VEREINBARUNG GEMÄß ART. 26 DSGVO

ZWISCHEN
CANNAXAN GMBH
BIRKERFELD 12
83627 WARNGAU
─ NACHFOLGEND BEZEICHNET ALS VERANTWORTLICHER ZU 1
UND

─ NACHFOLGEND BEZEICHNET ALS VERANTWORTLICHER ZU 2
─ BEIDE GEMEINSAM ALS DIE PARTEIEN BEZEICHNET ─

Präambel

Die Parteien nutzen gemeinsam die CannaXan-App. Im Rahmen ihrer Zusammenarbeit verarbeiten die Parteien personenbezogene Daten und Gesundheitsdaten. Für einen Teil dieser Daten haben die Parteien die Zwecke und Mittel der Verarbeitung (im Folgenden: die Datenverarbeitung ) gemeinsam festgelegt. Die Parteien sind im Hinblick auf diese Datenverarbeitung mithin gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO i.V.m. Art. 4 Nr. 7 DSGVO.

Mit dieser Vereinbarung möchten die Parteien ihre Rechte und Pflichten im Hinblick auf die gemeinsame Verarbeitung der personenbezogenen Daten näher konkretisieren.

  1. 1. Gegenstand dieser Vereinbarung
    1. 1.1

      Beschreibung der Datenverarbeitung. Gegenstand, Zweck und Umfang der Datenverarbeitung sind in Anlage 1 näher beschrieben. Insbesondere enthält Anlage 1 eine Beschreibung der Art der verarbeiteten Daten und der Kategorien der betroffenen Personen.

  2. 2.Phasen der Datenverarbeitung
    1. 2.1

      Einteilung in Prozessabschnitte. Die Parteien haben in Anlage 2 die Prozessabschnitte definiert, für die eine gemeinsame Verantwortlichkeit besteht, und festgelegt, welche Partei für die Durchführung des jeweiligen Prozessabschnittes zuständig sein soll.

    2. 2.2

      Eigenständige Verantwortlichkeit. Für Prozessabschnitte, die nicht in Anlage 2 benannt sind, bleibt jede Partei eigenständiger Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO.

    3. 2.3

      Verfahrensverzeichnis. Beide Parteien werden die Datenverarbeitung in ihr jeweiliges Verfahrensverzeichnis gem. Art. 30 Abs. 1 S. 1 DSGVO aufnehmen und dort als Verfahren in gemeinsamer Verantwortung vermerken.

  3. 3. Informationspflichten nach Art. 13, 14 DSGVO
    1. 3.1

      Zuständigkeit. Für die Erfüllung der Informationspflichten nach Art. 13, 14 DSGVO ist die in Anlage 3 genannte Partei zuständig.

    2. 3.2

      Inhaltliche Vorgaben. Betroffenen Personen sind die erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

    3. 3.3

      Zurverfügungstellung dieser Vereinbarung. Die nach Ziffer 3.1 für die Erfüllung der Informationspflichten zuständige Partei verpflichtet sich, den wesentlichen Inhalt dieser Vereinbarung den betroffenen Personen gemäß Art. 26 Abs. 2 Satz 2 DSGVO zur Verfügung zu stellen.

    4. 3.4

      Abstimmung. Soweit möglich stimmen die Parteien den Inhalt und die Formulierung etwaiger Informationen an betroffene Personen nach dieser Ziffer 3 miteinander ab.

  4. 4. Betroffenenanfragen nach Art. 15 ff. DSGVO
    1. 4.1

      Zuständigkeit. Für die Bearbeitung von Anfragen betroffener Personen nach den Art. 15 ff. DSGVO ist die in Anlage 3 genannte Partei zuständig.

    2. 4.2

      Keine Beschränkung. Die Parteien sind sich bewusst, dass betroffene Personen die ihnen nach den Art. 15 ff. DSGVO zustehenden Rechte bei und gegenüber jeder Partei geltend machen können.

    3. 4.3

      Weiterleitung von Ersuchen. Wendet sich eine betroffene Person in Wahrnehmung ihrer Rechte nach den Art. 15 ff. DSGVO an eine Partei, die gemäß Ziffer 4.1 nicht für die Erfüllung des Ersuchens zuständig ist, so leitet die unzuständige Partei das Ersuchen unverzüglich an die zuständige Partei weiter.

    4. 4.4

      Gegenseitige Unterstützung. Die Parteien stellen sich bei Bedarf die zur Bearbeitung und Beantwortung von Betroffenenanfragen erforderlichen Informationen gegenseitig zu Verfügung.

    5. 4.5

      Löschung von Betroffenendaten. Die Löschung von Daten des Betroffenen durch eine Partei darf nur nach schriftlicher Information der anderen Partei erfolgen. Diese kann der Löschung widersprechen, sofern sie ein berechtigtes Interesse am Fortbestand der Daten hat; ein solches kann sich insbesondere aus einer gesetzlichen Aufbewahrungspflicht ergeben.

  5. 5. Meldepflichten gemäß Art. 33, 34 DSGVO
    1. 5.1

      Zuständigkeit. Für Meldungen von Datenschutzverstößen nach Art. 33, 34 DSGVO ist die in Anlage 3 genannte Partei zuständig.

    2. 5.2

      Informationspflicht. Stellt eine Partei in Bezug auf die unter dieser Vereinbarung verarbeiteten personenbezogenen Daten eine Datenschutzverletzung i.S.d. Art. 4 Nr. 12 DSGVO fest, informiert sie die andere Partei unverzüglich hierüber und stellt der anderen Partei die zur Prüfung der Datenschutzverletzung erforderlichen Informationen in angemessener Weise zur Verfügung.

    3. 5.3

      Inhaltliche Abstimmung. Soweit möglich und zumutbar stimmen die Parteien den Inhalt etwaigen Meldungen nach Art. 33, 34 DSGVO miteinander ab.

    4. 5.4

      Sonstige Fehler. Ziffer 5.2 gilt entsprechend, sofern eine Partei Unregelmäßigkeiten oder Fehler bei der Datenverarbeitung und/oder eine Verletzung der Bestimmungen dieser Vereinbarung oder anwendbaren Datenschutzrechts (insbesondere der DSGVO) feststellt.

  6. 6. Zusammenarbeit mit Aufsichtsbehörden
    1. 6.1

      Anfragen. Wendet sich eine Datenschutzaufsichtsbehörde an eine der Parteien im Zusammenhang mit der Datenverarbeitung unter dieser Vereinbarung, so informiert diese Partei die andere Partei unverzüglich hierüber.

    2. 6.2

      Abstimmung. Soweit möglich stimmen sich die Parteien vor Beantwortung von Anfragen von Datenschutzaufsichtsbehörden, die Zusammenhang mit der Datenverarbeitung unter dieser Vereinbarung stehen, miteinander ab. Dies gilt auch für die Einlegung von Rechtsbehelfen und Rechtsmitteln gegen etwaige aufsichtsbehördliche Maßnahmen, die im Zusammenhang mit der Datenverarbeitung unter dieser Vereinbarung stehen.

  7. 7. Haftung; Freistellung
    1. 7.1

      Haftung gegenüber Betroffenen. Die Parteien haften gegenüber betroffenen Personen nach den gesetzlichen Vorschriften.

    2. 7.2

      Anteiliger Ausgleich im Innenverhältnis. Soweit eine Partei ihre Pflichten aus dieser Vereinbarung verletzt, stellt sie die andere Partei von aus dem Pflichtverstoß entstandenen Schäden in jenem Umfang frei, wie dies ihrem in dieser Vereinbarung vereinbarten Verantwortungsbeitrag für den Verstoß entspricht.

    3. 7.3

      Umfang der Freistellung. Die Freistellungspflicht gemäß Ziffer 7.2 umfasst etwaige Ansprüche von und Verbindlichkeiten gegenüber Dritten (einschließlich etwaiger gerichtlicher und außergerichtlicher Rechtsverteidigungskosten).

    4. 7.4

      Gegenseitige Unterstützung. Die Parteien unterstützen sich gegenseitig in angemessener Weise im Zusammenhang mit der Verteidigung, dem Vergleich und der Erfüllung etwaiger Ansprüche und Verbindlichkeiten nach Ziffer 7.3.

  8. 8. Laufzeit und Kündigung
    1. 8.1

      Inkrafttreten und Laufzeit. Diese Vereinbarung tritt am Tag ihrer Unterzeichnung in Kraft und läuft [auf unbestimmte Zeit].

    2. 8.2

      Kündigung aus wichtigem Grund. Jede Partei hat das Recht, diese Vereinbarung aus wichtigem Grund zu kündigen. Ein wichtiger Grund liegt insbesondere vor, wenn eine Partei einen Verstoß gegen eine wesentliche Pflicht aus dieser Vereinbarung begeht und im Falle eines heilbaren Verstoßes diesen nicht innerhalb von 30 Tagen nach Benachrichtigung durch die andere Partei heilt.

  9. 9. Schlussbestimmungen
    1. 9.1

      Vorrang dieser Vereinbarung. Im Falle eines Widerspruchs zwischen dieser Vereinbarung und sonstigen Vereinbarungen der Parteien, geht diese Vereinbarung vor, soweit der Widerspruch die Rechte und Pflichten der Parteien als gemeinsam Verantwortliche betrifft.

    2. 9.2

      Salvatorische Klausel. Sollte eine Bestimmung dieser Vereinbarung unwirksam oder nicht durchsetzbar sein oder werden, so bleiben die übrigen Bestimmungen dieser Vereinbarung hiervon unberührt. Anstelle der unwirksamen oder nicht durchsetzbaren Bestimmung werden die Parteien eine solche vereinbaren, die die Anforderungen des Art. 26 DSGVO hinreichend berücksichtigt und dem Zweck der unwirksamen oder nicht durchsetzbaren Bestimmung am nächsten kommt.

    3. 9.3

      Änderungen. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

    4. 9.4

      Anwendbares Recht. Diese Vereinbarung unterliegt deutschem Recht (einschließlich der DSGVO) unter Ausschluss des internationalen Privatrechts.

    5. 9.5

      Gerichtsstand. Ausschließlicher Gerichtsstand für alle Streitigkeiten zwischen den Parteien aus und im Zusammenhang mit dieser Vereinbarung und ihrer Durchführung ist München.

Warngau, 26.10.2021 Ort, 26.10.2021
Zustimmung durch den Geschäftsführer
Dr. Werner Brand
CannaXan GmbH Name Arzt
ANLAGE 1

BESCHREIBUNG DER DATENVERARBEITUNG IN GEMEINSAMER VERANTWORTLICHKEIT

  1. Gegenstand der Datenverarbeitung
    1. Gegenstand der Datenverarbeitung unter dieser Vereinbarung ist:

      1. Die gemeinsame Verarbeitung von personenbezogenen Daten und Gesundheitsdaten in einer App durch die CannaXan GmbH.

  2. Zweck der Datenverarbeitung
    1. Die Datenverarbeitung erfolgt zu folgenden Zwecken:

      1. Zur Verwendung der CannaXan-App, damit insbesondere aus den Daten ein Titrationsplan erstellt werden kann, zur Erstellung eines BTM-Rezeptes und zur Dokumentation des Therapieverlaufs, die insbesondere der übersichtlichen Archivierung der vom Patienten erfassten Daten als Grundlage für die Therapieentscheidungen des Arztes dienen können.

  3. Art der personenbezogenen Daten
    1. Folgende Datenarten sind regelmäßig Gegenstand der Datenverarbeitung:

      1. Personenbezogenen Daten verarbeiten:

        1. Vorname, Name, Geschlecht, Größe, Gewicht

      2. Gesundheitsdaten:

        1. Indikation, Schmerzwert, Schlafqualitätsfragebogen, Lebensqualitätsfragebogen, Arzneimitteldosis, Begleitmedikamente, Nebenwirkungen, Laborparameter, Arztfragebogen zur Erstellung des Kostenübernameantrags bei der Krankenkasse

  4. Kategorien der betroffenen Personen
    1. Folgende Personenkreise sind regelmäßig von der Datenverarbeitung betroffen:

    2. den Verantwortlichen, und den dazugehörigen verbundenen Unternehmen, dem behandelnden Arzt und Apotheken

ANLAGE 2

ÜBERSICHT PROZESSABSCHNITTE

Beschreibung des Prozessabschnitts In gemeinsamer Verantwortlichkeit?
Zuständig?
Verantwortlicher zu 1 Verantwortlicher zu 2
Erhebung der Daten nein X
Speicherung der Daten nein X
Änderung der Daten nein X
Löschung der Daten nein X
ANLAGE 3

ALLOKATION DER DSGVO - PFLICHTEN

Pflichten aus der DSGVO Einschlägige Regelung Verantwortlicher zu 1 Verantwortlicher zu 2
I. Informationspflichten
Erfüllung der Informationspflicht bei Erhebung personenbezogener Daten Art. 13 X
Erfüllung der Informationspflicht, wenn Daten nicht bei Betroffenen erhoben wurden Art. 14 X
II. Betroffenenanfragen
Bearbeitung von Auskunftsverlangen Art. 15 X
Bearbeitung von Berichtigungsanfragen Art. 16 X
Bearbeitung von Löschbegehren Art. 17 X
Bearbeitung von Begehren auf Beschränkung der Verarbeitung Art. 18 X
Erfüllung von Mitteilungspflichten im Zusammenhang mit der Berichtigung, Löschung oder Einschränkung der Ver arbeitung Art. 19 X
Abwicklung von Herausgabeverlangen Art. 20 X
Bearbeitung von Widersprüchen Art. 21 X
III. Meldepflichten
Meldung von Datenpannen an die Aufsichtsbehörde Art. 33 X
Meldung von Datenpannen an die betroffene Person Art. 34 X
IV. Sonstige Pflichten
Festlegung, Dokumentation, Überprüfung und Aktualisierung der techn.-org. Maßnahmen Art. 24 i.V.m.Art 32 X
Einschaltung von Auftragsverarbeitern bzw. Unterauftragsverarbeitern und deren Überprüfung Art. 28 X
Ggf. Datenschutzfolgenabschätzung und Konsultation einer Aufsichtsbehörde Art. 35, 36 X

Auf der folgenden Seite steht Ihnen dieser Vertrag als PDF-Datei zu Downloade bereit