LumiraDx UK Ltd
LumiraDx Platform-Softwarelizenz
Anwendbar ab Januar 2020
Diese Lizenzvereinbarung (zusammen mit der Datenschutzrichtlinie von LumiraDx UK Ltd) („Lizenz“) ist eine rechtliche Vereinbarung zwischen der Organisation (wie unten definiert) und LumiraDx UK Ltd, einem in England und Wales registrierten Unternehmen mit der Firmennummer 09206123, mit Sitz in 3 More London Riverside, London, SE1 2AQ („LumiraDx“, „wir“ oder „uns“) und regelt die Nutzung folgender Elemente durch die Organisation:
LumiraDx lizenziert Connect Manager an die Organisation auf der Grundlage dieser Lizenz und vorbehaltlich aller Regeln oder Richtlinien, die von einem Appstore-Anbieter oder -Betreiber angewendet werden, von dessen Website die Organisation Connect Manager herunterlädt („Appstore-Regeln“).
Durch die Verwendung der Instrument-Software und/oder von Connect Manager oder durch Ankreuzen des Feldes „Akzeptieren“ bestätigen die Organisation und ihre Benutzer, dass sie sich mit den Bedingungen dieser Lizenz einverstanden erklären. Die Organisation ist dafür verantwortlich, sicherzustellen, dass ihre Benutzer die Bedingungen dieser Lizenz einhalten. Diese Lizenz enthält insbesondere Haftungsbeschränkungen in Klausel 11.
1. AUSLEGUNG
1.1 Die Definitionen und Auslegungsregeln in dieser Klausel gelten im Hintergrund und im Rahmen dieser Lizenz:
Werktag: ein anderer Tag als Samstag, Sonntag oder gesetzlicher Feiertag in England, an dem die Banken in London für Geschäfte geöffnet sind.
Vertrauliche Informationen: alle Informationen, die von einer der Parteien schriftlich als vertraulich bezeichnet wurden oder als vertraulich anzusehen sind (unabhängig davon, wie sie übermittelt werden oder auf welchen Datenträgern sie gespeichert sind), einschließlich Informationen, die die geschäftlichen Interessen einer Person, Geschäftsgeheimnisse, Rechte an geistigem Eigentum, Know-how einer der Parteien und alle personenbezogenen Daten und sensiblen Daten im Sinne der Datenschutzgesetzgebung beeinträchtigen würden oder könnten.
Connect Manager: die als Connect Manager bekannte Online-Softwarekomponente (und alle Aktualisierungen oder Ergänzungen dazu), die Eigentum von LumiraDx ist und von LumiraDx lizenziert wurde und in Verbindung mit dem Diagnostik-Gerät verwendet werden darf, wenn es in einem Verwaltungsmodus betrieben wird.
Datenschutzgesetzgebung: die Datenschutz-Grundverordnung ((EU) 2016/679) („DSGVO“) und alle nationalen Umsetzungsgesetze, Verordnungen und sekundären Rechtsvorschriften, der Data Protection Act 2018, die EU-Datenschutzrichtlinie 95/46/EG, der Regulation of Investigatory Powers Act 2000, die Telecommunications (Lawful Business Practice) (Interception of Communications) Regulations 2000, die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG, die Privacy and Electronic Communications (EC Directive) Regulations 2003 und alle anwendbaren Gesetze und Verordnungen zur Verarbeitung personenbezogener Daten und zum Schutz der Privatsphäre, einschließlich gegebenenfalls der Leitlinien und Verfahrensregeln, die vom Information Commissioner (britische Datenschutzbehörde) herausgegeben werden.
Für die Verarbeitung Verantwortlicher: hat die Bedeutung, die dem Begriff in der DSGVO zugewiesen wurde.
Auftragsverarbeiter: hat die Bedeutung, die dem Begriff in der DSGVO zugewiesen wurde.
Diagnostik-Gerät: das von LumiraDx an die Organisation gelieferte Diagnostik-Gerät.
Dokumentation: von LumiraDx bereitgestellte physische und elektronische Dokumentation, die sich auf die LumiraDx Platform-Software bezieht.
FOIA: der Freedom of Information Act 2000 und alle untergeordneten Gesetze, die im Rahmen dieses Gesetzes von Zeit zu Zeit erlassen werden, zusammen mit allen Leitlinien und/oder Verhaltenskodizes, die vom Information Commissioner oder der zuständigen Regierungsabteilung in Bezug auf diese Gesetze herausgegeben werden.
Instrument-Software: jede auf dem Diagnostik-Gerät installierte Softwarekomponente (und alle Aktualisierungen oder Ergänzungen dazu), die im Besitz von LumiraDx ist und von LumiraDx lizenziert wurde.
Rechte an geistigem Eigentum: Patente, Gebrauchsmuster, Rechte an Erfindungen, Urheberrechte und verwandte Schutzrechte, Marken und Dienstleistungsmarken, Geschäftsnamen und Domainnamen, Rechte an der Gestaltung und der Aufmachung, Geschäftswert und das Recht auf Klage wegen Nachahmung oder unlauterem Wettbewerb, Rechte an Mustern und Modellen, Datenbankrechte, Nutzungsrechte und Schutz der Vertraulichkeit von vertraulichen Informationen (einschließlich Know-how und Geschäftsgeheimnissen), und alle anderen Rechte an geistigem Eigentum, jeweils unabhängig davon, ob sie eingetragen sind oder nicht, und einschließlich aller Anträge und Rechte auf Beantragung und Erteilung, Erneuerung oder Verlängerung dieser Rechte und der Rechte zur Inanspruchnahme von Vorrechten aus diesen Rechten sowie aller ähnlichen oder gleichwertigen Rechte oder Schutzformen, die jetzt oder in Zukunft in irgendeinem Teil der Welt bestehen oder bestehen werden.
Open-Source-Software: Open-Source-Software, wie sie von der Open Source Initiative (http://opensource.org) oder der Free Software Foundation (http://www.fsf.org) definiert wird.
Organisation: die juristische Person, die eine Lizenz zur Nutzung der LumiraDx Platform-Software von LumiraDx beantragt und die als für die Verarbeitung Verantwortlicher fungiert.
LumiraDx-Gruppe: bezeichnet LumiraDx, jede Tochtergesellschaft oder jede etwaige Holdinggesellschaft von LumiraDx und jede etwaige Tochtergesellschaft einer Holdinggesellschaft dieses Unternehmens. Jedes Unternehmen der LumiraDx-Gruppe ist ein Mitglied der LumiraDx-Gruppe, und der Begriff „Unternehmen der LumiraDx-Gruppe“ ist entsprechend auszulegen.
LumiraDx Platform-Software: die Instrument-Software und der Connect Manager.
Verwaltungsmodus: die Verwendung des Diagnostik-Geräts und der Instrument-Software mit Connect Manager, die es der Organisation ermöglicht, Patientendaten an Connect Manager zu übermitteln.
Mobilgerät: das Mobiltelefon oder Handheld-Gerät der Organisation.
Normale Geschäftszeiten: 9.00 bis 17.00 Uhr britische Ortszeit, an jedem Werktag.
Patient(en): eine Einzelperson oder Einzelpersonen, die Pflege/medizinische Dienste einer entsprechenden Organisation in Anspruch nehmen.
Patientendaten: die klinischen Informationen (einschließlich, aber nicht beschränkt auf personenbezogene Daten), die von der Organisation im Laufe der Behandlung von Patienten erhoben und von ihren Benutzern in die LumiraDx Platform-Software eingegeben werden.
Personenbezogene Daten: hat die Bedeutung, die dem Begriff in der DSGVO zugewiesen wurde.
Informationsanfragen: bezeichnet eine Informationsanfrage oder eine offensichtliche Anfrage im Rahmen des FOIA.
Dienste: alle über Connect Manager zugänglichen Dienste und die Inhalte, die LumiraDx der Organisation hierüber zur Verfügung stellt.
Benutzer: jede Person, die von der Organisation zur Nutzung der LumiraDx Platform-Software autorisiert ist, einschließlich ihrer Angestellten, Vertreter und unabhängigen Auftragnehmer (namentlich Kliniker).
1.2 Klausel-, Anlagen- und Absatzüberschriften haben keinen Einfluss auf die Auslegung dieser Lizenz.
1.3 Die Anlagen sind Teil dieser Lizenz und haben die gleiche Wirkung wie der Hauptteil dieser Lizenz. Jeder Verweis auf diese Lizenz schließt die Anlagen ein.
1.4 Alle Wörter, die den Begriffen folgen, einschließlich der Begriffe „einschließlich“, „insbesondere“, „zum Beispiel“ oder ähnlicher Ausdrücke, sind als veranschaulichend auszulegen und dürfen den Sinn der Wörter, Beschreibungen, Definitionen, Sätze oder Begriffe, die diesen Begriffen vorausgehen, nicht einschränken.
2. INSTALLATION
LumiraDx muss sicherstellen, dass eine Kopie der Instrument-Software auf jedem Diagnostik-Gerät vorinstalliert ist.
3. LIZENZERTEILUNG
3.1 Als Gegenleistung dafür, dass sich die Organisation mit den Bedingungen dieser Lizenz einverstanden erklärt, gewährt LumiraDx der Organisation und den Benutzern hiermit ein nicht exklusives, nicht übertragbares Recht zur Nutzung der LumiraDx Platform-Software, der Dienste und der Dokumentation innerhalb ihrer Organisation in dem Bereich, in dem die Organisation berechtigt ist, das Diagnostik-Gerät für die Behandlung von Patienten zu nutzen, für den Zeitraum, in dem die Organisation das Diagnostik-Gerät nutzt, sofern es nicht in Übereinstimmung mit dieser Lizenz gekündigt wird.
3.2 LumiraDx hat das Recht, jedes Kennwort, ob von der Organisation gewählt oder von LumiraDx vergeben, jederzeit zu deaktivieren, wenn die Organisation oder die Benutzer nach seinem vernünftigen Ermessen gegen eine der Bedingungen dieser Lizenz verstoßen haben.
3.3 Die Organisation kann Aktualisierungen der LumiraDx Platform-Software erhalten, die von Zeit zu Zeit die Einarbeitung von „Patches“ und Korrekturen von Fehlern beinhalten.
3.4 Die Organisation darf:
(a) Benutzern die Nutzung der LumiraDx Platform-Software, der Dienste und der Dokumentation ausschließlich gestatten, wenn sie mindestens 18 Jahre alt sind;
(b) die LumiraDx Platform-Software und die Dienste ausschließlich in Verbindung mit einem von LumiraDx gelieferten Diagnostik-Gerät nutzen; und
(c) die Dokumentation ausschließlich verwenden, um ihre Nutzung der LumiraDx Platform-Software und der Dienste zu ermöglichen, wie in den Klauseln 3.5(a) und 3.5(b) vorgesehen.
3.5 Die Organisation darf, sofern dies in dieser Lizenz nicht ausdrücklich festgelegt oder gesetzlich zulässig ist:
(a) die LumiraDx Platform-Software, die Dienste oder die Dokumentation nicht kopieren;
(b) die LumiraDx Platform-Software, die Dienste oder die Dokumentation nicht jemandem außerhalb der Organisation zur Verfügung stellen oder Zugang dazu gewähren;
(c) die LumiraDx Platform-Software, die Dienste oder die Dokumentation nicht vermieten, leasen, unterlizenzieren, verteilen, verleihen, übersetzen, zusammenführen, anpassen, abwandeln oder modifizieren;
(d) keine Änderungen oder Modifikationen an der Gesamtheit oder an Teilen der LumiraDx Platform-Software, der Dienste oder der Dokumentation vornehmen;
(e) die LumiraDx Platform-Software, die Dienste oder die Dokumentation oder einen Teil davon nicht mit anderen Programmen oder Dokumentationen kombinieren oder in diese integrieren, ohne die vorherige schriftliche Zustimmung von LumiraDx einzuholen;
(f) die LumiraDx Platform-Software oder die Dienste weder ganz noch teilweise disassemblieren, dekompilieren, zurückentwickeln oder abgeleitete Werke davon erstellen;
(g) auf die gesamte LumiraDx Platform-Software, die Dienste oder die Dokumentation oder einen Teil davon nicht zugreifen, um ein Produkt zu erstellen, das mit der LumiraDx Platform-Software oder den Diensten konkurriert;
(h) die LumiraDx Platform-Software, die Dienste oder die Dokumentation (einschließlich Objekt- und Quellcode) weder ganz noch teilweise ohne vorherige schriftliche Zustimmung von LumiraDx in irgendeiner Form einer anderen Person als in Klausel 3 vorgesehen zur Verfügung stellen oder anderweitig verfügbar machen; und
(i) Diagnostik-Geräte, auf denen die Instrument-Software installiert ist, ohne vorherige schriftliche Zustimmung von LumiraDx nicht an Dritte übertragen oder verkaufen
(zusammen die „Lizenzbeschränkungen“).
3.6 Die Organisation darf:
(a) die LumiraDx Platform-Software, die Dienste oder die Dokumentation nicht in irgendeiner unrechtmäßigen Weise, für einen unrechtmäßigen Zweck oder in irgendeiner mit dieser Lizenz unvereinbaren Weise nutzen oder in betrügerischer oder böswilliger Weise handeln, z. B. durch Hacking oder Einfügen von schädlichem Code, einschließlich Viren, oder schädlichen Daten in die LumiraDx Platform-Software, den Connect Manager, die Dienste oder die Dokumentation oder in ein beliebiges Betriebssystem;
(b) die LumiraDx Platform-Software nicht für andere Zwecke als für Prüfungen verwenden, die in Verbindung mit der Verwendung des Diagnostik-Geräts in einer professionellen Umgebung durchgeführt werden;
(c) die Rechte an geistigem Eigentum von LumiraDx oder die Rechte Dritter in Bezug auf die Nutzung der LumiraDx Platform-Software, der Dienste oder der Dokumentation nicht verletzen (soweit eine solche Nutzung nicht durch diese Lizenz gestattet ist);
(d) in Bezug auf die Nutzung der LumiraDx Platform-Software, der Dienste oder Dokumentation keine Inhalte übertragen, die verleumderisch, beleidigend oder anderweitig anstößig sind;
(e) die LumiraDx Platform-Software, die Dienste oder die Dokumentation in keiner Weise verwenden, die die Systeme oder die Sicherheit von LumiraDx schädigen, deaktivieren, überlasten, beeinträchtigen oder kompromittieren oder andere Benutzer stören könnte; und
(f) vorbehaltlich der Klausel 12.2(d) keine Informationen oder Daten von Connect Manager, den Diensten oder der Dokumentation erheben oder sammeln (zusammen die „Einschränkungen der zulässigen Nutzung“).
3.7 LumiraDx befolgt seine Archivierungsverfahren für Patientendaten, die von Connect Manager verarbeitet werden (wie in seinen Sicherungsrichtlinien festgelegt, von denen eine Kopie auf Anfrage erhältlich ist). Im Falle eines versehentlichen oder unrechtmäßigen Verlusts, einer Beschädigung, Änderung, unbefugten Offenlegung oder eines unberechtigten Zugriffs auf Patientendaten wird LumiraDx die Organisation unverzüglich nach Bekanntwerden des Ereignisses benachrichtigen. Der einzige und ausschließliche Rechtsbehelf der Organisation besteht darin, dass LumiraDx angemessene kommerzielle Anstrengungen unternimmt, um die Patientendaten aus der letzten Datensicherung wiederherzustellen. LumiraDx ist nicht verantwortlich für den Verlust, die Vernichtung, die Änderung oder die Offenlegung von Patientendaten, die durch Dritte verursacht wurden. Die Ausnahme bilden Drittauftragsverarbeiter, die von LumiraDx für die Verarbeitung von Patientendaten in Übereinstimmung mit Klausel 4.6 beauftragt wurden.
4. DATENSCHUTZ
4.1 Jede Partei hat alle ihre Verpflichtungen aus der Datenschutzgesetzgebung, die sich aus dieser Lizenz ergeben, ordnungsgemäß zu beachten. Diese Klausel 4.1 ergänzt die Verpflichtungen einer Partei im Rahmen der Datenschutzgesetzgebung und entbindet sie nicht von diesen, hebt diese nicht auf oder ersetzt diese.
4.2 Die Organisation trägt die alleinige Verantwortung für die Patientendaten. Vorbehaltlich dieser Klausel 4 hat LumiraDx keine Rechte an den Patientendaten.
4.3 LumiraDx verarbeitet personenbezogene Daten von Mitarbeitern, Vertretern und unabhängigen Auftragnehmern der Organisation in Übereinstimmung mit der Datenschutzrichtlinie, die von Zeit zu Zeit auf der Website der Organisation veröffentlicht wird. Für die Zwecke dieser Klausel 4.3 ist LumiraDx der für die Verarbeitung dieser personenbezogenen Daten Verantwortliche.
4.4 Die Parteien erkennen an, dass für die Zwecke der Datenschutzgesetzgebung die Organisation der für die Verarbeitung Verantwortliche und LumiraDx der Datenauftragsverarbeiter der Patientendaten und anderer damit zusammenhängender personenbezogener Daten ist, die LumiraDx von der Organisation zur Verarbeitung in Übereinstimmung mit den Klauseln 4.5 und 4.6 zur Verfügung gestellt werden. In Anlage 1 werden Umfang, Art und Zweck der Verarbeitung durch LumiraDx, die Dauer der Verarbeitung und die Arten von personenbezogenen Daten und Kategorien von betroffenen Personen (wie in der Datenschutzgesetzgebung definiert) aufgeführt.
4.5 Ungeachtet der allgemeinen Verpflichtung in Klausel 4.1 gilt bei der Verarbeitung von Patientendaten Folgendes:
(a) Die Organisation stellt sicher, dass die betreffenden Dritten, einschließlich, aber nicht beschränkt auf Patienten, über eine solche Nutzung (einschließlich der in Anlage 1 dargelegten Nutzung), Verarbeitung und Übermittlung gemäß den datenschutzrechtlichen Bestimmungen informiert wurden und ihre ausdrückliche Zustimmung dazu gegeben haben;
(b) LumiraDx wird:
(i) diese Patientendaten nur auf schriftliche Anweisung der Organisation verarbeiten, die in Anlage 1 aufgeführt ist, es sei denn, LumiraDx ist nach den Gesetzen eines Mitglieds der Europäischen Union oder nach den für LumiraDx geltenden Gesetzen der Europäischen Union („anwendbares Recht“) verpflichtet, Patientendaten zu verarbeiten. Wenn sich LumiraDx bei der Verarbeitung von Patientendaten auf anwendbares Recht stützt, muss LumiraDx die Organisation unverzüglich darüber informieren, bevor die nach dem anwendbaren Recht erforderliche Verarbeitung durchgeführt wird, es sei denn, dieses anwendbare Recht verbietet LumiraDx, die Organisation darüber zu informieren;
(ii) sicherstellen, dass sie über geeignete technische, vertragliche und organisatorische Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung der Patientendaten und vor versehentlichem Verlust oder versehentlicher Vernichtung oder Beschädigung der Patientendaten verfügt, die dem Schaden, der aus der unbefugten oder unrechtmäßigen Verarbeitung oder dem versehentlichen Verlust, der Vernichtung oder Beschädigung entstehen könnte, und der Art der zu schützenden Daten angemessen sind, wobei der Stand der technischen Entwicklung und die Kosten für die Durchführung der Maßnahmen zu berücksichtigen sind;
(iii) sicherstellen, dass alle Mitarbeiter, die Zugang zu den Patientendaten haben und/oder diese verarbeiten, verpflichtet sind, die Patientendaten vertraulich zu behandeln;
(iv) die Organisation auf Kosten der Organisation bei der Beantwortung von Anfragen betroffener Personen und bei der Gewährleistung der Einhaltung ihrer Verpflichtungen gemäß der Datenschutzgesetzgebung in Bezug auf Sicherheit, Meldungen von Verstößen, Folgenabschätzungen und Konsultationen mit Aufsichts- oder Regulierungsbehörden unterstützen;
(v) die Organisation unverzüglich benachrichtigen, wenn sie von einer Datenschutzverletzung in Bezug auf Patientendaten Kenntnis erhält;
(vi) sicherstellen, dass sie nicht wissentlich oder fahrlässig etwas tut oder unterlässt, wodurch die Organisation gegen ihre Verpflichtungen aus der Datenschutzgesetzgebung verstoßen würde;
(vii) vollständige und genaue schriftliche Aufzeichnungen und Informationen über ihre Aktivitäten zur Verarbeitung von Patientendaten führen, um die Einhaltung dieser Klausel 4 nachzuweisen; und
(viii) keine Patientendaten außerhalb des EWR übermitteln, es sei denn, es wurden geeignete Schutzmaßnahmen getroffen. Die Organisation erklärt sich damit einverstanden, dass personenbezogene Daten von Mitarbeitern, Vertretern oder unabhängigen Auftragnehmern der Organisation außerhalb des EWR übermittelt werden können, sofern angemessene Sicherheitsvorkehrungen in Bezug auf die Übermittlung getroffen werden und LumiraDx gewährleistet, dass für alle übermittelten Patientendaten ein angemessenes Schutzniveau gewährleistet ist.
4.6 Die Organisation erklärt sich damit einverstanden, dass LumiraDx Drittanbieter für die Datenspeicherung (einschließlich aller Mitglieder der LumiraDx-Gruppe) und Drittanbieter für die Lieferung von Geräten (einschließlich des Diagnostik-Geräts) sowie Drittanbieter von Diensten (die telefonische und technische Support-Dienste erbringen können) als Drittauftragsverarbeiter von personenbezogenen Daten im Rahmen dieser Lizenz ernennt. LumiraDx bestätigt, dass es mit dem Drittauftragsverarbeiter eine schriftliche Vereinbarung zu den für diesen Dritten im Wesentlichen standardmäßigen Geschäftsbedingungen abgeschlossen hat oder (je nach Fall) abschließen wird. Im Verhältnis zwischen der Organisation und LumiraDx bleibt LumiraDx für alle Handlungen oder Unterlassungen eines von ihm gemäß dieser Klausel 4.6 ernannten Drittauftragsverarbeiters voll haftbar.
4.7 Die Organisation erklärt sich damit einverstanden, dass LumiraDx aus den von der Organisation in die LumiraDx Platform-Software eingegebenen Patientendaten anonymisierte Daten erstellen kann, vorausgesetzt, dass die ISB1523-Anonymisierungsstandards für die Veröffentlichung von Gesundheitsdaten eingehalten werden.
5. BEDINGUNGSKLAUSEL
5.1 Wenn das Vereinigte Königreich die Europäische Union am Tag des Austritts ohne ein Austrittsabkommen verlässt (oder die Übergangszeit im Rahmen eines Austrittsabkommens abläuft, bevor die Europäische Kommission eine Angemessenheitsentscheidung für das Vereinigte Königreich getroffen hat), dann:
(a) treten die Parteien hiermit in die Standardvertragsklauseln („Standard Contractual Clauses, SCCs“) des Beschlusses der EU-Kommission 2010/87/EG wie in Anlage 2 angehängt ein und vereinbaren, sofern keine andere geeignete Schutzmaßnahme oder Ausnahmeregelung gilt, dass die dieser Lizenz unterliegenden Patientendaten (auf die Kapitel V der DSGVO Anwendung findet) ab diesem Datum gemäß den SCCs ohne optionale Klauseln übertragen werden. Die Parteien vereinbaren, sich nach besten Kräften zu bemühen, die Anhänge zu den SCCs unverzüglich und in jedem Fall innerhalb von 30 Tagen zu vervollständigen, um die Klauseln voll wirksam werden zu lassen. Im Falle eines Widerspruchs zwischen dieser Lizenz und den SCCs gelten die Bedingungen der SCCs.
6. INFORMATIONSFREIHEIT
6.1 LumiraDx erkennt an, dass die Organisation den Anforderungen des FOIA unterliegen kann, und wird die Organisation (auf Kosten der Organisation) unterstützen und mit ihr zusammenarbeiten, um sie in die Lage zu versetzen, diesen Anforderungen an die Offenlegung von Informationen nachzukommen.
6.2 LumiraDx wird:
(a) jede Informationsanfrage so bald wie möglich nach Erhalt einer Informationsanfrage an die Organisation weiterleiten;
(b) der Organisation eine Kopie aller in ihrem Besitz oder in ihrer Verfügungsgewalt befindlichen Informationen in der von der Organisation geforderten Form so bald wie möglich (oder innerhalb eines längeren Zeitraums, den die Organisation festlegen kann) zur Verfügung stellen; und
(c) auf begründeten Antrag der Organisation jede erforderliche Unterstützung leisten, damit die Organisation in der Lage ist, auf eine Informationsanfrage innerhalb der in Abschnitt 10 des FOIA festgelegten Frist für die Erfüllung der Forderungen zu antworten.
6.3 Auf keinen Fall darf LumiraDx direkt auf eine Informationsanfrage antworten.
7. VERPFLICHTUNGEN DER ORGANISATION
7.1 Die Organisation wird:
(a) die Erlaubnis der Eigentümer der Mobilgeräte einholen, auf welchen sie eine Kopie von Connect Manager geladen hat oder Connect Manager verwendet hat; diese Geräte werden von ihr kontrolliert, sind aber nicht ihr Eigentum;
(b) Kennwörter oder andere Informationen, die als Teil der Sicherheitsverfahren von LumiraDx bereitgestellt werden, vertraulich behandeln. Die Organisation darf diese nicht an Dritte offenlegen;
(c) sicherstellen, dass alle ihre Benutzer der LumiraDx Platform-Software in Übereinstimmung mit dieser Lizenz handeln und sie nur für die in Klausel 3 genannten Zwecke verwenden;
(d) sicherstellen, dass alle ihre Benutzer der LumiraDx Platform-Software die in der Dokumentation (einschließlich des Benutzerhandbuchs) dargelegten Verfahren und Richtlinien in Bezug auf die Nutzung der LumiraDx Platform-Software einhalten;
(e) jederzeit mit LumiraDx zusammenarbeiten und Informationen zur Verfügung stellen, die von LumiraDx in angemessener Weise benötigt werden;
(f) die Nutzung der LumiraDx Platform-Software in Übereinstimmung mit den Bedingungen dieser Lizenz überwachen und kontrollieren und sicherstellen, dass die LumiraDx Platform-Software nur von entsprechend qualifiziertem und geschultem medizinischem Fachpersonal verwendet wird;
(g) LumiraDx unverzüglich über jedes unerwünschte Ereignis benachrichtigen, bei dem die LumiraDx Platform-Software möglicherweise eine Rolle gespielt hat. Die Organisation erklärt sich ferner damit einverstanden, schriftliche Einzelheiten des Ereignisses zu liefern und mit LumiraDx bei der Untersuchung des Ereignisses zusammenzuarbeiten. Die Organisation erkennt an und erklärt sich damit einverstanden, dass alle Mitteilungen in Bezug auf ein unerwünschtes Ereignis als vertrauliche Informationen gelten und den Vertraulichkeitsverpflichtungen in Klausel 9 unterliegen;
(h) alle Ausfälle, Probleme oder Mängel der LumiraDx Platform-Software an LumiraDx melden. Die Organisation erkennt an und erklärt sich damit einverstanden, dass alle Mitteilungen, die sich auf Ausfälle, Probleme oder Mängel der LumiraDx Platform-Software beziehen, als vertrauliche Informationen gelten und den Vertraulichkeitsverpflichtungen in Klausel 8 unterliegen; und
(i) Dritten nicht erlauben, technischen Support in Bezug auf die LumiraDx Platform-Software, die Dienste oder die Dokumentation zu leisten.
8. EIGENTUMSRECHTE
8.1 Die Organisation erkennt an, dass LumiraDx und/oder seine Lizenzgeber (die Dritteigentümer der in der LumiraDx Platform-Software verwendeten geistigen Eigentumsrechte sind) alle Rechte an geistigem Eigentum an der LumiraDx Platform-Software, den Diensten und der Dokumentation besitzen. Diese Lizenz gewährt der Organisation keine Rechte an Patenten, Urheberrechten, Datenbankrechten, Geschäftsgeheimnissen, Handelsnamen, Marken (unabhängig davon, ob sie eingetragen oder nicht eingetragen sind) oder anderen Rechten oder Lizenzen in Bezug auf die LumiraDx Platform-Software, die Dienste oder damit zusammenhängenden Dokumentationen oder in Bezug auf diese, außer dem Recht, sie in Übereinstimmung mit dieser Lizenz zu nutzen.
8.2 Die Organisation erkennt an, dass sie kein Recht auf den Zugang zur LumiraDx Platform-Software in Quellcodeform hat.
9. VERTRAULICHKEIT
9.1 LumiraDx erkennt an, dass die Patientendaten die vertraulichen Informationen der Organisation sind.
9.2 Vorbehaltlich Klausel 9.3 müssen die Parteien die vertraulichen Informationen der anderen Partei vertraulich behandeln und alle angemessenen Anstrengungen unternehmen, um ihre Mitarbeiter, Vertreter und unabhängigen Auftragnehmer daran zu hindern, die vertraulichen Informationen anderen Personen offenzulegen.
9.3 Klausel 9.2 gilt nicht für die Offenlegung von Informationen:
(a) die nach anwendbarem Recht erforderlich ist, vorausgesetzt, dass Klausel 5 auf alle nach dem FOIA erforderlichen Offenlegungen Anwendung findet;
(b) die vernünftigerweise von Personen benötigt wird, die von einer Partei zur Erfüllung der Verpflichtungen dieser Partei im Rahmen dieser Lizenz eingesetzt werden;
(c) falls eine Partei nachweisen kann, dass solche Informationen bereits allgemein verfügbar und öffentlich zugänglich sind, und zwar nicht aufgrund eines Verstoßes gegen Klausel 9.2;
(d) die sich vor der Offenlegung durch die offenlegende Partei bereits rechtmäßig im Besitz der empfangenden Partei befinden, wobei die offenlegende Partei in Bezug auf diese Informationen nicht zur Vertraulichkeit verpflichtet ist;
(e) durch eine Partei, wenn die andere Partei zuvor schriftlich ihre Zustimmung zur Offenlegung gegeben hat.
10. SCHULUNG
10.1 Die Dokumentation enthält ein Benutzerhandbuch, das grundlegende Schulungsinformationen für die Organisation und die Benutzer enthält. Die Organisation stellt sicher, dass alle Benutzer die in der Dokumentation enthaltenen grundlegenden Schulungsinformationen gelesen und verstanden haben, bevor sie die LumiraDx Platform-Software verwenden.
10.2 Die Organisation erklärt sich damit einverstanden, alle zusätzlichen Schulungsanforderungen, die in der LumiraDx Platform-Software von Zeit zu Zeit festgelegt werden, zu erfüllen und stellt sicher, dass alle Benutzer diese Anforderungen erfüllen.
11. HAFTUNGSBESCHRÄNKUNG
11.1 Die Organisation erklärt sich damit einverstanden, dass sie die alleinige Verantwortung für die Ergebnisse, die durch die Nutzung der LumiraDx Platform-Software und der Dienste erzielt werden, sowie für die aus dieser Nutzung gezogenen Schlussfolgerungen übernimmt. LumiraDx übernimmt keine Haftung für Schäden, die durch Fehler oder Auslassungen in den von der Organisation bereitgestellten Informationen oder durch von LumiraDx auf Anweisung der Organisation ergriffene Maßnahmen entstehen. Die Organisation erkennt an, dass die LumiraDx Platform-Software nicht speziell für die Anforderungen der Organisation entwickelt wurde und dass es daher in der Verantwortung der Organisation liegt, sicherzustellen, dass die Einrichtungen und Funktionen der LumiraDx Platform-Software, wie in der Dokumentation beschrieben, ihren Anforderungen entsprechen.
11.2 Die LumiraDx Platform-Software und die Dienste sind nur als Diagnosehilfe gedacht und stellen keinen Ersatz für die Expertise und das Urteilsvermögen von Ärzten, Apothekern oder anderen medizinischen Fachleuten dar. Alle Informationen werden auf der Grundlage bereitgestellt, dass die für die Patientenversorgung verantwortlichen Ärzte die volle und alleinige Verantwortung für die Entscheidung über die Verschreibung oder Abgabe von Medikamenten für alle Patienten behalten, insbesondere dafür, ob die Nutzung der durch die LumiraDx Platform-Software bereitgestellten Informationen für einen bestimmten Patienten oder unter bestimmten Umständen sicher, angemessen oder wirksam ist.
11.3 LumiraDx:
(a) übernimmt keinerlei Haftung, ob aus unerlaubter Handlung (einschließlich Fahrlässigkeit oder Verletzung der gesetzlichen Pflicht), aus einem Vertrag, aus Falschdarstellung, aus einer Entschädigung oder anderweitig für Einkommensverluste, entgangene Gewinne oder Verträge, Geschäftsverluste, Geschäftsunterbrechungen, Verlust von Geld oder erwarteten Einsparungen, Verlust oder Erschöpfung von Geschäftsmöglichkeiten, Firmenwert, Reputation und/oder ähnliche Verluste oder Verlust oder Verfälschung von Daten oder Informationen oder reine wirtschaftliche Verluste oder für besondere, indirekte oder Folgeverluste, Kosten, Schäden, Gebühren oder Ausgaben, wie auch immer diese unter dieser Lizenz entstehen; und
(b) haftet nicht für Verluste, die durch den Export von Informationen oder Daten (einschließlich Patientendaten) durch die Organisation aus den Anzeigefunktionen in Connect Manager entstehen.
11.4 Abgesehen von den in Klausel 11.3 dargelegten Verlusten (für die LumiraDx nicht haftet), ist die Gesamtsumme der Haftung von LumiraDx aus Vertrag, unerlaubter Handlung (einschließlich Fahrlässigkeit oder Verletzung der gesetzlichen Pflicht), Falschdarstellung, Schadensersatz oder anderweitig, die in Verbindung mit der Erfüllung oder geplanten Erfüllung dieser Lizenz entsteht, auf die Gesamtgebühren beschränkt, die an LumiraDx für das/die Diagnostik-Gerät(e) während der zwölf Monate vor dem Datum, an dem der Anspruch entstanden ist, gezahlt wurden.
11.5 Nichts in dieser Lizenz schließt die Haftung für Tod oder Körperverletzung aus, der/die durch Fahrlässigkeit oder durch Betrug oder betrügerische Falschdarstellung verursacht wurde.
11.6 Der Kunde erkennt an, dass jede von LumiraDx bereitgestellte Open-Source-Software „in der vorliegenden Form“ bereitgestellt wird und ausdrücklich dem Haftungsausschluss in Klausel 11.7 unterliegt. Die Bedingungen einer Open-Source-Software-Lizenz können einige der Bedingungen dieser Lizenz außer Kraft setzen.
11.7 Diese Lizenz legt den vollen Umfang der Haftung von LumiraDx in Bezug auf die LumiraDx Platform-Software, die Dienste und die Dokumentation fest. Sofern nicht ausdrücklich in dieser Lizenz angegeben, gibt es keine Bedingungen, Garantien, Zusicherungen oder andere Bestimmungen, weder ausdrücklich noch stillschweigend, die für LumiraDx bindend sind. Jede Bedingung, Garantie, Zusicherung oder andere Bestimmung bezüglich der Bereitstellung der LumiraDx Platform-Software, der Dienste oder der Dokumentation, die anderweitig in dieser Lizenz, sei es per Gesetz, Gewohnheitsrecht oder anderweitig, impliziert sein oder in diese Lizenz aufgenommen werden könnte, ist im gesetzlich zulässigen Umfang ausgeschlossen.
12. LAUFZEIT UND BEENDIGUNG
12.1 Ohne Beeinträchtigung anderer Rechte oder Rechtsmittel, die LumiraDx zur Verfügung stehen, kann LumiraDx die Lizenz mit sofortiger Wirkung durch schriftliche Mitteilung an die Organisation kündigen, wenn:
(a) die Organisation oder ihre Benutzer einen wesentlichen Verstoß gegen irgendeine Bedingung dieser Lizenz begehen, der nicht wiedergutzumachen ist, oder (falls ein solcher Verstoß wiedergutzumachen ist) diesen Verstoß nicht innerhalb einer Frist von 14 Tagen nach schriftlicher Benachrichtigung über den Verstoß wiedergutmachen;
(b) die Organisation oder ihre Benutzer gegen eine der Lizenzbeschränkungen oder die Einschränkungen der zulässigen Nutzung verstoßen;
(c) die Organisation die Zahlung ihrer Schulden aussetzt oder damit droht oder nicht in der Lage ist, ihre Schulden bei Fälligkeit zu begleichen, oder die Organisation gesteht, dass sie nicht in der Lage ist, ihre Schulden zu begleichen, oder im Sinne von Abschnitt 123 des Insolvency Act 1986 als nicht in der Lage angesehen wird, ihre Schulden zu begleichen;
(d) eine Petition eingereicht, eine Mitteilung gemacht, ein Beschluss gefasst oder eine Anordnung zur Auflösung der Organisation getroffen wird, die/der nicht dem alleinigen Zweck eines Plans für einen solventen Zusammenschluss der Organisation mit einem oder mehreren anderen Unternehmen oder dem solventen Wiederaufbau der Organisation dient;
(e) ein Antrag auf Bestellung eines Insolvenzverwalters bei Gericht gestellt oder eine entsprechende Verfügung über die Organisation erlassen wird oder wenn die Absicht zur Bestellung eines Insolvenzverwalters mitgeteilt oder ein Insolvenzverwalter bestellt wird;
(f) eine Person das Recht erhält, einen Verwalter über das Vermögen der Organisation zu bestellen, oder ein Verwalter über das Vermögen der Organisation bestellt wird;
(g) die Organisation die Ausübung der gesamten Geschäftstätigkeit oder eines wesentlichen Teils davon aussetzt oder einstellt oder damit droht; oder
(h) die Organisation den Zugriff auf ein Diagnostik-Gerät, auf dem die Instrument-Software installiert ist oder das im Verwaltungsmodus für den Zugriff auf Connect Manager verwendet wird, außerhalb der Organisation oder an Dritte ohne die vorherige schriftliche Zustimmung von LumiraDx überträgt oder Dritten den Zugriff darauf ermöglicht.
12.2 Bei Beendigung dieser Lizenz aus jeglichem Grund:
(a) erlöschen alle der Organisation im Rahmen dieser Lizenz gewährten Rechte;
(b) stellt die Organisation unverzüglich alle durch diese Lizenz genehmigten Aktivitäten ein (einschließlich ihrer Nutzung der LumiraDx Platform-Software, der Dienste und der Dokumentation) und löscht Connect Manager von allen Mobilgeräten und vernichtet unverzüglich alle Kopien, die sich in ihrer Kontrolle befinden;
(c) gibt die Organisation die Dokumentation (und alle Kopien davon), die LumiraDx gehört, zurück und verwendet sie nicht weiter;
(d) hat die Organisation (unter Verwendung der Exportfunktionalität in Connect Manager) alle in Connect Manager gespeicherten Patientendaten innerhalb von zehn Tagen nach Beendigung dieser Lizenz zu löschen oder zu extrahieren. Auf Anfrage der Organisation kann LumiraDx angemessene Unterstützung leisten, um die Extraktion der in Connect Manager gespeicherten Patientendaten zu ermöglichen, wobei die Kosten für diese Unterstützung der Organisation zu den mit LumiraDx vereinbarten Sätzen in Rechnung gestellt werden; und
(e) muss die Organisation innerhalb von zehn Tagen nach Beendigung dieser Lizenz alle Patientendaten oder andere personenbezogene Daten aus der Instrument-Software löschen oder entfernen.
12.3 Bei Beendigung oder Ablauf dieser Lizenz bleiben die folgenden Klauseln in Kraft: Klausel 1 (Auslegung), Klausel 9 (Vertraulichkeit), Klausel 11 (Haftungsbeschränkung) und diese Klausel 12 (Beendigung).
13. ÄNDERUNG
Eine Änderung dieser Lizenz ist nur dann wirksam, wenn sie schriftlich erfolgt und von den Parteien (oder ihren bevollmächtigten Vertretern) unterzeichnet ist.
14. VERZICHTSERKLÄRUNG
Kein Versäumnis oder Verzug einer Partei bei der Ausübung eines Rechts oder Rechtsmittels, das im Rahmen dieser Lizenz oder durch das Gesetz vorgesehen ist, stellt einen Verzicht auf dieses oder ein anderes Recht oder Rechtsmittel dar, und es darf auch nicht die weitere Ausübung dieses oder eines anderen Rechts oder Rechtsmittels verhindern oder einschränken. Keine einzelne oder teilweise Ausübung eines solchen Rechts oder Rechtsmittels darf die weitere Ausübung dieses oder eines anderen Rechts oder Rechtsmittels verhindern oder einschränken.
15. SALVATORISCHE KLAUSEL
15.1 Wenn eine Bestimmung (oder ein Teil einer Bestimmung) dieser Lizenz von einem Gericht oder einer Verwaltungsbehörde der zuständigen Gerichtsbarkeit für ungültig, nicht durchsetzbar oder rechtswidrig befunden wird, bleiben die anderen Bestimmungen in Kraft.
15.2 Sollte eine ungültige, nicht durchsetzbare oder rechtswidrige Bestimmung gültig, durchsetzbar oder rechtmäßig sein, wenn ein Teil davon gestrichen würde, so soll die Bestimmung mit allen Änderungen gelten, die notwendig sind, um die wirtschaftliche Absicht der Parteien zu verwirklichen.
16. ABTRETUNG
16.1 Die Organisation darf ohne die vorherige schriftliche Zustimmung von LumiraDx ihre Rechte und Pflichten aus dieser Lizenz nicht abtreten, übertragen, belasten, untervergeben oder auf andere Weise mit allen oder einigen ihrer Rechte und Pflichten aus dieser Lizenz handeln.
16.2 LumiraDx kann jederzeit alle oder einen Teil seiner Rechte und Pflichten im Rahmen dieser Lizenz abtreten, übertragen, belasten, untervergeben oder auf andere Weise mit ihnen handeln.
17. RECHTE DRITTER
Diese Lizenz überträgt gemäß dem Contracts (Rights of Third Parties) Act 1999 keine Rechte an Personen oder Parteien (außer an die Parteien dieser Lizenz und gegebenenfalls an deren Rechtsnachfolger und zugelassene Zessionare sowie an ein Unternehmen der LumiraDx-Gruppe).
18. MITTEILUNGEN
18.1 Alle Mitteilungen, die gemäß dieser Lizenz zu machen sind, müssen schriftlich erfolgen und der anderen Partei persönlich übergeben oder per vorausbezahltem Expressversand oder per Einschreiben an ihre Haupthandelsadresse oder an eine andere Adresse, die von dieser Partei für solche Zwecke mitgeteilt wurde, geschickt werden.
18.2 Eine korrekt adressierte Mitteilung, die per vorausbezahltem Expressversand oder per Einschreiben versandt wird, gilt als zu dem Zeitpunkt eingegangen, zu dem sie im normalen Postverkehr zugestellt worden wäre.
19. GELTENDES RECHT UND GERICHTSBARKEIT
19.1 Diese Lizenz und alle Streitigkeiten oder Ansprüche, die sich aus oder in Verbindung mit dieser Lizenz oder ihrem Gegenstand oder ihrer Gründung ergeben (einschließlich außervertraglicher Streitigkeiten oder Ansprüche), unterliegen dem Recht von England und Wales und werden in Übereinstimmung mit diesem Recht ausgelegt.
19.2 Jede Partei erklärt sich unwiderruflich damit einverstanden, dass die Gerichte von England und Wales die ausschließliche Zuständigkeit für die Beilegung von Streitigkeiten oder Ansprüchen haben, die aus dieser Lizenz oder ihrem Gegenstand oder ihrer Gründung entstehen oder damit in Zusammenhang stehen (einschließlich außervertraglicher Streitigkeiten oder Ansprüche).
ANLAGE 1
Verarbeitung, personenbezogene Daten und betroffene Personen
1. Verarbeitung durch LumiraDx
1.1 Art und Zweck der Verarbeitung
LumiraDx und jedes Mitglied der LumiraDx-Gruppe können personenbezogene Daten aus folgenden Gründen verarbeiten:
um aufzuzeichnen, welche Untersuchungen an welchen Patienten durchgeführt wurden und welche Ergebnisse vorliegen;
um Dienste für die Organisation zu erbringen und ihr Konto zu verwalten;
um sicherzustellen, dass die Benutzer nur Zugang zu Informationen haben, die für ihre Rolle relevant sind;
um die Einhaltung von Vorschriften zu gewährleisten;
um sicherzustellen, dass Patienten identifiziert werden können und die korrekten, mit dem Patienten verbundenen Untersuchungsergebnisse in der elektronischen Gesundheitsakte erscheinen;
zur Datenanalyse und statistischen Forschung, um LumiraDx dabei zu unterstützen, die Verwendung seiner Produkte besser zu verstehen;
zur Untersuchung des Missbrauchs des Benutzerkontos der Organisation, von Betrug und zur Einziehung von Zahlungen;
zum Support, zur Wartung und zur Patientensicherheit (einschließlich der Untersuchung von Fehlern);
zur Verbesserung der Leistung oder der Funktionen der LumiraDx Platform-Software, der Dienste oder der Dokumentation;
zur Rückmeldung an die Organisation und/oder den Patienten und zur Verbesserung der Leistung des von der Organisation erbrachten Dienstes;
zur Verbesserung oder Entwicklung des Diagnostik-Geräts oder der LumiraDx Platform-Software;
zur Verbesserung des Verständnisses, der Behandlung, der Ergebnisse und der Wahlmöglichkeiten für Patienten und medizinisches Fachpersonal; und
zur Einhaltung aller relevanten gesetzlichen oder behördlichen Anforderungen, die LumiraDx von Zeit zu Zeit auferlegt werden.
1.2 Gegenstand und Dauer der Verarbeitung
Der Gegenstand und die Dauer der Verarbeitung sind in der Lizenz festgelegt.
2. Arten von personenbezogenen Daten
personenbezogene Daten einschließlich Patientenkennung, Vorname, Nachname, Geburtsdatum und Geschlecht;
Daten über die Gesundheit, einschließlich der gesundheitlichen Zustände, von denen Patienten betroffen sind, und Informationen über Prüfergebnisse.
3. Kategorien von betroffenen Personen
ANLAGE 2
Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus der Europäischen Union an Auftragsverarbeiter in Drittländern (Übermittlung von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter)
Gemäß Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist
Bezeichnung der Organisation (Datenexporteur): ...............................................................
Anschrift: ...............................................................
Tel.: ...............................................................
Fax: ...............................................................
E-Mail: ...............................................................
Weitere Angaben zur Identifizierung der Organisation ..............................................................
(der „Datenexporteur“)
Bezeichnung der Organisation (Datenimporteur): ...............................................................
Anschrift: ...............................................................
Tel.: ...............................................................
Fax: ...............................................................
E-Mail: ...............................................................
Weitere Angaben zur Identifizierung der Organisation ..............................................................
(der „Datenimporteur“)
VEREINBAREN folgende Vertragsklauseln („Klauseln“), um angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bei der Übermittlung der in ANHANG A zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Datenexporteur an den Datenimporteur zu bieten.
1. Begriffsbestimmungen
Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:
(a) Die Ausdrücke „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1);
(b) Der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;
(c) Der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;
(d) Der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten;
(e) Der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind;
(f) Die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.
2. Einzelheiten der Übermittlung
Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in ANHANG A erläutert, der Bestandteil dieser Klauseln ist.
3. Drittbegünstigungsklausel
3.1 Die betroffenen Personen können diese Klausel 3 sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.
3.2 Die betroffene Person kann diese Klausel 3, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.
3.3 Die betroffene Person kann diese Klausel 3, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
3.4 Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.
4. Pflichten des Datenexporteurs
Der Datenexporteur erklärt sich bereit und garantiert, dass:
(a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt;
(b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;
(c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in ANHANG B zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;
(d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligem Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;
(e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;
(f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;
(g) er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;
(h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von ANHANG B sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;
(i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und
(j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.
5. Pflichten des Datenimporteurs
Der Datenimporteur erklärt sich bereit und garantiert, dass:
(a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
(b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
(c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in ANHANG B beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;
(d) er den Datenexporteur unverzüglich informiert über:
(i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;
(ii) jeden zufälligen oder unberechtigten Zugang und
(iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;
(e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;
(f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind;
(g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; ANHANG B wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;
(h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat;
(i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt; und
(j) er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat.
6. Haftung
6.1 Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.
6.2 Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.
6.3 Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.
7. Schlichtungsverfahren und Gerichtsstand
7.1 Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:
(a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Kontrollstelle beizulegen oder
(b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.
8. Zusammenarbeit mit Kontrollstellen
8.1 Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.
8.2 Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.
8.3 Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.
9. Anwendbares Recht
Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
10. Änderung des Vertrags
Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.
11. Vergabe eines Unterauftrags
11.1 Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.
11.2 Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
11.3 Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
11.4 Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 Buchstabe j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.
12. Pflichten nach Beendigung der Datenverarbeitungsdienste
12.1 Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.
12.2 Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.
Für den Datenexporteur:
Name (ausgeschrieben): ...............................................................
Funktion: ...............................................................
Anschrift: ...............................................................
Gegebenenfalls weitere Angaben,
die den Vertrag verbindlich machen: ...............................................................
Unterschrift ...............................................................
(Stempel der Organisation)
Für den Datenimporteur:
Name (ausgeschrieben): ...............................................................
Funktion: ...............................................................
Anschrift: ...............................................................
Gegebenenfalls weitere Angaben,
die den Vertrag verbindlich machen: ...............................................................
Unterschrift ...............................................................
(Stempel der Organisation)
ANHANG A zu den Standardvertragsklauseln
Dieser ANHANG A ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.
Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem ANHANG A enthalten sein müssen, ergänzen.
Datenexporteur |
|
Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): |
.................................................... |
Datenimporteur |
|
Der Datenimporteur ist (bitte erläutern Sie kurz die Tätigkeiten, die für die Übermittlung von Belang sind): |
.................................................... |
Betroffene Personen |
|
Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen (bitte genau angeben) |
.................................................... |
Kategorien von Daten |
|
Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien (bitte genau angeben) |
.................................................... |
Besondere Datenkategorien (falls zutreffend) |
|
Die übermittelten personenbezogenen Daten umfassen folgende besondere Datenkategorien (bitte genau angeben) |
.................................................... |
Verarbeitung |
|
Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen unterzogen (bitte genau angeben) |
.................................................... |
DATENEXPORTEUR |
DATENIMPORTEUR |
Name:.................................................. Unterschrift des/der Bevollmächtigten:........................... |
Name:.................................................. Unterschrift des/der Bevollmächtigten:........................... |
ANHANG B zu den Standardvertragsklauseln
Dieser ANHANG B ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.
Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt):
..........................................................................................................
..........................................................................................................
..........................................................................................................
.......................................................................................