Datenschutz und Informationssicherheit
bei Pro Care Management

Präambel

Pro Care Management legt bei der Umsetzung der Anforderungen der EU-Datenschutzgrundverordnung (im Folgenden: DSGVO) großen Wert auf eine rechtskonforme Verarbeitung personenbezogener Daten (u. a. Ansprechpartner bei den Vertragspartnern). Darüber hinaus nimmt sie diese Anforderungen auch zum Anlass, dieses hohe Schutzniveau auf nicht der DSGVO unterfallenden Daten, wie Daten des Mandanten und deren zugehörige sachbezogene Daten zu übertragen. Eine transparente Verarbeitung sämtlicher im Zusammenhang mit der Kundenbeziehung anfallender Daten, unabhängig davon, ob diese der DSGVO unterfallen oder nicht und damit ein vertrauensvoller Umgang sowie die Sicherstellung der Geheimhaltung sind Pro Care Management ein wichtiges Anliegen. Diesem dienen die eingeführten und ständig auf Angemessenheit und Aktualität überprüften Sicherheitsstandards der an Pro Care Management übermittelten sowie von ihr erfassten Daten.

Im Rahmen der Vertragsbeziehung übermittelte oder entstehende Informationen beispielsweise über vereinbarte Konditionen und Vertragsbedingungen, eigene Vertragsbeziehungen der Mandanten oder Lieferanten sind Basis für die erfolgreiche Zusammenarbeit zwischen Pro Care Management und dem Mandanten. Sie sind aber auch wesentlich für die jeweilige Stellung der Mandanten und Pro Care Management als Einkaufsdienstleister auf dem Markt. Daher stellen diese Informationen sowohl einen hohen Wert für Pro Care Management, aber auch für ihre Mandanten dar und werden somit im Rahmen der Vertragsbeziehung verarbeitet. Speziell diese Informationen sind zwar keine personenbezogenen Daten, sind aber als Geschäftsgeheimnis im genau gleichen Maße zu schützen. Pro Care Management ist sich bewusst, dass das Vertrauen der Mandanten in das Unternehmen und die Unternehmensgruppe nicht zuletzt davon abhängt, dass rechtskonform und einem ho-hen Sicherheitsstandard unterliegend mit den bereitgestellten Daten umgegangen wird. Es ist daher selbstverständlich Anspruch von Pro Care Management, diesen Zielen gerecht zu werden und dafür Sorge zu tragen, dass die Mandanten bei der Umsetzung der an sie gestellten Anforderungen des Datenschutzes durch die Beratung und Gestaltung der Produkte von Pro Care Management bestmöglich unterstützt werden.

Im Interesse des vorbeschriebenen Schutzes sowohl des Persönlichkeitsrechts aller Beschäftigten, der Mandanten, Ansprechpartner und betroffenen Personen der Mandanten, als auch dem Schutz von Geschäftsgeheimnissen der Mandanten hat Pro Care Management die interne Organisation gestaltet und setzt entsprechende Maßnahmen um, welche in wie folgt dargestellt werden:

• Relevante Gesetze und vertragliche Regelungen zum Datenschutz und Schutz von Geschäftsgeheimnissen
• Managementprozesse bei Pro Care Management
• Technische und organisatorische Schutzmaßnahmen
• Prozessbeschreibungen für die verschiedenen Angebote von Pro Care Management

Das Konzept wird regelmäßig überprüft und insbesondere bei der Weiterentwicklung der Angebote von Pro Care Management sowie Kundenerfahrungen fortgeschrieben. Gerne nimmt unsere Datenschutzbeauftragte hierzu Ihre Anregungen entgegen.¹

¹ Soweit in diesem Konzept lediglich eine Geschlechtsbezeichnung verwendet ist, umfasst diese Personen beiderlei Geschlechts.

1. Begriffe

Bezeichnungen
Pro Care Management: Pro Care Management GmbH
Mandant: Vertragspartner (z. B. Betriebsgastronomie, Großküchen, Caterer, Care-Einrichtungen, Großverbraucher), welche die Leistungen von Pro Care Management als Einkaufsdienstleister nutzen
Lieferanten: Hersteller, Händler oder Dienstleister, von dem die Mandanten von Pro Care Management Waren oder Leistungen beziehen können
Dienstleistungsvertrag: zwischen Pro Care Management und dem Mandanten abgeschlossener Vertrag

Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. I.d.R. sind dies Informationen im Zusammenhang mit Namen und dienstlichen Kontaktdaten und Funktion. Desweiteren werden Zugangs- und Nutzungsdaten von easySuite verarbeitet.
Weitere Informationen sind der Datenschutz-Information² von Pro Care Management zu entnehmen.

Geschäftsgeheimnis
Geschäftsgeheimnisse sind alle Unternehmensinformationen, die weder allgemeinbekannt oder ohne weiteres zugänglich sind und daher von wirtschaftlichem Wert für Pro Care Management oder den Mandanten sind. Diese Unternehmensinformationen werden daher durch angemessene Geheimhaltungsmaßnahmen geschützt. Pro Care Management oder der Mandant haben ein berechtigtes Interesse an der Geheimhaltung. Unter Geschäftsgeheimnisse fallen beispielsweise Artikelpreise, Produktions-/Abgabemengen, Rabatte und Boni, Sonderkonditionen, Vertragsbedingungen oder Geschäftsbeziehungen.

Compliance
Hierunter versteht man die rechtlich ordnungsgemäße systematische Organisation eines Unternehmens mit dem Ziel, eine zivil- oder strafrechtliche Haftung des Unternehmens und seiner Organe zu vermeiden, u. a. durch eine unternehmensinterne Selbstkontrolle.³ Die Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes stehen damit im Vordergrund. Relevante Gesetze sind unter Kapitel 2 aufgeführt. Auf unternehmensinterne Vorgaben von Pro Care Management wird an entsprechender Stelle in diesem Dokument verwiesen.

Datenschutz
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Die Vorschriften zum Datenschutz sollen gewährleisten, dass natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten nicht beeinträchtigt werden. Beeinträchtigungen können beispielsweise durch Missbrauch, Zweckänderung, unrechtmäßiger oder unrichtiger Verarbeitung entstehen. Der für die Verarbeitung Verantwortliche ist laut DSGVO verpflichtet, entsprechende Schutzmaßnahmen umzusetzen.

IT-Sicherheit
IT-Sicherheit hat das technische Ziel, die IT-Systeme inklusiv aller darauf gespeicherten Daten gegen Verlust, Manipulationen und andere Bedrohungen zu sichern. Klassische Schutzziele der IT-Sicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme. Hierzu werden Maßnahmen zur IT-Sicherheit getroffen.⁴

Informationssicherheit
Informationssicherheit bezieht sich zusätzlich zur IT-Sicherheit auch auf Informationen jeglicher Art, die nicht oder nicht nur auf IT-Systemen verarbeitet werden und erweitert damit den Kreis der zu schützenden Informationen. Beispielsweise werden bei der Informationssicherheit auch Papierunterlagen, das gesprochene Wort oder Unternehmensprozesse mit einbezogen. Zusätzliche Schutzziele der Informationssicherheit sind Authentizität, Verbindlichkeit/Nichtabstreitbarkeit und Zurechenbarkeit von Objekten und Handlungen. Informationssicherheit deckt auch den Schutz von Geschäftsgeheimnissen ab.
Auch zur Informationssicherheit werden dem Risiko entsprechend angemessene Maßnahmen getroffen.

² https://www.prospitalia.de/datenschutz-information/
³ Groh, in: Creifelds, Rechtswörterbuch, 26. Edition, 2021, Stichwort: „Compliance“.
⁴ https://de.wikipedia.org/wiki/Informationssicherheit#Datensicherheit

2. Relevante Gesetze und Verträge

2.1 DSGVO

Die DSGVO gilt u. a. für alle Unternehmen, die ihre Niederlassung in der Europäischen Union haben, d.h. sie gilt sowohl für Pro Care Management als auch für den Mandanten und i.d.R. für die Lieferanten. Die DSGVO regelt den Umgang mit personenbezogenen Daten wie z.B. den beruflichen namentlichen Kontaktdaten.

Im Rahmen der Vertragsbeziehung zwischen Pro Care Management und dem Mandanten werden personenbezogene Daten der Beschäftigten ausgetauscht, beispielsweise zur Vermittlung der passenden Ansprechpartner. Dabei sind Pro Care Management und der Mandant jeweils Verantwortliche für die Verarbeitung im Sinne von Art. 4 Nr. 7 DSGVO. Die Verarbeitung personenbezogener Daten im Verhältnis zwischen Pro Care Management und dem Mandanten dient der Schaffung der Voraussetzungen für eine effiziente Zusammenarbeit und ist Bedingung für die Vertragsdurchführung zwischen dem Mandanten und Pro Care Management mit ihren jeweiligen Beschäftigten und damit nach Art. 6 Abs. 1 b DSGVO gerechtfertigt.

Im Rahmen der Beteiligung an Ausschreibungsverfahren beziehen wir uns auf Art. 6 Abs. 1 b DSGVO zur Durchführung vorvertraglicher Maßnahmen sowie die Spezialgesetze im Sinne von Art. 6 Abs. 1c DSGVO, die für Ausschreibungsverfahren relevant sind. Bei der Angabe von Referenzen holen wir ggf. eine Einwilligung ein.

2.2 GeschGehG

Das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) dient dem Schutz von Geschäftsgeheimnissen vor unerlaubter Erlangung, Nutzung und Offenlegung. In den Verträgen sind Geschäftsgeheimnisse wie beispielsweise Artikeldaten, Preise, Produktions-/Abgabemengen, Rabatte und Boni sowie Sonderkonditionen definiert und für beide Parteien als Geschäftsgeheimnis mit entsprechend, einhergehenden Verpflichtung zur Vertraulichkeit adressiert. Weitere Voraussetzung für den Schutz von Geschäftsgeheimnissen ist, dass entsprechende Maßnahmen zum Schutz getroffen wurden. Dies erfolgt im Rahmen der abgeschlossenen Verträge. Das GeschGehG regelt damit den befugten bzw. unbefugten Umgang mit Unternehmensdaten beider Parteien sowie die gegenseitigen Ansprüche bei etwaigen Rechtsverletzungen.

2.3 Spezielle Gesetze

Für einige Bereiche gibt es spezielle Rechtsvorschriften. Die DSGVO weist in den sog. Öffnungsklauseln an mehreren Stellen darauf hin, dass diese speziellen Rechtsvorschriften einen Erlaubnistatbestand für die Verarbeitung personenbezogener Daten darstellen können. Bezüglich Geschäftsgeheimnissen gibt es weitere Vorschriften aus dem Unternehmensrecht. Exemplarisch und nicht abschließend können folgende Rechtsvorschriften relevant sein:

Umgang mit personenbezogenen Daten der Beschäftigten
• §26 BDSG

Vertragsrecht, insbesondere Aufbewahrungsfristen
• HGB
• AO
• BGB

Kritische Infrastruktur
Manche Mandanten müssen als Betreiber einer kritischen Infrastruktur Maßnahmen zur Informationssicherheit nachweisen.
• ITSiG
• SGB V

2.4 Vertragliche Regelungen

Die nachfolgende Darstellung bezieht sich ausschließlich auf diejenigen vertraglichen Vereinbarungen zwischen Pro Care Management und dem Mandanten, welche hinsichtlich personenbezogener Daten oder Geschäftsgeheimnisse getroffen werden. Sonstige Regelungen zu anderen Bereichen, sei es leistungsbezogen oder vertragsrechtlich, sind hier nicht dargestellt.

Zwischen Pro Care Management und dem Mandanten bestehen i.d.R. verschiedene, zum Teil aufeinander Bezug nehmende Verträge, beispielsweise:

• Vertraulichkeitsvereinbarung im vorvertraglichen Bereich der Verhandlungen:
Im Vorfeld einer Zusammenarbeit erfolgt auf Wunsch des Mandanten der Abschluss einer Vertraulichkeitsvereinbarung, um eine Kooperation im Bereich des Austausches von Artikeldaten und Preis- und Abgabemengen mit der Zielsetzung einer Wertung zu ermöglichen. Aufgrund dieser Kooperation können mögliche Geschäftsinteressen beider Vertragsparteien näher definiert werden. Zur Vorbereitung und im Rahmen dieses geplanten Projektes tauschen die Vertragsparteien Unternehmensdaten und sonstige nicht allgemein zugängliche Informationen und Unterlagen gegenseitig aus. Diesbezüglich werden in der Vereinbarung Nutzungsrechte und Geheimhaltungspflichten bestimmt. Die Geheimhaltung bleibt auch nach Beendigung der Kooperation wirksam.

• Vertraulichkeit im Rahmen der Aufschaltung des Mandanten:
Im Vorfeld des Leistungsabrufs wird der Mandant in die Einkaufsgemeinschaft von Pro Care Management integriert. Hier werden Artikel, Lieferanten und Preismodelle eingepflegt und zugeordnet. Die Pflicht zur Geheimhaltung besteht durch beide Parteien ab Vertragsabschluss des Dienstleistungsvertrags. Damit gelten die Geheimhaltungspflichten aus dem Dienstleistungsvertrag bereits vor Leistungsabruf und somit auch für den Prozess der Aufschaltung.

• Dienstleistungsverträge:
Pro Care Management stellt das System easySuite mit den im Dienstleistungsvertrag vereinbarten Modulen zur Nutzung durch den Mandanten zur Verfügung. Der Mandant wiederum stellt Pro Care Management diejenigen Informationen zur Verfügung, welche für ihre Leistungserbringung erforderlich sind, insbesondere die Informationen zum Zweck der Aufschaltung, der Projektbearbeitung sowie der Datenanalyse und der jährlichem Umsatzmeldung (der Umfang der erforderlichen Daten variiert zwischen den einbezogenen Dienstleistungsbereichen). Lieferanten übermitteln an Pro Care Management vertragsrelevante Informationen wie z.B. detaillierte Umsatzdaten oder Konditionsinformationen. Die Vertragsparteien tauschen gegenseitig Ansprechpartner und Kontaktdaten zum Zweck der Zusammenarbeit im Rahmen des Vertrages aus. Es ist geregelt, dass z. B. Projekte mit Externen oder Logistikern nur in Absprache mit dem Consultant von Pro Care Management durchgeführt werden dürfen und eine unabgestimmte Weitergabe von Pro Care Management-Einzelpreisen und Konditionen untersagt ist.

Desweiteren sind die Pflichten beider Vertragsparteien bei der Nutzung von easySuite, insbesondere die Umsetzung von definierten Sicherheitsmaßnahmen beschrieben. Die geschuldete Leistung von Pro Care Management hinsichtlich der Überlassung von easySuite zum vertragsgemäßen Gebrauch wird im Dienstleistungsvertrag näher konkretisiert, Maßnahmen und Mitwirkungspflichten in Bezug auf die Beseitigung von Mängeln präzisiert und die Rahmenbedingungen für die Erbringung der darüberhinausgehenden Serviceleistungen in Bezug auf easySuite dargestellt. Diese Bestimmungen müssen bei der Beurteilung von angemessenen Schutzmaßnahmen (beispielsweise Sicherstellung der Verfügbarkeit) mitberücksichtigt werden. Es gibt eine vertragliche Geheimhaltungsklausel und Regelungen zum Umgang mit Verstößen gegen die Verschwiegenheitspflicht.

3. Datenschutz- und Informationssicherheitsmanagement bei Pro Care Management

3.1 Stabstellen

Datenschutzbeauftragter
Pro Care Management hat einen Datenschutzbeauftragten benannt.
Pro Care Management sieht Datenschutz als Qualitätsfaktor, welcher letztlich allen Parteien zugutekommt. Daher unterstützt der Datenschutzbeauftragte zusätzlich zu den Pflichtaufgaben gemäß Art. 39 DSGVO sowohl Pro Care Management als auch Mandanten bei der Umsetzung der Anforderungen aus der DSGVO.

Compliance-Officer
Der benannte Compliance-Officer ist dafür zuständig, dass eine systematische Compliance-Organisation zur unternehmensinternen Selbstkontrolle aufgebaut wird und die gesetzlichen sowie betrieblichen Vorgaben zu rechtskonformen Geschäftsvorgängen eingehalten werden. Ebenso ist ihm das Thema Whistleblowing und Verrat von Geschäftsgeheimnissen zugeordnet.

Informationssicherheit
Die Leitung Software Development arbeitet insbesondere bzgl. der Informationssicherheit mit der Datenschutzbeauftragten zusammen, um die Anforderungen der DSGVO nach der Sicherheit der Verarbeitung gewährleisten zu können. Konzernweit werden über die zentrale Cyber Security Initiative angemessene Maßnahmen initiiert, umgesetzt und überwacht. Pro Care Management setzt einen vertraglich gebundenen IT-Dienstleister ein, der neben Wartungs- und Betreuungsaufgaben einen Schwerpunkt auf Informationssicherheit hat. Durch die Auswahl eines ISO 27001-zertifizierten, renommierten Rechenzentrums in Deutschland ist Pro Care Management bezüglich IT-Sicherheit gut aufgestellt.

3.2 Datenschutzmanagement bei Pro Care Management

Das Datenschutzmanagement verfolgt folgende Ansätze:
• Sicherstellung des rechtskonformen Umgangs mit personenbezogenen Daten im Unternehmen
• Schutz natürlicher Personen bei der Verarbeitung derer Daten
• Risikobasierte Beurteilung der Gefährdungen des Persönlichkeitsrechts der betroffenen Personen
• Risikobasierte Beurteilung der Gefährdungen von Geschäftsgeheimnissen
• Abwägung und Wahrung des Verhältnismäßigkeitsprinzips
Verantwortlich hierfür ist gemäß DSGVO die Geschäftsführung.

Für eine gesetzeskonforme, wirkungsvolle, aber dennoch pragmatische Umsetzung sind bei Pro Care Management u.a. folgende Maßnahmen und Handlungsweisen etabliert:
• Benennung eines Datenschutzbeauftragten
• Enge Zusammenarbeit zwischen Datenschutzbeauftragten und Geschäftsführung
• Interne Policy Informationsschutz als Kopfdokument zum Datenschutzmanagement
• Weitere interne Policies wie beispielsweise Compliance, Umgang mit Pannen
• Interne Richtlinien (z.B. zur Nutzung von Internet und E-Mail, mobiles Arbeiten)
• Arbeitsanweisungen zu Nutzung von IT, Zutrittsschutz, Berechtigungsvergabe etc.

Diese Regelungen sind Geschäftsgeheimnisse von Pro Care Management. Die darin enthaltenen Maßnahmen dürfen Unbefugten nicht zur Kenntnis gelangen. Wir bieten an, dass bei Bedarf für weitere Informationen der Datenschutzbeauftragte des Mandanten sich mit unserem Datenschutzbeauftragten in Verbindung setzt.

3.3. Umsetzung allgemeiner Vorgaben aus der DSGVO

Pro Care Management verarbeitet personenbezogene Daten und Geschäftsgeheimnisse grundsätzlich in gemeinsamer Verantwortung mit dem Mandanten. Beide Vertragsparteien entscheiden über Mittel und Zwecke der Verarbeitung personenbezogener Daten, d.h. die Gründe und Modalitäten der Verarbeitung; beide haben ein eigenes Interesse im Rahmen der Vertragsbeziehung. Laut den Leitlinien des European Data Protection Boards (EDPB) zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO vom 7. Juli 2021⁵ ist ein wichtiges Kriterium für eine gemeinsame Verantwortung, dass die Verarbeitung ohne die Beteiligung beider Parteien nicht in dem Sinne möglich wäre. Gemäß RdNr. 59 liegt eine gemeinsame Verantwortlichkeit dann vor, wenn die beteiligten Stellen die Daten für dieselben oder gemeinsamen Zwecke verarbeiten. Wie in RdNr. 171 ff. gefordert, werden im Rahmen des Dienstleistungsvertrags und den Leistungsbeschreibungen der App die jeweiligen Zuständigkeiten festgelegt. Bei der Beantragung des Benutzerzugangs werden den betroffenen Personen alle wesentlichen Punkte der Vereinbarung sowie der Umgang mit den Betroffenenrechten zur Verfügung gestellt (vgl. RdNr. 179 ff.)

Wie bereits erwähnt, sieht Pro Care Management den Datenschutz als Qualitätsfaktor an. Unsere Mandanten sollen sich daher davon überzeugen können, dass Pro Care Management verantwortungs- und vertrauensvoll mit ihren Daten im Rahmen des Wirkbereichs von Pro Care Management umgeht. Daher werden im Folgenden zur Veranschaulichung einige unserer internen Unternehmensprozesse beschrieben.

Die Datenschutzbeauftragten unserer Mandanten können sich jederzeit an unsere Datenschutzbeauftragte wenden, wenn hierzu weitere Informationen gewünscht werden:
• Die Erfüllung der Informationspflichten über die Verarbeitung personenbezogener Daten wird durch die Datenschutzbeauftragte koordiniert und es werden abgestimmte Unterlagen verwendet.
• Bei der Entwicklung der eigenen Systeme wird darauf Wert gelegt, dass der Grundsatz „Datenschutz durch Technikgestaltung“ bestmöglich umgesetzt wird.
• Der Prozess zu Meldung von Pannen und Vorkommnissen im Umgang mit personenbezogenen Daten, Geschäftsgeheimnissen sowie Whistleblowing oder anderen Verstößen ist zwischen Datenschutzbeauftragter und Compliance-Officer abgestimmt und intern bekanntgegeben.
• Im internen Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO sind zusätzlich Feststellungen und Maßnahmen zum Schutz von Geschäftsgeheimnissen enthalten.
• Der Hinweis auf die Datenschutzregelungen bei Pro Care Management sowie die Verpflichtung auf Vertraulichkeit von personenbezogenen Daten und Geschäftsgeheimnissen ist Bestandteil der zu unterzeichnenden Formulare bei Arbeitsbeginn. Es werden regelmäßig allgemeine und zielgruppenspezifische Schulungen durch die Datenschutzbeauftragte angeboten. Die Teilnahme ist in regelmäßigen Abständen verpflichtend und wird dokumentiert.
• Die betrieblichen Regelungen enthalten Vorgaben zum Umgang mit Informationen beim mobilen Arbeiten. Insbesondere sind Vorgaben enthalten, die Maßnahmen sowohl zum Arbeiten von unterwegs als auch im Homeoffice betreffen.

3.4. Absicherung durch Einbindung der Datenschutzbeauftragten in die Prozesse

Um Systeme und Prozesse sowohl für die einbezogenen Unternehmen als auch für den Mandanten datenschutzfreundlich zu gestalten und frühzeitig Risiken mit geeigneten Maßnahmen entgegen wirken zu können, soll die Unterstützung der Datenschutzbeauftragten frühzeitig in Anspruch genommen werden, insbesondere zum Zweck der:
• Beratung zur Risikoabwägung und effektiven Maßnahmen zum Schutz von Geschäftsgeheimnissen
• Beratung bei der datenschutzgerechten Gestaltung von eigenentwickelten digitalen Anwendungen
• Mitwirkung bei IT-Projekten in Bezug auf datenschutzrechtliche Fragestellungen
• Erstellung und Überprüfung datenschutzrechtlicher Dokumente sowie Unterstützung bei der Implementierung
• Ansprechpartner für Datenschutzvorgänge in den jeweiligen Fachabteilungen und verbundenen Unternehmen
• Ansprechpartner und Unterstützung bei Anfragen zu Betroffenenrechten

⁵ https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_de.pdf

4. Maßnahmen

Pro Care Management verarbeitet personenbezogene Daten und Geschäftsgeheimnisse in den definierten Wirkbereichen unter gemeinsamer Verantwortung. Wie bereits unter Punkt 3.3 beschrieben, sollen sich unsere Mandanten davon überzeugen können, dass Pro Care Management verantwortungs- und vertrauensvoll mit ihren Daten im Rahmen des Wirkbereichs von Pro Care Management umgeht. Daher werden im Folgenden die Grundprinzipien unserer Maßnahmen sowie einige Beispiele getroffener Maßnahmen dargestellt.

Eine detaillierte Aufstellung ist zum einen ein Geschäftsgeheimnis von Pro Care Management. Zum anderen gefährdet eine Bekanntgabe einiger Maßnahmen die Effektivität oder Vertraulichkeit. Die Datenschutzbeauftragten unserer Mandanten können sich jederzeit an unsere Datenschutzbeauftragte wenden, wenn hierzu weitere Informationen gewünscht werden. Durch die gesetzliche Stellung eines Datenschutzbeauftragten kann dieser eine unabhängige Prüfung oder Stellungnahme durchführen und unterliegt einer besonderen Verschwiegenheitspflicht (Art. 38 DSGVO).

4.1. Risikobetrachtung

Bei Geschäftsprozessen oder intern eingesetzten IT-Systemen erfolgt eine Risikobetrachtung.
• Risikobasierte Beurteilung der Gefährdungen des Persönlichkeitsrechts aus Sicht der betroffenen Personen
• Risikobasierte Beurteilung der Gefährdungen von Geschäftsgeheimnissen
• Abwägung und Wahrung des Verhältnismäßigkeitsprinzips

Synergien ergeben sich bei Maßnahmen, die sowohl personenbezogene Daten als auch Geschäftsgeheimnisse schützen. Insofern arbeiten die Stabstellen Datenschutz, Informationssicherheit und Compliance-Officer sowie Entwickler der Qualitätsmanagement-Vorgaben bei Pro Care Management eng zusammen.

Die Sichtweise bei Geschäftsgeheimnissen und Datenschutz kann in manchen Fällen zu einer unterschiedlichen Einschätzung des potenziellen Risikos führen. Bei den Maßnahmen, die zu einer Minimierung oder Vermeidung des Risikos führen, wird bei einem Unterschied daher immer das höhere Risiko herangezogen und die Maßnahmen daran ausgerichtet. Dieses Vorgehen spiegelt die Grundsätze von Pro Care Management, dass personenbezogene Daten und Geschäftsgeheimnissen gleichermaßen schutzwürdige Güter sind und dass ein möglichst hohes Schutzniveau bezüglich Daten bei Pro Care Management gelten soll, wider.
Sollten sich intern gegensätzliche Einschätzungen ergeben, wird dieser Konflikt zwischen Datenschutzbeauftragter und Leitung Software Development thematisiert und eine Lösung erarbeitet. Für eine Lösung, die beiden Interessen gerecht wird, ist in letzter Instanz die Geschäftsführung verantwortlich.

4.2. Organisatorische Maßnahmen

Exemplarisch sind bei Pro Care Management folgende organisatorischen Maßnahmen umgesetzt:
• Verpflichtung auf Vertraulichkeit
• Datenschutz-Information
• Konzepte zur Berechtigungsvergabe für die jeweiligen Systeme
• Einbindung externer Dienstleister über Verträge zur Auftragsverarbeitung
• Organisatorische Trennung Datenschutzbeauftragter, IT-Sicherheit, Compliance und Recht
• Organisatorische Trennung Consultant, Datenmanagement und Einkauf
• Eigene Softwareentwicklung durch qualifiziertes Fachpersonal
• Regelmäßige Weiterbildung des IT-Fachpersonals
• Dokumentierte Arbeitsschritte und Arbeitsanweisungen im QM-Handbuch

4.3. Technische Maßnahmen

Exemplarisch sind bei Pro Care Management folgende technischen Maßnahmen umgesetzt:
• HyperScaler Mircosoft Azure für Hochverfügbarkeit SLA 99.2%
• Aktuelle Firewall
• Aktueller Virenschutz auf Laptop und Arbeitsplatzrechner mit täglichem Update
• Vorinstallierte VPN auf Laptop der Beschäftigten
• LTE-Stick für mobiles Arbeiten
• Zentral zur Verfügung gestellte Anwendungen
• Ausschließlich TLS-verschlüsselte Anbindungen
• Zwei-Faktor-Authentifizierung für sensible Systeme und Administrator-Zugänge
• Testsysteme für die Entwicklungsumgebung
• Revisionssichere Programmentwicklung
• Regelmäßige Softwareupdates
• Zeitnahes Einspielen sicherheitsrelevanter Updates
• Aktuelle Technologien bei Software, Firewall und Entwicklungswerkzeugen
• Tägliche Datensicherung
• Archivierung der Datensicherungsbestände über fünf Tage
• Transportverschlüsselter up- und download von Artikeldaten und Preisen
• Anbindung des Mandanten in gegenseitiger Absprache über die Verbindungsart
• Schnittstellenbeschreibung in Zusammenarbeit mit dem Mandanten

4.4. Zertifizierungen

• ISO 27001 zertifiziertes Rechenzentrum
• Internes Informationssicherheitskonzept auf Basis BSI-100 (Eigenbestätigung in Arbeit)
• ISO 9001 Zertifizierung von Pro Care Management

5. Prozessbeschreibungen

Grundsätzlich ist der Umgang mit personenbezogenen Daten in der Datenschutz-Information auf der Webseite von Pro Care Management transparent dargestellt⁶.

Im Folgenden werden verschiedene Prozesse bei Pro Care Management dargestellt, die im Zusammenhang mit der Leistungserbringung für unsere Mandanten wesentlich sind. Hier erfolgt die Darstellung ausschließlich unter den Aspekten der Datenverarbeitung und gegenseitigen Datenflüssen.

Für die folgenden Prozesse gibt es bei Pro Care Management interne standardisierte Vorgehensweisen, die im QM-Handbuch gemäß DIN EN ISO 9001:2015 hinterlegt und durch den TÜV zertifiziert sind.

5.1. Interne Prozesse

User-Anlage bei Neukunden
Bei Eintritt zur Einkaufsgemeinschaft werden folgende Daten standardmäßig erfasst:
• Name und Nachname der Ansprechpartner bzw. User
• Telefonnummer
• E-Mail-Adresse
• Sowieso die Position im Unternehmen
Nach Bekanntgabe des Ausscheidens des Mitarbeiters werden die Daten zum Benutzerzugang gelöscht.

Softwareentwicklung
Die hausintere Softwareentwicklung unterliegt den gleichen Bestimmungen der Prozessdarstellung, die für die Zertifizierung gemäß DIN EN ISO 9001:2015 nötig sind.

5.2. Neukundengewinnung durch Vergabe oder Angebotserstellung

In der Verhandlungsphase der Neukundenakquise sind i.d.R. wirtschaftliche Leistungs- und Kennzahlen von Pro Care Management sowie deren umfassendes Leistungsportfolio relevant und ausreichend.

Neben diesen selbstbezogenen Informationen von Pro Care Management kann auch die Empfehlung eines Dritten (bestehender Mandant) für Pro Care Management von Interesse und gefordert sein. Bei der Angabe von Referenzen ist es für einen potentiellen Mandanten z. T. wünschenswert, neben den auf die Referenzeinrichtung bezogenen Informationen ebenfalls einen konkreten Ansprechpartner aus diesem genannt zu bekommen.

Pro Care Management gibt berufliche Kontaktdaten von bestehenden Mandanten und deren Beschäftigten als konkrete Ansprechpartner in jedem Fall ausschließlich dann an potenzielle Mandanten weiter, wenn eine schriftliche Einwilligung des bestehenden Mandanten als juristische Person sowie des jeweiligen konkreten Ansprechpartners als natürliche Person vorliegt.

5.3. Neuer Dienstleistungsvertrag und Aufschaltung

Zur Angebotserstellung und Erstellung eines hierauf basierenden individualisierten Vertragsentwurfs werden gegenseitig personenbezogene Daten (z.B. Kontaktdaten) und Geschäftsgeheimnisse (z.B. Preise, Umsatz, vertragliche Leistungen) der Vertragsparteien verarbeitet. Zum Teil wird vorgeschaltet auch ein Projekt zum Austausch von Artikeldaten, Konditionen und Lieferanten mit der Zielsetzung einer Wertung durchgeführt, welches durch eine gesonderte Vertraulichkeitsvereinbarung abgesichert wird.

Nach Vertragsschluss erfolgt die Aufschaltung des neuen Mandanten. Leistungen im Rahmen der Aufschaltung sind beispielsweise:
• Datenbereitstellung durch den zu integrierenden Mandanten (ggf. mit Unterstützung durch Pro Care Management) gemäß genauer vertraglicher Festlegungen und Aufbereitung durch Pro Care Management (Artikel- und Lieferantendaten) zum Zweck der Konditionsumstellung mit Vertragsbeginn
• Auf gesonderte Anforderung des Mandanten: Gemeinsame Festlegung der Schnittstellen für Daten-Im- und Export in easySuite
• Information der Lieferanten über Beitritt des neuen Mandanten

Die Aufschaltung erfolgt in enger Abstimmung zwischen dem Consultant, dem Einkauf, dem Datenteam und des zu integrierenden Mandanten.

Die Ansprechpartner des neuen Mandanten können einen Nutzerzugang für easySuite beantragen. Der zuständige Consultant oder zentrale Ansprechpartner im Accountmanagement prüft die Angaben des einzelnen Nutzers und gibt den entsprechenden Zugang frei. Die personalisierten Zugangsdaten werden immer an den hinterlegten Ansprechpartner adressiert. Zugänge werden nur nach ausdrücklicher Rücksprache des Kunden erstellt, verändert, oder gelöscht. Pro Care Management arbeitet hierbei stets in enger Abstimmung mit den verantwortlichen Ansprechpartnern des Kunden. Damit wird ein Missbrauch des Zugangs durch beispielsweise ausgespähte Zugangsdaten wesentlich erschwert.

Im Rahmen der Aufschaltung werden die gelisteten Artikel des neuen Mandanten geprüft und die mit den Lieferanten von Pro Care Management vereinbarten, relevanten Konditionen für diese in easySuite zugänglich gemacht. Für eine effektive Aufschaltung ist es erforderlich, einen Abgleich der bisherigen und neuen Einkaufskonditionen vorzunehmen, um Potenziale und Effekte aufzuzeigen und Differenzen klären zu können. Pro Care Management sichert in diesem Zusammenhang zu, die bereitgestellten Informationen nur zweckgebunden im Interesse der Aufschaltung des neuen Mandanten zu verwenden. Diese Geheimhaltungspflicht ist Bestandteil des Dienstleistungsvertrags, die sich auch auf das Vorfeld des Leistungsabrufs bezieht.

Die Anbindung des Materialwirtschaftssystem des neuen Mandanten an easySuite von Pro Care Management erfolgt über eine Schnittstelle. Diese ist mindestens SSL-transportverschlüsselt. Die konkrete Ausgestaltung der Schnittstelle wird im Rahmen der Aufschaltung zwischen Pro Care Management und dem neuen Mandanten abgesprochen, um insbesondere das hohe Sicherheitsbedürfnis eines Kliniknetzwerkes angemessen berücksichtigen zu können.

5.4. Betreuung der bestehenden Mandanten

Jeder Mandant wird von einem ihm zugeordneten Consultant betreut bzw. es steht ein zentraler Ansprechpartner im Rahmen der Zusammenarbeit zur Verfügung. Zur Erfüllung der vereinbarten Leistungen ist es erforderlich, dass gegenseitig Ansprechpartner und die Kontaktdaten dieser zur Verfügung stehen.

Der Consultant bzw. der zentrale Ansprechpartner im Account Management ist auch zuständig, bei einem Wechsel der Ansprechpartner beim Mandanten die persönlichen Zugänge zu easySuite entsprechend zu pflegen. Die Pflege obliegt dem Accountmanagement, welcher in Rücksprache des Kunden die Zugänge verwaltet, verändert oder löscht.

5.5. Vertragsbeendigung

Der Consultant bzw. der zentrale Ansprechpartner im Account Management wird nach dem Austritt des Mandanten aus der Einkaufsgemeinschaft von Pro Care Management veranlassen, dass die Benutzerzugänge gesperrt werden. Pro Care Management behält sich vor, dies bereits bei Zugang der Vertragskündigung umzusetzen, insbesondere dann, wenn Preise und Konditionen abgebildet werden, die im Wesentlichen nach Beendigung des Vertragsverhältnisses gelten. Die Aufbewahrungspflicht von Informationen bemisst sich nach den gesetzlichen Fristen für Geschäftsvorgänge.

Pro Care Management ist sich bewusst, dass nach Vertragsbeendigung der ehemalige Mandant i. d. R. Einkaufsdienstleistungen eines Mitbewerbers in Anspruch nehmen wird. In diesem Zusammenhang ist daran zu erinnern, dass sich der Mandant im Dienstleistungsvertrag verpflichtet, über Einkaufskonditionen jeder Art gegenüber Dritten Stillschweigen zu bewahren. Die vereinbarte Vertraulichkeit bezieht sich insbesondere, auf vereinbarte Einkaufspreise, Bonus- und Rabattvereinbarungen jeglicher Art, Zahlungsbedingungen, vereinbarte Liefer- und Kaufbedingungen und Lieferantenlisten. Von Pro Care Management überlassene Unterlagen sind unabhängig von der Form der Überlassung vertraulich zu behandeln. Diese Verpflichtung zur Wahrung der Vertraulichkeit gilt über die Vertragsdauer hinaus und ist somit auch nach Vertragsbeendigung zu beachten. Daneben sind zur Verfügung gestellte Unterlagen nach Vertragsbeendigung unaufgefordert innerhalb von zwei Wochen an Pro Care Management zurückzugeben.

5.6. Datenmanagement

Das Datenmanagement bei Pro Care Management pflegt die Artikeldaten und stellt sicher, dass die Datenquali-tät stetig verbessert und aktualisiert wird. Grundlage hierfür sind die Artikelstammdaten die Pro Care Manage-ment von den Lieferanten zur Verfügung gestellt und durch Pro Care Management validiert werden.

Diese Abteilung arbeitet ausschließlich mit sachbezogenen Informationen über Artikel oder dem Mandanten als juristische Personen. Diese Informationen unterliegen den Geschäftsgeheimnissen von Pro Care Manage-ment und werden den Mandanten im vereinbarten Umfang zur Verfügung gestellt. Korrekt gepflegte Artikeldaten sind Voraussetzung und Grundlage für unsere Geschäftstätigkeit. Somit ist die Pflege mit besonderer Sorgfalt vorzunehmen. Jeder Mitarbeiter der Abteilung Datenpflege ist angehalten, seine Sortimentskenntnisse proaktiv, zum Beispiel durch Befragung von Fachkräften (intern/ extern), stetig zu ver-bessern/ professionalisieren und potentiellen Nachholbedarf den Vorgesetzten anzuzeigen.

5.7. Einkauf

Der Einkauf von Pro Care Management erbringt umfassende strategische Beschaffungstätigkeiten in Zusam-menarbeit mit den Lieferanten für die Mandanten. Hierzu zählen auch die Vereinbarung von gemeinschaftsweit geltenden Einkaufskonditionen mit den Lieferanten, die Unterstützung im Beschaffungsalltag der Mandanten oder die Erbringung von Beratungsleistungen zur Optimierung des Beschaffungswesens der Mandanten. Als personenbezogene Daten werden die geschäftlich erforderlichen Kontaktdaten der jeweiligen Ansprechpartner verarbeitet.
Verhandelte Konditionen und Preise unterliegen dem Geschäftsgeheimnis und werden im vereinbarten Um-fang den Mandanten zur Verfügung gestellt.

5.8. Kongresse, Veranstaltungen

Pro Care Management bietet den Mandanten verschiedene Kongresse, Tagungen, Veranstaltungen, Fortbildun-gen, etc. an, die i.d.R. von Prospitalia GmbH organisiert werden. Die Ansprechpartner der Mandanten werden im Rahmen der vereinbarten und angebotenen Leistungen von Pro Care Management darüber informiert.

In der allgemeinen Datenschutzinformation von Pro Care Management und ergänzenden Informationen bei Einladung bzw. Teilnahme ist transparent dargestellt, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden.

⁶ https://www.prospitalia.de/datenschutz-information/