HIPAA-Geschäftspartnervereinbarung

Version: 22. Dezember 2022

Diese HIPAA-Geschäftspartnervereinbarung („BAA“) wird zwischen Google und dem Kunden geschlossen, der diesen Nutzungsbedingungen zustimmt („Kunde“). Sie ergänzt, ändert und wird in die Vereinbarung(en) (wie unten definiert) ausschließlich in Bezug auf die abgedeckten Dienste (wie unten definiert) aufgenommen. Diese Vereinbarung tritt am Datum in Kraft, an dem der Kunde sie per Klick akzeptiert hat oder die Parteien ihr anderweitig zugestimmt haben.

Der Kunde muss eine bestehende Vereinbarung haben, damit diese BAA gültig und wirksam ist. Zusammen mit der Vereinbarung regelt diese BAA die jeweiligen Verpflichtungen der Parteien in Bezug auf geschützte Gesundheitsdaten (siehe unten).

Sie versichern, dass Sie (i) die uneingeschränkte rechtliche Befugnis haben, den Kunden an diese BAA zu binden, (ii) diese BAA gelesen und verstanden haben und (iii) dieser BAA im Namen des Kunden zustimmen. Wenn Sie nicht rechtlich befugt sind, den Kunden an diese Vereinbarung zu binden, oder nicht mit diesen Nutzungsbedingungen einverstanden sind, unterzeichnen Sie diese Vereinbarung nicht und klicken Sie nicht auf „Ich stimme zu“.

Großgeschriebene Begriffe, die in dieser BAA verwendet, aber nicht anderweitig definiert werden, haben die jeweilige Bedeutung, die diesen Begriffen entweder (a) im Abschnitt zur Verwaltungsvereinfachung des US-amerikanischen Gesetzes „Health Insurance Portability and Accountability Act“ von 1996, des Gesetzes „Health Information Technology for Economic and Clinical Health“ und der zugehörigen Verordnungen in der jeweils gültigen Fassung (zusammen „HIPAA“) oder (b) in den Vereinbarungen zugewiesen wird.

Vereinbarung(en)“ bezeichnet die schriftliche(n) Vereinbarung(en) zwischen Google und dem Kunden zur Bereitstellung der abgedeckten Dienste. Diese Vereinbarung(en) können in Form von Online-Nutzungsbedingungen vorliegen.

Abgedeckte Dienste“ bezieht sich auf Looker Studio, nicht aber auf Looker Studio Pro.

Endnutzer“ hat die in der Vereinbarung festgelegte Bedeutung.

Google“ bezieht sich auf die Rechtspersönlichkeit Google, die Partei der Vereinbarung(en) ist.

Google-Rechtssubjekt bezeichnet Google LLC, Google Ireland Limited oder andere Zweigunternehmen von Google LLC.

HIPAA-Implementierungsleitfaden“ bezeichnet den Informationsleitfaden, den Google zur Verfügung stellt und in dem beschrieben wird, wie die abgedeckten Dienste vom Kunden im Zusammenhang mit seinen Bemühungen zur Einhaltung des HIPAA konfiguriert werden können. Der HIPAA-Implementierungsleitfaden für die abgedeckten Dienste ist unter der folgenden URL verfügbar: https://cloud.google.com/looker/docs/studio/looker-studio-hipaa-implementation-guide.

Für „Geschützte Gesundheitsdaten“ (Protected Health Information, PHI) gilt die im HIPAA festgelegte Definition. Im Rahmen dieser BAA bezieht sich der Begriff ausschließlich auf PHI in Kundendaten, auf die Google im Rahmen der zulässigen Nutzung der abgedeckten Dienste durch den Kunden über die abgedeckten Dienste Zugriff hat.

  1. Definitionen.
  2. Anwendungsbereich.
    1. Diese BAA gilt in dem Umfang, in dem der Kunde als Rechtspersönlichkeit, die dem HIPAA unterliegt, oder als Geschäftspartner PHI über einen abgedeckten Dienst erstellt, empfängt, verwaltet oder überträgt und in dem Google infolgedessen gemäß HIPAA als Geschäftspartner oder Subunternehmer des Kunden gilt. Der Kunde erkennt an, dass diese BAA nicht für (i) andere Google-Produkte, ‑Dienste oder ‑Funktionen gilt, die nicht zu den abgedeckten Diensten gehören, oder (ii) vertrauliche Patientendaten gilt, die der Kunde außerhalb der abgedeckten Dienste erstellt, empfängt, verwaltet oder überträgt (einschließlich der Nutzung seiner Offline- oder On-Premise-Speichertools oder Drittanbieteranwendungen).
    2. Ein Verweis in diesem BAA auf einen Abschnitt im HIPAA bezieht sich auf den Abschnitt in der jeweils gültigen Fassung.
  3. Verwendung und Offenlegung von PHI
    1. Google darf PHI nur (i) in Übereinstimmung mit den Vereinbarungen und/oder dieser BAA oder (ii) gemäß geltendem Recht verwenden und offenlegen.
    2. Google darf PHI zur ordnungsgemäßen Verwaltung und Verwaltung sowie zur Erfüllung seiner rechtlichen Verpflichtungen verwenden und offenlegen. Die Offenlegung von PHI zu diesen Zwecken darf jedoch nur erfolgen, wenn (1) dies gesetzlich vorgeschrieben ist oder (2) Google von der Person, an die PHI weitergegeben wird, angemessene schriftliche Zusicherungen erhält, dass diese vertraulich behandelt und nur dann verwendet oder weiter offengelegt wird, wenn dies gesetzlich vorgeschrieben ist oder für den Zweck, zu dem sie offengelegt wurde, und dass Google über jeden Verstoß oder Sicherheitsvorfall informiert wird.
    3. Gemäß den HIPAA-Anforderungen an den „erforderlichen Mindestumfang“ fordert, verwendet und gibt Google nur die minimal erforderliche Menge an PHI an, die für den Zweck der Anfrage, Verwendung oder Offenlegung erforderlich ist.
    4. Sofern Google schriftlich zustimmt, eine der Verpflichtungen des Kunden gemäß der HIPAA-Datenschutzregel zu erfüllen, muss Google die Anforderungen der HIPAA-Datenschutzregel einhalten, die für den Kunden bei der Erfüllung dieser Verpflichtungen gelten.
  4. Verpflichtungen des Kunden.
    1. Der Kunde ist allein dafür verantwortlich, zu verwalten, ob die Endnutzer des Kunden berechtigt sind, PHI im Rahmen der abgedeckten Dienste freizugeben, offenzulegen, zu erstellen und/oder zu verwenden.
    2. Der Kunde fordert Google oder die abgedeckten Dienste nicht auf, PHI in einer Weise zu verwenden oder offenzulegen, die gemäß HIPAA nicht zulässig wäre, wenn dies vom Kunden (falls der Kunde eine Rechtspersönlichkeit im Sinne des HIPAA ist) oder von der Rechtspersönlichkeit im Sinne des HIPAA, deren Geschäftspartner der Kunde ist, durchgeführt würde (es sei denn, dies ist gemäß HIPAA ausdrücklich für einen Geschäftspartner zulässig), es sei denn, dies ist gemäß Abschnitt 3 dieser BAA zulässig.
    3. Wenn der Kunde personenbezogene Gesundheitsdaten an Google weitergibt, stellt er nur die für den Zweck von Google erforderlichen personenbezogenen Gesundheitsdaten zur Verfügung.
    4. Für Endnutzer, die die abgedeckten Dienste im Zusammenhang mit PHI verwenden, verwendet der Kunde die in den Diensten verfügbaren Steuerelemente, einschließlich der im HIPAA-Implementierungsleitfaden beschriebenen, um sicherzustellen, dass die Verwendung von PHI auf die abgedeckten Dienste beschränkt ist. Der Kunde erkennt an und stimmt zu, dass der HIPAA-Implementierungsleitfaden von Google ausschließlich als Informationsleitfaden zu den Konfigurationsoptionen des Kunden bereitgestellt wird und dass der Kunde allein dafür verantwortlich ist, dass die Nutzung der abgedeckten Dienste durch ihn und seine Endnutzer dem HIPAA entspricht.
    5. Der Kunde garantiert, dass er alle Einwilligungen, Autorisierungen und/oder sonstigen rechtlichen Genehmigungen gemäß HIPAA und/oder anderen anwendbaren Gesetzen für die Offenlegung von PHI an Google eingeholt hat und einholt. Wenn sich die von einer natürlichen Person erteilte Genehmigung zur Verwendung oder Offenlegung von PHI ändert oder widerrufen wird, ist der Kunde dafür verantwortlich, die Nutzung der abgedeckten Dienste entsprechend zu verwalten, um diese PHI in den abgedeckten Diensten zu aktualisieren und/oder zu löschen.
  5. Sicherheitsmaßnahmen Google und der Kunde ergreifen angemessene und geeignete Maßnahmen, um die Verwendung oder Offenlegung von PHI zu verhindern, sofern dies nicht anderweitig in dieser BAA zulässig oder erforderlich ist. Darüber hinaus implementiert Google administrative, physische und technische Sicherheitsmaßnahmen, die die Vertraulichkeit, Integrität und Verfügbarkeit von auf elektronischen Medien übertragenen oder gespeicherten PHI („EPHI“), die im Auftrag des Kunden erstellt, empfangen, gespeichert oder übertragen werden, in angemessener und angemessener Weise schützen. Google hält die anwendbaren Bestimmungen der HIPAA-Sicherheitsregel in Bezug auf geschützte Gesundheitsdaten ein.
  6. Meldepflichten und zugehörige Verpflichtungen
    1. Google benachrichtigt den Kunden unverzüglich über (i) jeden Sicherheitsvorfall, von dem Google gemäß Paragraf 6(c) Kenntnis erhält, und (ii) jede von Google entdeckte Sicherheitsverletzung, sofern eine Benachrichtigung über eine Sicherheitsverletzung unverzüglich und ohne unangemessene Verzögerung und in keinem Fall später als 60 Kalendertage nach der Entdeckung erfolgt. Gemäß diesem Abschnitt vorgenommene Benachrichtigungen beschreiben, soweit möglich, Details des Sicherheitsverstoßes, einschließlich der Schritte, die zur Minderung der potenziellen Risiken unternommen wurden und der Schritte, die Google dem Kunden zur Behebung des Sicherheitsverstoßes empfiehlt.
    2. Google sendet alle erforderlichen Benachrichtigungen an die Benachrichtigungs-E-Mail-Adresse, die der Kunde in der Vereinbarung (und/oder in der Benutzeroberfläche des jeweiligen Dienstes) angegeben hat, oder über direkte Kommunikation mit dem Kunden.
    3. Ungeachtet von Paragraf 6(a) gilt dieser Paragraf 6(c) als Hinweis an den Kunden, dass Google regelmäßig erfolglose Versuche von nicht autorisierten Zugriffen, Verwendungen, Offenlegungen, Änderungen oder Zerstörungen von Informationen oder Störungen des allgemeinen Betriebs der Informationssysteme von Google und der abgedeckten Dienste erhält. Der Kunde erkennt an und erklärt sich damit einverstanden, dass Google auch dann, wenn solche Ereignisse einen Sicherheitsvorfall darstellen, gemäß diesem BAA keine Benachrichtigung über solche erfolglosen Versuche senden muss, mit Ausnahme dieses Abschnitts 6(c).
    4. Google ergreift angemessene Maßnahmen, um nach Möglichkeit alle schädlichen Auswirkungen (die Google bekannt sind) einer Verwendung oder Offenlegung von PHI durch Google in Verletzung dieses BAA zu mindern.
    5. Google meldet dem Kunden jede Verwendung oder Offenlegung von PHI, die nicht gemäß dieser BAA zulässig ist und von der Google Kenntnis erhält.
  7. Unterauftragnehmer. Google schließt mit jedem Subunternehmer, der im Auftrag von Google PHI erstellt, empfängt, aufbewahrt oder überträgt, eine schriftliche Vereinbarung ab, die den Anforderungen von 45 C.F.R. §§ 164.504(e) und 164.314(a)(2) entspricht. Google sorgt dafür, dass der Unterauftragnehmer in der schriftlichen Vereinbarung mit Google verpflichtet wird, Einschränkungen und Bedingungen einzuhalten, die für PHI denselben wesentlichen Schutz bieten wie dieser BAA.
  8. Zugriff und Änderung Der Kunde erkennt an und erklärt sich damit einverstanden, dass er allein für die Form und den Inhalt der von ihm in den abgedeckten Diensten gespeicherten PHI verantwortlich ist, einschließlich der Frage, ob er diese PHI in einem bestimmten Datensatz in den abgedeckten Diensten speichert. Google stellt dem Kunden über die abgedeckten Dienste Zugriff auf seine PHI zur Verfügung, damit der Kunde seine Verpflichtungen gemäß HIPAA in Bezug auf die Rechte von Einzelpersonen auf Zugriff und Änderung erfüllen kann. Google hat jedoch keine anderen Verpflichtungen gegenüber dem Kunden oder einer natürlichen Person in Bezug auf die Rechte, die natürlichen Personen gemäß HIPAA in Bezug auf benannte Datensätze zustehen, einschließlich des Rechts auf Zugriff oder Änderung von PHI. Der Kunde ist dafür verantwortlich, die Nutzung der abgedeckten Dienste so zu verwalten, dass er auf solche individuellen Anfragen angemessen reagieren kann.
  9. Offenlegungen Google dokumentiert die Offenlegung von geschützten Gesundheitsdaten durch Google und stellt dem Kunden eine Aufstellung dieser Offenlegungen zur Verfügung, sofern dies für einen Geschäftspartner gemäß HIPAA erforderlich ist und in Übereinstimmung mit den für einen Geschäftspartner gemäß HIPAA geltenden Anforderungen.
  10. Verfügbarkeit von Büchern und Zugriff auf Datensätze Sofern gesetzlich vorgeschrieben und vorbehaltlich anwendbarer Anwaltsprivilegien stellt Google dem Secretary of the U.S. Department of Health and Human Services (der „Secretary“) seine internen Verfahren, Bücher und Aufzeichnungen zur Verfügung, die sich auf die Verwendung und Offenlegung von von Kunden erhaltenen oder von Google im Namen des Kunden erstellten oder erhaltenen PHI beziehen, damit der Secretary die Einhaltung dieser BAA prüfen kann.
  11. Ablauf und Kündigung.
    1. Diese Vereinbarung über die Datenverarbeitung endet entweder (i) durch eine zulässige Kündigung gemäß Paragraf 11(b) unten oder (ii) durch Ablauf oder Kündigung aller Vereinbarungen, im Rahmen derer der Kunde Zugriff auf einen abgedeckten Dienst hat.
    2. Wenn eine der Parteien diese Vereinbarung in erheblichem Maße verletzt, kann die nicht vertragsbrüchige Partei diese Vereinbarung mit einer Frist von 15 Tagen schriftlich kündigen, es sei denn, die Verletzung wird innerhalb dieser Frist behoben. Wenn eine Abhilfe gemäß diesem Paragraf 11(b) nicht zumutbar möglich ist, kann die nicht vertragsbrüchige Partei diese BAA sofort kündigen. Wenn weder Kündigung noch Abhilfe gemäß diesem Paragraf 11(b) zumutbar möglich ist, kann die nicht vertragsbrüchige Partei den Verstoß unter Berücksichtigung aller anwendbaren rechtlichen Befreiungen dem Sekretär melden.
    3. Wenn diese Vereinbarung zur Datenverarbeitung früher als die Vereinbarung(en) gekündigt wird, kann der Kunde die Dienste gemäß den Vereinbarungen weiter nutzen. Er muss jedoch alle in den abgedeckten Diensten gespeicherten personenbezogenen Gesundheitsdaten löschen und diese personenbezogenen Gesundheitsdaten nicht mehr erstellen, empfangen, speichern oder an Google weitergeben.
  12. Rückgabe/Vernichtung von Informationen Nach Kündigung der Vereinbarung(en) gibt Google alle vom Kunden erhaltenen oder von Google im Namen des Kunden erstellten oder erhaltenen PHI zurück oder vernichtet. Sofern eine solche Rückgabe oder Vernichtung nicht möglich ist, erweitert Google den Schutz dieser BAA auf die nicht zurückgegebenen oder nicht vernichteten PHI und beschränkt weitere Verwendungen und Offenlegungen auf die Zwecke, die die Rückgabe oder Vernichtung der PHI unmöglich machen.
  13. Änderungen an dieser Vereinbarung zur Datenleihe Google kann die Bedingungen dieses BAA (einschließlich der in diesen Bedingungen genannten URLs und der Inhalte dieser URLs) gelegentlich ändern. Eine Mitteilung über solche Änderungen ist unter der entsprechenden URL (oder einer anderen URL, die Google gelegentlich zur Verfügung stellt) oder auf der Benutzeroberfläche des entsprechenden abgedeckten Dienstes verfügbar. Änderungen an diesen Nutzungsbedingungen (einschließlich Änderungen am Inhalt von URLs) gelten nicht rückwirkend und treten 14 Tage nach ihrer Veröffentlichung in Kraft. Änderungen an URL-Referenzen werden jedoch sofort wirksam.
  14. Sonstige Bestimmungen.
    1. Fortbestand Die Abschnitte 12 (Rückgabe/Vernichtung von Informationen) und 14 (Verschiedenes) gelten auch nach Kündigung oder Ablauf dieser Vereinbarung.
    2. Auswirkungen des Zusatzes. Soweit diese BAA mit dem Rest der Vereinbarung(en) in Konflikt steht, hat diese BAA Vorrang. Dieser BAA unterliegt dem Abschnitt „Geltendes Recht“ in den Vereinbarungen. Sofern nicht ausdrücklich gemäß dieser Vereinbarung zur Datenweitergabe geändert oder ergänzt, bleiben die Bedingungen der Vereinbarung(en) in vollem Umfang in Kraft und wirksam.

Vorherige Versionen

16. November 2020