Nutzungsvereinbarung

Vereinbarung über die Nutzung des Portals des OCC

(nachfolgend genannt: Nutzungsvereinbarung)

zwischen

Klinikum Chemnitz gGmbH
Flemmingstraße 2
09116 Chemnitz

 

und

 

dem teilnehmenden Arzt

nachfolgend genannt: Arzt

 


Präambel

Das Klinikum Chemnitz (nachfolgend genannt: Portalbetreiber) betreibt als Anbieter eines informationstechnischen Systems ein Portal als eigenständige Plattform.

Das Portal ermöglicht den sicheren und datenschutzkonformen Austausch von Informationen, Befunden, Arztbriefen etc. zwischen Teilehmern des Tumorboards beim Portalbetreiber. Die elektronische Übermittlung der personenbezogenen Patientendaten erfolgt verschlüsselt. Vertraulichkeit, Integrität und Löschroutinen sind gewährleistet.

Die im Portal übermittelten Daten dienen zum Zweck der Besprechung im Tumorboard beim Portalbetreiber. Das Portal ist kein Dokumentenarchiv. Die übermittelten Daten werden nach 30 Tagen aus dem Portal gelöscht.


§ 1 Gegenstand der Vereinbarung

Der Portalbetreiber ermöglicht dem Arzt zum Zweck der Besprechung im Tumorboard die Übermittung von Gesundheitsdaten der jeweiligen Patienten mit denen der Arzt einen ärztlichen Behandlungsvertrag hat und mit den hierzu berechtigten Mitarbeitern des Portalbetreibers zu nutzen.

Zu den Gesundheitsdaten im Sinne der vorliegenden Nutzungsvereinbarung gehören die beim Arzt gesetzlich zu führenden Inhalte der Krankengeschichte, die den physischen und psychischen Zustand von Patienten betreffen und im Zuge einer medizinischen Betreuung, Untersuchung und Pflege erhoben werden.

Ein Recht des Arztes auf die Übermittlung einer vollständigen Krankengeschichte besteht nicht. Vielmehr knüpfen die dem Arzt vom Portalbetreiber eingeräumte Nutzungsbefugnisse an die beim Portalbetreiber vorhandene elektronische Dokumentation zur Durchführung der Tumorboards an.

Nach Ablauf von 30 Tagen oder nach der vereinbarten Nutzungsdauer löscht der Portalbetreiber die übermittelten Gesundheitsdaten vollständig aus dem Portal. Eine zweckfremde Nutzung bis zur Löschung erfolgt nicht.


§ 2 Pflichten und Rechte des Portalbetreibers

Der Portalbetreiber ist für das Vorhandensein einer schriftlichen Nutzungsvereinbarung verantwortlich. Sodann lässt er den Arzt zur Anmeldung am Portal zu. Der Portalbetreiber ist befugt, die Teilnahmebefugnis des Arztes ohne Angabe von Gründen jederzeit zu widerrufen.

Der Portalbetreiber überlässt dem Arzt seine Zugangsdaten, damit er sich über das Internet mit einer verschlüsselten Verbindung über eine mehrstufige Firewall-Lösung am Portal als Nutzer einwählen und abmelden kann.

Der Portalbetreiber stellt sicher, dass nach Zugang eines Widerrufs der datenschutzrechtlichen Einwilligung eines Patienten des Portalbetreibers zur Übermittlung seiner Behandlungsdaten an das Tumorboard die Berechtigung des Arztes insoweit auch einwahltechnisch patientenbezogen endet.

Der Portalbetreiber ist dem Arzt gegenüber zur Vertraulichkeit hinsichtlich seiner Teilnahme verpflichtet. Insbesondere erteilt er Dritten gegenüber keinerlei Auskünfte über weitere teilnehmende Ärzte des Portals, es sei denn, der teilnehmende Arzt stimmt ausdrücklich zu.

Der Portalbetreiber haftet dem Arzt nicht für einen vorübergehenden aus IT-technischen Gründen oder wegen höherer Gewalt tatsächlichen Ausfall oder eine Funktionsstörung des Portals.


§ 3 Rechte und Pflichten des Arztes, Ausmaß der Teilnahme und Nutzungsbefugnis

Der Arzt hat keinen Rechtsanspruch auf Zulassung zur Nutzung des Portals durch den Portalbetreiber.

Der Arzt hat das Recht, seine Teilnahme am Portal jederzeit gegenüber dem Portalbetreiber zu widerrufen bzw. von der ihm eingeräumten Teilnahmebefugnis keinen Gebrauch zu machen. Pflichten des Arztes aus dem mit seinen Patienten geschlossenen Behandlungsvertrag bleiben hiervon unberührt.

Um sich am Portal anzumelden, hat sich der Arzt gegenüber dem Portal als Berechtigter auszuweisen (Benutzername und Passwort). Der Arzt ist sich bewusst, dass auf dem Portal besondere Kategorien personenbezogener Daten seiner Patienten verarbeitet werden, welche die Kriterien des Artikels 9 DSGVO erfüllen. Er stellt daher sicher, dass seine Zugangsdaten geheim bleiben und kein unberechtigter Zugriff auf die Plattform mit seinem Zugang erfolgt.

Es obliegt dem Arzt sicherzustellen, dass der betreffende Patient, dessen Daten dem Arzt über das Portal bereitgestellt werden - sofern die Verarbeitung nicht bereits durch Art 9 Abs 2 lit. h DSGVO gerechtfertigt ist - durch rechtsgültige datenschutzrechtliche Einwilligung gegenüber dem Arzt, der Verarbeitung seiner Daten durch den Portalbetreiber ausdrücklich zugestimmt und seither nicht widerrufen hat.

Der teilnehmende Arzt ist im Rahmen der ihm eingeräumten Nutzungsberechtigung ausschließlich befugt, die auf dem Portal bereitgestellten Daten und Dokumente zu seinen jeweiligen Patienten zur Behandlung seines Patienten nach dem einschlägigen Behandlungsstandard persönlich zu nutzen. Eine Befugnis zur Weiterleitung der Behandlungsdaten aus dem Portal an Dritte beinhaltet die Nutzungsberechtigung des Arztes nicht. Soweit der teilnehmende Arzt im Rahmen des mit dem Patienten geschlossenen Behandlungsvertrages befugt ist, andere Ärzte zu informieren, hat der Arzt dafür Sorge zu tragen, dass alle gesetzlichen Vorgaben und insbesondere datenschutzrechtliche Vorgaben eingehalten werden. Sofern der Arzt dieser Pflicht nicht nachkommt, hat er den Portalbetreiber für allfällige dadurch verursachte Schäden oder Verwaltungsstrafen schad- und klaglos zu halten.


§ 4 Salvatorische Klausel

Sollten einzelne Bestimmungen dieser Nutzungsvereinbarung unwirksam oder undurchführbar sein oder werden, so wird hierdurch die Gültigkeit der übrigen Regelungen und Bestimmungen nicht berührt. Die Parteien verpflichten sich anstelle der unwirksamen oder undurchführbaren Bestimmungen, unter Beachtung des Grundsatzes von Treu und Glauben, eine solche geeignete, ihrem Sinn entsprechende, wirksame Regelung zu vereinbaren, deren Inhalt wirtschaftlich der unwirksamen oder undurchführbaren Regelung bestmöglich entspricht. Entsprechend ist bei ergänzungsbedürftigen Vereinbarungslücken zu verfahren.

Die Nichtigkeit einzelner Bestimmungen dieser Nutzungsvereinbarung berührt die Wirksamkeit der Nutzungsvereinbarung im Übrigen nicht. Nichtige Bestimmungen sind gegebenenfalls im Wege ergänzender Vertragsauslegung in wirksame Regelungen umzudeuten.


§ 5 Änderungen der Nutzungsvereinbarung

Änderungen und Ergänzungen dieser Nutzungsvereinbarung bedürfen der Schriftform; dies gilt auch für das Schriftformerfordernis. Mündliche Nebenabreden sind nicht getroffen.

__________________________________
Datum / Stempel / Unterschrift

Kaufmännischer Geschäftsführer
Dipl. Oec. Dirk Balster
Klinikum Chemnitz gGmbH

Bedingungen für die Auftragsverarbeitung gemäß Art 28 DSGVO
im Zusammenhang mit der
Vereinbarung über die Nutzung des Kommunikationsportals Polavis Tumorboard

  1. Grundsätzliches
    1. Der Portalbetreiber führt aufgrund der Vereinbarung über die Nutzung des Kommunikationsportals Polavis Tumorboard (nachfolgend genannt: Nutzungsvereinbarung) Auftragsverarbeitungstätigkeiten i. S. d. Art 28 DSGVO durch. Diese Tätigkeiten sind in der Nutzungsvereinbarung aufgeführt. Die nachstehenden Bedingungen sind als Ergänzung zur Nutzungsvereinbarung zu verstehen.
    2. Folgende Datenkategorien werden verarbeitet:
      • Gesundheitsdaten
      • Name, Vorname
      • Geburtsdatum
      • Private Adress- und Kontaktdaten
    3. Es unterliegen ausschließlich Patientendaten des Arztes der Verarbeitung
    4. Die vorliegenden Bedingungen gelten für die gesamte Laufzeit der Nutzungsvereinbarung.
    5. Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw des EWR durchgeführt.
  2. Verpflichtungen des Portalbetreibers
    1. Der Portalbetreiber verpflichtet sich, allfällige vom Arzt auf das Portal gestellte oder für diese bereitgehaltenen Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der Nutzungsvereinbarung zu verarbeiten. Erhält der Portalbetreiber einen behördlichen Auftrag, Daten des Arztes herauszugeben, so hat er - sofern gesetzlich zulässig - den Arzt unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der vorstehenden Daten des Arztes für eigene Zwecke des Auftragsverarbeiters eines schriftlichen Auftrages.
    2. Der Portalbetreiber gewährleistet, dass sich die von ihm zur Verarbeitung der personenbezogenen Daten beauftragten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
    3. Der Portalbetreiber ergreift sämtliche erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art 32 DSGVO gemäß Anlage./1.
    4. Der Portalbetreiber hat den Arzt, angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Personen (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) nachzukommen.
    5. Der Portalbetreiber hat unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Arzt bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten zu unterstützen.
    6. Der Portalbetreiber hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Arztes zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
    7. Der Portalbetreiber hat dem Arzt alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesen Bedingungen niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen - einschließlich Inspektionen -, die vom Arzt oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und zu diesen beizutragen.

Der Portalbetreiber hat den Arzt unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Arztes verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

  1. Nimmt der Portalbetreiber Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Arztes auszuführen, schließt der Plattformbetreiber die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Portalbetreiber auf Grund dieser Bedingungen obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Portalbetreiber gegenüber dem Arzt für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

Anlage ./1 – Technisch-organisatorische Maßnahmen

Vertraulichkeit

Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, z.B.: Schlüssel, Magnet- oder Chipkarten, elektrische Türöffner, Portier, Sicherheitspersonal, Alarmanlagen, Videoanlagen.

Zugangskontrolle: Schutz vor unbefugter Systembenutzung, z.B.: Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.

Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb von administrativen Benutzerkonten.

Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt.

Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim/vertraulich/intern/öffentlich).

Integrität

Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur.

Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement.

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern.

Rasche Wiederherstellbarkeit

Löschungsfristen: Sowohl für Daten selbst als auch Metadaten wie Logfiles, uä.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung.

Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter-Schulungen.

Incident-Response-Management.

Datenschutzfreundliche Voreinstellungen.

Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des Verantwortlichen, z.B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters (ISO-Zertifizierung, ISMS), Vorabüberzeugungspflicht, Nachkontrollen.

Formularbeginn

 

Ich akzeptiere die Nutzungsbedingungen

Deutsch