Organisation Um die Einhaltung wissenschaftlicher Standards im Rahmen des Monitorings zu gewährleisten, greift das BMFSFJ bei dessen Durchführung auf die Expertise wissenschaftlicher Institutionen zurück. Diese erheben und analysieren empirische Daten und stellen die wissenschaftlichen Befunde dem BMFSFJ zur Verfügung. Die Geschäftsstelle des Bundes begleitet das Monitoring in koordinierender Funktion. In allen das Monitoring betreffenden Angelegenheiten agieren das BMFSFJ und die Geschäftsstelle als Ansprech- partner der Länder. Die Länder begleiten den gesamten Prozess zur Umsetzung des KiQuTG durch ein fachliches Gre- mium bestehend aus Bund und Ländern. In den regelmäßig stattfindenden Sitzungen des Gremiums wird das Monitoring ein wichtiges Thema sein. Es erfolgen insbesondere Beratungen zur konzeptio- nellen Ausgestaltung und Entwicklung des Monitorings, einschließlich der Auswahl und gegebenen- falls Veränderung und Anpassung der Berichtsindikatoren, sowie ein fortlaufender Austausch über die Ergebnisse des Monitorings im Vorfeld der Veröffentlichung. Das BMFSFJ ist bestrebt, sich hinsichtlich der Entscheidungen, die das Monitoring betreffen, mit den Ländern ins Benehmen zu setzen. Das Monitoring wird zusätzlich von einem Expertengremium aus Vertreterinnen und Vertretern der Wissenschaft und Praxis, der Länder sowie des BMFSFJ und der Geschäftsstelle unterstützt. Allen Ländern steht eine Beteiligung am Expertengremium offen. Das BMFSFJ beruft die Mitglieder des Gre- miums aus Wissenschaft und Praxis. Diesbezüglich können das fachliche Gremium und die am Mo- nitoring beteiligten wissenschaftlichen Institutionen Vorschläge unterbreiten. Das Expertengremium tritt einmal jährlich zusammen, um die Ergebnisse des Monitorings zu beraten, die Vorgehensweise zu prüfen und gegebenenfalls Änderungs- oder Anpassungsbedarfe aufzuzeigen. Die wissenschaftliche Expertise soll zudem verstärkt in die vorzunehmenden technisch-methodischen Entwicklungsschrit- te einfließen. Expertengremium aus beruft moderiert richtet ein enger Vertretung der Austausch 16 Bundesländer zur Umsetzung Gesetz (insbesondere Monitoring) berät stellt wissenschaftliche Befunde zur Verfügung Monitoringstelle Fachliches Gremium Geschäftsstelle BMFSFJ veröffentlicht Monitoringbericht Wissenschaft Praxis Länder Abbildung 1: Gremienstruktur Der Monitoringbericht wird sich aus einer Einleitung und Zusammenfassung, einem länderübergrei- fenden Teil, einem länderspezifischen Teil einschließlich der Fortschrittsberichte der Länder sowie einer Schlussbemerkung und einem Anhang zusammensetzen. Der länderübergreifende Teil des Monitoringberichts betrachtet alle zehn Handlungsfelder sowie Maßnahmen gemäß § 2 Satz 2 KiQuTG. Auf der Basis empirischer Daten untersucht er bundesweit die Aufwachsensbedingungen von Kindern. Eine Einordnung der Länder in Ranglisten („Länderranking“) findet nicht statt. Der länderspezifische Teil des Monitoringberichts konzentriert sich auf den Fortschritt in der Wei- terentwicklung der Qualität und/oder der Verbesserung der Teilhabe in den einzelnen Ländern. Er beschreibt somit die zeitlichen Veränderungen hinsichtlich der vom jeweiligen Land ausgewählten Handlungsfelder beziehungsweise der Maßnahmen gemäß § 2 Satz 2 KiQuTG. Er gliedert sich in einen ersten Teil, in dem vertiefende empirische Analysen für jedes Bundesland dargestellt werden, sowie in einen weiteren Teil, der die von den Ländern übermittelten Fortschrittsberichte umfasst. Die länder- spezifischen empirischen Ergebnisse und die Fortschrittsberichte werden im Rahmen der Berichts- erstellung auf der Grundlage regelmäßig stattfindender Konsultationen/Workshops mit den Ländern (Hinzuziehung weiterer Akteure möglich) eingeordnet. Die zur Erstellung des Monitoringberichts genutzten Datenquellen umfassen die amtliche Statistik (Kinder- und Jugendhilfestatistik und weitere), nichtamtliche Befragungsdaten (z. B. Befragungen von pädagogischen Fachkräften, Jugendämtern, Eltern) sowie die Fortschrittsberichte der Länder. Die Konsultationen/Workshops mit Vertreterinnen und Vertretern der Länder dienen der Interpretation, der das jeweilige Land betreffenden Daten. Abbildung 2: Bestandteile des Monitorings Stand der Qualitätsindikatoren, Feststellung der Qualitätsentwicklung Feststellung der Gleichwertigkeit in den ausgewählten Handlungsfeldern, der Aufwachsensbedingungen Länderanalysen zu den genannten Parametern Amtliche Daten Nicht-amtliche Daten beteiligter Akteure aus Befragungen Amtliche Daten Nicht-amtliche Daten beteiligter Akteure aus Befragungen Fortschrittsberichte der Länder Das datenbasierte Monitoring wird sich sowohl auf bereits etablierte Indikatoren als auch auf wei- ter- beziehungsweise neu zu entwickelnde Indikatoren stützen. Die Auswahl der Berichtsindikatoren sowie die Erstellung und gegebenenfalls Anpassung der Erhebungsinstrumente werden als Entwick- lungsprozess verstanden, in den das fachliche Gremium regelmäßig einbezogen wird. Darüber hinaus wird der Prozess durch das Expertengremium unterstützt. Handlungs- und Finanzierungskonzept des Landes
Technisch-organisatorische Maßnahmen (1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. (2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten in Anlage 1]. (3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
Technische und organisatorische Maßnahmen (1) Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig. (2) Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren. (3) Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich. (4) Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (5) Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist. (6) Die Verarbeitung von Daten in Privatwohnungen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag bestimmten Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privatwohnungen ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet. (7) Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert. (8) Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis ist dem Auftraggeber spätestens alle 12 Monate unaufgefordert und sonst jederzeit auf Anforderung zu überlassen. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.
Technische Maßnahmen Organisatorische Maßnahmen Technische Protokollierung der Eingabe, Änderung und Löschung von Daten Übersicht, mit welchen Programmen welche Daten eingegeben, geändert odergelöscht werden können Manuelle oder automatisierte Kontrolle der Protokolle Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen) Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden Klare Zuständigkeiten für Löschungen
Exportkontrolle Der Besteller anerkennt, dass die Lieferungen den schweizerischen und/oder ausländischen gesetzlichen Bestimmungen und Vorschriften über die Exportkontrolle unterstehen können und ohne Ausfuhr- bzw. Wiederausfuhrbewilligung der zuständigen Behörde weder verkauft, vermietet noch in anderer Weise übertragen oder für einen anderen als den vereinbarten Zweck verwendet werden dürfen. Der Besteller verpflichtet sich, solche Bestimmungen und Vorschriften einzuhalten. Er nimmt zur Kenntnis, dass diese ändern können und auf den Vertrag im jeweils gültigen Wortlaut anwendbar sind.
Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Datenschutz-Management Technische Maßnahmen Organisatorische Maßnahmen
Verschiedenes 12.1 Änderungen und Ergänzungen sämtlicher zwischen den Parteien geschlossener Verträge sollen nur schriftlich vereinbart werden. Textform (§ 126b BGB) genügt diesem Schriftformerfordernis. Soweit vertraglich ausdrücklich Schriftform vereinbart worden ist (z.B. für eine Vertragsänderung oder eine Kündigung) genügt Textform nicht. Mündliche Absprachen gelten nur, wenn sie binnen sieben Tagen in Textform durch den Anbieter bestätigt werden. 12.2 Der Anbieter und der Kunde sind verpflichtet, über Geschäfts- und Betriebsgeheimnisse sowie über sonstige als vertraulich bezeichnete Informationen, die im Zusammenhang mit ihrem Vertragsverhältnis bzw. der daraus resultierenden Vertragsbeziehung bekannt werden, Stillschweigen zu wahren. Die Weitergabe solcher Informationen an Personen, die nicht an dem Abschluss, der Durchführung oder der Abwicklung des Vertragsverhältnisses beteiligt sind, darf – soweit nicht eine gesetzliche Verpflichtung besteht - nur mit ausdrücklicher schriftlicher Einwilligung des Vertragspartners erfolgen. Soweit nichts anderes vereinbart ist, endet diese Verpflichtung nach Ablauf von fünf Jahren ab Bekanntwerden der jeweiligen Information, nicht jedoch vor Beendigung eines zwischen dem Anbieter und dem Kunden bestehenden Vertragsverhältnisses. Die Vertragspartner werden diese Verpflichtungen auch ihren Mitarbeitern und eventuell eingesetzten Dritten auferlegen. 12.3 Soweit der Anbieter auf personenbezogene Daten zugreifen kann, die auf Systemen des Kunden gespeichert sind, wird er ausschließlich als Auftragsverarbeiter tätig (Art. 4 Ziff. 8 DS-GVO) und diese Daten nur zur Vertragsdurchführung verarbeiten und nutzen. Der Kunde wird mit dem Anbieter datenschutzrechtlich notwendige Vereinbarungen für den Umgang mit personenbezogenen Daten abschließen. Der Anbieter wird die gesetzlichen Erfordernisse der Auftragsverarbeitung und Weisungen des Kunden (z. B. zur Einhaltung von Xxxxx- und Sperrpflichten) für den Umgang mit diesen Daten beachten. Die Vertragspartner werden diese Verpflichtungen auch ihren Mitarbeitern und eventuell eingesetzten Dritten auferlegen. 12.4 Dem Anbieter und dem Kunden ist bekannt, dass eine elektronische und unverschlüsselte Kommunikation (z. B. per E-Mail) mit Sicherheitsrisiken behaftet ist. Bei dieser Art der Kommunikation werden weder der Anbieter noch der Kunde daher Ansprüche geltend machen, die durch das Fehlen einer Verschlüsselung begründet sind, außer soweit zuvor eine Verschlüsselung vereinbart worden ist. 12.5 Sämtliche Vertragsverhältnisse der Parteien unterliegen ausschließlich dem Recht der Bundesrepublik Deutschland.
Schutz personenbezogener Daten Die Vertragsparteien kommen überein zusammenzuarbeiten, um einen hohen Schutz personen- bezogener Daten im Einklang mit den in Anhang I genannten Rechtsinstrumenten und -normen der EU, des Europarats und des Völkerrechts zu gewährleisten.
Verarbeitung personenbezogener Daten 17.1. Datenverarbeitung durch bioMérieux als verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO Betr. Kundendaten Im Rahmen der Vertragsbeziehung zwischen den Parteien verarbeitet bioMérieux als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO die zur Vertragsanbahnung, -durchführung und -beendigung erforderlichen personenbezogenen Daten des Kunden bzw. von dessen Mitarbeitern. bioMérieux verarbeitet diese Daten ausschließlich im Einklang mit den anwendbaren Datenschutzgesetzen, insbesondere unter Einhaltung der Vorgaben der DSGVO. Weitergehende Informationen über die Datenverarbeitung können den Datenschutzhinweisen für Kunden entnommen werden, die dem Kunden zusammen mit dem Vertrag und diesen AGB zur Verfügung gestellt werden. 17.2. Datenverarbeitung durch bioMérieux als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO – Betr. Kunden- und Patientendaten Im Rahmen von Serviceleistungen am Gerät oder einer Fernwartung besteht theoretisch die Möglichkeit, dass Mitarbeiter von bioMérieux Patientendaten unverschlüsselt einsehen können - im Regelfall tritt dies nicht ein. Sofern der Kunde ein Risiko sieht, dass Patientendaten für bioMérieux einsehbar werden können, dann wird bioMérieux sofort als Auftragsdatenverarbeiter wie im Folgenden beschrieben und in der Auftragsform „Datenverarbeitung im Auftrag“ fixiert tätig; diese Auftragsform ist dann von den Parteien ergänzend zu unterzeichnen. Sofern bioMérieux innerhalb der zum Kunden bestehenden Vertragsbeziehung, z. B. im Rahmen der Leistungsbeziehung, Wahrnehmung von Garantien, Wartungen oder Qualitätskontrollen verkaufter Systeme als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO personenbezogene Daten des Kunden bzw. von den Patienten des Kunden verarbeitet, werden die Parteien die nach Art. 28 DSGVO erforderlichen Vereinbarung zur Auftragsverarbeitung abschließen. bioMérieux wird die im Auftrag zu verarbeitenden personenbezogenen Daten des Kunden ausschließlich nach den für Auftragsverarbeiter geltenden Vorschriften der DSGVO verarbeiten. Die Einzelheiten der Auftragsverarbeitung durch bioMérieux, insbesondere die Rechte und Pflichten der Parteien werden in der abzuschließenden Vereinbarung zur Auftragsverarbeitung nach Maßgabe des Art. 28 DSGVO geregelt.