienen dem Zweck der ambulanten und stationären Behandlung und Therapie im medizinisch und therapeutisch erforderlichen Umfang. Das KlinO ist kein Dokumentenarchiv - die Daten werden nach 90 Tagen gelöscht.

§ 1 Gegenstand der Vereinbarung

Der Diensteanbieter ermöglicht dem Arzt im Zusammenhang mit Behandlungen durch den Diensteanbieter kostenlos mit Zustimmung zur Nutzungsvereinbarung für die in der Nutzungsvereinbarung vereinbarte Nutzungsdauer das Mein KlinO für die Übertragung von Gesundheitsdaten der jeweiligen Patienten, mit denen der Arzt einen ärztlichen Behandlungsvertrag hat, und mit den hierzu berechtigten Mitarbeitern des Diensteanbieters zu nutzen.

Zu den Gesundheitsdaten im Sinne der vorliegenden Nutzungsvereinbarung gehören die gesetzlich zu führenden Inhalte der Krankengeschichte, die den physischen und psychischen Zustand von Menschen betreffen, im Zuge einer medizinischen Betreuung, Untersuchung, Pflege erhoben werden oder der Verrechnung von Gesundheitsdienstleistungen bzw. der Versicherung von Gesundheitsrisiken dienen.

Ein Recht des Arztes auf die Übermittlung einer vollständigen Krankengeschichte besteht nicht, vielmehr knüpfen die dem Arzt vom Diensteanbieter eingeräumten Nutzungsbefugnisse an die tatsächlich im Klinikum Oberberg vorhandene elektronische Dokumentation zur jeweiligen Krankengeschichte sowie elektronische Zugriffsmöglichkeit auf gespeicherte Dokumente.

Nach Ablauf von 90 Tagen oder nach der vereinbarten Nutzungsdauer löscht der Diensteanbieter die Gesundheitsdaten vollständig aus dem Mein KlinO.

§ 2 Pflichten und Rechte des Portalbetreibers

Der Diensteanbieter lässt den Arzt nach dessen Anmeldung, Registrierung und Annahme der Nutzungsvereinbarung als berechtigten Nutzer des Mein KlinO zu. Der Diensteanbieter ist befugt, die Teilnahmebefugnis des Arztes ohne Angabe von Gründen jederzeit zu widerrufen.

Der Diensteanbieter überlässt mit Bestätigung der Teilnahmebefugnis dem Arzt seine Zugangsdaten, damit er sich über das Internet unter [Zuweiser.klinikum-oberberg.de] mit einer verschlüsselten Verbindung über eine mehrstufige Firewall-Lösung am Portal als Nutzer einwählen und abmelden kann.

Der Diensteanbieter stellt sicher, dass nach Zugang eines Widerrufs der datenschutzrechtlichen Einwilligung eines Patienten zur Weiterübermittlung seiner Behandlungsdaten aus dem Klinikum an das Mein KlinO die Berechtigung des Arztes insoweit auch einwahltechnisch patientenbezogen endet.

Der Diensteanbieter verpflichtet sich dem Arzt gegenüber zur Vertraulichkeit hinsichtlich seiner Teilnahme, insbesondere erteilt er Dritten gegenüber keinerlei Auskünfte über die Teilnehmer des Mein KlinO, es sei denn, der teilnehmende Arzt stimmt ausdrücklich zu. Der Diensteanbieter übernimmt keine Gewährleistung für die Funktionsfähigkeit des Mein klinO. Der Diensteanbieter haftet daher dem Arzt nicht für einen vorübergehenden aus IT-technischen Gründen oder wegen höherer Gewalt tatsächlichen Ausfall oder eine Funktionsstörung des Mein KlinO.

Die Haftung des Diensteanbieters ist im Übrigen auf Vorsatz und grobe Fahrlässigkeit beschränkt. Dies gilt insbesondere bzgl. eines technisch korrekten und vollständigen Abrufs der Patientendaten sowie bzgl. deren in das Mein KlinO eingestellten Umfanges. Der Diensteanbieter trägt insofern keine Verantwortung für einen eventuellen Schaden, der dem Arzt durch fehlerhafte oder unvollständige Datenübernahme aus dem Mein KlinO entstehen kann.

Der Arzt übernimmt die volle Verantwortung für seine Nutzung des Mein KlinO. Alle technischen Konfigurationen in dem Praxissystem des Arztes, die für den direkten Datenaustausch erforderlich sind, liegen ebenso in seiner Verantwortung und sind von ihm ggf. mit Unterstützung seiner IT betreuenden Firma durchzuführen.

Der Diensteanbieter haftet nicht für die missbräuchliche Nutzung des Mein KlinO durch Betriebszugehörige des Arztes oder Dritte. Der Arzt stellt den Diensteanbieter von allen Ansprüchen frei, die aufgrund von Schäden geltend gemacht werden, die dem Arzt im Zusammenhang mit einer missbräuchlichen Nutzung zuzurechnen sind. Eine missbräuchliche Nutzung oder ein Verdacht darauf ist dem Diensteanbieters unverzüglich zu melden, damit der Zugang gesperrt werden kann.

§ 3 Rechte und Pflichten des Arztes, Ausmaß der Teilnahme und Nutzungsbefugnis

Der Arzt hat keinen Rechtsanspruch auf Zulassung zur Nutzung des Mein KlinO durch den Diensteanbieter.

Der Arzt hat das Recht, seine Teilnahme am KlinO jederzeit gegenüber der Klinikum Oberberg GmbH zu widerrufen bzw. von der ihm eingeräumten Teilnahmebefugnis keinen Gebrauch zu machen. Pflichten des Arztes aus dem mit seinen Patienten geschlossenen Behandlungsvertrag bleiben hiervon unberührt.

Um sich am Mein KlinO anzumelden, hat sich der Arzt gegenüber dem IT-Portal-System als Berechtigter auszuweisen (Benutzername und Passwort). Der Arzt ist sich bewusst, dass auf dem Mein KlinO besondere Kategorien personenbezogener Daten seiner Patienten verarbeitet werden und stellt daher sicher, dass seine Zugangsdaten geheim bleiben und kein unberechtigter Zugriff auf die Plattform mit seinem Zugang erfolgt.

Es obliegt der jeweiligen Daten bereitstellenden Partei, sicherzustellen, dass der betreffende Patient, dessen Daten über das Mein KlinO bereitgestellt werden - sofern die Verarbeitung nicht bereits durch Art 9 Abs 2 lit h DSGVO gerechtfertigt ist - durch schriftlich dokumentierte datenschutzrechtliche Einwilligung, der Bereitstellung seiner Daten über das Mein KlinO ausdrücklich zugestimmt und seither nicht widerrufen hat.

Der teilnehmende Arzt ist im Rahmen der ihm eingeräumten Nutzungsberechtigung ausschließlich befugt, die auf dem Mein KlinO bereitgestellten Daten und Dokumente zu seinen jeweiligen Patienten zur Behandlung seines Patienten nach dem einschlägigen Behandlungsstandard persönlich zu nutzen. Eine Befugnis zur Weiterleitung der Behandlungsdaten aus dem Mein KlinO an Dritte beinhaltet die Nutzungsberechtigung des Arztes nicht. Soweit der teilnehmende Arzt im Rahmen des mit dem Patienten geschlossenen Behandlungsvertrages befugt ist, andere Ärzte zu informieren, hat der Arzt dafür Sorge zu tragen, dass alle gesetzlichen Vorgaben, insbesondere datenschutzrechtliche Vorgaben, eingehalten werden. Sofern der Arzt dieser Pflicht nicht nachkommt, hat er den Diensteanbieter bzw. dessen Beschäftigte von dadurch verursachten Schäden oder Geldbußen freizustellen.

§ 4 Salvatorische Klausel

Sollten einzelne Bestimmungen dieser Nutzungsvereinbarung unwirksam oder undurchführbar sein oder werden, wird hierdurch die Gültigkeit der übrigen Regelungen und Bestimmungen nicht berührt. Die Parteien verpflichten sich anstelle der unwirksamen oder undurchführbaren Bestimmungen, unter Beachtung des Grundsatzes von Treu und Glauben, eine solche geeignete, ihrem Sinn entsprechende, wirksame Regelung zu vereinbaren, deren Inhalt wirtschaftlich der unwirksamen oder undurchführbaren Regelung bestmöglich entspricht. Entsprechend ist bei ergän-
zungsbedürftigen Vereinbarungslücken zu verfahren.

Die Nichtigkeit einzelner Bestimmungen dieser Nutzungsvereinbarung berührt die Wirksamkeit der Nutzungsvereinbarung im Übrigen nicht. Nichtige Bestimmungen sind gegebenenfalls im Wege ergänzender Vertragsauslegung in wirksame Regelungen umzudeuten.

§ 5 Änderungen der Nutzungsvereinbarung

Änderungen und Ergänzungen dieser Nutzungsvereinbarung bedürfen der Textform. Mündliche Nebenabreden sind nicht getroffen.

Die Klinikum Oberberg GmbH behält sich vor, die vorliegende Nutzungsvereinbarung zu ändern bzw. anzupassen. Diesfalls wird die jeweils neue Fassung dieser Nutzungsvereinbarung auf dem Mein KlinO zur Verfügung gestellt und der Arzt zur Annahme aufgefordert. Der teilnehmende Arzt nimmt zur Kenntnis, dass bei Nichtzustimmung zu den geänderten Vereinbarungsbestimmungen eine weitere Nutzung des Mein KlinO bzw. wesentliche Teile von dessen Funktionalität nicht möglich sind bzw der Zugang des Arztes allenfalls gesperrt werden muss.

Bedingungen für die Auftragsverarbeitung gemäß Art 28 DSGVO
im Zusammenhang mit der
Vereinbarung über die Nutzung des Kommunikationsportals Mein KlinO

I. Grundsätzliches

1. Die Klinikum Oberberg GmbH führt aufgrund der Vereinbarung über die Nutzung des Mein KlinO der Vereinbarung über die Nutzung des Portals der Klinikum Oberberg GmbH (nachfolgend genannt: Nutzungsvereinbarung) Auftragsverarbeitungstätigkeiten i. S. d. Art 28 DSGVO durch. Diese Tätigkeiten sind in der Nutzungsvereinbarung aufgeführt. Die nachstehenden Bedingungen sind als Ergänzung zur Nutzungsvereinbarung zu verstehen.

2. Folgende Datenkategorien werden verarbeitet:

• Gesundheitsdaten nach Art. 9 DSGVO

3. Es unterliegen ausschließlich Patientendaten des Arztes der Verarbeitung

4. Die vorliegenden Bedingungen gelten für die gesamte Laufzeit der Nutzungsvereinbarung.

5. Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw des EWR durchgeführt.

II. Verpflichtungen des Klinikum Oberberg

1. Die Klinikum Oberberg GmbH verpflichtet sich, allfällige vom Arzt auf das Mein KlinO gestellte oder für diese bereitgehaltenen Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der Nutzungsvereinbarung zu verarbeiten. Erhält das Klinikum Oberberg einen behördlichen Auftrag, Daten des Arztes herauszugeben, so hat er - sofern gesetzlich zulässig - den Arzt unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der vorstehenden Daten des Arztes für eigene Zwecke des Auftragsverarbeiters eines schriftlichen Auftrages.

2. Das Klinikum Oberberg gewährleistet, dass sich die von ihm zur Verarbeitung der personenbezogenen Daten beauftragten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

3. Das Klinikum Oberberg ergreift sämtliche erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art 32 DSGVO gemäß Anlage ./1.

4. Das Klinikum Oberberg hat den Arzt, angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Personen (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) nachzukommen.

5. Das Klinikum Oberberg hat unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Arzt bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten zu unterstützen.

6. Das Klinikum Oberberg hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Arztes zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

7. Das Klinikum Oberberg hat dem Arzt alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesen Bedingungen niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen - einschließlich Inspektionen -, die vom Arzt oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und zu diesen beizutragen.

8. Das Klinikum Oberberg hat den Arzt unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Arztes verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

9. Nimmt das Klinikum Oberberg Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Arztes auszuführen, schließt das Klinikum Oberberg die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Klinikum Oberberg auf Grund dieser Bedingungen obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet das Klinikum Oberberg gegenüber dem Arzt für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

ANLAGE ./1 – TECHNISCH-ORGANISATORISCHE MASSNAHMEN

VERTRAULICHKEIT

• Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, z.B.: Schlüssel, Magnet- oder Chipkarten, elektrische Türöffner, Portier, Sicherheitspersonal, Alarmanlagen, Videoanlagen;
• Zugangskontrolle: Schutz vor unbefugter Systembenutzung, z.B.: Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;
• Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb von administrativen Benutzerkonten;
• Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt.
• Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim/vertraulich/intern/öffentlich).

INTEGRITÄT

• Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;
• Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement.

VERFÜGBARKEIT UND BELASTBARKEIT

• Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern;
• Rasche Wiederherstellbarkeit;
• Löschungsfristen: Sowohl für Daten selbst als auch Metadaten wie Logfiles, uä. VERFAHREN ZUR REGELMÄSSIGEN ÜBERPRÜFUNG, BEWERTUNG UND EVALUIERUNG
• Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter-Schulungen;
• Incident-Response-Management;
• Datenschutzfreundliche Voreinstellungen;
• Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des Verantwortlichen, z.B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters (ISO-Zertifizierung, ISMS), Vorabüberzeugungspflicht, Nachkontrollen.