HIPAA-Geschäftspartnervereinbarung

Diese HIPAA-Geschäftspartnervereinbarung („HIPAA-Zusatz“) ist ein Zusatz zu den Mailgun-Nutzungsbedingungen („Bedingungen“). Dieser HIPAA-Zusatz definiert die Rechte und Pflichten eines jeden von uns in Bezug auf geschützte Gesundheitsdaten, wie sie im amerikanischen Health Insurance Portability and Accountability Act von 1996 und den darunter erlassenen Vorschriften, einschließlich des HITECH Act und der Omnibus Rule, in ihrer jeweils geltenden Fassung (zusammenfassend „HIPAA“) definiert sind. Dieser HIPAA-Zusatz gilt nur für den Fall und in dem Umfang, in dem Mailgun in Bezug auf Sie und Ihre Nutzung der Mailgun-Dienste die Definition eines Geschäftspartners gemäß 45 C.F.R. §160.103 oder entsprechender Nachfolgevorschriften erfüllt.

„Geschäftspartner“ bezieht sich auf Mailgun Technologies, Inc., ein Unternehmen aus Delaware, im eigenen Namen und im Namen seiner angeschlossenen Unternehmen (jedes Unternehmen, das sich im Besitz eines seiner Unternehmen befindet oder mit einem seiner anderen Unternehmen einer gemeinsamen Kontrolle untersteht, darunter insbesondere Mailgun Technologies SAS und Mailjet SAS).

„CFR“ bezeichnet den Code of Federal Regulations (Rechtsverordnungen in den USA).

„Einzelperson“ hat die gleiche Bedeutung wie der Begriff „Individual“ in 45 CFR § 160.103 und bezieht sich ebenfalls auf Personen, die gemäß 45 CFR § 164.502(g) als persönlicher Vertreter gelten.

„Datenschutzvorschriften“ bezieht sich auf die Standards für den Datenschutz von individuell identifizierbaren Gesundheitsinformationen in 45 CFR Teil 160 und Teil 164, Unterabschnitte A und E.

„Geschützte Gesundheitsdaten“ oder „PHI“ haben die gleiche Bedeutung wie der Begriff „protected health information“ in 45 CFR § 160.103 und beziehen sich auf die Daten, die der Geschäftspartner von Ihnen oder in Ihrem Namen erhält.

„Gesetzlich vorgeschrieben“ hat die gleiche Bedeutung wie der Begriff „required by law“ in 45 CFR § 164.103.

„Sicherheitsvorschriften“ bezeichnet die Sicherheitsstandards für den Schutz geschützter elektronischer Gesundheitsdaten in 45 CFR Teil 160 und Teil 164, Unterabschnitte A und C.

„Minister“ ist der Minister des Ministerium für Gesundheitspflege und Soziale Dienste der Vereinigten Staaten oder sein Beauftragter.

(a) Der Geschäftspartner darf Gesundheitsdaten nur in dem Maße offenlegen, wie es von diesem HIPAA-Zusatz oder gesetzlich erlaubt und vorgeschrieben ist.

(b) Der Geschäftspartner verpflichtet sich, die in den Klauseln und anderen Teilen des Vertrags beschriebenen physischen, technischen und verwaltungstechnischen Schutzmaßnahmen zu treffen; darunter fallen auch von Ihnen ausgewählte und in einem Serviceauftrag beschriebene Garantien. Sofern der Geschäftspartner als Teil dieser HIPAA-Zusatzvereinbarung zustimmt, eine Verpflichtung Ihres Unternehmens gemäß der Datenschutzvorschriften wahrzunehmen, erfüllt der Geschäftspartner die Anforderungen der für diese Verpflichtung geltenden Datenschutzvorschriften.

(c) Der Geschäftspartner erklärt sich damit einverstanden, jegliche ihm bekannte schädliche Auswirkungen der Nutzung oder Offenlegung von Gesundheitsdaten durch den Geschäftspartner selbst, seine Vertreter oder Unterauftragnehmer, die die Anforderungen dieses HIPAA-Zusatzes verletzen, zu mindern.

(d) Der Geschäftspartner verpflichtet sich, Sie innerhalb von fünf Werktagen nach Gewahrwerden über (i) Sicherheitsvorfälle (wie in 45 C.F.R. §164.304 definiert und weiter unten näher beschrieben), (ii) die Verletzung ungeschützter Gesundheitsdaten (wie in 45 CFR §164.402 definiert) oder (iii) Zugriff, Erwerb, Nutzung oder Offenlegung von Gesundheitsdaten in Verletzung dieses HIPAA-Zusatzes in Kenntnis zu setzen.

1. Beide Parteien nehmen zur Kenntnis, dass eine beträchtliche Anzahl bedeutungsloser oder fehlgeschlagener Zugriffsversuche auf die Mailgun-Dienste wahrscheinlich ist. Aus diesem Grund ist eine Echtzeit-Berichtspflicht für beide Parteien schwer umsetzbar. Die Parteien erkennen an, dass die Fähigkeit der Berichterstattung von Seiten des Geschäftspartners über Systemaktivitäten, einschließlich Sicherheitsvorfälle, auf die von Ihnen erworbenen Dienste beschränkt ist (und sich nicht auf von Dritten unterhaltene Netzwerke oder Systeme als Teil der allgemeinen Internetkonnektivität erstreckt).

2. Der Geschäftspartner ist nicht verpflichtet, Netzwerksicherheitsvorfälle zu melden, die im verwalteten Mailgun-Netzwerk auftreten, aber Ihre Kundendaten nicht direkt betreffen. Die Parteien stimmen zu, dass die folgenden Beispiele erfolglose Sicherheitsvorfälle betreffen, die nicht gemeldet werden müssen, wenn sie nicht zur unbefugten Nutzung, Offenlegung, Änderung oder Vernichtung von Gesundheitsdaten führen: Pings gegen Netzwerkgeräte, Port-Scans, Versuche, sich mit einem ungültigen Passwort oder Benutzernamen bei einem System oder einer Datenbank anzumelden, Erkennung von Malware.

3. Je nach Ihrer Nutzung der Dienste umfassen diese möglicherweise die ungesicherte Übertragung reiner Text-E-Mails über eine öffentliche Internetverbindung. Der Geschäftspartner ist nicht verpflichtet, den Zugriff auf solche E-Mails zu überwachen oder zu versuchen, ihn zu überwachen, selbst wenn diese während der normalen E-Mail-Übertragung von Dritten gespeichert oder Dritte darauf möglicherweise zugreifen können.

(e) Der Geschäftspartner erklärt, von jedem Vertreter und Unterauftragnehmer, dem er Gesundheitsinformationen zur Verfügung stellt, angemessene Garantien zu erhalten, dass er die gleichen Einschränkungen und Bedingungen beachtet, die für den Geschäftspartner im Rahmen dieser HIPAA-Zusatzvereinbarung gelten. Dies gilt nicht für Zweckgesellschaften Dritter und Drittanbieter, die an der Übertragung, Weiterleitung, Speicherung oder dem Empfang von E-Mails beteiligt und für die Bereitstellung der Mailgun-Dienste essentiell sind.

(f) Alle Gesundheitsinformationen, die vom Geschäftspartner aufbewahrt werden, sind für Sie in einer angemessenen Zeitspanne und einer Weise erhältlich, die es Ihnen ermöglicht, die unter 45 CFR § 164.524 festgelegten Anforderungen zu erfüllen. Der Geschäftspartner ist nicht verpflichtet, jegliche Gesundheitsinformationen an eine andere Einzelperson als direkt an Sie weiterzugeben.

(g) Alle Gesundheits- sowie andere Informationen, die vom Geschäftspartner aufbewahrt werden, sind für Sie in einer angemessenen Zeitspanne und einer Weise erhältlich, die es Ihnen ermöglicht, die unter 45 CFR § 164.526 festgelegten Anforderungen zu erfüllen.

(h) Der Geschäftspartner stimmt zu, dem Minister interne Praktiken, Bücher und Einträge in einer vom Minister festgelegten Zeitspanne und Weise vorzulegen, damit der Minister die Einhaltung der Datenschutzvorschriften Ihrerseits überprüfen kann; vorausgesetzt jedoch, dass Ihnen der Zeitaufwand, der dem Geschäftspartner zur Erfüllung einer solchen Anfrage entsteht und seine normalen Kundenservice-Leistungen übersteigt, nach dem aktuellen Standardstundensatz für Zusatzleistungen des Geschäftspartners in Rechnung gestellt wird.

(i) Sie erkennen an, dass der Geschäftspartner gemäß dieser HIPAA-Zusatzvereinbarung nicht verpflichtet ist, Gesundheitsinformationen an Einzelpersonen oder jegliche andere Person als Sie offenzulegen und dass der Geschäftspartner daher nicht verpflichtet ist, die Dokumentation einer solchen Offenlegung wie in 45 CFR § 164.528 beschrieben aufzubewahren. Falls der Geschäftspartner eine solche Offenlegung durchführt, muss er diese so dokumentieren, wie Sie diese auf Anfrage einer Einzelperson nach einem Bericht über Offenlegungen beantragen würden gemäß 45 CFR §164.504(e)(2)(ii)(G) und §164.528, und muss Ihnen diese Dokumentation auf Ihre Anfrage hin unverzüglich zur Verfügung stellen. Wird ein Antrag auf einen Bericht direkt an den Geschäftspartner gestellt, leitet der Geschäftspartner diesen Antrag innerhalb von zwei Werktagen an Sie weiter.

Sofern nicht in diesem HIPAA-Zusatz oder einem anderen Vertragsteil anderslautend bestimmt, ist der Geschäftspartner zur Nutzung oder Offenlegung geschützter Gesundheitsdaten berechtigt, um die im Vertrag festgelegten Funktionen, Aktivitäten oder Dienste für Sie oder in Ihrem Namen durchzuführen, vorausgesetzt, dass diese Nutzung oder Offenlegung nicht gegen die Datenschutzvorschriften verstoßen würde, wenn Sie dies selbst täten.

Sofern nicht in diesem HIPAA-Zusatz oder einem anderen Vertragsteil anderslautend bestimmt, ist der Geschäftspartner zu Folgendem berechtigt:

(a) Nutzung der Gesundheitsdaten zur ordnungsgemäßen Verwaltung und Geschäftsführung des Geschäftspartners oder zur Wahrnehmung seiner rechtlichen Verpflichtungen;

(b) Offenlegung der Gesundheitsdaten zur ordnungsgemäßen Verwaltung und Geschäftsführung des Geschäftspartners, sofern die Offenlegung (i) gesetzlich vorgeschrieben ist oder (ii) der Geschäftspartner angemessene Zusicherungen erhält, dass die Gesundheitsdaten vertraulich bleiben und nur wie gesetzlich vorgeschrieben oder für den Zweck genutzt werden, zu dem sie der betreffenden Person offengelegt wurden; diese Person wird den Geschäftspartner zudem über alle ihr bekannten Fälle informieren, in denen die Vertraulichkeit der Informationen verletzt wurde; und

(c) Nutzung der Gesundheitsdaten, um Gesetzesverstöße an die zuständigen Bundes- und Landesbehörden zu melden, in Übereinstimmung mit US Health Insurance Portability and Accountability Act 45 CFR §164.502(j)(1).

5.1 Sie sind verpflichtet, den Geschäftspartner über Folgendes zu informieren:

(a) alle Beschränkungen in Ihrer Bekanntmachung der Datenschutzpraktiken gemäß 45 CFR § 164.520, soweit sich diese Änderungen auf die Nutzung oder Offenlegung geschützter Gesundheitsdaten durch den Geschäftspartner auswirken könnten;

(b) alle Änderungen an oder den Widerruf der Genehmigung der Einzelperson zur Nutzung oder Offenlegung geschützter Gesundheitsdaten, soweit sich diese Änderungen auf die Nutzung oder Offenlegung durch den Geschäftspartner auswirken könnten; und

(c) jegliche Beschränkung der Nutzung oder Offenlegung geschützter Gesundheitsdaten, der Sie zugestimmt haben gemäß 45 CFR § 164.522, soweit sich diese Beschränkung die Nutzung oder Offenlegung durch den Geschäftspartner auswirken könnten;

5.2 Sie verpflichten sich, den Geschäftspartner nicht aufzufordern, geschützte Gesundheitsdaten in einer Weise zu verwenden, zu übermitteln oder offenzulegen, die nach den Datenschutz- oder Sicherheitsvorschriften nicht zulässig wäre, wenn Sie dies selbst täten.

5.3 Als Teil Ihrer Sicherheitsverpflichtungen erklären Sie sich damit einverstanden, angemessene Schutzmaßnahmen zu treffen und aufrechtzuerhalten, die erforderlich sind, um die für Sie und Ihre Nutzung der Mailgun-Dienste gültigen Sicherheits- und Datenschutzvorschriften einzuhalten. Dies umfasst ohne Einschränkung: (i) die Umsetzung von gemäß 45 CFR § 164.530(c) erforderlichen angemessenen Schutzmaßnahmen, (ii) die angemessene Begrenzung der Menge oder der Art der über die Mailgun-Dienste offengelegten Daten, (iii) die Ermöglichung der Nutzung alternativer sicherer elektronischer Methoden, damit Einzelpersonen vertrauliche Mitteilungen von Ihnen erhalten können, (iv) die Überprüfung der Adresse des Empfängers und ihrer korrekten Eingabe in die Mailgun-Dienste vor der Nutzung der Mailgun-Dienste zur Übermittlung von geschützten Gesundheitsdaten, (v) Einbindung einer Datenschutzerklärung, über die der Empfänger auf die unsichere Natur von E-Mails hingewiesen wird und in der eine Kontaktperson angegeben ist, an die der Empfänger eine fehlgeleitete Nachricht melden kann, sowie (vi) die Verschlüsselung von Gesundheitsdaten, die über die Mailgun-Dienste übertragen werden, wo dies angemessen oder durch die Sicherheitsvorschriften vorgeschrieben ist (z. B. durch die Verwendung von verschlüsselten Anhängen, PGP-Toolsets oder S/MIME).

5.4 Sie erkennen an und verstehen, dass die Mailgun-Dienste die Übertragung unverschlüsselter reiner Text-E-Mails über das öffentliche Internet und offene Netzwerke beinhalten. Kundendaten, die Sie in die Mailgun-Dienste hochladen, werden vom Geschäftspartner nicht verschlüsselt und auf ähnliche Weise gespeichert (und übertragen), wie Sie sie bereitstellen. Sie sind für die Verschlüsselung aller vertraulichen Daten, die Sie in Verbindung mit den Mailgun-Diensten verwenden, selbst verantwortlich. E-Mails, die über die Mailgun-Dienste gesendet werden, könnten ungeschützt sein, von anderen Benutzern des öffentlichen Internets abgefangen und von Dritten (z. B. dem E-Mail-Service-Provider eines Empfängers) gespeichert und offengelegt werden, die keine Verpflichtungen gegenüber dem Geschäftspartner in Bezug auf die Verarbeitung solcher Nachrichten haben. Obwohl die Mailgun-Dienste TLS unterstützen, werden die Inhalte auch dann übertragen, wenn der Empfänger TLS nicht unterstützt, was zu einer unverschlüsselten Übertragung führt. Sie bestätigen, dass Sie diese Aspekte der Mailgun-Dienste Ihren Kunden und Endbenutzern entsprechend verständlich gemacht haben und dass diese der Nutzung ihrer Gesundheitsdaten durch Sie in der Art und Weise, in der Sie die Mailgun-Dienste in Anspruch nehmen, vollständig und angemessen zugestimmt haben.

(a) Die Laufzeit dieses HIPAA-Zusatzes gilt für die Dauer Ihrer Nutzung der Mailgun-Dienste mit einem gültigen Serviceauftrag und nach dessen Beendigung, bis alle Ihre geschützten Gesundheitsdaten vernichtet bzw. an Sie oder die von Ihnen bevollmächtigte Person zurückgegeben wurden.

(b) Sollte der Geschäftspartner die in dieser HIPAA-Vereinbarung festgelegten Klauseln verletzen, sind Sie berechtigt, jegliche damit verbundenen Mailgun-Dienste zu beenden, ohne dass die Beendigung eine Strafzahlung aufgrund vorzeitiger Beendigung oder andere Vertragsstrafen nach sich zieht.

(c) Auf Ihre Anfrage hin (unabhängig von deren Grund) hat der Geschäftspartner alle geschützten Gesundheitsdaten zu vernichten, die sich in seinem Besitz befinden. Diese Klausel gilt für alle Gesundheitsdaten, die sich im Besitz von Unterauftragnehmern, Vertretern des Geschäftspartners sowie des Geschäftspartners selbst befinden. Dem Geschäftspartner ist es nicht gestattet, Kopien der geschützten Gesundheitsdaten einzubehalten. Falls der Geschäftspartner feststellt, dass eine Vernichtung der Gesundheitsdaten undurchführbar ist, ist er dazu angehalten, Sie unverzüglich über die Gründe zu informieren, die eine Vernichtung undurchführbar machen. Der Geschäftspartner erweitert die Schutzmaßnahmen dieser Vereinbarung auf solche Gesundheitsdaten und beschränkt weitere Verwendungen und Offenlegungen solcher Gesundheitsdaten auf diejenigen Zwecke, die die Vernichtung undurchführbar machen, solange der Geschäftspartner diese Gesundheitsdaten aufbewahrt. Dieser Abschnitt verpflichtet den Geschäftspartner nicht, geschützte Gesundheitsdaten von anderen auf seinen Servern befindlichen Informationen zu trennen.

(a) Änderungen: Jeder von uns erklärt sich damit einverstanden, berechtigte Maßnahmen zu ergreifen, um an dieser HIPAA-Zusatzvereinbarung von Zeit zu Zeit notwendige Änderungen vorzunehmen, um die Anforderungen des HIPAA in seiner jeweils geltenden Fassung erfüllen zu können; sofern sich jedoch durch eine solche Änderung die Kosten für die Dienstleistungserbringung des Geschäftspartners gemäß der Vereinbarung wesentlich erhöhen würden, hat der Geschäftspartner das Recht, die Vereinbarung mit einer Frist von dreißig (30) Tagen zu kündigen.

(b) Fortgeltende Bestimmungen: Unsere jeweiligen Rechte und Pflichten im Rahmen dieser HIPAA-Zusatzvereinbarung bleiben auch nach Vertragsbeendigung bestehen.

(c) Auslegung: Jegliche Unklarheiten in dieser Geschäftspartnervereinbarung sind zu klären, damit Sie die HIPAA und die Datenschutzvorschriften einhalten können.

Zuletzt überarbeitet am 20.11.2020.