Anzeige
Praxismanagement 22.08.2018

Auftragsverarbeitung: Was ist das und warum ist das wichtig?

Auftragsverarbeitung: Was ist das und warum ist das wichtig?

Nur selten erledigt eine Praxis ihre gesamten Aufgaben bezüglich der Verarbeitung von personenbezogenen Daten selber. Hier werden häufig externe Dienstleister beauftragt, die für die Zahnarztpraxis z.B. die Buchhaltung oder die externe Abrechnung der erbrachten zahnärztlichen Leistungen wahrnehmen. Wenn ein externer Dienstleister derartige Aufgaben für eine Zahnarztpraxis erfüllt und bei der Erfüllung mit personenbezogenen Daten umgeht, spricht man von einer Auftragsverarbeitung.

Gemäß der Datenschutz-Grundverordnung wird im Artikel 28 der Auftragsverarbeitung eine besondere Bedeutung zugemessen.

Definition: Auftragsverarbeitung

Auftragsverarbeitung liegt vor, wenn natürliche oder juristische Personen (z.B. GmbH, GmbH & Co. KG, AG), Behörden, Einrichtungen oder andere Stellen personenbezogene Daten im Auftrag eines Verantwortlichen (Zahnarztpraxis) verarbeiten. Dies bedeutet für uns, dass eine Zahnarztpraxis personenbezogene Daten an jemanden außerhalb der Zahnarztpraxis (Behandlungsdaten an das externe Labor) weiterleitet oder die Praxis ermöglicht den Einblick auf die eigene Datenhaltung (Wartung der praxisinternen EDV durch einen externen Dienstleiter). Diese externen Personen werden als Auftragsverarbeiter benannt. Bei einer „richtigen“ Auftragsverarbeitung besteht für die Zahnarztpraxis eine gewisse Privilegierung, weil die Praxis die personenbezogenen Daten, z.B. ihrer Mitarbeiter oder Patienten, weitergeben darf, ohne dass dafür eine ausdrückliche Einwilligung oder sonstige gesetzliche Grundlage vorliegen muss. Wer derartige Aufgaben vergeben möchte, muss aber einige wichtige Details beachten.

Definition: Personenbezogene Daten

Nur wenn es sich bei den Daten um personenbezogene Daten handelt, müssen die Vorschriften zur Auftragsdatenverarbeitung Anwendung finden. Doch wann sind Daten eigentlich personenbezogen? Es sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs.1 BDSG).

Für unsere Praxis bedeutet das: Alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, fallen auch unter den Begriff der personenbezogenen Daten. Folgende Daten, z.B. unserer Patienten, sind daher personenbezogen:

  • Name und Anschrift
  • E-Mail-Adresse
  • Telefonnummer
  • Kontodaten.

Erklärung: Müssen sich z.B. Patienten mit ihrer E-Mail-Adresse auf der praxiseigenen Homepage für einen Termin anmelden, handelt es sich bei den E-Mail-Adressen um personenbezogene Daten. Auch ein Log-inName ist personenbezogen i.S.d. § 3 Abs. 1 BDSG, wenn er mit einem echten Namen oder der E-MailAdresse verknüpft ist.

Abgrenzung der Auftragsverarbeitung

Eine „richtige Auftragsverarbeitung“ liegt dann vor, wenn allein die Zahnarztpraxis über Zweck und Mittel der personenbezogenen Verarbeitung entscheidet. Das bedeutet, dass der Auftragsverarbeiter weisungsabhängig den Auftrag erfüllt. Man spricht hier auch von einer „verlängerten Werkbank“. Das liegt z.B. eindeutig bei datenverarbeitungstechnischen Arbeiten für die monatliche Lohn- und Gehaltsabrechnung, der Erstellung von prothetischen Versorgungen durch das externe Labor oder der Abrechnung zahnärztlicher Leistungen durch eine Factoring-Gesellschaft vor.

Keine Auftragsverarbeitung liegt jedoch bei der Inanspruchnahme von externen Fachleistungen wie Finanzberatung, Steuerberatung, Praxisberatung, Wirtschaftsprüfung, Inkassotätigkeiten mit Forderungsübertragung vor.

Auswahl der Auftragsverarbeiter

Wenn eine Praxis einen Auftragsverarbeiter beauftragen möchte, muss vorher geprüft werden, ob dieser Auftragsverarbeiter hinreichende Garantien und Sicherheiten dafür bieten kann, dass die personenbezogene Verarbeitung im Einklang mit den datenschutzrechtlichen Vorschriften erfolgt. Allein ein günstiger Preis für eine Auftragsverarbeitung darf nicht das entscheidende Kriterium sein. Wer einen Auftragsverarbeiter beauftragt, muss sich bewusst sein, dass er auch für dessen Fehlverhalten persönlich haftet.

Vertragliche Vereinbarungen

Für die Auftragsverarbeitung ist ein ausführlicher Vertrag (AV-Vertrag) zwischen der Zahnarztpraxis (Verantwortlicher) und dem Auftragsverarbeiter abzuschließen. Insbesondere das Weisungsrecht des Verantwortlichen muss festgeschrieben werden. Alle wichtigen Details, was ein beauftragter Auftragsverarbeiter erledigen soll, sowie die Verpflichtung zur Vertraulichkeit und Einhaltung der Sicherheit der Verarbeitung personenbezogener Daten. Auf den Webseiten der länderspezifischen Datenschutzbehörden können entsprechende Muster eines AV-Vertrags gesichtet und benutzt werden.

Das wichtige Kontrollrecht

Die Zahnarztpraxis (Verantwortlicher) muss sich im zuvor genannten AV-Vertrag beim Auftragsverarbeiter umfangreiche Kontrollrechte einräumen lassen. So muss es möglich sein, dass ein Verantwortlicher der Zahnarztpraxis ohne eine Vorankündigung Kontrollen vor Ort durchführen kann. Mit der Wahrnehmung der datenschutzrechtlichen Kontrollen kann eine Zahnarztpraxis auch einen externen Sachverständigen beauftragen.

Ende eines Auftragsverhältnisses

Bei einer Auftragsvergabe muss auch das Ende der Vertragsbeziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter gedacht werden. Hier ist insbesondere zu regeln, wann was zurückgegeben und wie etwas gelöscht oder vernichtet werden muss. Beim Löschen und Vernichten von Daten müssen eventuelle gesetzliche Regelungen Beachtung finden.

Tipp

Ab Mitte September wird das neue Datenschutz-Navi-Handbuch veröffentlicht. Wie bereits beim QM-Navi oder HygieneNavi wird der Aufbau des neuen Datenschutzhandbuchs identisch und exakt auf die Belange einer Zahnarztpraxis abgestimmt sein. Ein umfangreiches Datenschutzaudit zeigt Ihnen auf, welche Datenschutzlücken in Ihrer Praxis noch vorhanden sind und wie sie diese einfach mit dem neuen Handbuch lösen können.

Der Beitrag ist in der ZWP Zahnarzt Wirtschaft Praxis erschienen.

Foto: Michael Nivelet – stock.adobe.com
Mehr News aus Praxismanagement

ePaper

Anzeige