Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag ("AVV") erläutert in klarer Sprache, wie CLARUS® ("كلاروس") personenbezogene Daten im Auftrag Ihres Labors verarbeitet, wenn Sie unser Laborinformationssystem nutzen. Er ist so verfasst, dass er Ihnen Vertrauen gibt: Sie behalten die Kontrolle über Ihre Daten, wir handeln ausschließlich nach Ihren dokumentierten Weisungen, und wir verpflichten uns zur Einhaltung anerkannter internationaler und im Gesundheitswesen geltender Sicherheitsstandards.

Dieser AVV ist Bestandteil der CLARUS® Nutzungsbedingungen ("Bedingungen") und durch Bezugnahme in diese einbezogen. Er tritt am 2026-06-26 in Kraft und gilt, solange CLARUS® personenbezogene Daten für Ihr Labor verarbeitet. Großgeschriebene Begriffe, die hier verwendet, aber nicht definiert werden, haben die ihnen in den Bedingungen zugewiesene Bedeutung.

Da Labore mit sensiblen Patientendaten umgehen, haben wir diese Vereinbarung konkret und substanziell statt allgemein gestaltet. Wo ein Konzept im Haupttext zusammengefasst ist, sind die verbindlichen technischen und organisatorischen Details im Anhang am Ende dargelegt.

1.Anwendungsbereich und Verhältnis zu den Bedingungen

Dieser AVV regelt die gesamte Verarbeitung personenbezogener Daten, die CLARUS® für und im Auftrag Ihres Labors ("Sie", "der Kunde") im Rahmen der Bereitstellung des CLARUS® Laborinformationssystems und damit verbundener Dienste (die "Dienste") durchführt. Er gilt für personenbezogene Daten, die in die Dienste eingegeben, von ihnen erzeugt oder über sie übermittelt werden — einschließlich Patienten- und Gesundheitsdaten — unabhängig vom Bereitstellungsmodell (Cloud, Hybrid oder Offline).

Dieser AVV ist integraler Bestandteil der Bedingungen. Mit der Annahme der Bedingungen oder der Nutzung der Dienste erklären Sie und CLARUS® sich an diesen AVV gebunden. Besteht ein unmittelbarer Widerspruch zwischen diesem AVV und dem allgemeinen Teil der Bedingungen zum Thema der Verarbeitung personenbezogener Daten, geht dieser AVV im Umfang dieses Widerspruchs vor; in allen übrigen Punkten gelten die Bedingungen unverändert in vollem Umfang fort.

Dieser AVV spiegelt internationale bewährte Praxis bei Auftragsverarbeitungsregelungen wider, angepasst an ein regionales (MENA und Afrika) und im Gesundheitswesen tätiges Publikum. Er ist darauf ausgelegt, neben etwaigen zwingenden Datenschutz- oder Verbraucherschutzrechten zu bestehen, die Ihnen oder den betroffenen Personen nach geltendem Recht zustehen, und diese nicht zu schmälern.

2.Rollen der Parteien — Verantwortlicher und Auftragsverarbeiter

In Bezug auf die über die Dienste verarbeiteten Patienten- und Gesundheitsdaten ist Ihr Labor der VERANTWORTLICHE und CLARUS® der AUFTRAGSVERARBEITER. Als Verantwortlicher bestimmen Sie die Zwecke und Mittel der Verarbeitung von Patientendaten, Sie sind für die Rechtmäßigkeit dieser Verarbeitung verantwortlich, und Sie sind dafür verantwortlich, eine gültige Rechtsgrundlage (einschließlich, sofern erforderlich, der Einwilligung des Patienten) zu schaffen und den betroffenen Personen etwaige Informationen bereitzustellen.

Als Auftragsverarbeiter verarbeitet CLARUS® Patientendaten ausschließlich nach Ihren dokumentierten Weisungen und niemals für eigene Zwecke. CLARUS® verkauft Patientendaten nicht, verwendet sie nicht zum Training von Modellen für sachfremde Zwecke und kombiniert sie nicht mit Daten aus anderen Quellen, außer soweit dies zur Erbringung der von Ihnen konfigurierten Dienste unbedingt erforderlich ist.

Für eine begrenzte Datenkategorie — namentlich die Konto-, Abrechnungs- und Verwaltungsinformationen des Labors und seiner berechtigten Nutzer — handelt CLARUS® als eigenständiger Verantwortlicher (zum Beispiel zur Verwaltung Ihres Abonnements, zur Absicherung der Plattform, zur Erfüllung eigener rechtlicher Pflichten und zur Betrugsprävention). Diese begrenzte Verarbeitung unterliegt der CLARUS® Datenschutzerklärung. Die Auftragsverarbeiterpflichten dieses AVV gelten für die in den Abschnitten 3 und 4 beschriebenen Patienten- und Gesundheitsdaten.

• Kunde (das Labor) = Verantwortlicher für Patienten- und Gesundheitsdaten.
• CLARUS® = Auftragsverarbeiter von Patienten- und Gesundheitsdaten, handelnd nach dokumentierten Weisungen.
• CLARUS® = eigenständiger Verantwortlicher nur für seine eigenen Konto-, Abrechnungs-, Sicherheits- und Compliance-Daten.

3.Gegenstand, Dauer, Art und Zweck der Verarbeitung

Gegenstand. Gegenstand der Verarbeitung sind die personenbezogenen Daten, die im Zusammenhang mit dem Betrieb eines medizinischen Labors an die Dienste übermittelt oder innerhalb dieser erzeugt werden — einschließlich Patientenregistrierung, Testanforderung, Probenverfolgung, Ergebnissen, Berichterstattung sowie damit verbundenen klinischen und betrieblichen Arbeitsabläufen.

Dauer. Die Verarbeitung dauert für die Laufzeit Ihres Abonnements und einen etwaig vereinbarten Export- oder Abwicklungszeitraum danach an, nach dessen Ablauf die Daten gemäß Abschnitt 11 gelöscht oder zurückgegeben werden. CLARUS® speichert Patientendaten nicht über das hinaus, was zur Erbringung der Dienste oder zur Erfüllung einer rechtlichen Pflicht erforderlich ist.

Art und Zweck. Die Art der Verarbeitung umfasst Erhebung, Aufzeichnung, Strukturierung, Speicherung, Abruf, Übermittlung (einschließlich über HL7-, ASTM- und FHIR-Schnittstellen), Anzeige und — bei Beendigung — Löschung oder Rückgabe. Der Zweck besteht ausschließlich darin, die Dienste bereitzustellen, abzusichern, zu warten und zu unterstützen und Ihrem Labor zu ermöglichen, seinen Patienten diagnostische Leistungen zu erbringen. CLARUS® verarbeitet die Daten nur, soweit dies für diese Zwecke erforderlich ist und von Ihnen angewiesen wird.

4.Kategorien betroffener Personen und personenbezogener Daten

Die Verarbeitung im Rahmen dieses AVV betrifft folgende Kategorien betroffener Personen: Patienten des Labors; Laborpersonal und berechtigte Nutzer der Dienste; sowie überweisende oder behandelnde Ärzte und sonstige Angehörige der Gesundheitsberufe, deren Angaben im Zusammenhang mit Anforderungen und Ergebnissen erfasst werden.

Die Kategorien personenbezogener Daten umfassen Identifikations- und Kontaktdaten (zum Beispiel Name, Kennungen, Geburtsdatum, Geschlecht, Anschrift, Telefon, E-Mail), Anforderungs- und Besuchsdaten, Proben- und Zuordnungsdaten und — am bedeutsamsten — GESUNDHEITSDATEN besonderer Kategorien wie Testanforderungen, diagnostische Ergebnisse, klinische Beobachtungen und damit verbundene medizinische Informationen. Die Daten können auch Personalrollen- und Zugriffsinformationen sowie Kontakt- und Überweisungsdaten von Ärzten umfassen.

Da die Dienste routinemäßig Gesundheitsdaten besonderer Kategorien verarbeiten, wendet CLARUS® auf diese Daten verstärkte Schutzmaßnahmen an, einschließlich der in Abschnitt 6 und im Anhang dargelegten technischen und organisatorischen Maßnahmen. Sie als Verantwortlicher sind dafür verantwortlich, sicherzustellen, dass Sie über eine geeignete Rechtsgrundlage für die Verarbeitung solcher Gesundheitsdaten verfügen.

• Patienten — Kennungen, demografische Daten und Gesundheitsdaten besonderer Kategorien (Anforderungen, Ergebnisse, klinische Beobachtungen).
• Laborpersonal / Nutzer — Identität, Metadaten zu Anmeldedaten, Rolle sowie Zugriffs-/Audit-Informationen.
• Überweisende Ärzte — Name, Kontaktdaten und Überweisungs-/Anforderungszuordnung.

5.Pflichten von CLARUS® als Auftragsverarbeiter

CLARUS® verarbeitet Patientendaten ausschließlich nach Ihren dokumentierten Weisungen, auch in Bezug auf internationale Übermittlungen, es sei denn, ein Recht, dem CLARUS® unterliegt, verlangt ein Tätigwerden; in diesem Fall wird CLARUS®, soweit rechtlich zulässig, Sie vor der Verarbeitung über diese rechtliche Anforderung informieren. Ihre Weisungen werden durch die Bedingungen, diesen AVV, die von Ihnen gewählte produktinterne Konfiguration und etwaige weitere von Ihnen erteilte schriftliche Weisungen gegeben. Ist CLARUS® der Auffassung, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, wird CLARUS® Sie unverzüglich darüber informieren.

CLARUS® stellt sicher, dass zur Verarbeitung von Patientendaten berechtigtes Personal angemessenen Vertraulichkeitspflichten (vertraglich oder gesetzlich) unterliegt, die über das Ende ihrer Beschäftigung hinaus fortbestehen, und dass der Zugriff auf diejenigen beschränkt ist, die ihn zur Erbringung oder Unterstützung der Dienste benötigen. Das Personal erhält rollengerechte Schulungen zu Datenschutz, Sicherheit und der besonderen Sensibilität von Gesundheitsdaten.

CLARUS® wird die in Abschnitt 6 und im Anhang beschriebenen technischen und organisatorischen Maßnahmen umsetzen und aufrechterhalten, Sie wie in den Abschnitten 8 und 9 dargelegt unterstützen und die Informationen bereitstellen, die zum Nachweis der Einhaltung dieses AVV gemäß Abschnitt 12 vernünftigerweise erforderlich sind.

• Verarbeitung ausschließlich nach dokumentierten Weisungen; Hinweis auf Weisungen, die für rechtswidrig gehalten werden.
• Bindung des gesamten zugriffsberechtigten Personals an Vertraulichkeitspflichten und Zugriff nach dem Least-Privilege-Prinzip.
• Bereitstellung rollenbasierter Datenschutz- und Sicherheitsschulungen mit Schwerpunkt auf Gesundheitsdaten.
• Aufrechterhaltung der Sicherheitsmaßnahmen, der Reaktion auf Vorfälle und der Unterstützungspflichten dieses AVV.

6.Sicherheitsmaßnahmen — Zusammenfassung

CLARUS® setzt geeignete technische und organisatorische Maßnahmen um und erhält diese aufrecht, um personenbezogene Daten gegen zufällige oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugriff zu schützen — unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des erhöhten Risikos, das mit Gesundheitsdaten besonderer Kategorien verbunden ist.

Eine Zusammenfassung dieser Maßnahmen umfasst Verschlüsselung bei der Übertragung und im Ruhezustand, strikte mandantenbezogene Isolierung, rollenbasierte Zugriffskontrolle nach dem Least-Privilege-Prinzip, umfassende Audit-Protokollierung, Zwei-Faktor-Authentifizierung, verschlüsselte Backups mit Notfallwiederherstellungsfähigkeit sowie ein strukturiertes Schwachstellenmanagement-Programm. Die vollständige, verbindliche Beschreibung ist im Anhang (Technische und organisatorische Maßnahmen) dargelegt.

CLARUS® überprüft diese Maßnahmen und aktualisiert sie gegebenenfalls im Laufe der Zeit, um ein den sich entwickelnden Risiken angemessenes Sicherheitsniveau aufrechtzuerhalten. Jede Aktualisierung erhält oder verbessert das Gesamtschutzniveau und verringert die Sicherheit der Dienste während Ihres Abonnements nicht wesentlich.

7.Unterauftragsverarbeiter

Sie erteilen CLARUS® eine allgemeine Genehmigung, Unterauftragsverarbeiter zur Unterstützung der Erbringung der Dienste hinzuzuziehen. CLARUS® zieht jeden Unterauftragsverarbeiter im Rahmen eines schriftlichen Vertrags hinzu, der Datenschutzpflichten auferlegt, die nicht weniger schützend sind als die in diesem AVV, und CLARUS® bleibt Ihnen gegenüber für die Erfüllung der Pflichten seiner Unterauftragsverarbeiter in vollem Umfang verantwortlich.

Die Kategorien der derzeit hinzugezogenen Unterauftragsverarbeiter umfassen Cloud-Hosting- und Infrastrukturanbieter, Zahlungs- und Abrechnungsanbieter sowie Kommunikationsanbieter (zum Beispiel E-Mail, SMS oder Messaging für Benachrichtigungen). CLARUS® beschränkt die mit jedem Unterauftragsverarbeiter geteilten Daten auf das für die jeweilige Funktion Erforderliche.

CLARUS® wird Sie vorab über jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters, der Patientendaten verarbeitet, über die in den Bedingungen beschriebenen Methoden oder einen dafür vorgesehenen Benachrichtigungskanal informieren. Sie können einem neuen Unterauftragsverarbeiter aus angemessenen, datenschutzrechtlichen Gründen innerhalb der Benachrichtigungsfrist widersprechen; die Parteien werden in gutem Glauben zusammenarbeiten, um den Widerspruch beizulegen, und falls er nicht beigelegt werden kann, können Sie als Ihr Rechtsbehelf die betroffenen Dienste gemäß den Bedingungen kündigen.

• Cloud-Hosting und Infrastruktur (mandantenbezogen isolierte Umgebungen).
• Zahlungs- und Abrechnungsabwicklung.
• Kommunikation (E-Mail-/SMS-/Messaging-Benachrichtigungen).
• Vorabbenachrichtigung über Änderungen, die Patientendaten betreffen, mit einem dokumentierten Widerspruchsrecht.

8.Unterstützung bei Anträgen betroffener Personen

Betroffene Personen (zum Beispiel Patienten, Personal oder Ärzte) können nach geltendem Recht Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragung oder Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten haben. Als Verantwortlicher sind Sie für die Beantwortung dieser Anträge zuständig.

Unter Berücksichtigung der Art der Verarbeitung wird CLARUS® Sie mit geeigneten technischen und organisatorischen Maßnahmen — und über die in den Diensten verfügbaren Selbstbedienungswerkzeuge — unterstützen, damit Sie Ihre Pflicht zur Beantwortung solcher Anträge erfüllen können. Wo Sie einen Antrag nicht über die produktinternen Werkzeuge bearbeiten können, wird CLARUS® angemessene zusätzliche Unterstützung leisten.

Erhält CLARUS® einen Antrag direkt von einer betroffenen Person bezüglich Daten, die CLARUS® in Ihrem Auftrag verarbeitet, wird CLARUS® diesen nicht direkt beantworten (außer gegebenenfalls zur Bestätigung des Eingangs), sondern den Antrag unverzüglich an Sie weiterleiten, damit Sie als Verantwortlicher antworten können.

9.Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten

CLARUS® unterhält Überwachungs-, Erkennungs- und Vorfallreaktionsverfahren, die darauf ausgelegt sind, Verletzungen des Schutzes personenbezogener Daten zu erkennen und einzudämmen. Wird CLARUS® eine Verletzung des Schutzes personenbezogener Daten bekannt, die Patientendaten betrifft, die CLARUS® in Ihrem Auftrag verarbeitet, wird CLARUS® Sie unverzüglich benachrichtigen, mit dem Ziel, Sie innerhalb von 72 Stunden nach Bekanntwerden der Verletzung zu benachrichtigen.

Die Benachrichtigung beschreibt, soweit bekannt und sobald Informationen verfügbar werden, die Art der Verletzung, die Kategorien und die ungefähre Zahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Auswirkungen. CLARUS® wird weitere Informationen schrittweise bereitstellen, wenn sie nicht alle auf einmal bereitgestellt werden können.

CLARUS® wird mit Ihnen zusammenarbeiten und angemessene Schritte unternehmen, um Sie bei Ihrer Untersuchung, Abmilderung und Behebung der Verletzung zu unterstützen und etwaige Benachrichtigungen zu unterstützen, die Sie gegenüber einer Aufsichtsbehörde oder betroffenen Personen vornehmen müssen. Die Benachrichtigung über eine Verletzung stellt kein Anerkenntnis eines Verschuldens oder einer Haftung dar.

10.Internationale Übermittlungen und Schutzmaßnahmen

Die Dienste rechnen die Abrechnung in Ägyptischen Pfund (EGP) ab und werden hauptsächlich für Labore in MENA (mit Ägypten als Hauptmarkt), der Golfregion, dem Maghreb und Afrika betrieben. Je nach dem von Ihnen gewählten Bereitstellungsmodell und dem Standort der eingesetzten Infrastruktur können personenbezogene Daten in anderen Rechtsräumen als dem Standort Ihres Labors verarbeitet oder dorthin übermittelt werden.

Übermittelt CLARUS® personenbezogene Daten grenzüberschreitend, wird CLARUS® sicherstellen, dass ein geeigneter, nach geltendem Recht anerkannter Übermittlungsmechanismus oder eine geeignete Schutzmaßnahme vorhanden ist — etwa eine Angemessenheitsanerkennung, Standardvertragsklauseln oder gleichwertige vertragliche Schutzmaßnahmen sowie ergänzende technische Maßnahmen (einschließlich Verschlüsselung bei der Übertragung und im Ruhezustand sowie mandantenbezogener Isolierung) — sodass der den Daten gewährte Schutz mit ihnen mitwandert.

Erfordert Ihre Bereitstellung eine Datenlokalisierung innerhalb eines bestimmten Landes oder einer bestimmten Region, wird CLARUS® Patientendaten entsprechend hosten und verarbeiten, soweit dies von Ihrem Tarif und Ihrer Konfiguration unterstützt wird. Übermittlungen an Unterauftragsverarbeiter unterliegen den in Abschnitt 7 beschriebenen Schutzmaßnahmen.

11.Löschung oder Rückgabe von Daten bei Beendigung

Ihre Daten gehören Ihnen, und CLARUS® verpflichtet sich zu keinem Lock-in. Während Ihres gesamten Abonnements und während des nachstehend beschriebenen Exportzeitraums können Sie Ihre Daten in offenen, interoperablen Formaten — einschließlich HL7 und FHIR — exportieren, sodass Sie niemals an die Plattform gebunden sind.

Bei Ablauf oder Beendigung der Dienste wird CLARUS® nach Ihrer Wahl die personenbezogenen Daten an Sie zurückgeben und/oder löschen. CLARUS® stellt nach der Beendigung einen festgelegten Exportzeitraum bereit (wie in den Bedingungen oder Ihrer Bestellung dargelegt), während dessen Sie Ihre Daten vor der Löschung abrufen können. Nach Ablauf des Exportzeitraums wird CLARUS® die personenbezogenen Daten aus den aktiven Systemen und in angemessener Zeit aus den Backups gemäß seinem Backup-Rotationszyklus löschen, außer soweit eine Aufbewahrung gesetzlich vorgeschrieben ist.

Auf Anfrage wird CLARUS® schriftlich bestätigen, dass die Löschung gemäß diesem Abschnitt abgeschlossen wurde. Daten, die ausschließlich zur Erfüllung einer rechtlichen Pflicht aufbewahrt werden, bleiben für die Dauer ihrer Aufbewahrung durch die Maßnahmen dieses AVV geschützt und werden ausschließlich zu diesem Zweck verarbeitet.

12.Audits und Nachweis der Einhaltung

CLARUS® wird Ihnen die zum Nachweis der Einhaltung dieses AVV vernünftigerweise erforderlichen Informationen bereitstellen, einschließlich, soweit verfügbar, Zusammenfassungen unabhängiger Bewertungen, Zertifizierungen, Ergebnissen von Penetrationstests sowie Beschreibungen seiner Sicherheitskontrollen und der Maßnahmen im Anhang.

Wo diese Informationen für Ihre angemessenen Compliance-Bedürfnisse nicht ausreichen, wird CLARUS® Audits, einschließlich Inspektionen, durch Sie oder einen von Ihnen beauftragten unabhängigen Prüfer ermöglichen und dazu beitragen. Audits werden mit angemessener vorheriger schriftlicher Ankündigung, höchstens einmal pro Jahr — außer wenn von einer Aufsichtsbehörde verlangt oder im Anschluss an eine Verletzung des Schutzes personenbezogener Daten —, während der Geschäftszeiten und auf eine Weise durchgeführt, die die Sicherheit, Vertraulichkeit oder Verfügbarkeit der Daten anderer Kunden nicht beeinträchtigt.

Die Parteien tragen jeweils ihre eigenen Kosten eines Audits, vereinbaren Umfang und Zeitpunkt im Voraus in gutem Glauben und behandeln alle Auditergebnisse vertraulich. Jeder externe Prüfer muss durch angemessene Vertraulichkeitspflichten gebunden sein und darf kein Wettbewerber von CLARUS® sein.

13.Anhang — Technische und organisatorische Maßnahmen

Dieser Anhang legt die technischen und organisatorischen Maßnahmen dar, die CLARUS® zum Schutz personenbezogener Daten unterhält, mit verstärkten Schutzmaßnahmen für Gesundheitsdaten besonderer Kategorien. Diese Maßnahmen sind verbindlich und werden in Abschnitt 6 zusammengefasst. CLARUS® kann einzelne Maßnahmen im Laufe der Zeit aktualisieren, sofern das Gesamtschutzniveau aufrechterhalten oder verbessert wird.

Die nachstehenden Maßnahmen wirken zusammen als mehrschichtige Verteidigung, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste sowie die Fähigkeit abdeckt, den Zugang zu Daten nach einem Vorfall zeitnah wiederherzustellen.

• Verschlüsselung bei der Übertragung — Daten geschützt durch starke, branchenübliche Transportverschlüsselung zwischen Clients, der Plattform und Integrationen (HL7 / ASTM / FHIR).
• Verschlüsselung im Ruhezustand — Patienten- und Gesundheitsdaten auf Speichermedien mit starken, branchenüblichen Algorithmen und verwalteten Schlüsseln verschlüsselt.
• Mandantenbezogene Isolierung — die Daten jedes Labors sind logisch isoliert, sodass ein Mandant nicht auf die Daten eines anderen Mandanten zugreifen kann.
• Rollenbasierte Zugriffskontrolle und Least Privilege — Zugriff wird nach Rolle auf Need-to-know-Basis gewährt, regelmäßig überprüft und minimiert.
• Audit-Protokollierung — sicherheitsrelevante Ereignisse und der Zugriff auf Patientendaten werden protokolliert, um Nachvollziehbarkeit, Überwachung und Untersuchung zu unterstützen.
• Zwei-Faktor-Authentifizierung (2FA) — unterstützt und konfigurierbar, um die Authentifizierung für privilegierten und Nutzerzugriff zu stärken.
• Verschlüsselte Backups und Notfallwiederherstellung — Backups werden verschlüsselt, regelmäßig erstellt und getestet, mit dokumentierter Notfallwiederherstellungsfähigkeit zur Wiederherstellung von Dienst und Daten.
• Schwachstellenmanagement — fortlaufendes Patchen, Sicherheitstests (einschließlich regelmäßiger Bewertungen) und ein strukturierter Prozess zur Priorisierung und Behebung von Schwachstellen.
• Personelle und organisatorische Kontrollen — Vertraulichkeitspflichten, Bereitstellung/Entzug von Berechtigungen nach dem Least-Privilege-Prinzip sowie rollengerechte Sicherheits- und Datenschutzschulungen.

14.Datenschutz-Folgenabschätzungen und vorherige Konsultation

Da die Dienste regelmäßig Gesundheitsdaten besonderer Kategorien verarbeiten, kann Ihre Verarbeitung eine Datenschutz-Folgenabschätzung (DPIA) erforderlich machen. Unter Berücksichtigung der Art der Verarbeitung und der uns zur Verfügung stehenden Informationen leistet CLARUS® Ihnen angemessene Unterstützung bei jeder von Ihnen durchgeführten DPIA sowie bei jeder vorherigen Konsultation, die Sie mit einer Aufsichtsbehörde durchführen müssen.

Diese Unterstützung umfasst Beschreibungen der betreffenden Verarbeitungsvorgänge, der technischen und organisatorischen Maßnahmen im Sicherheitsabschnitt und im Anhang sowie der Kategorien von Unterauftragsverarbeitern und der beteiligten Datenflüsse – damit Sie als Verantwortlicher die Risiken der Verarbeitung bewerten und dokumentieren können.