1. Gegenstand

Gegenstand vorliegender AV-V ist die Festlegung der Bedingungen für die Verarbeitung personenbezogener Daten, die VoiceBooker vom Abonnenten/Nutzer für die Ausführung der Services zur Verfügung gestellt werden. Im Rahmen der Vertragsbeziehungen verpflichten sich die Parteien zur Einhaltung der Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, die seit dem 25. Mai 2018 Anwendung findet (nachstehend “DSGVO”) sowie der Bestimmungen des Bundesdatenschutzgesetzes (“BDSG”)

2. Begriffsbestimmung

Die vorliegender Auftragsdatenverarbeitung zu Grunde gelegten Begriffsbestimmungen sind hier einsehbar.

3. Dauer

Vorliegende Vereinbarung gilt mit Nutzung der Plattform als Anbieter bzgl. der Kurs- und oder Terminverwaltungsfunktion, und für die gesamte Dauer der Vertragsbeziehung zwischen VoiceBooker und dem Nutzer.

4. Status der Vertragsparteien

Die Parteien haben vereinbart, dass für die Verarbeitung der in Anhang 1 aufgeführten personenbezogenen Daten der Nutzer der Verantwortliche und VoiceBooker der Auftragsverarbeiter ist. Insbesondere betrifft dies personenbezogene Daten im Zusammenhang mit der Kurs- und Terminverwaltung von Teilnehmern/Kunden/Patienten. Dies gilt unabhängig davon, ob diese Daten durch den Nutzer oder einen von ihm benannten Administrator an VoiceBooker direkt oder indirekt übermittelt werden. VoiceBooker wird vom Nutzer dazu ermächtigt, die für die Lieferung der Dienste erforderlichen personenbezogenen Daten zu den nachstehend genannten Zwecken und unter strikter Einhaltung der nachstehend genannten Bedingungen zu verarbeiten. Es wird darauf hingewiesen, dass die Verpflichtung von VoiceBooker auf die Einrichtung und Bereitstellung der Dienste und das Hosting der Plattform begrenzt sind. Auf ausdrückliche Anfrage des Nutzers und unter seiner Kontrolle und Verantwortung kann VoiceBooker diesen jedoch bei dem Import der personenbezogenen Daten seiner Teilnehmer/Kunden/Patienten innerhalb der VoiceBooker-Plattform unterstützen. Sobald der Verantwortliche für die Datenverarbeitung persönliche Daten von Dritten auf der VoiceBooker-Plattform eingibt (z.B. Daten von Teilnehmer oder Kollegen) muss der Verantwortliche für die Datenverarbeitung die gesetzlichen Anforderungen bezüglich der Information oder Zustimmung dieser Dritten einhalten.

4.1. Pflichten des Nutzers/Abonnenten

Der Nutzer ist in seiner Eigenschaft als Verantwortlicher für die Datenverarbeitung für die Führung seines Verzeichnisses der Verarbeitungstätigkeiten und gegebenenfalls für die Erfüllung von Anforderungen der für ihn zuständigen Datenschutzaufsichtsbehörde verantwortlich. Er ist auch dafür verantwortlich, die Teilnehmer über die Aufnahme ihrer personenbezogenen Daten in die VoiceBooker-Plattform sowie über die Modalitäten der Ausübung ihrer Rechte zu informieren, indem er ihnen ein Informationsblatt zur Verfügung stellt. Als für die Verarbeitung Verantwortlicher ist der Nutzer allein verantwortlich für die Zuverlässigkeit und Richtigkeit der übermittelten persönlichen Daten. Der Nutzer verpflichtet sich dazu

• Nutzerrechte festzulegen, insbesondere im Hinblick auf persönliche Daten der Teilnehmer;

• VoiceBooker alle erforderlichen Daten für die Auftragsverarbeitung zur Verfügung zu stellen, darunter die Liste der zu verarbeitenden personenbezogenen Daten, die gesetzliche Verarbeitungsgrundlage, die Verarbeitungszwecke und die Aufbewahrungsdauer der personenbezogenen Daten;

• alle Weisungen zur Verarbeitung der personenbezogenen Daten durch VoiceBooker schriftlich zu dokumentieren;

• die von VoiceBooker in seiner Eigenschaft als Auftragsverarbeiter durchgeführte Datenverarbeitung zu überwachen;

• einen Hauptansprechpartner, der den Verantwortlichen für die Datenverarbeitung vertritt, und ggf. einen Beauftragten für den Schutz personenbezogener Daten gemäß den Bestimmungen der DSGVO zu benennen;

• in der Testphase nur Blinddaten, die keine personenbezogenen Daten enthalten, mit VoiceBooker zu teilen;

• für die Einhaltung der im Übrigen in der DSGVO vorgesehenen Pflichten Sorge zu tragen.

4.2. Pflichten von VoiceBooker

4.2.1. VoiceBooker verpflichtet sich dazu:

• personenbezogene Daten in Übereinstimmung mit den in dieser Vereinbarung dargelegten Zwecken und Rahmenbedingungen verarbeiten und die für personenbezogene Daten geltenden technischen Standards einzuhalten;
• nur auf die alleinige vorherige Weisung des für die Datenverarbeitung Verantwortlichen zu handeln. Im Falle der Unmöglichkeit oder Unzumutbarkeit, bestimmten Weisungen Folge zu leisten, wird VoiceBooker den Verantwortlichen schnellstmöglich informieren. VoiceBooker kann in diesem Fall um Befreiung von der Weisung ersuchen;
• keine Kopien personenbezogener Daten ohne die Genehmigung oder Anweisung des für die Datenverarbeitung Verantwortlichen anzufertigen, diese nicht an Dritte weiterzugeben und nicht für andere als die im Vertrag genannten Zwecke zu verwenden;
• personenbezogene Daten, die ihm von dem Verantwortlichen für die Datenverarbeitung anvertraut wurden, nicht im eigenen Auftrag oder im Auftrag Dritter, zu welchem Zweck und auf welche Weise auch immer, zu verwerten oder zu verarbeiten;
• alle ihm zur Verfügung stehenden Mittel gemäß den vertraglichen Bestimmungen und dem Stand der Technik einzusetzen, um die Sicherheit und die Vertraulichkeit der ihm anvertrauten personenbezogenen Daten zu gewährleisten und insbesondere zu verhindern, dass diese verfälscht, beschädigt oder an unbefugte Dritte weitergegeben werden. Im Übrigen sind alle geeigneten technischen und organisatorischen Maßnahmen zu ergreifen, um personenbezogene Daten gegen die unbeabsichtigte oder unrechtmäßige Zerstörung oder den unbeabsichtigten Verlust, die unbeabsichtigte Änderung und Verbreitung oder den unbefugten Zugriff sowie gegen jede Form der unrechtmäßigen Verarbeitung zu schützen;
• den für die Datenverarbeitung Verantwortlichen schnellstmöglich über jede Sicherheitslücke zu benachrichtigen, die direkt oder indirekt ihn betreffende personenbezogene Daten oder Verarbeitungsvorgänge betrifft;
• regelmäßige Sicherungen der personenbezogenen Daten durchzuführen;
• regelmäßige Intrusionstests durchzuführen;
• die für den störungsfreien Betrieb der Services erforderliche Hardware zu warten;
• die Vertraulichkeit der personenbezogenen Daten zu gewährleisten;
• Aktualisierungen, Korrekturen, Löschungen oder sonstige Änderungen im Hinblick auf die personenbezogenen Daten zu berücksichtigen;
• die geltende Aufbewahrungsfrist der personenbezogenen Daten gemäß den Zwecken, für welche diese gesammelt oder zur Verfügung gestellt wurden, einzuhalten und die Daten zu löschen/anonymisieren, wenn diese Zwecke nicht mehr bestehen, vorbehaltlich gesetzlicher Verpflichtungen;
• einen Beauftragten für den Schutz personenbezogener Daten zu benennen.

4.2.2. Darüber hinaus verpflichtet sich VoiceBooker sicherzustellen,

dass Personen, die gemäß dieser Vereinbarung zur Verarbeitung personenbezogener Daten berechtigt sind

• sich zur Einhaltung der Vertraulichkeit verpflichten oder an eine angemessene gesetzliche Pflicht zur Verschwiegenheit gebunden sind;
• die für den Schutz personenbezogener Daten erforderliche Schulung erhalten;
• die Grundsätze des Datenschutzes und des Schutzes personenbezogener Daten als Standard bei Tools, Produkten, Anwendungen oder Diensten berücksichtigen;

4.2.3. Hilfe und Beratung bei der Einhaltung der Bestimmungen:

VoiceBooker setzt alle erforderlichen Mittel ein, um dem Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen sowie der vorangehenden Konsultation durch Aufsichtsbehörden zu helfen. VoiceBooker stellt dem Verantwortlichen alle notwendigen Informationen über die Verarbeitung personenbezogener Daten zur Verfügung, um ihn bei der Erfüllung seiner gesetzlichen und behördlichen Pflichten als Verantwortlicher der Datenverarbeitung gemäß den Bestimmungen der DSGVO zu unterstützen. In Ermangelung besonderer Weisungen seitens des Verantwortlichen im Hinblick auf die Art der zu verarbeitenden personenbezogenen Daten, deren Zwecke, Rechtsgrundlage und Aufbewahrungsfrist erkennt dieser an, dass die personenbezogenen Daten gemäß der in den Anhängen 1 und 2 dargelegten Modalitäten verarbeitet werden. Der Nutzer kann als Verantwortlicher der Datenverarbeitung während der Ausführung des Vertrags von seinem Weisungsrecht Gebrauch machen.

5. Verletzung des Schutzes personenbezogener Daten

Bei jeder Verletzung des Schutzes personenbezogener Daten benachrichtigt VoiceBooker den für die Datenverarbeitung Verantwortlichen unverzüglich, nachdem VoiceBooker hierüber Kenntnis erlangt hat. Auf Anfrage des für die Datenverarbeitung Verantwortlichen sind dieser Benachrichtigung alle sachdienlichen Dokumentationen beizufügen, damit dieser erforderlichenfalls die zuständige Aufsichtsbehörde und gegebenenfalls die betroffenen Personen über die Verletzung unterrichten kann. Fragen zu Vorfällen, die Auswirkungen auf die gehosteten Personendaten haben, können an privacy@terminbooker.de gerichtet werden.

6. Führen eines Verarbeitungsverzeichnisses

VoiceBooker führt ein Verzeichnis über alle Kategorien von Verarbeitungstätigkeiten, die im Auftrag des für die Verarbeitung Verantwortlichen ausgeführt werden gemäß den Bestimmungen der DSGVO.

7. Information und Rechter der betroffenen Personen

Es obliegt dem für die Datenverarbeitung Verantwortlichen, (i) die betroffenen Personen über die im Rahmen der Dienste durchgeführte Verarbeitung zu informieren und, insofern dies nach geltendem Recht erforderlich ist, deren Zustimmung(en) einzuholen; (ii) die betroffenen Personen über die Rechtsgrundlage der durchgeführten Verarbeitung, die Zwecke der Verarbeitung und die Liste der Auftragsverarbeiter, welche die personenbezogenen Daten verarbeiten können, zu informieren. Um den für die Datenverarbeitung Verantwortlichen bei dieser Informationspflicht zu unterstützen, veröffentlicht VoiceBooker auf Portal Datenschutzhinweise, die unter https://terminbooker.de/privacy zugänglich sind.

8. Verwaltung der Rechte

Es obliegt dem für die Verarbeitung Verantwortlichen, Rechtsansprüchen betroffener Personen im Hinblick auf deren personenbezogene Daten nachzukommen. Soweit möglich kann VoiceBooker in seiner Eigenschaft als Auftragsverarbeiter und auf Anfrage des für die Verarbeitung Verantwortlichen diesen bei der Erfüllung seiner Pflicht, Datenschutzanfragen nachzukommen unterstützen. Hierzu zählen Anfragen im Bezug auf das Recht auf Zugang, Berichtigung, Löschung und Widerspruch, Einschränkung der Verarbeitung sowie Datenübertragbarkeit. VoiceBooker kann auf Wunsch des Verantwortlichen diesen bei der Bearbeitung der Anträge unterstützen, darf jedoch Anträge der genannten betroffenen Personen nicht direkt beantworten, es sei denn, dass der für die Verarbeitung Verantwortliche eine ausdrückliche Weisung hierzu erteilt hat.

9. Sicherheit und Vertraulichkeit

9.1 Im Hinblick auf die Services führt VoiceBooker die für die Sicherheit geeigneten technischen und organisatorischen Maßnahmen gemäß der DSGVO durch, die darauf abzielen, ein angemessenes Sicherheitsniveau in Bezug auf die Risiken zu gewährleisten, die durch die Verarbeitung personenbezogener Daten des Nutzers/Abonnenten entstehen wie in Anhang 2 (Technische und organisatorische Maßnahmen) angegeben. Bei der Bewertung der angemessenen Sicherheitsstufe wird VoiceBooker die Risiken berücksichtigen, die sich aus der unbeabsichtigten oder unrechtmäßigen Zerstörung, Beschädigung, Verlust, Änderung, unbefugten Weitergabe oder dem unbefugten Zugang zu personenbezogenen Daten ergeben können, die gemäß den Bestimmungen von Artikel 32 der DSGVO übermittelt, gespeichert oder anderweitig verarbeitet werden können. Notwendige interne Maßnahmen des Nutzers zum Schutz von Teilnehmer-/Kundendaten bleiben hiervon unberührt. Es wird zwischen den Teilnehmer vereinbart, dass der Vertrag, der vorliegende Vereinbarung zum Datenschutz enthält, der zuständigen Aufsichtsbehörde zur Prüfung vorgelegt werden kann.

9.2 Berufsgeheimnis: VoiceBooker ist bekannt, dass die bei der Nutzung der Dienste durch den Verantwortlichen verarbeiteten Daten unter das Berufsgeheimnis fallen (§ 203 StGB). VoiceBooker ist verpflichtet, alle bei dessen Berufsausübung erlangten Informationen, die unter z.B. ärztliche Schweigepflicht und das Patientengeheimnis fallen, strikt geheim zu halten und vor dem Zugriff unberechtigter Dritter zu schützen. In gleicher Weise wird VoiceBooker seine Mitarbeiter sowie Unterauftragnehmer zur Geheimhaltung verpflichten.

9.3 Eigentum an Profildaten: Sofern keine ausdrücklichen anderen Vereinbarungen zum Datenschutz getroffen wurde, bleibt der Verantwortliche Herr seiner Daten, die von sich auf dem VoiceBooker portal veröffentlicht wurden. VoiceBooker kann aus der Veröffentlichung keine Rechte an den Daten geltend machen, die von dem Verantwortlichen veröffentlicht wurden. Die anonymisierten Nutzungsstatistiken der Buchungsplattform sind Eigentum von VoiceBooker.

10. Personal von VoiceBooker

Für die Erbringung der Dienstleistung setzt VoiceBooker ausreichend und qualifiziertes Personal ein, das über die für die Leistungserbringung erforderlichen technischen oder funktionalen Fähigkeiten verfügt. Personen, die zur Verarbeitung personenbezogener Daten im Auftrag des für die Datenverarbeitung Verantwortlichen befugt sind, müssen eine Schulung zur Datenschutzgrundverordnung erhalten haben.

11. Unterverarbeitung

VoiceBooker ist zur Beauftragung der hier aufgelisteten Unterauftragsverarbeiter berechtigt, wenn dies für die Erbringung der Services in angemessener Weise erforderlich ist. Hierbei verpflichtet sich VoiceBooker dazu, den Verantwortlichen mittels einer schriftlichen Ankündigung dreißig (30) Tage im Voraus über jeden beabsichtigten Wechsel durch Hinzufügung oder Ersatz eines Unterauftragsverarbeiters zu informieren. Dadurch kann der Verantwortliche Einwände, die er gegen diese Wechsel haben könnte, rechtzeitig erheben. Sollte der Verantwortliche berechtigte und nachvollziehbare Gründe haben, die Beauftragung eines neuen Unterauftragsverarbeiters abzulehnen, muss der Nutzer unverzüglich eine begründete Beschwerde bei VoiceBooker unter privacy@terminbooker.de innerhalb einer Frist von dreißig (30) Werktagen nach erteilter Ankündigung einlegen. Im Hinblick auf die Unterauftragsverarbeiter muss VoiceBooker (i) angemessene Sorgfalt bei der Bewertung, Ernennung und Überwachung der Tätigkeiten des Unterauftragsverarbeiters an den Tag legen; (ii) in den Vertrag zwischen VoiceBooker und jedem Unterauftragsverarbeiter Klauseln einfügen, mit denen ein gleichwertiger Schutz für die personenbezogenen Daten des Nutzers gewährleistet wird; VoiceBooker bleibt (iii) gegenüber dem Nutzer für jegliche Nichterfüllung der Pflichten durch die Unterauftragsverarbeiter bei der Verarbeitung der personenbezogenen Nutzerdaten vollumfänglich haftbar.

12. Audit

12.1 Zur Messung der Sicherheit der VoiceBooker-Plattform kann der für die Datenverarbeitung Verantwortliche auf eigene Kosten IT-Sicherheitsaudits unter Einhaltung der im vorliegenden Artikel vorgesehenen Bedingungen und innerhalb eines Umfangs von einem (1) Audit pro Jahr mit einer maximalen Dauer von fünf (5) Werktagen durchführen, wobei der Zeitaufwand des Personals von VoiceBooker dem für die Verarbeitung Verantwortlichen in Rechnung gestellt wird.

12.2 Das Audit beschränkt sich auf die Prüfung der Prozesse, der Organisation und der Tools, die direkt und ausschließlich mit der Umsetzung der DSGVO-Bestimmungen in den betreffenden Services in Verbindung stehen. Ziel des Audits ist in keinem Fall die Überwachung oder Zugriffsanfrage (i) auf nicht spezifische personenbezogene Daten des Nutzers, gleich ob diese vertraulich sind oder nicht, oder auf jegliche Information, deren Verbreitung nach Ermessen von VoiceBooker der Sicherheit der VoiceBooker-Plattform oder eines anderen Nutzers schaden könnte; (ii) auf die Finanzdaten von VoiceBooker; oder (iii) auf personenbezogene Daten der Angestellten von VoiceBooker oder dessen Unterauftragsverarbeitern. Es wird vereinbart, dass keine der im Rahmen eines Audits durchgeführten Tätigkeiten (i) den Betrieb von Services, Systemen, Netzwerken, Software oder Hardware in irgendeiner Weise behindern, modifizieren oder beeinflussen darf, die nicht für die ausschließliche Nutzung durch den Nutzer bestimmt sind; (ii) die Infrastruktur beschädigen darf, die die VoiceBooker-Plattform beherbergt; (iii) Daten jeglicher Art beschädigen, löschen oder modifizieren darf; (iv) unbefugten Zugriff auf die oben genannten Daten oder deren Pflege ermöglichen darf. Jegliche Intrusions- oder Penetrationstest, die auf die VoiceBooker-Plattform und -Anwendung abzielen, sind gleich aus welchem Grund untersagt und von den Audits ohne die vorherige schriftliche Zustimmung von VoiceBooker ausgeschlossen. Alle für die Durchführung des Audits erforderlichen Unterlagen und Informationen werden den Auditoren ausschließlich in den Geschäftsräumen von und durch VoiceBooker zur Verfügung gestellt, ohne die Möglichkeit, diese einzubehalten oder von diesen Kopien anzufertigen. Dieses Verbot gilt ebenfalls für alle Unterlagen und Informationen, die von den Unterauftragsverarbeitern von VoiceBooker zur Verfügung gestellt werden.

12.3 Der für die Datenverarbeitung Verantwortliche muss VoiceBooker mindestens (30) Tage vor Durchführung des Audits eine Auditvereinbarung mit folgenden Angaben zukommen lassen: Genauer umfang, Daten und Uhrzeiten, und die bedingungen. Der Auditor muss ebenfalls die ggf. für die Tests verwendeten Konten und Profile angeben (IP-Adresse Quellen, User Agent usw.), die verwendete Methode sowie das vom Audit betroffene Personal. Der Inhalt der Auditvereinbarung muss vor Beginn eines jeden Audits von VoiceBooker vorab genehmigt worden sein.

12.4 Die im Laufe des Audits erhaltenen Informationen sind Vertrauliche Informationen und müssen als solche von dem für die Verarbeitung Verantwortlichen behandelt werden. Die o.g. Informationen dürfen ausschließlich an Personen weitergegeben werden, die zu strengster Geheimhaltung verpflichtet worden sind und die ein unmittelbares und maßgebliches Interesse an deren Kenntnis haben. Die Informationen dürfen auf keinen Fall öffentlich oder intern verbreitet werden. Wenn der für die Datenverarbeitung Verantwortliche die Hinzuziehung eines externen Auditors wünscht, muss er hierfür vorab die schriftliche Zustimmung von VoiceBooker einholen, wobei davon ausgegangen wird, dass VoiceBooker den besagten Auditor nur bei Vorliegen berechtigter Interessen ablehnen kann. Der externe Auditor darf in keinem Fall ein Konkurrent von VoiceBooker sein und muss sich schriftlich zur Einhaltung der im vorliegenden Artikel genannten Bedingungen verpflichten. Der für die Verarbeitung Verantwortliche verpflichtet sich dazu, VoiceBooker den Auditbericht kostenfrei zur Verfügung zu stellen. VoiceBooker wird nach Erhalt des Berichts eine angemessene Frist eingeräumt, um die festgestellten Mängel und/oder Nichtkonformitäten zu beheben.

13. Datenrückgewinnung

Der Nutzer können die Daten aus ihrer Teilnehmer-/Kundendatenbank sowie den Verlauf ihrer Termine am Ende des Vertrags abrufen, es sei denn, diese Daten wurden vom Nutzer unrechtmäßig erhoben. Diese Daten werden dem Nutzer in CVS- oder Excel-Format zur Verfügung gestellt. Der Exportantrag muss per E-Mail an folgende Adresse gestellt werden: privacy@terminbooker.de VoiceBooker verpflichtet sich dazu, für den Nutzer über die gesamte Vertragslaufzeit hinweg und während des gesamten Datenrückgewinnungsprozesses eine Kopie seiner Daten zu Verfügung zu halten. Im Fall einer Aussetzung des Nutzerzugangs zur VoiceBooker-Plattform, gleich aus welchem Grund, ermöglicht es VoiceBooker dem Nutzer über eine CVS- oder Excel-Datei die Rückgewinnung der letzten Kopie seiner Teilnehmerdatenbank sowie des Verlaufs seiner Termine zu erhalten (außer in Fällen, in denen diese Daten vom Nutzer unrechtmäßig erhoben wurden). Bei Beendigung des Vertrages und auf formelles Verlangen des Verantwortlichen wird VoiceBooker die personenbezogenen Daten auch vernichten, ohne eine Kopie davon zu behalten, vorbehaltlich gesetzlicher Aufbewahrungspflichten, denen VoiceBooker unterliegt. Konzepte zur Vernichtung von personenbezogenen Daten können auf Anfrage des Verantwortlichen mitgeteilt werden.

14. Weitergabe personenbezogener Daten

Personenbezogene Daten dürfen nur zu den in dieser Vereinbarung zum Schutz personenbezogener Daten aufgeführten Zwecken und in Übereinstimmung mit der geltenden Gesetzgebung an VoiceBooker, deren Auftragnehmer oder Dienstleister übertragen werden, die in Ländern ansässig sind, die über ein angemessenes Schutzniveau verfügen oder angemessene Garantien hinsichtlich des Schutzes der Privatsphäre und der Grundrechte und -freiheiten von Personen bieten. VoiceBooker informiert den Nutzer, dass persönliche Daten von VoiceBooker auch in Drittländer an seine Unterauftragsverarbeiter übertragen werden können, falls eine solche Übertragung für die Ausführung der bestellten Dienste erforderlich ist. Die Liste der Unterauftragsverarbeiter ist hier verfügbar. Wenn die Datenweitergabe in ein Drittland erfolgt, dessen Gesetzgebung über kein anerkanntes Schutzniveau für personenbezogene Daten verfügt, stellt VoiceBooker sicher, dass angemessene Maßnahmen in Übereinstimmung mit der DSGVO getroffen werden, und insbesondere, falls notwendig, dass Standardvertragsklauseln oder gleichwertige Ad-hoc-Klauseln in den Vertrag aufgenommen werden, der zwischen VoiceBooker und dem Unterauftragsverarbeiter abgeschlossen wurde. In seiner Eigenschaft als Auftragsverarbeiter verpflichtet sich VoiceBooker dazu, die personenbezogenen Daten auf dem Gebiet der Europäischen Union zu hosten oder hosten zu lassen und, falls notwendig, alle in dieser Vereinbarung festgelegten Verpflichtungen auf den Dienstleister zu übertragen, der die personenbezogenen Daten hostet. Darüber hinaus kann VoiceBooker auf Anfrage von Verwaltungs- und Justizbehörden personenbezogene Daten, die sie im Namen des für die Verarbeitung Verantwortlichen verarbeitet, weitergeben, um ihren gesetzlichen Verpflichtungen nachzukommen. In diesem Fall wird VoiceBooker den für die Verarbeitung Verantwortlichen über die Weitergabe informieren, soweit gesetzlich zulässig.

15. Kontakt und zuständige Aufsichtsbehörden

Bei Fragen zur der von VoiceBooker durchgeführten Verarbeitung personenbezogener Daten kann der Nutzer gemäß den vertraglichen Bestimmungen den Datenschutzbeauftragten von VoiceBooker unter untenstehend angegebener Adresse kontaktieren. Kontakt zu unserer Datenschutzbeauftragten können Sie über über privacy@terminbooker.de aufnehmen.

Der Datenschutzbeauftragte von VoiceBooker kann unter folgender Adresse kontaktiert werden: claiverly GmbH, Am See 1a, 01067 Dresden

16. Anwendbares Recht

Die Vereinbarung untersteht dem Recht des Landes, das auf den für die Datenverarbeitung Verantwortlichen Anwendung findet.

17. Geltung des AV-V

Dieser AV-V regelt die vertraglichen Beziehungen der Auftragsvereinbarung in abschließender Weise und ersetzt alle bisherigen Vereinbarungen zur Auftragsvereinbarung.

Anhang: Angaben zur Verarbeitung personenbezogener Daten

Vorliegender Anhang enthält bestimmte Angaben über die Verarbeitung personenbezogener Daten gemäß Artikel 28 Abs. 3 DSGVO. Für die Verarbeitung Verantwortlicher: Der Nutzer, der ein VoiceBooker-Nutzerkonto besitzt und diese fur Kurs- und Terminverwaltung als Anbieter nutzt. Die Tätigkeiten des für die Verarbeitung Verantwortlichen umfassen Datenverarbeitungen, welche die Ausübung von Kursanbieter- oder Behandlungsstätigkeiten sowie die administrative Verwaltung seiner Einrichtung ermöglichen. Die Datenverarbeitungen ermöglichen insbesondere für die Betreuung von Teilnehmer (i) die Kurs- sowie Terminplanung; (ii) die Verwaltung der Kontaktdaten. Die eingesetzte Datenverarbeitung muss einem genauen Zweck entsprechen und im Hinblick auf die Aufgaben und Tätigkeiten der Mitarbeiten gerechtfertigt sein. Auftragsverarbeiter: VoiceBooker Die Tätigkeiten des Auftragsverarbeiters umfassen die nachfolgend beschriebenen Dienste.

Verarbeitung Nr. 1: Verwaltung der Nutzerkonten und Verarbeitungsvorgänge:

Die VoiceBooker-Dienste umfassen die Erfassung, Speicherung, Organisation, Aufbewahrung, Extraktion, Einsichtnahme und Nutzung, Übertragung, Anonymisierung und die Löschung von untenstehend aufgelisteten personenbezogenen Daten.

Datenverarbeitungszwecke:

• Kontenverwaltung: Verwaltung der Identifizierung der Nutzer und die Sicherung des Zugangs zu den Nutzerkonten
• Technischer Support und Hilfe: Gewährleistung des technischen Supports, Anwendungsbetreuung und Bearbeitung von Nutzeranträgen, Beratung, Lagerung, Hosting und andere den Nutzern angebotene Services
• Support für personenbezogene Daten: Hilfe beim Umgang mit Datenverletzungen, Unterstützung bei der Beantwortung von Datenschutzanfragen und Anträgen auf Ausübung der Rechte der betroffenen Personen
• Rechnungslegung und Zahlungseinzug
• Marketingaktivitäten und Webanalysen, die nach der geltenden Rechtsprechung zulässig sind
• Reporting, Debugging und Statistiken
• Sicherheit, Betrugsprävention
• Compliance mit gesetzlichen Vorgaben
• Verwaltung der Exporte des Inhalts von Terminkalendern und Terminen.

Rechtsgrundlage der Verarbeitung:

Es obliegt dem für die Verarbeitung Verantwortlichen, die Rechtsgrundlage vor jeder einzelnen Verarbeitung sicherzustellen. Der Verantwortliche sichert VoiceBooker zu, das Vorliegen der angegebenen Rechtsgrundlage (z.B. das Vorliegen von Einwilligungen) geprüft zu haben.

Betroffene Persone:

Dies können der Nutzer oder Fachangestellte wie vertraglich festgelegt sein.

Arten der bezogenen Daten: Um die Menge der verarbeiteten personenbezogenen Daten so gering wie möglich zu halten, muss der Verantwortliche sicherstellen, dass er nur Daten sammelt und verwendet, die für die Erreichung des jeweiligen Verarbeitungszwecks, insbesondere für die administrative Verwaltung seines Kundenstammes erforderlich und notwendig sind.

Folgende Daten werden grundsätzlich für oben genannte Zwecke als erforderlich erachtet: a) Identität und Kontaktdaten Teilnehmer: Geschlecht, Nachname, Vorname, Telefonnummer und E-Mail, Postanschrift b) Anbindung von Hard- und Software der Einrichtung: Nutzungs- und Verbindungslogs, welche die "Aktivität" der vom Nutzer verwendeten Software- und Hardwarekomponenten abbilden, die über die "beruflichen Aktivitäten" der Nutzer innerhalb der VoiceBooker-Services Auskunft geben. Ausgenommen einer besonderen Weisung durch den für die Verarbeitung Verantwortlichen verarbeitet VoiceBooker alle oben genannten personenbezogenen Daten, um die Services, die Gegenstand des Vertrags sind, zu erbringen.

Empfänger und Unterauftragsverarbeiter:

Siehe hierzu die in Artikel 14 der vorliegenden Vereinbarung angeführte Liste.

Aufbewahrungsdauer:

Der für die Verarbeitung Verantwortliche muss eine genaue Aufbewahrungsdauer der Daten festlegen und VoiceBooker mitteilen. In Ermangelung dieser Weisung durch den für die Verarbeitung Verantwortlichen wendet VoiceBooker die von den Aufsichtsbehörden und der geltenden Gesetzgebung empfohlenen Aufbewahrungsfristen an.

Verarbeitung Nr. 2: Termin- und Kursverwaltung Verarbeitungsvorgang:

Die VoiceBooker-Services umfassen die Erfassung, Speicherung, Organisation, Aufbewahrung, Extraktion, Einsichtnahme und Nutzung, Übertragung, Anonymisierung und die Löschung von untenstehend aufgelisteten personenbezogenen Daten.

Datenverarbeitungszwecke:

• Unterstützung bei der Verwaltung des Imports des Inhalts von Kalendern und Terminen und - soweit erforderlich - der Teilnehmerdatenbanken der Akteure auf der VoiceBooker-Plattform
• Einhaltung der Vorschriften für eine sichere Teilnehmeridentifikation
• Unterstützung bei der Wiederherstellung von Daten, die an Kalender angehängt sind;
• Ermöglichung der Verwaltung des Terminkalenders durch den Verantwortlichen
• Ermöglichung der Verwaltung des Teilnahmeverlaufs der Teilnehmer und ggf. deren Angehöriger durch den Verantwortlichen
• Sicherstellung von Studio/Praxisabläufen und Sicherheit im Falle von Pandemien oder sonstigen Notständen
• Ermöglichung der Online-Terminvereinbarung durch die Teilnehmer/Kunden/Patienten selbst und deren Angehörige
• Ermöglichung der Kommunikation zwischen Akteuren der Praxis/Studios und den Teilnehmern/Kunden/Patienten sowie Weitergabe von Informationen an die Teilnehmer/Kunden/Patienten und deren Angehörige bezüglich des Nutzerprofils.
• Ermöglichung der Zusendung von Unterlagen an die Teilnehmer/Kunden/Patienten und deren Angehörige durch den Verantwortlichen
• Senden von E-Mails, SMS und Push-Benachrichtigungen betreffend der Termin-/Kursdurchführung
• Überprüfung der Teilnehmer-/Kunden-/Patientenidentität zur Vermeidung doppelter oder fehlerhafter Datensätze;
• Begrenzung der Anzahl der Termine/Kurse, die ein Nutzer für bestimmte Fachgebiete innerhalb von sieben Tagen buchen kann, um Überbuchungen zu vermeiden;
• Reporting, Debugging Statistiken.

Rechtsgrundlage der Verarbeitung:

Es obliegt dem für die Verarbeitung Verantwortlichen, diese Rechtsgrundlage vor jeder einzelnen Verarbeitung sicherzustellen und zu benennen. Der Verantwortliche sichert VoiceBooker zu, das Vorliegen der angegebenen Rechtsgrundlage (z.B, das Vorliegen von Einwilligungen) geprüft zu haben.

Betroffene Personen:

Teilnehmer/Kunden/Patienten und deren Angehörige

Arten der personenbezogenen Daten:

Um die Menge der verarbeiteten personenbezogenen Daten so gering wie möglich zu halten, muss der für die Verarbeitung Verantwortliche sicherstellen, dass er nur Daten sammelt und verwendet, die für die Erreichung des jeweiligen Verarbeitungszweckes und für die administrative Verwaltung seines Teilnehmer-/Kunden-/Patientenstammes erforderlich sind. Folgende Daten werden grundsätzlich für oben genannte Zwecke als erforderlich erachtet: a) Identität und Kontaktdaten des Teilnehmers/Kunden/Patienten oder eines Angehörigen: Geschlecht, Name, Vorname, Geburtsdatum, Geburtsort, Anschrift , E-Mail-Adresse und Telefonnummer b) Anbindung von Hard- und Software der Gesundheitseinrichtung: Nutzungs- und Verbindungslogs, welche die "Aktivität" der vom Nutzer verwendeten Software- und Hardwarekomponenten abbilden die über die "beruflichen Aktivitäten" der Nutzer innerhalb der VoiceBooker-Services Auskunft geben. Ausgenommen einer besonderen Weisung durch den für die Verarbeitung Verantwortlichen verarbeitet VoiceBooker alle oben genannten personenbezogenen Daten, um die Services, die Gegenstand des Vertrages sind, zu erbringen.

Empfänger und Unterauftragsverarbeiter:

Siehe die in Artikel 14 der vorliegenden Vereinbarung angeführte Liste.

Aufbewahrungsdauer:

Der für die Verarbeitung Verantwortliche muss eine genaue Aufbewahrungsdauer der Daten festlegen und VoiceBooker mitteilen. Standardmäßig und sofern vom Verantwortlichen nicht anders angewiesen, wird die Aufbewahrungsdauer auf 5 Jahre festgelegt. Es steht dem für die Verarbeitung Verantwortlichen frei, VoiceBooker eine abweichende Aufbewahrungsdauer zwischen einem Jahr und 20 Jahren mitzuteilen. Für Verwaltungszwecke von Gesundheitseinrichtung und der medizinischen oder paramedizinischen Praxis können die in der VoiceBooker-Plattform aufgezeichneten Daten für einen Zeitraum von 10 Jahren ab dem Datum der letzten Teilnahme/Behandlung des Teilnehmers/Kunden/Patienten aufbewahrt werden.

Verarbeitung Nr. 4: Bereitsstellung eines Messaging-Dienstes

Verarbeitungsvorgang:

Die VoiceBooker-Dienste beinhalten die Erhebung, Registrierung, Organisation, Aufbewahrung, Extraktion, Abfrage und Nutzung, Kommunikation durch Übertragung, Anonymisierung und Löschung der unten aufgelisteten personenbezogenen Daten.

Datenverarbeitungszwecke:

1. Erleichterung der Kommunikation zwischen Studio/Praxis/Kursanbieter/leiter durch Bereitstellung eines sicheren Kanals für den Austausch per Instant Messaging;
2. Den Austausch von Dokumenten und Daten zu ermöglichen, die personenbezogene Daten von Teilnehmern/Kunden/Patienten enthalten können;
3. Den Nutzern des Messenger-Dienstes zu ermöglichen, einen anderen Nutzer zu blockieren oder zu entsperren;
4. Reporting, Debugging und Statistiken.

Rechtsgrundlage der Verarbeitung:

Es obliegt dem für die Verarbeitung Verantwortlichen, diese Rechtsgrundlage vor jeder Verarbeitung sicherzustellen und zu benennen. Als Hinweis kann das berechtigte Interesse als Rechtsgrundlage dienen. Es steht dem für die Verarbeitung Verantwortlichen frei, VoiceBooker eine andere Rechtsgrundlage zu nennen. Für den Fall, dass der für die Verarbeitung Verantwortliche die Patientenstammdaten an einer Gesundheitsfachkraft weitergibt, die nicht zum Behandlungsteam des gegebenen Patienten gehört, muss er zuvor die Zustimmung des Teilnehmers/Kunden/Patienten einholen. Darüber hinaus muss der für die Verarbeitung Verantwortliche im Rahmen der Durchführung von Teleexpertisen den Patienten über die Bedingungen der Durchführung der Teleexpertisen informieren und auf der Grundlage dieser Informationen eine ausdrückliche und informierte Einwilligung einholen.

Betroffene Personen:

1. Teilnehmer/Kunden/Patienten der Kursanbieter/Studiobesitzer, die den Messengerdienst der VoiceBooker Plattform nutzen.
2. Kursanbieter/Studiobesitzer und von diesen eingesetzte Personen.

Arten der personenbezogenen Daten:

Die folgenden Daten werden grundsätzlich als relevant für die oben genannten Zwecke angesehen:

• Identifikationsdaten;
• Kontaktdaten;

Anhang: Technische und Organisatorische Maßnahmen

Sicherheit der Plattform - Maßnahmen nach Art. 32 (1) lit. b DSGVO

• Automatische Sicherheitsupdates: Sicherheitspatches werden qualifiziert und automatisch auf unsere Komponenten angewendet.
• Aktualisierte und verbesserte Betriebssysteme.
• Standby-Sicherheitsüberwachung: Wir überwachen permanent Bedrohungen, Schwachstellen oder Angriffsziele, gleich ob diese bekannt oder neu sind. Firewall und spezifische Filtriersysteme zur Regulierung des Zugangs (Proxy, VPN ...). Schutz vor Denial-Of-Service Angriffen (DDoS). Schutz vor Software-Angriffen (WAF).
• Rückverfolgbarkeit: Wir speichern alle Aktionen und überwachen und alarmieren bei jedem Sicherheitsvorfall.
• Gesicherte Datenzentren: HDS, ISO 27001, Tier 3, hohe physische Sicherheit, Personal vor Ort 24 Stunden am Tag, 7 Tage die Woche.

Verfügbarkeit - Maßnahmen nach Art. 32 (1) lit. b, c DSGVO

• Alle Daten werden in mehreren Rechenzentren repliziert.
• Jedes Datenzentrum verfügt über mehrere Netzwerkverbindungen nach außen.
• Alle Dienste und Komponenten werden durch Disaster-Recovery-Verfahren, meist automatisch, abgedeckt.
• Jede Störung wird automatisch erkannt und löst einen Alarm aus aufgrund eines umfassenden Überwachungssystems für jede technische Komponente und jeden Geschäftsdienst.
• Einrichtung einer Datensicherungs- und Wiederherstellungspolitik.

Datenverschlüsselung - Maßnahmen nach Art. 32 (1) lit. a DSGVO

Verschlüsselung der Kommunikation:

• Alle Daten, die mit und zwischen Systemen ausgetauscht werden, werden mit TLS-Protokollen verschlüsselt.
• Der technische Zugriff erfolgt über eine verschlüsselte und stark authentifizierte Verbindung mit systematischer Validierung durch einen Peer.

Datenspeicherung - Maßnahmen nach Art. 32 (1) lit. a DSGVO

• Alle unsere Datenbanken sind im Ruhezustand verschlüsselt.

Zugangskontrolle der Angestellten - Maßnahmen nach Art. 32 (1) lit. b DSGVO

• Alle Zugriffe werden bewilligt, widerrufen, geprüft und überwacht und unterliegen einem streng zentralisierten und aktualisierten Verfahren.
• Wenn erforderlich und im Fall einer Untersuchung kann einem Mitglied des Support-Teams ein vorübergehender Zugang zu den Daten nur vom Nutzer selbst gewährt werden.
• Im Fall eines Fehlers im Zusammenhang mit der Datenspeicherung können nur wenige Mitarbeiter von VoiceBooker gegebenenfalls auf die Daten zugreifen.

Bewährete Praktiken zur Anwendungssicherheit - Maßnahmen nach Art. 32 (1) lit. b DSGVO

Passwortspeicherung: gestreut mittels einer soliden Hashfunktion (bcrypt). Ratenbeschränkung: Die Services und Nutzer werden durch einen intelligenten Algorithmus, der das Teilen und den Zugang zu den Services kontrolliert und automatische Anfragen blockiert gegen Denial-Of-Service und Brute-Force Angriffe sowie gegen die automatische Wiederherstellung der Daten geschützt.

Gesicherte Softwareentwicklungszyklus (S-SDLC) - Maßnahmen nach Art. 32 (1) lit. b DSGVO

Sicherheitsschulung und -sensibilisierung: Die Entwickler werden im Hinblick auf die Best Practices für sichere Anwendungsentwicklung geschult und sensibilisiert. Sicherheit von der Entwurfsphase an: Jede neue Funktion im VoiceBooker-Produkt wird in Zusammenarbeit mit Sicherheitsexperten entworfen. Überprüfung des Quellcodes: Der VoiceBooker-Quellcode wird bei jeder Änderung automatisch analysiert. Manuelle Überprüfungen des Quellcodes werden durchgeführt, wenn eine sensible Komponente geändert wird.

Suche nach Schwachstellen (Maßnahmen nach Art. 32 (1) lit d DSGVO):

Durchdringungstests: VoiceBooker beauftragt regelmäßig anerkannte Unternehmen für Durchdringungstests in seinen Anwendungen und Plattformen.

Letzte Aktualisierung: 21.06.2022