1. Dieser Vertragsteil regelt die Rechte und Pflichten vom Vertragspartner und Henara (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.
2. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Vertragspartners oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
3. In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU-Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

1. Die Verarbeitung beruht auf den beschriebenen Leistungen aus dem Vertrag §1.
2. Der Verarbeitungszeitraum richtet sich nach der Laufzeit dieses Vertrages.

1. Art und Zweck der Verarbeitung:
   Erfassen bzw. Aufnehmen von Verordnungen und deren Patientendaten, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung an die entsprechenden Kostenträger durch Übermittlung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von Daten
2. Art der Daten:
   Es werden folgende Daten verarbeitet:
   1. Patientendaten (Name, Geburtstag, Adressdaten, Krankenkassendetails)
   2. Verordnungen (Krankheitscode, Verschreibung des Arztes, Leistung des Vertragspartners am Patienten, Leistungserbringung gegenüber dem Patienten)
   3. Daten zu Erzeugung von Rechnungen und Gutschriften gegenüber den Kostenträgern bzw. Vertragspartnern
3. Datenhaltung:
   Sofern der Vertragspartner eine gültige Lizenz für die Praxissoftwarelösung von Henara auf Zeit erworben hat (Softwaremiete), stellt Henara für einige Optionen eine eigene Datenbank für den Vertragspartner in einem europäischen Rechenzentrum zur Verfügung. Zu dieser Datenbank haben ausschließlich der Vertragspartner und Henara Zugriff. Auf Anfrage des Vertragspartners stellt Henara dem Vertragspartner die Adresse des Rechenzentrums zur Verfügung. Erlischt die Lizenz, wird der Zugang zur Datenbank deaktiviert. Gelöscht wird die Datenbank nach 6 Monaten nach Kündigung, sofern eine Reaktivierung nicht eintritt.

1. Henara verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Vertragspartner angewiesen, es sei denn, Henara ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt Henara diese dem Vertragspartner vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Henara verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
2. Henara bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
3. Henara verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.
4. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
5. Henara sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Henara trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
6. Im Zusammenhang mit der beauftragten Verarbeitung hat Henara den Vertragspartner bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Vertragspartner auf Anforderung unverzüglich zuzuleiten.
7. Wird der Vertragspartner durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich Henara den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
8. Auskünfte an Dritte oder den Betroffenen darf Henara nur nach vorheriger Zustimmung durch den Vertragspartner erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Vertragspartner weiterleiten.
9. Soweit gesetzlich verpflichtet, bestellt Henara eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Vertragspartner direkt an den Datenschutzbeauftragten wenden. Henara teilt dem Vertragspartner unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Henara dem Vertragspartner unverzüglich mit.
10. Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Vertragspartners und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

1. Henara verpflichtet sich, Datensicherheitsmaßnahmen nach den gesetzlichen Vorschriften der DSGVO vorzunehmen. Sie definieren das von Henara geschuldete Minimum. Dafür führt Henara einen Maßnahmenkatalog, der so detailliert und verständlich ist, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll.
2. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat Henara unverzüglich umzusetzen. Änderungen sind dem Vertragspartner unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
3. Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Vertragspartners nicht oder nicht mehr genügen, benachrichtigt Henara den Vertragspartner unverzüglich.
4. Kopien oder Duplikate werden ohne Wissen des Vertragspartners nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
5. Die Verarbeitung von Daten in Privatwohnungen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag bestimmten Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privatwohnungen ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet.
6. Dedizierte Datenträger, die vom Vertragspartner stammen bzw. für den Vertragspartner genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.
7. Henara führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis ist dem Auftraggeber jederzeit auf Anforderung zu überlassen. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.

1. Im Rahmen des Auftrags verarbeitete Daten wird Henara nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Vertragspartners berichtigen, löschen oder sperren.
2. Den entsprechenden Weisungen des Vertragspartners wird Henara jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

1. Der Vertragspartner ist grundsätzlich damit einverstanden, dass Henara an sorgfältig ausgewählte Drittunternehmen Unteraufträge erteilt, insbesondere, aber nicht ausschließlich, für die Bereiche Bereitstellung, Wartung und Installation der Rechenzentrumsinfrastruktur, Telekommunikationsdienstleistungen, Benutzerservice, Prüfer und Entsorgung von Datenträgern.
2. Die Zustimmung ist nur möglich, wenn dem Subunternehmer vertraglich mindestens Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag vereinbarten, vergleichbar sind. Der Vertragspartner erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Henara und Subunternehmer.
3. Die Rechte des Vertragspartners müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Vertragspartner berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen.
4. Die Verantwortlichkeiten von Henara und des Subunternehmers sind eindeutig voneinander abzugrenzen.
5. Eine weitere Subbeauftragung durch den Subunternehmer ist nicht zulässig.
6. Henara wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.
7. Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich Henara dokumentiert davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt hat. Henara hat dem Vertragspartner die Dokumentation jederzeit auf Anforderung des Vertragspartners vorzulegen.
8. Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in § 8 Abs. 10 dieses Vertrages genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Henara teilt dem Vertragspartner mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist.
9. Henara hat die Einhaltung der Pflichten des Subunternehmers regelmäßig, spätestens alle 12 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Vertragspartner jederzeit auf Anforderung vorzulegen.
10. Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür Henara gegenüber dem Vertragspartner.
11. Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht von Henara, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.
12. Aufstellung der Subunternehmer:
    1. Pcvisit Software AG, Manfred-von-Ardenne-Ring 20, D-01099 Dresden Kundenservice
    2. IONOS SE, Elgendorfer Str. 57, 56410 Montabaur
    3. Microsoft, One Microsoft Way, Redmond, WA 98052-6399, USA Bereitstellung und Wartung der Rechenzentren in Amsterdam, Office 365 und CRM Dynamics Software
    4. Sendev GmbH, Geschäftsführer Sergej Derjabkn , Herbert-Wehner-Str. 2, 59174 Kamen
    5. Sendinblue GmbH (Brevo), Köpenicker Straße 126, 10179 Berlin
    6. Softwareentwicklung Andreas Hildebrandt, Johann-Goercke-Allee 12, 14469 Potsdam
    7. Atlassian. Pty Ltd, Level 6, 341 George Street, Sydney NSW 2000, Australien
    8. Docusign International (EMEA) Ltd, 5 Hanover Quay, Erdgeschoss, Dublin 2, Republik Irland

Über Änderungen und Ergänzungen der Subunternehmen wird der Auftragnehmer den Auftraggeber informieren.

1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Vertragspartner verantwortlich.
2. Der Vertragspartner erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Vertragspartner unverzüglich dokumentiert bestätigen.
3. Der Vertragspartner informiert Henara unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
4. Der Vertragspartner ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen bei Henara in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist von Henara soweit erforderlich Zutritt und Einblick zu ermöglichen. Henara ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
5. Kontrollen bei Henara haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Vertragspartner zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten von Henara, sowie nicht häufiger als alle 12 Monate statt. Soweit Henara den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter § 9 Abs. 7 dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

1. Henara teilt dem Vertragspartner Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis Henaras vom relevanten Ereignis an eine vom Vertragspartner benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
   1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
   2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
   3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
   4. eine Beschreibung der von Henara ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
2. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße von Henara oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
3. Henara informiert den Vertragspartner unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
4. Henara sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

1. Der Vertragspartner behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.
2. Der Vertragspartner und Henara benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen.
3. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.
4. Henara wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Vertragspartner erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Henara ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Vertragspartner bestätigt oder geändert wird.
5. Henara hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

1. Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Vertragspartners hat Henara die im Auftrag verarbeiteten Daten nach Wahl des Vertragspartners entweder zu vernichten oder an den Vertragspartner zu übergeben, soweit sie nicht für gesetzlich vorgeschriebene Dokumentationspflichten von Henara aufbewahrt werden müssen. Spätestens danach sind die Daten zu vernichten. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Vernichtung erfolgt gemäß DIN 66399.
2. Henara ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.
3. Henara hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Vertragspartner unverzüglich vorzulegen.
4. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch Henara den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Henara kann sie zu seiner Entlastung dem Vertragspartner bei Vertragsende übergeben.

1. Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften der Vertragspartner und Henara als Gesamtschuldner.
2. Henara trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit die relevanten Daten von ihm unter dieser Vereinbarung verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt Henara den Vertragspartner auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Vertragspartner erhoben werden. Unter diesen Voraussetzungen ersetzt Henara dem Vertragspartner ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung.
3. Henara haftet dem Vertragspartner für Schäden, die Henara, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.
4. Nummern (2) und (3) gelten nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Vertragspartner erteilten Weisung entstanden ist.

1. Der Vertragspartner kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß von Henara gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, Henara eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder Henara Kontrollrechte des Auftraggebers vertragswidrig verweigert.
2. Ein schwerwiegender Verstoß liegt insbesondere vor, wenn Henara die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.
3. Bei unerheblichen Verstößen setzt der Vertragspartner Henara eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Vertragspartner zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt.
4. Henara hat dem Vertragspartner alle Kosten zu erstatten, die diesem durch die verfrühte Beendigung des Hauptvertrages oder dieses Vertrages in Folge einer außerordentlichen Kündigung durch den Vertragspartner entstehen.