Zuletzt \u00fcberarbeitet am 20.11.2020.<\/p>\n\n\n\n
Diese HIPAA-Gesch\u00e4ftspartnervereinbarung (\u201eHIPAA-Zusatz\u201c) ist ein Zusatz zu den Mailgun-Nutzungsbedingungen (\u201eBedingungen\u201c). Dieser HIPAA-Zusatz definiert die Rechte und Pflichten eines jeden von uns in Bezug auf gesch\u00fctzte Gesundheitsdaten, wie sie im amerikanischen Health Insurance Portability and Accountability Act von 1996 und den darunter erlassenen Vorschriften, einschlie\u00dflich des HITECH Act und der Omnibus Rule, in ihrer jeweils geltenden Fassung (zusammenfassend \u201eHIPAA\u201c) definiert sind. Dieser HIPAA-Zusatz gilt nur f\u00fcr den Fall und in dem Umfang, in dem Mailgun in Bezug auf Sie und Ihre Nutzung der Mailgun-Dienste die Definition eines Gesch\u00e4ftspartners gem\u00e4\u00df 45 C.F.R. \u00a7160.103 oder entsprechender Nachfolgevorschriften erf\u00fcllt.<\/p>\n\n\n\n
\u201eGesch\u00e4ftspartner\u201c<\/b> bezieht sich auf Mailgun Technologies, Inc., ein Unternehmen aus Delaware, im eigenen Namen und im Namen seiner angeschlossenen Unternehmen (jedes Unternehmen, das sich im Besitz eines seiner Unternehmen befindet oder mit einem seiner anderen Unternehmen einer gemeinsamen Kontrolle untersteht, darunter insbesondere Mailgun Technologies SAS und Mailjet SAS).<\/p>\n\n\n\n
\u201eCFR\u201c<\/b> bezeichnet den Code of Federal Regulations (Rechtsverordnungen in den USA).<\/p>\n\n\n\n
\u201eEinzelperson\u201c<\/b> hat die gleiche Bedeutung wie der Begriff \u201eIndividual\u201c in 45 CFR \u00a7 160.103 und bezieht sich ebenfalls auf Personen, die gem\u00e4\u00df 45 CFR \u00a7 164.502(g) als pers\u00f6nlicher Vertreter gelten.<\/p>\n\n\n\n
\u201eDatenschutzvorschriften\u201c<\/b> bezieht sich auf die Standards f\u00fcr den Datenschutz von individuell identifizierbaren Gesundheitsinformationen in 45 CFR Teil 160 und Teil 164, Unterabschnitte A und E.<\/p>\n\n\n\n
\u201eGesch\u00fctzte Gesundheitsdaten\u201c<\/b> oder \u201ePHI\u201c haben die gleiche Bedeutung wie der Begriff \u201eprotected health information\u201c in 45 CFR \u00a7 160.103 und beziehen sich auf die Daten, die der Gesch\u00e4ftspartner von Ihnen oder in Ihrem Namen erh\u00e4lt.<\/p>\n\n\n\n
\u201eGesetzlich vorgeschrieben\u201c<\/b> hat die gleiche Bedeutung wie der Begriff \u201erequired by law\u201c in 45 CFR \u00a7 164.103.<\/p>\n\n\n\n
\u201eSicherheitsvorschriften\u201c<\/b> bezeichnet die Sicherheitsstandards f\u00fcr den Schutz gesch\u00fctzter elektronischer Gesundheitsdaten in 45 CFR Teil 160 und Teil 164, Unterabschnitte A und C.<\/p>\n\n\n\n
\u201eMinister\u201c<\/b> ist der Minister des Ministerium f\u00fcr Gesundheitspflege und Soziale Dienste der Vereinigten Staaten oder sein Beauftragter.<\/p>\n\n\n\n2. Pflichten und Aktivit\u00e4ten des Gesch\u00e4ftspartners<\/h2>\n\n\n\n
(a)<\/b> Der Gesch\u00e4ftspartner darf Gesundheitsdaten nur in dem Ma\u00dfe offenlegen, wie es von diesem HIPAA-Zusatz oder gesetzlich erlaubt und vorgeschrieben ist.<\/p>\n\n\n\n
(b)<\/b> Der Gesch\u00e4ftspartner verpflichtet sich, die in den Klauseln und anderen Teilen des Vertrags beschriebenen physischen, technischen und verwaltungstechnischen Schutzma\u00dfnahmen zu treffen; darunter fallen auch von Ihnen ausgew\u00e4hlte und in einem Serviceauftrag beschriebene Garantien. Sofern der Gesch\u00e4ftspartner als Teil dieser HIPAA-Zusatzvereinbarung zustimmt, eine Verpflichtung Ihres Unternehmens gem\u00e4\u00df der Datenschutzvorschriften wahrzunehmen, erf\u00fcllt der Gesch\u00e4ftspartner die Anforderungen der f\u00fcr diese Verpflichtung geltenden Datenschutzvorschriften.<\/p>\n\n\n\n
(c)<\/b> Der Gesch\u00e4ftspartner erkl\u00e4rt sich damit einverstanden, jegliche ihm bekannte sch\u00e4dliche Auswirkungen der Nutzung oder Offenlegung von Gesundheitsdaten durch den Gesch\u00e4ftspartner selbst, seine Vertreter oder Unterauftragnehmer, die die Anforderungen dieses HIPAA-Zusatzes verletzen, zu mindern.<\/p>\n\n\n\n
(d)<\/b> Der Gesch\u00e4ftspartner verpflichtet sich, Sie innerhalb von f\u00fcnf Werktagen nach Gewahrwerden \u00fcber (i) Sicherheitsvorf\u00e4lle (wie in 45 C.F.R. \u00a7164.304 definiert und weiter unten n\u00e4her beschrieben), (ii) die Verletzung ungesch\u00fctzter Gesundheitsdaten (wie in 45 CFR \u00a7164.402 definiert) oder (iii) Zugriff, Erwerb, Nutzung oder Offenlegung von Gesundheitsdaten in Verletzung dieses HIPAA-Zusatzes in Kenntnis zu setzen.<\/p>\n\n\n\n (e)<\/b> Der Gesch\u00e4ftspartner erkl\u00e4rt, von jedem Vertreter und Unterauftragnehmer, dem er Gesundheitsinformationen zur Verf\u00fcgung stellt, angemessene Garantien zu erhalten, dass er die gleichen Einschr\u00e4nkungen und Bedingungen beachtet, die f\u00fcr den Gesch\u00e4ftspartner im Rahmen dieser HIPAA-Zusatzvereinbarung gelten. Dies gilt nicht f\u00fcr Zweckgesellschaften Dritter und Drittanbieter, die an der \u00dcbertragung, Weiterleitung, Speicherung oder dem Empfang von E-Mails beteiligt und f\u00fcr die Bereitstellung der Mailgun-Dienste essentiell sind.<\/p>\n\n\n\n (f)<\/b> Alle Gesundheitsinformationen, die vom Gesch\u00e4ftspartner aufbewahrt werden, sind f\u00fcr Sie in einer angemessenen Zeitspanne und einer Weise erh\u00e4ltlich, die es Ihnen erm\u00f6glicht, die unter 45 CFR \u00a7 164.524 festgelegten Anforderungen zu erf\u00fcllen. Der Gesch\u00e4ftspartner ist nicht verpflichtet, jegliche Gesundheitsinformationen an eine andere Einzelperson als direkt an Sie weiterzugeben.<\/p>\n\n\n\n (g)<\/b> Alle Gesundheits- sowie andere Informationen, die vom Gesch\u00e4ftspartner aufbewahrt werden, sind f\u00fcr Sie in einer angemessenen Zeitspanne und einer Weise erh\u00e4ltlich, die es Ihnen erm\u00f6glicht, die unter 45 CFR \u00a7 164.526 festgelegten Anforderungen zu erf\u00fcllen.<\/p>\n\n\n\n (h)<\/b> Der Gesch\u00e4ftspartner stimmt zu, dem Minister interne Praktiken, B\u00fccher und Eintr\u00e4ge in einer vom Minister festgelegten Zeitspanne und Weise vorzulegen, damit der Minister die Einhaltung der Datenschutzvorschriften Ihrerseits \u00fcberpr\u00fcfen kann; vorausgesetzt jedoch, dass Ihnen der Zeitaufwand, der dem Gesch\u00e4ftspartner zur Erf\u00fcllung einer solchen Anfrage entsteht und seine normalen Kundenservice-Leistungen \u00fcbersteigt, nach dem aktuellen Standardstundensatz f\u00fcr Zusatzleistungen des Gesch\u00e4ftspartners in Rechnung gestellt wird.<\/p>\n\n\n\n (i)<\/b> Sie erkennen an, dass der Gesch\u00e4ftspartner gem\u00e4\u00df dieser HIPAA-Zusatzvereinbarung nicht verpflichtet ist, Gesundheitsinformationen an Einzelpersonen oder jegliche andere Person als Sie offenzulegen und dass der Gesch\u00e4ftspartner daher nicht verpflichtet ist, die Dokumentation einer solchen Offenlegung wie in 45 CFR \u00a7 164.528 beschrieben aufzubewahren. Falls der Gesch\u00e4ftspartner eine solche Offenlegung durchf\u00fchrt, muss er diese so dokumentieren, wie Sie diese auf Anfrage einer Einzelperson nach einem Bericht \u00fcber Offenlegungen beantragen w\u00fcrden gem\u00e4\u00df 45 CFR \u00a7164.504(e)(2)(ii)(G) und \u00a7164.528, und muss Ihnen diese Dokumentation auf Ihre Anfrage hin unverz\u00fcglich zur Verf\u00fcgung stellen. Wird ein Antrag auf einen Bericht direkt an den Gesch\u00e4ftspartner gestellt, leitet der Gesch\u00e4ftspartner diesen Antrag innerhalb von zwei Werktagen an Sie weiter.<\/p>\n\n\n\n Sofern nicht in diesem HIPAA-Zusatz oder einem anderen Vertragsteil anderslautend bestimmt, ist der Gesch\u00e4ftspartner zur Nutzung oder Offenlegung gesch\u00fctzter Gesundheitsdaten berechtigt, um die im Vertrag festgelegten Funktionen, Aktivit\u00e4ten oder Dienste f\u00fcr Sie oder in Ihrem Namen durchzuf\u00fchren, vorausgesetzt, dass diese Nutzung oder Offenlegung nicht gegen die Datenschutzvorschriften versto\u00dfen w\u00fcrde, wenn Sie dies selbst t\u00e4ten.<\/p>\n\n\n\n Sofern nicht in diesem HIPAA-Zusatz oder einem anderen Vertragsteil anderslautend bestimmt, ist der Gesch\u00e4ftspartner zu Folgendem berechtigt:<\/p>\n\n\n\n (a)<\/b> Nutzung der Gesundheitsdaten zur ordnungsgem\u00e4\u00dfen Verwaltung und Gesch\u00e4ftsf\u00fchrung des Gesch\u00e4ftspartners oder zur Wahrnehmung seiner rechtlichen Verpflichtungen;<\/p>\n\n\n\n (b)<\/b> Offenlegung der Gesundheitsdaten zur ordnungsgem\u00e4\u00dfen Verwaltung und Gesch\u00e4ftsf\u00fchrung des Gesch\u00e4ftspartners, sofern die Offenlegung (i) gesetzlich vorgeschrieben ist oder (ii) der Gesch\u00e4ftspartner angemessene Zusicherungen erh\u00e4lt, dass die Gesundheitsdaten vertraulich bleiben und nur wie gesetzlich vorgeschrieben oder f\u00fcr den Zweck genutzt werden, zu dem sie der betreffenden Person offengelegt wurden; diese Person wird den Gesch\u00e4ftspartner zudem \u00fcber alle ihr bekannten F\u00e4lle informieren, in denen die Vertraulichkeit der Informationen verletzt wurde; und<\/p>\n\n\n\n (c)<\/b> Nutzung der Gesundheitsdaten, um Gesetzesverst\u00f6\u00dfe an die zust\u00e4ndigen Bundes- und Landesbeh\u00f6rden zu melden, in \u00dcbereinstimmung mit US Health Insurance Portability and Accountability Act 45 CFR \u00a7164.502(j)(1).<\/p>\n\n\n\n 5.1<\/b> Sie sind verpflichtet, den Gesch\u00e4ftspartner \u00fcber Folgendes zu informieren:<\/p>\n\n\n\n (a)<\/b> alle Beschr\u00e4nkungen in Ihrer Bekanntmachung der Datenschutzpraktiken gem\u00e4\u00df 45 CFR \u00a7 164.520, soweit sich diese \u00c4nderungen auf die Nutzung oder Offenlegung gesch\u00fctzter Gesundheitsdaten durch den Gesch\u00e4ftspartner auswirken k\u00f6nnten;<\/p>\n\n\n\n (b)<\/b> alle \u00c4nderungen an oder den Widerruf der Genehmigung der Einzelperson zur Nutzung oder Offenlegung gesch\u00fctzter Gesundheitsdaten, soweit sich diese \u00c4nderungen auf die Nutzung oder Offenlegung durch den Gesch\u00e4ftspartner auswirken k\u00f6nnten; und<\/p>\n\n\n\n (c)<\/b> jegliche Beschr\u00e4nkung der Nutzung oder Offenlegung gesch\u00fctzter Gesundheitsdaten, der Sie zugestimmt haben gem\u00e4\u00df 45 CFR \u00a7 164.522, soweit sich diese Beschr\u00e4nkung die Nutzung oder Offenlegung durch den Gesch\u00e4ftspartner auswirken k\u00f6nnten;<\/p>\n\n\n\n 5.2<\/b> Sie verpflichten sich, den Gesch\u00e4ftspartner nicht aufzufordern, gesch\u00fctzte Gesundheitsdaten in einer Weise zu verwenden, zu \u00fcbermitteln oder offenzulegen, die nach den Datenschutz- oder Sicherheitsvorschriften nicht zul\u00e4ssig w\u00e4re, wenn Sie dies selbst t\u00e4ten.<\/p>\n\n\n\n 5.3<\/b> Als Teil Ihrer Sicherheitsverpflichtungen erkl\u00e4ren Sie sich damit einverstanden, angemessene Schutzma\u00dfnahmen zu treffen und aufrechtzuerhalten, die erforderlich sind, um die f\u00fcr Sie und Ihre Nutzung der Mailgun-Dienste g\u00fcltigen Sicherheits- und Datenschutzvorschriften einzuhalten. Dies umfasst ohne Einschr\u00e4nkung: (i) die Umsetzung von gem\u00e4\u00df 45 CFR \u00a7 164.530(c) erforderlichen angemessenen Schutzma\u00dfnahmen, (ii) die angemessene Begrenzung der Menge oder der Art der \u00fcber die Mailgun-Dienste offengelegten Daten, (iii) die Erm\u00f6glichung der Nutzung alternativer sicherer elektronischer Methoden, damit Einzelpersonen vertrauliche Mitteilungen von Ihnen erhalten k\u00f6nnen, (iv) die \u00dcberpr\u00fcfung der Adresse des Empf\u00e4ngers und ihrer korrekten Eingabe in die Mailgun-Dienste vor der Nutzung der Mailgun-Dienste zur \u00dcbermittlung von gesch\u00fctzten Gesundheitsdaten, (v) Einbindung einer Datenschutzerkl\u00e4rung, \u00fcber die der Empf\u00e4nger auf die unsichere Natur von E-Mails hingewiesen wird und in der eine Kontaktperson angegeben ist, an die der Empf\u00e4nger eine fehlgeleitete Nachricht melden kann, sowie (vi) die Verschl\u00fcsselung von Gesundheitsdaten, die \u00fcber die Mailgun-Dienste \u00fcbertragen werden, wo dies angemessen oder durch die Sicherheitsvorschriften vorgeschrieben ist (z. B. durch die Verwendung von verschl\u00fcsselten Anh\u00e4ngen, PGP-Toolsets oder S\/MIME).<\/p>\n\n\n\n 5.4<\/b> Sie erkennen an und verstehen, dass die Mailgun-Dienste die \u00dcbertragung unverschl\u00fcsselter reiner Text-E-Mails \u00fcber das \u00f6ffentliche Internet und offene Netzwerke beinhalten. Kundendaten, die Sie in die Mailgun-Dienste hochladen, werden vom Gesch\u00e4ftspartner nicht verschl\u00fcsselt und auf \u00e4hnliche Weise gespeichert (und \u00fcbertragen), wie Sie sie bereitstellen. Sie sind f\u00fcr die Verschl\u00fcsselung aller vertraulichen Daten, die Sie in Verbindung mit den Mailgun-Diensten verwenden, selbst verantwortlich. E-Mails, die \u00fcber die Mailgun-Dienste gesendet werden, k\u00f6nnten ungesch\u00fctzt sein, von anderen Benutzern des \u00f6ffentlichen Internets abgefangen und von Dritten (z. B. dem E-Mail-Service-Provider eines Empf\u00e4ngers) gespeichert und offengelegt werden, die keine Verpflichtungen gegen\u00fcber dem Gesch\u00e4ftspartner in Bezug auf die Verarbeitung solcher Nachrichten haben. Obwohl die Mailgun-Dienste TLS unterst\u00fctzen, werden die Inhalte auch dann \u00fcbertragen, wenn der Empf\u00e4nger TLS nicht unterst\u00fctzt, was zu einer unverschl\u00fcsselten \u00dcbertragung f\u00fchrt. Sie best\u00e4tigen, dass Sie diese Aspekte der Mailgun-Dienste Ihren Kunden und Endbenutzern entsprechend verst\u00e4ndlich gemacht haben und dass diese der Nutzung ihrer Gesundheitsdaten durch Sie in der Art und Weise, in der Sie die Mailgun-Dienste in Anspruch nehmen, vollst\u00e4ndig und angemessen zugestimmt haben.<\/p>\n\n\n\n (a)<\/b> Die Laufzeit dieses HIPAA-Zusatzes gilt f\u00fcr die Dauer Ihrer Nutzung der Mailgun-Dienste mit einem g\u00fcltigen Serviceauftrag und nach dessen Beendigung, bis alle Ihre gesch\u00fctzten Gesundheitsdaten vernichtet bzw. an Sie oder die von Ihnen bevollm\u00e4chtigte Person zur\u00fcckgegeben wurden.<\/p>\n\n\n\n (b)<\/b> Sollte der Gesch\u00e4ftspartner die in dieser HIPAA-Vereinbarung festgelegten Klauseln verletzen, sind Sie berechtigt, jegliche damit verbundenen Mailgun-Dienste zu beenden, ohne dass die Beendigung eine Strafzahlung aufgrund vorzeitiger Beendigung oder andere Vertragsstrafen nach sich zieht.<\/p>\n\n\n\n (c)<\/b> Auf Ihre Anfrage hin (unabh\u00e4ngig von deren Grund) hat der Gesch\u00e4ftspartner alle gesch\u00fctzten Gesundheitsdaten zu vernichten, die sich in seinem Besitz befinden. Diese Klausel gilt f\u00fcr alle Gesundheitsdaten, die sich im Besitz von Unterauftragnehmern, Vertretern des Gesch\u00e4ftspartners sowie des Gesch\u00e4ftspartners selbst befinden. Dem Gesch\u00e4ftspartner ist es nicht gestattet, Kopien der gesch\u00fctzten Gesundheitsdaten einzubehalten. Falls der Gesch\u00e4ftspartner feststellt, dass eine Vernichtung der Gesundheitsdaten undurchf\u00fchrbar ist, ist er dazu angehalten, Sie unverz\u00fcglich \u00fcber die Gr\u00fcnde zu informieren, die eine Vernichtung undurchf\u00fchrbar machen. Der Gesch\u00e4ftspartner erweitert die Schutzma\u00dfnahmen dieser Vereinbarung auf solche Gesundheitsdaten und beschr\u00e4nkt weitere Verwendungen und Offenlegungen solcher Gesundheitsdaten auf diejenigen Zwecke, die die Vernichtung undurchf\u00fchrbar machen, solange der Gesch\u00e4ftspartner diese Gesundheitsdaten aufbewahrt. Dieser Abschnitt verpflichtet den Gesch\u00e4ftspartner nicht, gesch\u00fctzte Gesundheitsdaten von anderen auf seinen Servern befindlichen Informationen zu trennen.<\/p>\n\n\n\n (a)<\/b> \u00c4nderungen: Jeder von uns erkl\u00e4rt sich damit einverstanden, berechtigte Ma\u00dfnahmen zu ergreifen, um an dieser HIPAA-Zusatzvereinbarung von Zeit zu Zeit notwendige \u00c4nderungen vorzunehmen, um die Anforderungen des HIPAA in seiner jeweils geltenden Fassung erf\u00fcllen zu k\u00f6nnen; sofern sich jedoch durch eine solche \u00c4nderung die Kosten f\u00fcr die Dienstleistungserbringung des Gesch\u00e4ftspartners gem\u00e4\u00df der Vereinbarung wesentlich erh\u00f6hen w\u00fcrden, hat der Gesch\u00e4ftspartner das Recht, die Vereinbarung mit einer Frist von drei\u00dfig (30) Tagen zu k\u00fcndigen.<\/p>\n\n\n\n (b)<\/b> Fortgeltende Bestimmungen: Unsere jeweiligen Rechte und Pflichten im Rahmen dieser HIPAA-Zusatzvereinbarung bleiben auch nach Vertragsbeendigung bestehen.<\/p>\n\n\n\n (c)<\/b> Auslegung: Jegliche Unklarheiten in dieser Gesch\u00e4ftspartnervereinbarung sind zu kl\u00e4ren, damit Sie die HIPAA und die Datenschutzvorschriften einhalten k\u00f6nnen.<\/p>\n\n\n\n Zuletzt \u00fcberarbeitet am 20.11.2020.<\/p>\n","protected":false},"author":1,"parent":0,"menu_order":0,"template":"","meta":{"_acf_changed":false,"footnotes":""},"class_list":["post-5106","legal","type-legal","status-publish","hentry"],"acf":[],"yoast_head":"\n\n
3. Erlaubte Verwendung und Offenlegung von Daten durch den Gesch\u00e4ftspartner<\/h2>\n\n\n\n
4. Besondere Bestimmungen zur Verwendung und Offenlegung von Daten<\/h2>\n\n\n\n
5. Ihre Verpflichtungen<\/h2>\n\n\n\n
6. Laufzeit und Beendigung<\/h2>\n\n\n\n
7. Sonstiges<\/h2>\n\n\n\n