1.  Einleitung

Das Robert Koch-Institut (RKI), Nordufer 20, 13353 Berlin (nachfolgend „RKI“, „uns“ oder „wir“), entwickelt im Auftrag des Bundesministeriums für Gesundheit (nachfolgend BMG) die zentrale Infektionsschutzanwendung EMIGA (Elektronisches Melde- und Informationssystem für Gesundheitsämter). EMIGA unterstützt die digitale Datenverarbeitung von infektionsepidemiologischen Informationen und Ereignissen gemäß dem Infektionsschutzgesetz (IfSG) und soll als zukünftige zentrale Plattform den Gesundheitsämtern (nachfolgend als „GA“ oder „GÄ“ bezeichnet) bzw. den Einrichtungen des öffentlichen Gesundheitsdienstes (nachfolgend als „ÖGD“ bezeichnet) zur Verfügung stehen. Der Zweck des Organisationsverzeichnisses als Teil von EMIGA besteht darin, ein einheitliches Verzeichnis für die nutzenden ÖGD-Stellen zu schaffen, um die Kommunikationsaufgaben zu unterstützen und die Verfügbarkeit von aktuellen Adressdaten sicherzustellen. Das RKI ist Verantwortlicher für die Bereitstellung des Organisationsverzeichnisses und stellt dies als Auftragsverarbeiter den ÖGD-Stellen und deren Nutzungsberechtigten zur Verfügung. Die dazu erforderliche Vereinbarung zur Auftragsverarbeitung wird ebenfalls durch das RKI zur Verfügung gestellt.

2. Geltungsbereich

Diese Nutzungsbedingungen gelten für die Nutzung des Organisationsverzeichnisses und dessen Funktionalitäten. Sofern und soweit Daten von Mitarbeitenden der ÖGD-Stellen und deren Nutzungsberechtigten gem. Ziffer 7 verarbeitet werden, gilt die durch das RKI zur Verfügung gestellte Vereinbarung zur Auftragsverarbeitung.

Durch Abschluss des Registrierungsvorgangs stimmt die/der sogenannte „Identity-Administrator” bzw. die „Identity-Administratorin“ der ÖGD-Stelle, diesen Nutzungsbedingungen sowie der mitgeltenden Vereinbarung zur Auftragsverarbeitung im Namen der jeweiligen ÖGD-Stelle zu. Die/der Identity-Administrator/in sichert zu, insoweit nach außen vertretungsberechtigt zu sein. Behördeninterne Vorgaben und allgemeinen Verwaltungsvorschriften für die Beschäftigten bleiben unberührt.

3. Nutzung im Arbeitskontext

Die Nutzenden verpflichten sich, das Organisationsverzeichnis ausschließlich dienstlich zu nutzen. Darüber hinaus muss jeder Nutzende die Nutzungsbedingungen vor Registrierung akzeptieren.

4. Vorrang behördeninterner Vorgaben und Regeln

Die Nutzenden verpflichten sich, die Vorgaben und allgemeinen Verwaltungsvorschriften für alle Beschäftigten der eigenen Behörde vorrangig zu beachten. Dazu zählen bspw. folgende Vorgaben: Nutzungsbedingungen, Dienstanweisungen, IT-Sicherheitsrichtlinie, Vertraulichkeitsanweisungen.

5. Verantwortlichkeit

Für die im Rahmen des Organisationsverzeichnisses verarbeiteten Inhalte sind grundsätzlich die jeweiligen Nutzenden sowie die nutzungsberechtigten ÖGD-Stellen verantwortlich.

Sofern und soweit Daten von Mitarbeitenden der ÖGD-Stellen verarbeitet werden (ausgenommen hiervon ist teilweise die Verarbeitung nach Ziffer 3.1 in der Datenschutzerklärung), geschieht dies in alleiniger datenschutzrechtlicher Verantwortung der jeweiligen ÖGD-Stelle. Ob und in welchem Umfang die Nutzung durch die eigenen Mitarbeitenden von der jeweiligen nutzungsberechtigten Stelle kontrolliert wird, entscheidet ausschließlich die jeweilige nutzungsberechtigte Stelle. Das RKI übernimmt insoweit keinerlei Verantwortung für etwaige Kontrollmaßnahmen.

Sofern und soweit Daten von Mitarbeitenden des RKI sowie teilweise von Daten von Mitarbeitenden ÖGD-Stellen nach Ziffer 3.1 der Datenschutzerklärung verarbeitet werden, handelt das RKI als Verantwortlicher und wird etwaige Kontrollmaßnahmen in eigener Verantwortung ergreifen.

6. Zugang

Die Nutzenden sind verpflichtet, mit den Log-in-Daten sorgfältig umzugehen. Es ist untersagt, die Log-in-Daten Dritten mitzuteilen und/oder unberechtigten Dritten den Zugang zu dem Organisationverzeichnis als Teil EMIGA zu ermöglichen.

7. Nutzungsberechtigte und Account

Nutzungsberechtigte und Nutzung

Grundsätzlich sind folgende Personen zur Nutzung des Organisationsverzeichnisses von EMIGA berechtigt:

• Mitarbeiterinnen und Mitarbeiter der lokalen Gesundheitsämter
• Mitarbeiterinnen und Mitarbeiter der zuständigen Landesbehörden
• Vertreterinnen und Vertreter des Sanitätsdienst der Bundeswehr mit Bezug zum ÖGD
• Mitarbeiterinnen und Mitarbeiter des RKI

Unberechtigten Dritten darf kein Zugang zu der Plattform verschafft werden. Sofern Externen, wie z.B. IT-Dienstleistern oder bestimmten Projektgruppen, von den nutzungsberechtigten Stellen Zugang verschafft und/oder ein Benutzerkonto eingerichtet wird, geschieht dies in alleiniger und ausschließlicher Verantwortung der jeweiligen nutzungsberechtigten Stelle. Das RKI übernimmt insoweit keinerlei Verantwortung.

Die Datenschutzerklärung, welche zur Verfügung gestellt wird, informiert über die Erhebung und Verarbeitung personenbezogener Daten sowie über die Wahrnehmung von Betroffenenrechten nach der EU-DSGVO. Über das Organisationsverzeichnis werden Organisationsdaten, Organisationszugehörigkeit, dienstliche E-Mail-Adresse, dienstliche Telefonnummer und die dienstliche Adresse, sowie Vor- und Nachname der Nutzenden bereitgestellt. Die Angabe privater Kontaktdaten ist nicht zulässig. Nutzende verwenden ausschließlich zutreffende dienstliche Daten und halten diese aktuell.

Einschränkung des Accounts

Nutzende können den eigenen EMIGA-Account von dem/der zuständigen Identity-Administrator/in deaktivieren lassen. Durch die Deaktivierung ist der Zugriff auf das Organisationsverzeichnis nicht mehr möglich. Bei absehbarer Nichtnutzung des Accounts (bspw. Ausscheiden eines Mitarbeitenden) muss dieser unverzüglich deaktiviert werden, spätestens aber nach 6 Monaten der Nichtnutzung.

8. Hinweise

Allgemeine Hinweise

Nutzende der Plattform stellen sicher geltendes Recht, die vorliegenden Nutzungsbedingungen und die guten Sitten zu wahren und keine Rechte Dritter zu verletzen. Nutzende stellen sicher, jedwede Tätigkeit zu unterlassen, die geeignet ist, den Betrieb der Plattform, einschließlich der dahinterstehenden technischen Infrastruktur, zu beeinträchtigen oder übermäßig zu belasten.

Keine Verarbeitung von besonderen Kategorien personenbezogener Daten

Über die Plattform dürfen keine besonderen Kategorien von personenbezogenen Daten i.S.v. Art. 9 DSGVO (wie z.B. Gesundheitsdaten, biometrische Daten, religiöse oder weltanschauliche Überzeugungen, Angaben zur Gewerkschaftszugehörigkeit, genetische Daten, Daten zum Sexualleben oder der sexuellen Orientierung) hochgeladen, eingetragen oder auf andere Art und Weise verarbeitet werden.

9. Störungsmeldungen und Support

Sollte es bei der Nutzung der Anwendung oder bei Funktionalitäten zu Problemen im Betriebsablauf kommen, (bspw. fehlerhafte Daten, kritische Funktionalitäten, Konfigurationsfehler, Vermutung eines Hackerangriffes) melden Nutzende die Störung, unverzüglich an die hierfür eingerichtete Kontaktmöglichkeit stoerung-emiga@rki.de. Über die genannte E-Mail-Adresse erfolgt keine Beratung oder Unterstützung bei der Bedienung der Anwendung.

Für Anfragen im Rahmen von individuellem Support und Beratungsleistungen steht die Kontaktmöglichkeit support@emiga-rki.de zur Verfügung.

10. Kenntnis von Verstößen gegen die Nutzungsbedingungen

Erlangen Nutzende Kenntnis über Inhalte, die gegen die Nutzungsbedingungen, geltendes Recht oder Rechte Dritter verstoßen, bitten wir unverzüglich die jeweiligen Identity Administratoren bzw. den/die Identity-Administrator/in der eigenen Organisation zu informieren. Behördeninterne Meldewege und Vorgaben sind zu beachten. Das RKI und der Support können bei der Aufklärung und Beseitigung von Verstößen unterstützen, sobald diese dem Support gemeldet worden sind.

11. Informationen über das Rollen- und Rechtekonzept

Alle Benutzer müssen Mitglied einer zugehörigen Organisationsgruppe, beispielsweise als Teil eines Gesundheitsamtes oder anderer ÖGD-Organisation sein.

Access-Administrator/in (RKI)

• Kann Identity-Administrator/in anlegen und berichtigen.
• Die Rolle Access-Administrator/in kann nur vom RKI genutzt werden und darf nicht zusammen mit einer anderen Rolle einem Account zugewiesen werden.
• Wird von mindestens zwei Personen wahrgenommen, um das 4-Augen-Prinzip zu wahren.

Identity-Administrator/in

• Ist Ansprechpartner bzw. Ansprechpartnerin für das RKI in einer ÖGD-Stelle.
• Sorgt dafür, dass die Nutzenden der eigenen Organisation die Nutzungsbedingungen zur Kenntnis nehmen.
• Die Rolle wird durch eine/n Access-Administrator/in durch das RKI zugewiesen.
• Identity Administratoren haben die Berechtigungen neue Nutzer in der eigenen ÖGD-Stelle anzulegen, die Nutzerinformationen sowie die Nutzer-Berechtigungen zu bearbeiten und Nutzer zu deaktivieren.
• Kann nur der/die Nutzende der eigenen Organisation einsehen.
• Die Rolle Identity-Administrator/in hat keine Berechtigung, die Daten des Organisationsverzeichnisses zu lesen oder zu bearbeiten.
• Kann Account- und Anmeldeinformationen bearbeiten und Passwörter auf Wunsch der Nutzenden der eigenen Organisation zurücksetzen und somit Zugriff zu Nutzenden-Accounts erlangen.
• Wird von mindestens zwei Personen pro ÖGD-Organisation wahrgenommen, um das 4-Augen-Prinzip zu wahren.

Lesender Benutzer

• Wird von Identity-Administratoren eingerichtet.
• Hat keine Berechtigung in der Benutzerverwaltung; kann keine Accounts anlegen, lesen oder ändern.
• Voraussetzung ist ein Beschäftigungsverhältnis in einer ÖGD-Stelle.
• Kann sämtliche als „öffentlich“ hinterlegten Daten des Organisationsverzeichnisses einsehen.
• Kann die als „ÖGD-intern“ hinterlegten Daten des Organisationsverzeichnisses einsehen.
• Kann die als „ORG-intern“ hinterlegten Daten seiner eigenen Organisation einsehen.
• Hat keine Schreibberechtigungen und kann daher keine Daten des Organisationsverzeichnisses bearbeiten.

Schreibender Benutzer

• Wird von Identity Administratoren eingerichtet.
• Hat keine Berechtigung in der Benutzerverwaltung; kann keine Accounts anlegen, lesen oder ändern.
• Voraussetzung ist ein Beschäftigungsverhältnis in einer ÖGD-Stelle.
• Hat alle Berechtigungen des lesenden Nutzers (s. oben).
• Kann Daten der eigenen ÖGD-Stelle bearbeiten.

12. Weitere Hinweise zum Betrieb

Das RKI ist Verantwortlicher für die Bereitstellung von EMIGA (Organisationsverzeichnis). CGI Deutschland B.V. & Co. KG agiert als Auftragsverarbeiter für den technischen Betrieb und die Weiterentwicklung. Es kann ganz oder teilweise, zeitweise oder auf Dauer zu Einschränkungen kommen aufgrund von Wartungsarbeiten, Kapazitätsbelangen oder aufgrund anderer Ereignisse, die nicht in der Macht des RKI stehen.

Das RKI übernimmt keine Haftung für Schäden, die den Nutzenden dadurch entstehen, dass der Dienst nicht verfügbar ist oder eingestellt wird. Das RKI übernimmt keine Haftung für Schäden, die dadurch entstehen, dass unbefugte Personen Zugriff auf Informationen erhalten, die abgelegt sind.

13. Anfragen zu Weiterentwicklung und Anpassungen von EMIGA

EMIGA wird nach agilen Entwicklungsprinzipien entwickelt und konsequent am Bedarf des ÖGD und dessen Beschäftigten ausgerichtet. Fragen, Anregungen oder Verbesserungsvorschläge sind ausdrücklich erwünscht und können an emiga@rki.de gerichtet werden.