Der Hauptsitz des Robert Koch-Instituts (RKI) in Berlin. Weiter lesen
Das RKI erhebt im Rahmen seines Gesundheitsmonitorings regelmäßig Gesundheitsdaten der Bevölkerung. Weiter lesen
HIV-1 - Human immunodeficiency virus 1 (Retroviren). Reife Virionen (rote Hülle) sammeln sich an der Oberfläche eines T-Lymphozyten (Wirtszelle). Transmissions-Elektronenmikroskopie, Ultradünnschnitt. Weiter lesen
Koloniewachstum eines aeroben Sporenbildners (Bacillus sp.) auf Blutagar ohne Hämolyse. Weiter lesen
Zahlreiche wissenschaftliche Kommissionen haben ihre Geschäftsstelle am RKI. Weiter lesen
(1) Diese Vereinbarung zur Auftragsverarbeitung („Vereinbarung“) gilt für die Verarbeitung von personenbezogenen Daten durch das Robert Koch-Institut, Nordufer 20, 13353 Berlin (nachfolgend „RKI“, „uns“ oder „wir“) im Auftrag des jeweiligen Gesundheitsamts (nachfolgend „GA“) oder der jeweiligen Behörde bzw. Organisationen des Öffentlichen Gesundheitsdienstes (nachfolgend „ÖGD“). Das RKI, das GA bzw. der ÖGD werden nachfolgend einzeln auch als „Partei“ und zusammen als „Parteien“ bezeichnet.
(2) Die Vereinbarung gilt ausschließlich für die Verarbeitung von personenbezogenen Daten bei der Nutzung von Agora, der ÖGD-Kollaborationsplattform (nachfolgend „Plattform“ oder „Agora“).
(Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen)
(1) Mit der Plattform soll die Kommunikation und der Austausch der Mitarbeitenden des GA bzw. ÖGD unterstützt und amtsübergreifend verbessert werden. Dies geschieht durch die sichere Ablage und Sammlung von Informationen, Dokumenten, Forumsbeiträgen, einem Kontaktverzeichnis sowie die direkte Vernetzung per Chat oder Videotelefonie in einer leicht zugänglichen Webanwendung.
(2) Folgende Datenarten oder -kategorien sind Gegenstand der Verarbeitung durch das RKI:
(3) Der Kreis der betroffenen Personen umfasst einerseits Mitarbeitende des GA bzw. ÖGD sowie Dritte, deren personenbezogene Daten, z. B. Kontaktdaten, durch Agora-Nutzende eingegeben werden
(4) Über die Plattform dürfen keine besonderen Kategorien von personenbezogenen Daten i.S.v. Art. 9 (wie z.B. Gesundheitsdaten, biometrische Daten, religiöse oder weltanschauliche Überzeugungen, Angaben zur Gewerkschaftszugehörigkeit, genetische Daten, Daten zum Sexualleben oder der sexuellen Orientierung) DSGVO hochgeladen, geteilt oder auf andere Art und Weise verarbeitet werden.
(5) Die Regelungen zur Löschung des Accounts der Agora-Nutzenden sind in den Nutzungsbedingungen dargelegt.
(1) Für die Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen ist allein das GA bzw. der ÖGD verantwortlich.
(2) Das RKI verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des GA bzw. ÖGD, es sei denn, das RKI ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem es unterliegt, zur Verarbeitung verpflichtet; in einem solchen Fall teilt das RKI dem GA bzw. ÖGD diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. In Ziffer 2 dieser Vereinbarung wird die Weisung des GA bzw. ÖGD hinreichend und abschließend konkretisiert.
(3) Das RKI informiert das GA bzw. den ÖGD unverzüglich, wenn es der Auffassung ist, dass von dem GA bzw. ÖGD erteilte Weisungen gegen die DSGVO oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen. Das RKI ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie von Seiten des GA bzw. ÖGD bestätigt oder geändert wird.
Das RKI stellt dem GA bzw. ÖGD alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in dieser Vereinbarung festgelegten und unmittelbar aus der DSGVO hervorgehenden Pflichten erforderlich sind. Bei der Entscheidung über eine Überprüfung oder Prüfung kann das GA bzw. der ÖGD einschlägige Zertifizierungen des RKI berücksichtigen.
(2) Das GA bzw. der ÖGD kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des RKI umfassen und werden zu den üblichen Geschäftszeiten mit angemessener Vorankündigung durchgeführt.
(1) Das RKI ergreift geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst auch den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
(2) Die Parteien vereinbaren in Anhang „Technische und organisatorische Maßnahmen“ geeignete technische und organisatorische Maßnahmen. Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt unterliegen, ist es dem RKI insoweit gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in dem Anhang „Technische und organisatorische Maßnahmen“ festgelegten Maßnahmen nicht unterschritten werden.
(1) Das GA bzw. der ÖGD erklärt sich mit der Beauftragung der im Anhang „Subunternehmen“ aufgeführten Unterauftragsverarbeitern einverstanden.
(2) Das RKI besitzt die allgemeine Genehmigung des GA bzw. ÖGD für die Beauftragung von Unterauftragsverarbeitern. Das RKI unterrichtet das GA bzw. ÖGD mindestens 4 Wochen im Voraus und mindestens in Textform über jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters, wodurch dem GA bzw. ÖGD die Möglichkeit eingeräumt wird, gegen die beabsichtigte Hinzuziehung oder Ersetzung Einspruch einzulegen. Erfolgt innerhalb von 2 Wochen nach Unterrichtung kein Einspruch durch das GA bzw. den ÖGD, gilt die Zustimmung zur Hinzuziehung oder Ersetzung als erteilt. Legt das GA bzw. der ÖGD Einspruch ein, kann das RKI diese Vereinbarung ohne Einhaltung einer Frist kündigen. In diesem Fall gilt Ziffer 10 (3) und (4) der Vereinbarung.
(3) Beauftragt das RKI einen Unterauftragsverarbeiter, so muss diese Beauftragung im Wege eines Vertrags erfolgen. In diesem Vertrag hat das RKI sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem Unterauftragsverarbeitern so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung zwischen dem GA bzw. ÖGD und dem RKI entspricht und alle vertraglichen und gesetzlichen Vorgaben beachtet werden; dies gilt insbesondere auch im Hinblick auf den Einsatz geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus der Verarbeitung.
(4) Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet das RKI gegenüber dem GA bzw. ÖGD für die Einhaltung der Pflichten jenes Unterauftragsverarbeiters.
(5) Nicht als Unterauftragsverarbeitung im Sinne dieser Regelung gelten Dienstleistungen, die das RKI bei Dritten als Nebenleistung zur Unterstützung seines IT-Betriebes zur Auftragsdurchführung in Anspruch nimmt, beispielsweise Telekommunikationsdienstleistungen und Wartungen.
(1) Das RKI unterrichtet das GA bzw. den ÖGD unverzüglich über jeden Antrag, den das RKI von einer betroffenen Person erhalten hat. Das RKI beantwortet den Antrag nicht selbst.
(2) Unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen unterstützt das RKI das GA bzw. den ÖGD bei der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person in angemessenem Umfang.
Die Verarbeitung der Daten im Auftrag des GA bzw. ÖGD findet ausschließlich auf dem Gebiet der Europäischen Union oder des Europäischen Wirtschaftsraums statt. Jede Übermittlung an einen Drittstaat darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
(1) Das RKI gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(1) Das GA bzw. der ÖGD kann diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen.
(2) Das RKI ist berechtigt, diese Vereinbarung zu kündigen, wenn das GA bzw. der ÖGD auf die Erfüllung seiner Anweisungen besteht, nachdem das GA bzw. der ÖGD vom RKI darüber in Kenntnis gesetzt wurde, dass die Weisungen gegen geltende rechtliche Anforderungen verstoßen (vgl. Ziffer 3.3).
(3) Diese Vereinbarung kann nur zusammen mit den Nutzungsbedingungen gekündigt werden. Die Kündigung dieser Vereinbarung bewirkt die Kündigung der Nutzungsbedingungen. Nach Beendigung hat das GA bzw. der ÖGD die Nutzung der Plattform unverzüglich einzustellen und ist nicht berechtigt die Plattform weiter zu nutzen.
(4) Nach Beendigung löscht das RKI nach Wahl des GA bzw. der ÖGD alle im Auftrag verarbeiteten personenbezogenen Daten und bescheinigt dem GA bzw. dem ÖGD, dass dies erfolgt ist, oder es gibt alle personenbezogenen Daten an das GA bzw. den ÖGD zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet das RKI weiterhin die Einhaltung dieser Klauseln.
(1) Die Haftung des RKI ist in allen Fällen ausgeschlossen, in denen das RKI gemäß dieser Vereinbarung und gemäß den Weisungen oder Vorgaben des GA bzw. ÖGD handelt.
(2) Das GA bzw. der ÖGD stellt das RKI im Innenverhältnis von allen Schadensersatzansprüchen betroffener Personen im Zusammenhang mit der Verletzung von datenschutzrechtlichen Bestimmungen frei, die diese gegenüber dem RKI geltend machen, soweit diese nicht darauf beruhen, dass das RKI gegen ihm als Auftragsverarbeiter obliegende Pflichten verstoßen hat oder im Auftrag verarbeitete personenbezogene Daten ohne oder gegen eine Weisung des GA bzw. ÖGD verarbeitet hat.
(1) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(2) Sollten einzelne Regelungen dieser Vereinbarung unwirksam oder undurchführbar sein, wird davon die Wirksamkeit der übrigen Regelungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Regelung tritt diejenige wirksame und durchführbare Regelung, deren Wirkung der Zielsetzung am nächsten kommt, die die Parteien mit der unwirksamen oder undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich die Vereinbarung als lückenhaft erweist.
(3) Diese Vereinbarung unterliegt deutschem Recht.
(4) Gerichtsstand ist Berlin
| Subunternehmen (Name/Firma mit Gesellschafts- bezeichnung) | Sitz (vollständige Adresse) | Tätigkeit im Rahmen der Ver- einbarung | Ver- arbeitete Daten- kategorien | Ort der Ver- arbeitung |
| govdigital eG | Charlottenstraße 65, 10117 Berlin |
| Siehe Ziffer 2 (2). | BRD |
Erklärung:
govdigital eG fungiert als Unterauftragsverarbeiter des RKI und setzt für die konkrete Datenverarbeitung eines ihrer Mitglieder, die Dataport AöR, ein. Die Plattform wird auf der Instanz der dPhoenixSuite „Agora powered by Phoenix“ betrieben
Bitte fragen Sie die Technischen und organisatorischen Maßnahmen unter agora@rki.de an.
Stand: 22.04.2024
