AV Auftragsverarbeiter
Kunden- und Patientendaten in der Auftragsdatenverarbeitung
Auftragsdatenverarbeitung bedeutet, dass personenbezogene Daten, die im Besitz einer Apotheke oder Arztpraxis sind, durch Dritte (Dienstleister) verarbeitet und meist auch gespeichert werden. Werden personenbezogene Daten im Auftrag verarbeitet, muss vom beauftragenden Unternehmen ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden.
In der Regel unterhalten Unternehmen eine Vielzahl von Auftragsdaten-Verarbeitungsverhältnissen, insbesondere in den Bereichen IT-Support, Steuerberatung, Rezeptabrechnung, Warenwirtschaft und Personalverwaltung. In Arzt- und Tierarztpraxen zusätzlich die Labore, in Zahnarztpraxen die externen Dentallabore und in Apotheken oft auch Blisterzentren, Zytostatika-Lieferanten oder andere Zulieferer.
ADV ist überall – zumindest beinahe
Ein Vertrag, der die sog. Auftragsdatenverarbeitung regelt, ist immer dann erforderlich, wenn es sich der Natur der Datenverarbeitung nach um eine Auftragsdatenverarbeitung handelt.
Und das ist in sehr vielen Bereichen der Fall, auch dort, wo wir es eventuell gar nicht als AV wahrnehmen. So liegt häufig bereits eine Auftragsdatenverarbeitung vor, wenn Unternehmen z.B. für ihre Datenverarbeitung Kapazitäten externer Rechenzentren nutzen oder die Lohn- und Gehaltsabrechnung durch andere Unternehmen durchführen lassen. Liegt eine Auftragsdatenverarbeitung vor, ist zwischen den Parteien vor Beginn der Auftragsdatenverarbeitung ein entsprechender Vertrag zu schließen.
AV in engen gesetzlichen Grenzen
Die Anforderungen an die Auftragsdatenverarbeitung sind durch den Gesetzgeber sehr klar und umfassend geregelt. Wird ein Auftrag zur Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt, stellt dies eine Ordnungswidrigkeit dar.
Liegt jedoch ein Auftragsdatenverarbeitungsverhältnis vor, kann man den Inhalt dieses Vertrages nicht etwa selbst bestimmen. Denn ausnahmsweise hat sich der Gesetzgeber hier in die Vertragsautonomie der Parteien eingemischt und einen Mindest-Vertragsinhalt vorgegeben.
Und – das ist ebenso wichtig wie neu – Die Auftraggeber wie Praxisinhaber und Apotheker haben nicht nur das Recht, sondern sogar die Pflicht, die ordnungsgemäße Datenverarbeitung beim Auftragsdatenverarbeiter zu kontrollieren. Damit hat der Gesetzgeber verfügt, dass die Datenbesitzer sich durch externen Auftragsdatenverarbeiter nicht mehr der Verantwortung für den Datenschutz und die Datensicherheit entziehen können.
10 Punkte für jeden AV-Vertrag
Demnach muss ein Vertrag zur Auftragsdatenverarbeitung immer mindestens zehn Punkte enthalten, deren Umsetzung festgelegt werden muss.
Diesen 10-Punkt-Katalog haben wir Ihnen zum Download eingestellt (Download kann frei sein, also ohne verpflichtende Personendaten)