Immer dann, wenn eine Zahnarztpraxis die Verarbeitung von personenbezogenen Daten an einen weisungsabhängigen Dienstleister gibt, muss ein Auftragsverarbeitungsvertrag (AV-Vertrag) zwischen den Parteien geschlossen werden.

Ein AV-Vertrag regelt Ihre Rechte und Pflichten und die des externen Auftragnehmers sowie ggfs. einzusetzenden Subdienstleistern. Es soll u. a. gewährleistet werden, dass vom Auftragnehmer die ihnen anvertrauten Daten nur zu den Zwecken verarbeitet werden, für die Sie die Daten erhoben haben. Die Datenschutzgrundverordnung gibt hier im Artikel 28 klare und umfangreiche Vorgaben über die Inhalte dieser zu schließenden Vereinbarung.

Was ist passiert?

Eigentlich hat die DSGVO vorgesehen, dass Sie als Zahnarztpraxis einen Vertrag mit ihrem Auftragsverarbeiter schließen, zumal Sie auch der Auftraggeber und der Verarbeiter der Auftragnehmer sind. Leider ist das zahnärztliche Gesundheitswesen nur un­zureichend auf die vielen neuen Datenschutzanforderungen vorbereitet worden, die sich seit dem 25.5.2018 für Sie ergeben. Die Dentalindustrie und der Handel haben sich hier viel früher mit den notwendigen Vorar­bei­ten auseinandergesetzt und unter an­derem entsprechende AV-Verträge entwickelt und ihnen zur Unterschrift vorgelegt.

Nun müssen wir uns einmal vorstel­len, dass, wenn Sie bzw. Ihre Stammesvertreter diese wichtigen AV-Verträge entwickelt hätten, sie dann auch si­cherlich Ihre Interessen in dem Vertragswerk vorrangig Berücksichtigung gefunden hätten.

Durch dieses Versäumnis müssen wir nun mit den Verträgen aus der Industrie und dem Handel leben, die viele Praxisinhaber – ohne zu wissen, was sie da unterzeichnen – ratifizieren.

Damit Sie aber im Nachhinein bewer- ten können, ob der abgeschlossene AV-Vertrag, zum Beispiel mit Ihrem Depot für Ihre IT-Betreuung, auch Ihre Interessen berücksichtigt, gibt es die abgebildete Checkliste.

Kriterien zur Überprüfung eines AV-Vertrags

Um für das eigene Datenschutzmanagement feststel­-len zu können, ob die mit den externen Auftragsverarbeitern abgeschlossenen AV-Verträge alle Kriterien der DSGVO und der Interessen der eigenen Praxis ­berücksichtigen, wenden Sie die zuvor aufgeführte Checkliste an.

TIPP

Ein guter AV-Vertag besteht aus zwei Teilen. In einem Hauptteil werden die wichtigen vertraglichen Randbedingungen geregelt, die in der Regel keine Veränderungen erfahren. In unterschiedlichen Anlagen werden dann die Details zwischen dem Verantwortlichen und Auftragsverarbeiter beschrieben. Hierzu zählen insbesondere die Leistungsbeschreibung der Verarbeitung, eine Auflistung aller zu verarbeitenden Datenkategorien, Liste aller berechtigten Personen, Liste der technisch organisatorischen Maßnahmen, Angaben zum Datenschutzbeauftragten, Liste der Unterauftragnehmer und eine Auflistung der zu beachtenden Rechtsvorschriften. 

^Quellen

^{1 Artikel 32: Sicherheit der Verarbeitung}

^{2 Artikel 33: Meldung von Verletzungen des Schutzes personen­-
bezogener Daten an die Aufsichtsbehörde}

^{3 Artikel 34: Benachrichtigung der von einer Verletzung des Schutzes personenbezogenen Daten betroffenen Person}

^{4 Artikel 35: Datenschutz-Folgeabschätzung}

^{5 Artikel 36: Vorherige Konsultation}

^{6 Artikel 28: Auftragsverarbeiter}

^{7 Artikel 29: Verarbeitung unter der Aufsicht des Verantwortlichen  oder des Auftragsverarbeiters} 

Der Beitrag ist in der ZWP Zahnarzt Wirtschaft Praxis erschienen.

Foto Teaserbild: © WrightStudio – stock.adobe.com