Auftragsverarbeitung ist erfahrungsgemäß in nahezu jeder Arztpraxis ein wichtiges Thema – denn externe Dienstleister werden als Auftragsverarbeiter (AV) eingesetzt. Die Dienstleistungen werden dabei in unterschiedlichen Bereichen erbracht. Aus wirtschaftlicher Sicht macht ein solches „Outsourcing“ auch tatsächlich Sinn, um in einer immer komplexer werdenden Arbeitswelt die eigenen Ressourcen der Arztpraxis optimal zu nutzen.
Aus datenschutzrechtlicher Sicht ist beim Einsatz solcher externen Leistungserbringer neben der Auswahl qualifizierter & zuverlässiger Partner unbedingt auf den Abschluss der korrekten vertraglichen Rahmenbedingungen (Stichwort: Auftragsverarbeitungsvertrag (AVV)) zu achten. Der Abschluss solcher rechtskonformer Verträge ist entscheidend, um die gesetzlichen Vorgaben zu erfüllen, den Dienstleister vertraglich ausreichend zu verpflichten und haftungsrechtliche Folgen für den Arzt auszuschließen.
• Fernwartungs- bzw. IT-Unternehmen
• Externe Stellen zur Lohn- und Gehaltsabrechnung (Steuerberater fallen nicht hierunter)
• Cloud-Dienstleister
• Abrechnungsstellen (ohne Forderungskauf/ Factoring)
• Datenträgerentsorgungsunternehmen
• Abrechnungsstellen, die unechtes oder echtes Factoring durchführen (mit Forderungskauf)
• Rechtsanwälte und Steuerberater
• Medizinische Labore
• Bankinstitute
• Postdienstleister
Als verantwortlicher Praxisinhaber gibt es aus datenschutzrechtlicher Sicht einige Punkte, die Sie beim Einsatz eines Auftragsverarbeiters unbedingt beachten sollten.
Zunächst ist es wichtig, dass bei der Auswahl des richtigen Auftragverarbeiters stets die (datenschutzrechtliche) Zuverlässigkeit und Qualifikation abgeprüft werden. Der Dienstleister muss dahingehend ausreichende Garantien bieten, dass die Verarbeitung der hochsensiblen Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet wird und hierdurch der Schutz der Rechte Ihrer betroffenen Patienten im Einklang mit den Anforderungen der DSGVO erfolgt. Dies sollte der von ihnen gewählte Dienstleister auch durch eine entsprechende Dokumentation unaufgefordert nachweisen (können).
Stellt der AV noch nicht einmal einen eigenen AVV zur Verfügung, ist ein solchr zwar vorhanden aber mit erheblichen Mängeln behaftet oder erscheint das Datenschutzkonzept des AVs schon von Beginn an „löcherig“, wäre eine Beauftragung und Übergabe der sensiblen Patientendaten wohl kaum gegenüber der Datenschutzaufsichtsbehörde zu rechtfertigen. Um die Zuverlässigkeit des Dienstleisters, die Qualität und die Erfüllung der gesetzlichen Mindestinhalte (gem. Art. 28 DSGVO) des abzuschließenden AVVs bzw. die zugesicherten technisch und organisatorischen Maßnahmen tatsächlich beurteilen zu können, empfiehlt sich der Einsatz einer anwaltlich geprüften Checkliste und/oder die Rücksprache mit dem eigenen Datenschutzbeauftragten.
Einer der Grundsätze der DSGVO ist, dass jede Verarbeitung und Weitergabe von personenbezogenen (Patienten)Daten zwingend einer wirksamen Rechtsgrundlage (bspw. eine Patienteneinwilligung) bedarf. Dies gilt auf Grund der ärztlichen Schweigepflicht besonders dann, wenn Patientendaten an externe Dritte herausgegeben werden sollen. Die Auftragsverarbeitung stellt hier jedoch einen datenschutzrechtlichen Sonderfall dar. Der AV wird – auf Grund der strengen vertraglichen (Mindest-)Anforderungen – rechtlich nämlich wie ein eigener Mitarbeiter behandelt. Einer gesonderten Rechtsgrundlage bzw. eine ausdrückliche Zustimmung des Patienten bedarf es in diesem Fall zur Datenweitergabe deswegen nicht. Dies vereinfacht den Einsatz eines solchen Dienstleisters datenschutzrechtlich einerseits erheblich – verlangt aber vom verantwortlichen Arzt bei dessen Auswahl und der Gestaltung der vertraglichen Regelungen eine besondere Sorgfalt.
Grundsätzlich hat jede Arztpraxis die Informationspflichten aus Art. 13 DSGVO zu beachten sprich Patienten müssen über die Datenverarbeitung umfänglich informiert werden. Auftragsverarbeiter zählen zu den sog. Empfängern im Sinne des Art. 13 Abs. 1 Satz 1 lit. e) DSGVO i.V.m. Art. 4 Nr. 9 DSGVO und müssen in den Datenschutzhinweisen der Praxis entsprechend aufgeführt werden.
Aus datenschutzrechtlicher Sicht ist es empfehlenswert regelmäßige Kontrollen des Auftragsverarbeiters durchzuführen, um die Zuverlässigkeit und die Qualität des AVs zu überprüfen. Dabei können Auditierungen persönlich vor Ort beim AV oder auch per Fragebogen erfolgen. Diese Aufgabe übernimmt in der Regel der Datenschutzbeauftragte Ihrer Praxis.
Aus datenschutzrechtlicher Sicht sind einige wichtige Punkte beim Einsatz externer Dienstleister zu beachten. Verantwortliche Praxisinhaber haben durch eine sorgfältige Auswahl potenzieller Vertragspartner, den Abschluss entsprechender vertraglicher Vereinbarungen und die regelmäßige Kontrolle der Auftragnehmer, die datenschutzkonforme Verarbeitung der Patientendaten im Rahmen der Auftragsverarbeitung zu gewährleisten. Des Weiteren müssen die Informationspflichten aus Art. 13 DSGVO entsprechend angepasst werden. Praxisinhaber sollten sich bei diesem Prozess unbedingt von ihrem Datenschutzbeauftragten beraten lassen, damit der verantwortliche Arzt sich im Streitfall von der Haftung befreien kann und somit sein Haftungsrisiko verringert wird.
Über weitere interessante Informationen, Tipps und Tricks rund um die Arztpraxis und andere Unternehmen aus dem Gesundheitswesen informieren wir Sie gerne in unserem Newsletter.
Die Rechtsanwaltskanzlei Datenschutzdoktor wurde im Jahre 2017 von RA Dr. Matthias Müller gegründet. Seitdem berät die Kanzlei mit mehreren Berufsträgern und Sitz in Nürnberg deutschlandweit Ärzte, Zahnärzte und Apotheker zum Thema Datenschutz und ist als externer Datenschutzbeauftragter bestellt.
RA Dr. Müller ist geschäftsführender Gesellschafter, zugelassener Rechtsanwalt und TÜV-zertifizierter Datenschutzbeauftragter. Nach seiner mehrjährigen Tätigkeit in einer internationalen Wirtschaftsrechtskanzlei, spezialisierte er sich auf das Thema Datenschutz mit dem Fokus auf Heilberufe.
Neben der Veröffentlichung von regelmäßigen Fachbeiträgen, hält er Seminare und Vorträge zum Thema: „Datenschutz in Heilberufen“ u.a. für die Niedersächsische Zahnärztekammer und wirkt an der Gestaltung zur Auslegung der datenschutzrechtlichen Regelungen für Heilberufe in mehreren Fachgremien mit.
