Datenschutzzusatz Fernwartung

KaVo Dental GmbH („Unternehmen“) führt in Ihrem Auftrag („Kunde“) einen Fernwartungseinsatz auf Ihren Systemen und Geräten durch. Sollte KaVo im Verlaufe des Fernwartungseinsatzes Zugang zu oder Einblick in personenbezogene Daten von Patienten haben, so sind Sie mit dem Erteilen des Fernwartungsauftrages mit den Bestimmungen dieses Datenschutzzusatzes einverstanden.

  1. Dieser Zusatz gilt für die gesamte Verarbeitung personenbezogener Daten im Rahmen des Fernwartungseinsatzes.
  2. Für die Zwecke dieses Zusatzes haben Datenverarbeiter, Datensubjekt, Verletzung personenbezogener Daten und Verarbeitung die Bedeutung, die ihnen in der Datenschutzgrundverordnung der Europäischen Union ("EU") 2016/679 ("DSGVO") zukommt. Anwendbares Recht bezeichnet alle anwendbaren Gesetze und Vorschriften der EU oder der EU-Mitgliedstaaten in Bezug auf die Privatsphäre, Vertraulichkeit, Sicherheit oder den Schutz personenbezogener Daten, einschließlich, ohne Einschränkung, (i) der DSGVO und der Gesetze der EU-Mitgliedstaaten zur Ergänzung der DSGVO und (ii) die EU-Richtlinie 2002/58 / EG (e-Privacy Directive), in ihrer jeweils geltenden Fassung, und die Gesetze der EU-Mitgliedstaaten zur Umsetzung der e-Privacy-Richtlinie, einschließlich der Gesetze zur Verwendung von Cookies und anderen Tracking-Technologien. Personenbezogene Daten sind alle Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person.
  3. Sofern das Unternehmen personenbezogene Daten als Datenverarbeiter im Rahmen dieses Fernwartungseinsatzes verarbeitet, gilt für das Unternehmen:
    1. Personenbezogene Daten dürfen nur in Übereinstimmung mit den dokumentierten Anweisungen des Kunden verarbeiten werden, es sei denn, das Unternehmen ist durch Anwendbares Recht zu etwas anderem verpflichtet. In diesem Fall informiert das Unternehmen den Kunden vor der Verarbeitung der personenbezogenen Daten über die relevanten rechtlichen Anforderungen, außer die Information des Kunden ist aus wichtigen Gründen des öffentlichen Interesses untersagt;
    2. Es muss sicherstellen, dass die Mitarbeiter oder Unterauftragnehmer des Unternehmens, die zur Verarbeitung der Personenbezogenen Daten befugt sind, sich zur Vertraolichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraolichkeit unterliegen;
    3. Es ergreift Sicherheitsmaßnahmen gemäß Artikel 32 der DSGVO;
    4. Unter Berücksichtigung der Art der Verarbeitung unterstützt das Unternehmen den Kunden, soweit dies möglich ist, durch geeignete technische und organisatorische Maßnahmen, die Verpflichtung des Kunden, die Anfrage der Datensubjekte zur Ausübung ihrer Rechte gemäß der DSGVO in Bezug auf ihre Personenbezogenen Daten, zu erfüllen;
    5. Es hilft dem Kunden bei der Erfüllung seiner Verpflichtungen gemäß den Artikeln 32 bis 36 der DSGVO, wobei es die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt;
    6. Es löscht auf Wunsch des Kunden nach Beendigung des Fernwartungseinsatzes alle Personenbezogenen Daten oder sendet diese an den Kunden zurück und löscht bestehende Kopien, außer das anwendbare Recht lässt die Speicherung der Personenbezogenen Daten zu;
    7. Es stellt dem Kunden in den Räumlichkeiten des Unternehmens die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesem Zusatz dargelegten Verpflichtungen nachzuweisen und Prüfungen des Kunden oder eines anderen vom Kunden beauftragten und vom Unternehmen zugelassenen Wirtschaftsprüfers zu ermöglichen, vorausgesetzt, dass der Kunde dem Unternehmen mindestens 30 (dreißig) Tage vorher schriftlich mitteilt, dass es beabsichtigt, eine Prüfung durchzuführen. Diese Mitteilung muss einen detaillierten Arbeitsplan für die Prüfung enthalten. Alle an der Prüfung beteiligten Dritten müssen den Vertraolichkeitsverpflichtungen des Unternehmens zustimmen, und der Kunde trägt alle Kosten und Aufwendungen, die dem Unternehmen im Zusammenhang mit der Prüfung entstehen; und
    8. Das Unternehmen wird den Kunden unverzüglich informieren, wenn eine vom Auftragnehmer bereitgestellte Anweisung gegen geltendes Recht verstößt.
  4. Der Kunde bestätigt:
    1. Er / Sie hat das volle Recht, die Personenbezogenen Daten dem Unternehmen zur Verfügung zu stellen, damit das Unternehmen den Fernwartungseinsatz erfolgreich durchführen kann;
    2. Er / Sie hat dem Unternehmen alle Beschränkungen der Nutzung oder Offenlegung Personenbezogener Daten durch den Kunden mitgeteilt, die sich ergeben aus: (i) Mitteilungen an das Datensubjekt durch Dritte oder einen nachgeschalteten Dritten, von dem die Daten stammen, oder (ii) Einwendungen des Datensubjekts bezüglich der Nutzung der Personenbezogenen Daten für bestimmte Zwecke;
    3. Er / Sie hat alle Gesetze und rechtlichen Anforderungen bei der Sammlung der Personenbezogenen Daten und Übertragung der Personenbezogenen Daten an den Kunden eingehalten.
    4. Wenn die Personenbezogenen Daten sensible personenbezogene Daten (z. B. Gesundheitsdaten) enthalten, hat der Kunde die schriftliche Zustimmung des Datensubjekts zur Offenlegung der Personenbezogenen Daten an das Unternehmen erhalten, damit das Unternehmen den Fernwartungseinsatz erfolgreich durchführen kann.
  5. Der Kunde ist damit einverstanden, dass das Unternehmen seine im Auftrag des Kunden im Rahmen des Fernwartungseinsatzes durchgeführten Verarbeitungsvorgänge untervergeben kann. Bevor Subunternehmer Zugang zu Personenbezogenen Daten erhalten, fordert das Unternehmen von diesem Unterauftragnehmer den Abschluss einer schriftlichen Vereinbarung, die den in diesem Zusatz aufgeführten Datenschutzverpflichtungen unterliegt. Auf Anfrage des Kunden wird das Unternehmen dem Kunden die Liste der Unterauftragnehmer zur Verfügung stellen, die berechtigt sind, im Zusammenhang mit dem Vertrag auf Personenbezogene Daten zuzugreifen.
  6. Der Kunde ist damit einverstanden, dass das Unternehmen Personenbezogene Daten außerhalb der EU zum Zwecke der Erfüllung ihrer Verpflichtungen gegenüber dem Kunden im Rahmen des Fernwartungseinsatzes übertragen darf und unter der Voraussetzung, dass das Unternehmen angemessene Garantien für die Übertragung Personenbezogener Daten in Übereinstimmung mit geltendem Recht implementiert hat.