Auftragsverarbeiter

Kunden- und Patientendaten in der Auftragsdatenverarbeitung

Auftragsdatenverarbeitung bedeutet, dass personenbezogene Daten, die im Besitz einer Apotheke oder Arztpraxis sind, durch Dritte (Dienstleister) verarbeitet und meist auch gespeichert werden. Werden personenbezogene Daten im Auftrag verarbeitet, muss vom beauftragenden Unternehmen ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden.

In der Regel unterhalten Unternehmen eine Vielzahl von Geschäftsbeziehungen, bei denen personenbezogene Daten verarbeitet werden, insbesondere in den Bereichen IT-Support, Steuerberatung, Rezeptabrechnung, Warenwirtschaft und Personalverwaltung. In Arzt- und Tierarztpraxen zusätzlich die Labore, in Zahnarztpraxen die externen Dentallabore und in Apotheken oft auch Blisterzentren, Zytostatika-Lieferanten oder andere Zulieferer. In solchen Fällen ist von Auftragsverarbeitung (AV) oder Auftragsdatenverarbeitung (ADV) die Rede. Damit ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister gemeint. Dieser Dienstleister ist an die Weisungen des für die Datenverarbeitung Verantwortlichen – also den Auftraggeber – gebunden. Der Geschäftsbeziehung muss ein Auftragsverarbeitungs-Vertrag (AVV) nach der Datenschutz-Grundverordnung zugrunde liegen.

Kaum ein Unternehmen kann auf ADV verzichten

apotheken cyber risiko adv kundenliste DenPhaMed Ein Vertrag, der die sogenannte Auftragsdatenverarbeitung regelt, ist immer dann erforderlich, wenn es sich der Natur der Datenverarbeitung nach um eine Auftragsdatenverarbeitung handelt. So legt Paragraf 28 DSGVO fest: „Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.“ Doch wann ist eine Auftragsdatenverarbeitung eigentlich eine Auftragsdatenverarbeitung?

Tatsächlich liegt eine ADV meist schon dann vor, wenn Unternehmen z.B. für ihre Datenverarbeitung Kapazitäten externer Rechenzentren nutzen oder die Lohn- und Gehaltsabrechnung durch andere Unternehmen durchführen lassen. Und das ist in sehr vielen Bereichen der Fall, auch dort, wo wir es eventuell gar nicht als ADV wahrnehmen.

AV in engen gesetzlichen Grenzen

Die Anforderungen an die Auftragsdatenverarbeitung sind durch den Gesetzgeber sehr klar und umfassend geregelt. Wird ein Auftrag zur Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt, stellt dies eine Ordnungswidrigkeit dar.

apotheken cyber risiko adv datenschutz DenPhaMed Liegt jedoch ein Auftragsdatenverarbeitungsverhältnis vor, kann man den Inhalt dieses Vertrages nicht etwa selbst bestimmen. Denn ausnahmsweise hat sich der Gesetzgeber hier in die Vertragsautonomie der Parteien eingemischt und einen Mindest-Vertragsinhalt vorgegeben.

Und – das ist ebenso wichtig wie neu – die Auftraggeber wie Praxisinhaber und Apotheker haben nicht nur das Recht, sondern sogar die Pflicht, die ordnungsgemäße Datenverarbeitung beim Auftragsdatenverarbeiter zu kontrollieren. Damit hat der Gesetzgeber verfügt, dass die Datenbesitzer sich durch externen Auftragsdatenverarbeiter nicht mehr der Verantwortung für den Datenschutz und die Datensicherheit entziehen können.

10 Punkte für jeden AV-Vertrag

Demnach muss ein Vertrag zur Auftragsdatenverarbeitung immer mindestens zehn Punkte enthalten, deren Umsetzung festgelegt werden muss.

apotheken cyber risiko adv infosystem DenPhaMed Diesen 10-Punkte-Katalog haben wir Ihnen zum Download eingestellt (Download kann frei sein, also ohne verpflichtende Personendaten)