apotheken cyber risiko adv auftragsdatenverarbeitung DenPhaMedAV Auftragsverarbeiter

Kunden- und Patientendaten in der Auftragsdatenverarbeitung

Auftragsdatenverarbeitung bedeutet, dass personenbezogene Daten, die im Besitz einer Apotheke oder Arztpraxis sind, durch Dritte (Dienstleister) verarbeitet und meist auch gespeichert werden. Werden personenbezogene Daten im Auftrag verarbeitet, muss vom beauftragenden Unternehmen ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden.

In der Regel unterhalten Unternehmen eine Vielzahl von Auftragsdaten-Verarbeitungsverhältnissen, insbesondere in den Bereichen IT-Support, Steuerberatung, Rezeptabrechnung, Warenwirtschaft und Personalverwaltung. In Arzt- und Tierarztpraxen zusätzlich die Labore, in Zahnarztpraxen die externen Dentallabore und in Apotheken oft auch Blisterzentren, Zytostatika-Lieferanten oder andere Zulieferer.


ADV ist überall – zumindest beinahe

apotheken cyber risiko adv kundenliste DenPhaMedEin Vertrag, der die sog. Auftragsdatenverarbeitung regelt, ist immer dann erforderlich, wenn es sich der Natur der Datenverarbeitung nach um eine Auftragsdatenverarbeitung handelt.

Und das ist in sehr vielen Bereichen der Fall, auch dort, wo wir es eventuell gar nicht als AV wahrnehmen. So liegt häufig bereits eine Auftragsdatenverarbeitung vor, wenn Unternehmen z.B. für ihre Datenverarbeitung Kapazitäten externer Rechenzentren nutzen oder die Lohn- und Gehaltsabrechnung durch andere Unternehmen durchführen lassen. Liegt eine Auftragsdatenverarbeitung vor, ist zwischen den Parteien vor Beginn der Auftragsdatenverarbeitung ein entsprechender Vertrag zu schließen.


AV in engen gesetzlichen Grenzen

Die Anforderungen an die Auftragsdatenverarbeitung sind durch den Gesetzgeber sehr klar und umfassend geregelt. Wird ein Auftrag zur Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt, stellt dies eine Ordnungswidrigkeit dar.

apotheken cyber risiko adv datenschutz DenPhaMedLiegt jedoch ein Auftragsdatenverarbeitungsverhältnis vor, kann man den Inhalt dieses Vertrages nicht etwa selbst bestimmen. Denn ausnahmsweise hat sich der Gesetzgeber hier in die Vertragsautonomie der Parteien eingemischt und einen Mindest-Vertragsinhalt vorgegeben.

Und – das ist ebenso wichtig wie neu – Die Auftraggeber wie Praxisinhaber und Apotheker haben nicht nur das Recht, sondern sogar die Pflicht, die ordnungsgemäße Datenverarbeitung beim Auftragsdatenverarbeiter zu kontrollieren. Damit hat der Gesetzgeber verfügt, dass die Datenbesitzer sich durch externen Auftragsdatenverarbeiter nicht mehr der Verantwortung für den Datenschutz und die Datensicherheit entziehen können.


10 Punkte für jeden AV-Vertrag

Demnach muss ein Vertrag zur Auftragsdatenverarbeitung immer mindestens zehn Punkte enthalten, deren Umsetzung festgelegt werden muss.

apotheken cyber risiko adv infosystem DenPhaMedDiesen 10-Punkt-Katalog haben wir Ihnen zum Download eingestellt  (Download kann frei sein, also ohne verpflichtende Personendaten)