Therapeutische Maßnahmen nicht in Kraft aufgrund der Beanstandung des BMG vom 27.04.2012: 9
Therapeutische Maßnahmen
Technische Maßnahmen Organisatorische Maßnahmen Technische Protokollierung der Eingabe, Änderung und Löschung von Daten Übersicht, mit welchen Programmen welche Daten eingegeben, geändert odergelöscht werden können Manuelle oder automatisierte Kontrolle der Protokolle Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen) Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden Klare Zuständigkeiten für Löschungen
Verarbeitung personenbezogener Daten 17.1. Datenverarbeitung durch bioMérieux als verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO Betr. Kundendaten Im Rahmen der Vertragsbeziehung zwischen den Parteien verarbeitet bioMérieux als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO die zur Vertragsanbahnung, -durchführung und -beendigung erforderlichen personenbezogenen Daten des Kunden bzw. von dessen Mitarbeitern. bioMérieux verarbeitet diese Daten ausschließlich im Einklang mit den anwendbaren Datenschutzgesetzen, insbesondere unter Einhaltung der Vorgaben der DSGVO. Weitergehende Informationen über die Datenverarbeitung können den Datenschutzhinweisen für Kunden entnommen werden, die dem Kunden zusammen mit dem Vertrag und diesen AGB zur Verfügung gestellt werden. 17.2. Datenverarbeitung durch bioMérieux als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO – Betr. Kunden- und Patientendaten Im Rahmen von Serviceleistungen am Gerät oder einer Fernwartung besteht theoretisch die Möglichkeit, dass Mitarbeiter von bioMérieux Patientendaten unverschlüsselt einsehen können - im Regelfall tritt dies nicht ein. Sofern der Kunde ein Risiko sieht, dass Patientendaten für bioMérieux einsehbar werden können, dann wird bioMérieux sofort als Auftragsdatenverarbeiter wie im Folgenden beschrieben und in der Auftragsform „Datenverarbeitung im Auftrag“ fixiert tätig; diese Auftragsform ist dann von den Parteien ergänzend zu unterzeichnen. Sofern bioMérieux innerhalb der zum Kunden bestehenden Vertragsbeziehung, z. B. im Rahmen der Leistungsbeziehung, Wahrnehmung von Garantien, Wartungen oder Qualitätskontrollen verkaufter Systeme als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO personenbezogene Daten des Kunden bzw. von den Patienten des Kunden verarbeitet, werden die Parteien die nach Art. 28 DSGVO erforderlichen Vereinbarung zur Auftragsverarbeitung abschließen. bioMérieux wird die im Auftrag zu verarbeitenden personenbezogenen Daten des Kunden ausschließlich nach den für Auftragsverarbeiter geltenden Vorschriften der DSGVO verarbeiten. Die Einzelheiten der Auftragsverarbeitung durch bioMérieux, insbesondere die Rechte und Pflichten der Parteien werden in der abzuschließenden Vereinbarung zur Auftragsverarbeitung nach Maßgabe des Art. 28 DSGVO geregelt.
Personenbezogene Daten Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Wie lange werden meine Daten gespeichert? Wir verarbeiten und speichern wir Ihre personenbezogenen Daten, solange es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erfor- derlich ist. Dabei ist zu beachten, dass unsere Geschäftsbeziehung ein Dauerschuldverhältnis ist, welches auf Jahre angelegt ist. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforder- lich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken: • Erfüllung handels- und steuerrechtlicher Aufbewahrungsfristen: Zu nennen sind das Handelsgesetzbuch (HGB), die Abgabenordnung (AO), das Kreditwesengesetz (KWG) und das Geldwäschegesetz (GwG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre. • Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungs- vorschriften. Nach den §§ 195ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.
Schutz personenbezogener Daten Die Vertragsparteien kommen überein zusammenzuarbeiten, um einen hohen Schutz personen- bezogener Daten im Einklang mit den in Anhang I genannten Rechtsinstrumenten und -normen der EU, des Europarats und des Völkerrechts zu gewährleisten.
Technisch-organisatorische Maßnahmen (1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. (2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen [Einzelheiten in Anlage 1]. (3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
Kategorien von Empfängern der personenbezogenen Daten Rückversicherer: Vermittler: Datenverarbeitung in der Unternehmensgruppe: Externe Dienstleister: Weitere Empfänger:
Beitrag oder Geschäftsgebühr bei Widerruf, Rücktritt, Anfechtung und fehlendem versicherten Interesse B1-6.2.1 Widerruft der Versicherungsnehmer seine Vertragserklärung innerhalb von 14 Tagen, hat der Versicherer nur den auf die Zeit nach Zugang der Widerrufserklärung entfallenden Teil der Beiträge zu erstatten. Voraussetzung ist, dass der Versicherer in der Widerrufsbelehrung auf das Widerrufsrecht, die Rechtsfolgen des Widerrufs und den zu zahlenden Betrag hingewiesen und der Versicherungsnehmer zugestimmt hat, dass der Versicherungsschutz vor Ende der Widerrufsfrist beginnt. Ist die Widerrufsbelehrung nach Satz 2 unterblieben, hat der Versicherer zusätzlich den für das erste Versicherungsjahr gezahlten Beitrag zu erstatten. Dies gilt nicht, wenn der Versicherungsnehmer Leistungen aus dem Versicherungsvertrag in Anspruch genommen hat. B1-6.2.2 Tritt der Versicherer wegen Verletzung einer vorvertraglichen Anzeigepflicht vom Versicherungsvertrag zurück, so steht ihm der Beitrag bis zum Zugang der Rücktrittserklärung zu. Wird der Versicherungsvertrag durch Rücktritt des Versicherers beendet, weil der einmalige oder der erste Beitrag nicht rechtzeitig gezahlt worden ist, so steht dem Versicherer eine angemessene Geschäftsgebühr zu. B1-6.2.3 Wird der Versicherungsvertrag durch Anfechtung des Versicherers wegen arglistiger Täuschung beendet, so steht dem Versicherer der Beitrag bis zum Zugang der Anfechtungserklärung zu. B1-6.2.4 Fällt das versicherte Interesse nach dem Beginn der Versicherung vollständig und dauerhaft weg, steht dem Versicherer der Beitrag zu, den er hätte beanspruchen können, wenn die Versicherung nur bis zu dem Zeitpunkt beantragt worden wäre, zu dem der Versicherer vom Wegfall des Interesses Kenntnis erlangt hat. B1-6.2.5 Der Versicherungsnehmer ist nicht zur Zahlung des Beitrags verpflichtet, wenn das versicherte Interesse bei Beginn der Versicherung nicht besteht, oder wenn das Interesse bei einer Versicherung, die für ein künftiges Unternehmen oder für ein anderes künftiges Interesse genommen ist, nicht entsteht. Der Versicherer kann jedoch eine angemessene Geschäftsgebühr verlangen. Hat der Versicherungsnehmer ein nicht bestehendes Interesse in der Absicht versichert, sich dadurch einen rechtswidrigen Vermögensvorteil zu verschaffen, ist der Vertrag nichtig. Dem Versicherer steht in diesem Fall der Beitrag bis zu dem Zeitpunkt zu, zu dem er von den die Nichtigkeit begründenden Umständen Kenntnis erlangt.
Schlussbestimmungen / Salvatorische Klausel 14.1. Änderungen und Ergänzungen der Vereinbarung zwischen den Parteien bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für eine Änderung des Schriftformerfordernisses selbst. Anstelle der Schriftform darf auch die elektronische Form (§ 126a BGB) verwandt werden. Die von dem Personaldienstleister überlassenen Zeitarbeitnehmer sind nicht berechtigt, Änderungen, Ergänzungen oder Nebenabreden des Arbeitnehmerüberlassungsvertrages mit dem Auftraggeber zu vereinbaren. 14.2. Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit dem Vertragsverhältnis zwischen dem Personaldienstleister und dem Auftraggeber ist der Sitz der jeweiligen Geschäftsstelle des Personaldienstleisters, die den vorliegenden Arbeitnehmerüberlassungsvertrag geschlossen hat, sofern der Auftraggeber Kaufmann ist. Der Personaldienstleister kann seine Ansprüche darüber hinaus auch bei den Gerichten des allgemeinen Gerichtsstandes des Auftraggebers geltend machen. 14.3. Für sämtliche Rechtsbeziehungen zwischen dem Personaldienstleister und dem Auftraggeber gilt ausschließlich das Recht der Bundesrepublik Deutschland. 14.4. Der Personaldienstleister erklärt, nicht an einem Verfahren zur alternativen Streitbeilegung in Verbrauchersachen gemäß Gesetz über die alternative Streitbeilegung in Verbrauchersachen teilzunehmen. 14.5. Sollte eine Bestimmung dieser Allgemeinen Geschäftsbedingungen oder der auf dieser Grundlage abgeschlossenen Arbeitnehmerüberlassungsverträge ganz oder teilweise unwirksam sein oder werden, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen. An Stelle der unwirksamen Bestimmung tritt eine solche, die dem wirtschaftlichen Zweck am nächsten kommt.
Datenschutz und Datensicherheit Die Schule sorgt durch technische und organisatorische Maßnahmen für den Schutz und die Sicherheit der im pädagogischen Netz zur Anmeldung vorhandenen personenbezogenen Daten. Mit Microsoft wurde zur Nutzung von Microsoft 365 ein Vertrag abgeschlossen, welcher gewähr- leistet, dass personenbezogene Anmeldedaten von Benutzern nur entsprechend der Vertrags- bestimmungen verarbeitet werden. Microsoft verpflichtet sich, diese Daten von Benutzern in Microsoft 365 nicht zur Erstellung von Profilen zur Anzeige von Werbung oder Direkt Marketing zu nutzen. Ziel unserer Schule ist es, durch eine Minimierung von personenbezogenen Daten bei der Nutzung von Microsoft 365 auf das maximal erforderliche Maß, das Recht auf informationelle Selbstbestimmung unserer Xxxxxxx und Lehrkräfte bestmöglich zu schützen. Dieses ist nur möglich, wenn die Benutzer selbst durch verantwortungsvolles Handeln zum Schutz und zur Sicherheit ihrer personenbezogenen Daten beizutragen und auch das Recht anderer Personen an der Schule auf informationelle Selbstbestimmung respektieren. An erster Stelle gilt dieses für die Nutzung von personenbezogenen Daten in der Cloud von Micro- soft 365. Es gilt jedoch auch für das pädagogische Netzwerk der Schule und Moodle. Personenbezogene Daten gehören grundsätzlich nicht in die Microsoft Cloud oder in Moodle, we- der die eigenen noch die von anderen! Jeder Benutzer hat dafür zu sorgen, dass Sicherheit und Schutz von personenbezogenen Daten nicht durch leichtsinniges, fahrlässiges oder vorsätzliches Handeln gefährdet werden. Verantwortungsvolles und sicheres Handeln bedeutet: Passwörter o müssen sicher sein und dürfen nicht erratbar sein. Sie müssen aus mindestens 8 Zeichen bestehen, worunter sich eine Zahl, ein Großbuchstabe und ein Sonderzeichen befinden müssen. o müssen zumindest einmal im Schuljahr gewechselt werden.