Navigation und Service

Vereinbarung zur Auftragsverarbeitung

Stand:  20.11.2024

Zwischen

[Einrichtungen des öffentlichen Gesundheitsdienstes] (nachfolgend „ÖGD-Stelle “), vertreten durch die/den sogenannte/n „Identity Administrator” bzw. die „Identity Administratorin“ 

und

Robert Koch-Institut, Nordufer 20,13353 Berlin, vertreten durch den Präsidenten (nachfolgend „RKI“, „uns“ oder „wir“)

1. Geltungs- und Anwendungsbereich

(1) Diese Vereinbarung zur Auftragsverarbeitung („Vereinbarung“) ist Anlage zu den Nutzungsbedingungen für das EMIGA Organisationsverzeichnis und gilt für die Verarbeitung von personenbezogenen Daten durch das RKI im Auftrag der ÖGD-Stelle. Das RKI und die ÖGD-Stelle werden nachfolgend einzeln auch als „Partei“ und zusammen als „Parteien“ bezeichnet.

(2) Die Vereinbarung gilt ausschließlich für die Verarbeitung von personenbezogenen Daten bei der Nutzung im Rahmen des Organisationsverzeichnisses, als Teil der ÖGD-Kollaborationsplattform EMIGA (nachfolgend „Plattform“ oder „EMIGA“).

2. Konkretisierung des Auftragsinhalts (Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen)

(1) EMIGA unterstützt die digitale Datenverarbeitung von infektionsepidemiologischen Informationen und Ereignissen gemäß dem Infektionsschutzgesetz (IfSG) und soll als zukünftige zentrale Plattform den Gesundheitsämtern (nachfolgend als „GA“ oder „GÄ“ bezeichnet) bzw. den Einrichtungen des öffentlichen Gesundheitsdienstes (nachfolgend als „ÖGD“ bezeichnet) zur Verfügung stehen.

Mit dem Organisationsverzeichnis, als Teil von EMIGA, wird ein einheitliches Verzeichnis für Organisationen im ÖGD geschaffen, um die Kommunikationsaufgaben zu unterstützen und die Verfügbarkeit von aktuellen Adressdaten sicherzustellen. Das RKI ist Verantwortlicher für die Bereitstellung des Organisationsverzeichnisses und stellt dieses einschließlich der Funktionen als Auftragsverarbeiter den ÖGD-Stellen und deren Nutzungsberechtigten zur Verfügung. Die dazu erforderliche Vereinbarung zur Auftragsverarbeitung wird ebenfalls durch das RKI zur Verfügung gestellt.

(2) Die Dauer der Auftragsverarbeitung richtet sich nach der Nutzungsdauer durch die ÖGD- Stelle unter Beachtung der jeweils geltenden gesetzlichen Aufbewahrungsfristen.

(3) Folgende Datenarten oder -kategorien sind Gegenstand der Verarbeitung durch das RKI:

Stammdaten von Beschäftigten im Öffentlicher Gesundheitsdienst (ÖGD)
bspw.

  • Vor- und Nachname
  • dienstliche Kontaktdaten wie (E-Mail-Adresse Telefonnummer, Adresse)
  • Akademischer Grad (nur sofern dieser nicht notwendigerweise durch Nutzer eingetragen wird)
  • Name der Dienststelle, sowie optional eine fachliche Zuständigkeit (z.B.TB-Stelle“) 

Authentifizierungsdaten /Anmeldedaten
bspw.

  • Vor- und Nachname
  • dienstliche E-Mail-Adresse
  • Name der Behörde
  • Zugeordnete Rollen 

Protokolldaten und Verbindungsdaten
bspw.

  • User-ID
  • Zeitstempel
  • IP-Adresse 

(4) Der Kreis der betroffenen Personen umfasst Mitarbeitende der nutzenden ÖGD-Stelle.

(5) Im Rahmen der Nutzung des Organisationsverzeichnisses dürfen keine besonderen Kategorien von personenbezogenen Daten i.S.v. Art. 9 DSGVO (wie z.B. Gesundheitsdaten, biometrische Daten, religiöse oder weltanschauliche Überzeugungen, Angaben zur Gewerkschaftszugehörigkeit, genetische Daten, Daten zum Sexualleben oder der sexuellen Orientierung) DSGVO hochgeladen, eingetragen oder auf andere Art und Weise verarbeitet werden. Für die Einhaltung dieser Beschränkung ist ausschließlich die ÖGD-Stelle verantwortlich. Eine Überwachung durch das RKI findet nicht statt. Es wird auf Ziffer 8 der Nutzungsbedingungen verwiesen.

3. Verantwortlichkeit und Weisungsbefugnis

(1) Für die Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen ist allein die ÖGD-Stelle verantwortlich.

(2) Das RKI verarbeitet personenbezogene Daten nur auf dokumentierte Weisung der ÖGD-Stelle in Person des Identity Administrator” bzw.  der „Identity Administratorin“ oder der Amtsleitung („weisungsbefugte Personen“), es sei denn, das RKI ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem es unterliegt, zur Verarbeitung verpflichtet; in einem solchen Fall teilt das RKI der ÖGD-Stelle diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(3) Weisungen erfolgen durch weisungsbefugte Personen der ÖGD-Stelle an die E-Mailadresse emiga@rki.de.

(4) Das RKI informiert die weisungsbefugten Personen der ÖGD-Stelle unverzüglich, wenn es der Auffassung ist, dass von der ÖGD-Stelle erteilte Weisungen gegen die DSGVO oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen. Das RKI ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie von Seiten der ÖGD-Stelle bestätigt oder geändert wird.

4. Dokumentation und Einhaltung der Klauseln

(1) Das RKI stellt der ÖGD-Stelle alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in dieser Vereinbarung festgelegten und unmittelbar aus der DSGVO hervorgehenden Pflichten erforderlich sind.

(2) Die ÖGD-Stelle kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des RKI umfassen und werden zu den üblichen Geschäftszeiten mit angemessener Vorankündigung durchgeführt.

5. Technische und organisatorische Maßnahmen

(1) Das RKI ergreift geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst auch den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

(2) Die Parteien vereinbaren zusätzlich geeignete technische und organisatorische Maßnahmen. Diese werden auf Anfrage als Anlage „Technische und organisatorische Maßnahmen“ zur Verfügung gestellt. Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt unterliegen, ist es dem RKI insoweit gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in dem “ festgelegten Maßnahmen nicht unterschritten werden.

6. Einsatz von Unterauftragsverarbeitern

(1) Die ÖGD-Stelle erklärt sich mit der Beauftragung der im Anhang „Subunternehmen“ aufgeführten Unterauftragsverarbeitern einverstanden.

(2) Das RKI besitzt die allgemeine Genehmigung der ÖGD-Stelle für die Beauftragung von Unterauftragsverarbeitern. Das RKI unterrichtet die ÖGD-Stelle mindestens 4 Wochen im Voraus und mindestens in Textform über jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters, wodurch der ÖGD-Stelle die Möglichkeit eingeräumt wird, gegen die beabsichtigte Hinzuziehung oder Ersetzung Einspruch einzulegen. Erfolgt innerhalb von 2 Wochen nach Unterrichtung kein Einspruch durch die ÖGD-Stelle, gilt die Zustimmung zur Hinzuziehung oder Ersetzung als erteilt. Legt die ÖGD-Stelle Einspruch ein, kann das RKI diese Vereinbarung ohne Einhaltung einer Frist kündigen. In diesem Fall gilt Ziffer 10 (3) und (4) der Vereinbarung.

(3) Beauftragt das RKI einen Unterauftragsverarbeiter, so muss diese Beauftragung im Wege eines Vertrags erfolgen. In diesem Vertrag hat das RKI sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem Unterauftragsverarbeitern so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung zwischen der ÖGD-Stelle und dem RKI entspricht und alle vertraglichen und gesetzlichen Vorgaben beachtet werden; dies gilt insbesondere auch im Hinblick auf den Einsatz geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus der Verarbeitung.

(4) Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet das RKI gegenüber der ÖGD-Stelle für die Einhaltung der Pflichten jenes Unterauftragsverarbeiters.

(5) Nicht als Unterauftragsverarbeitung im Sinne dieser Regelung gelten Dienstleistungen, die das RKI bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführung in Anspruch nimmt, beispielsweise Telekommunikationsdienstleistungen.

7. Betroffenenrechte

(1) Das RKI unterrichtet die ÖGD-Stelle unverzüglich über jeden Antrag, den das RKI von einer betroffenen Person erhalten hat. Das RKI beantwortet den Antrag nicht selbst.

(2) Unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen unterstützt das RKI die ÖGD-Stelle bei der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person in angemessenem Umfang.

8. Ort der Verarbeitung

Die Verarbeitung der Daten im Auftrag der ÖGD-Stelle findet ausschließlich auf dem Gebiet der Europäischen Union oder des Europäischen Wirtschaftsraums statt. Jede Übermittlung an einen Drittstaat darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

9. Weitere Pflichten des RKI

(1) Das RKI gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Das RKI unterstützt die ÖGD-Stelle unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 – 36 DSGVO genannten Pflichten.

(3) Bei einer Datenschutzverletzung informiert das RKI unverzüglich nach Bekanntwerden die ÖGD-Stelle in Person des Identity Administrator” bzw. der „Identity Administratorin“ Die Meldung enthält soweit möglich folgende Informationen:

a) Beschreibung der Datenschutzverletzung mit Angaben zu betroffenen Personen- und Datenkategorien;
b) mögliche Folgen der Datenschutzverletzung; und
c) Beschreibung der ergriffenen bzw. vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung inklusive Maßnahmen zur Schadensminderung.

10. Beendigung der Vereinbarung

(1) Die ÖGD-Stelle kann diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen.

(2) Das RKI ist berechtigt, diese Vereinbarung zu kündigen, wenn die ÖGD-Stelle auf die Erfüllung seiner Anweisungen besteht, nachdem die ÖGD-Stelle vom RKI darüber in Kenntnis gesetzt wurde, dass die Weisungen gegen geltende rechtliche Anforderungen verstoßen (vgl. Ziffer 3.4).

(3) Diese Vereinbarung kann nur zusammen mit den Nutzungsbedingungen gekündigt werden. Die Kündigung dieser Vereinbarung bewirkt die Kündigung der Nutzungsbedingungen. Nach Beendigung hat die ÖGD-Stelle die Nutzung des Organisationsverzeichnisses, als Teil von EMIGA unverzüglich einzustellen und ist nicht zur weiteren Nutzung berechtigt.

(4) Nach Beendigung löscht das RKI nach Wahl der ÖGD-Stelle alle im Auftrag verarbeiteten personenbezogenen Daten und bescheinigt der ÖGD-Stelle, dass dies erfolgt ist, oder es gibt alle personenbezogenen Daten an die ÖGD-Stelle zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet das RKI weiterhin die Einhaltung dieser Klauseln.

11. Haftung und Schadensersatz

(1) Haftung und Schadensersatz richten sich nach Art. 82 DSGVO.

(2) Weitere Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt.

12. Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(2) Sollten einzelne Regelungen dieser Vereinbarung unwirksam oder undurchführbar sein, wird davon die Wirksamkeit der übrigen Regelungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Regelung tritt diejenige wirksame und durchführbare Regelung, deren Wirkung der Zielsetzung am nächsten kommt, die die Parteien mit der unwirksamen oder undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich die Vereinbarung als lückenhaft erweist.

(3) Diese Vereinbarung unterliegt deutschem Recht.

(4) Gerichtsstand ist Berlin

Anhang „Subunternehmen“

Sub­unter­nehm­en (Name/Firma mit Ge­sell­schafts-bezeichnung)Sitz (voll­ständige Adresse)Tätig­keit im Rah­men der Ver­ein­bar­ungVer­ar­bei­te­te Daten­ka­te­go­rienOrt der Ver­ar­beit­ung
CGI

CGI Deutschland B.V. & Co. KG

Ettore-Bugatti-Straße 6-14

51149 Köln

Entwicklung und BetriebSiehe Ziffer 2.3BRD/EU
CanCom

CANCOM Public GmbH

Granatenstr. 19

13409 Berlin

HostingSiehe Ziffer 2.3BRD/EU
msg

msg systems ag

Robert-Bürkle-Straße 1

85737 Ismaning 

Betreuung im Rahmen der Pro­jekt­un­ter­stüt­zungSiehe Ziffer 2.3BRD/EU
Kontaktdaten des / der Datenschutzbeauftragten
Dienstliche Anschrift

Robert Koch-Institut

z. Hd. der Datenschutzbeauftragten

Nordufer 20

13353 Berlin

Telefonnummer030-18574-0
E-Mailadressedatenschutz@rki.de