Kapitel 2 - Auftragsverarbeitung

Was ist eine Auftragsverarbeitung?

Als Auftragsverarbeitung bezeichnet man die Verarbeitung personenbezogener Daten durch Dritte, wobei der Zahnarzt den Umfang und den Zweck der übermittelten Daten bestimmt. Er muss mit dem Auftragsverarbeiter einen Vertrag abschließen, dessen Inhalt sich an den Vorgaben des Art. 28 EU-DSGVO orientiert.

Der Zahnarzt soll nur mit Auftragsverarbeitern zusammenarbeiten, die eine hinreichende Gewähr dafür bieten, dass technische und organisatorische Maßnahmen im Hinblick auf die Sicherheit der Datenverarbeitung den Vorgaben der EU-DSGVO genügen. Das Datenschutzniveau beim Auftragsverarbeiter sollte somit mindestens dem der Praxis des Zahnarztes entsprechen.

Die ärztliche Schweigepflicht ist in Fällen der Auftragsdatenverarbeitung dann nicht berührt, wenn die Offenbarungen für die ordnungsgemäße Tätigkeit der mitwirkenden Personen erforderlich sind (§ 203 Abs. 3 StGB). Es sollten nur personenbezogene Daten übermittelt werde, die für die Erfüllung des Auftrages zwingend notwendig sind. Der Zahnarzt muss die mitwirkenden Personen sorgfältig auswählen, zur Geheimhaltung verpflichten und bei ihrer Tätigkeit überwachen. Diese Punkte können in einem Vertrag über die Auftragsdatenverarbeitung mit aufgenommen werden.

Ein Auftragsverarbeiter ist kein Dritter im Sinne das Datenschutzrechtes. Eine Weitergabe von Daten an den Auftragsverarbeiter bedarf deshalb keiner gesonderten Erlaubnis des Patienten.

 

Was sind Beispiele für eine Auftragsverarbeitung?

  • Auslagerung von Schreibtätigkeiten, z. B. Gutachten
  • Nutzung von externen Backup-Sicherheitsspeicherungen (Cloud etc.)

 

Hierfür steht Ihnen der Mustervertrag zur Auftragsverarbeitung zur Verfügung.

 

  • Prüfung und Wartung (Fernwartung, externer Support) der IT-Systeme, auf denen Patientendaten gespeichert sind.

 

Hierfür steht Ihnen das spezifizierte Muster zur Auftragsdatenverarbeitung zur Verfügung.

 

Bei allen Arten der Auftragsdatenverarbeitung sollte abgeklärt werden, ob der Auftragsverarbeiter einen eigenen Vertrag zur Auftragsdatenverarbeitung hat. Wenn nicht, können Sie unsere Musterverträge nutzen

 

Was ist keine Auftragsverarbeitung?

Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei eigenständiger Verantwortlichkeit sind beispielsweise:

 

  • die Beauftragung von Berufsgeheimnisträgern (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer)
  • die Inanspruchnahme von Postdienstleistungen zum Brieftransport
  • Beauftragung von Inkassounternehmen
  • Konto bei einem Bankinstitut für eingehende und ausgehende Zahlungen

 

Die Übermittlung der Daten an diese Personen bzw. Institutionen erfolgt auf der Grundlage des Art 6 Abs. 1 f) EU-Datenschutz-Grundverordnung (EU-DSGVO) zur Wahrung berechtigter Interessen. Bei der Beauftragung dieser Personenkreise ist somit kein Vertrag über die Auftragsverarbeitung notwendig.

 

Außerdem sind auch die Übermittlungen von personenbezogenen Daten an Institutionen aufgrund einer gesetzlichen Verpflichtung bzw. Ermächtigung keine Auftragsverarbeitung (Art. 9 Abs. 2 b) und h) EU-DSGVO. Beispielsweise die Übermittlung von Daten an:

 

  • Kassenzahnärztliche Vereinigung (KZV) zum Zweck der Abrechnung (§ 295 SGB V)
  • KZV zum Zweck der Qualitäts- und Wirtschaftlichkeitsprüfung
    (§ 298 SGB V)
  • den Medizinischen Dienst der Krankenversicherung (§ 284 mit § 295 SGB V)
  • die gesetzlichen Unfallversicherungen (§ 201 SGB VII)
  • die zahnärztliche Stelle (§ 17a RöV)

 

Welche Besonderheiten gibt es in der Zahnarztpraxis?

  • Auslagerung der Abrechnung an einen externer Abrechnungsdienstleister (Privatärztliche Abrechnungsunternehmen)

 

Aufgrund der Regelung des § 10 Abs. 6 GOZ ist bei der Inanspruchnahme von Abrechnungsdienstleistern stets die schriftliche Einwilligung und die schriftliche Entbindung von der ärztlichen Schweigepflicht zum Zwecke der Abrechnung notwendig. Die Weitergabe und Verarbeitung der Daten des Patienten erfolgt in diesem Fall rechtmäßig durch Einwilligung gemäß Art 6 Abs. 1 a) bzw. Art 9 Abs. 2 a) EU-DSGVO. Es handelt sich bei diesen Fällen deshalb nicht mehr um eine Auftragsverarbeitung. Die meisten Abrechnungsdienstleister halten eigene Musterformulare zur Einwilligung des Patienten vor. Sollte dies nicht der Fall sein, so steht ihnen in der rechten Spalte ein Muster zum Download zur Verfügung.

 

  • Zahntechnische Labore

 

Im Rahmen der Einbindung eines zahntechnischen Labors in die therapeutische Ver-sorgung des Patienten müssen zur Erstellung der zahntechnischen Arbeiten auch Da-ten über den Patienten übermittelt werden. Hier sind zwei Bereiche zu beachten.

 

Schweigepflicht
Ein gewerbliches zahntechnisches Labor ist nicht der ärztlichen Schweigepflicht unterworfen. Das gewerbliche Labor ist daher vom Zahnarzt gesondert auf die für ihn geltende Schweigepflicht und deren zwingende Beachtung, auch durch die Mitarbeiter des Labors, hinzuweisen. Dies gilt aber unabhängig von der DSGVO schon seit Jahren. Wenn dieser Hinweis erfolgt ist, sind Patientendaten ohne Verstoß gegen die Schweigepflicht des Zahnarztes an das Labor übermittelbar (§ 203 Abs. 3 Strafgesetzbuch). Ein Muster für eine Verschwiegenheitsbelehrung für Labore nach § 203 StGB finden Sie rechts zum Download.

Datenschutz

Aus datenschutzrechtlicher Sicht erfolgt die Einbeziehung eines zahntechnischen Labors üblicherweise in Kenntnis des Patienten, da sich dieser ja mit der Eingliederung des Zahnersatzes im Zusammenhang mit der geplanten Therapie einverstanden erklärt haben muss. Insofern ist von einer datenschutzrechtlichen Einwilligung des Patienten auszugehen. Notwendig ist in diesem Zusammenhang jedoch, dass der Patient im Rahmen der in der Praxis ausliegenden bzw. aushängenden „Information zur Erhebung personenbezogener Daten“ auf die Labore, mit denen die Zahnarztpraxis zusammenarbeitet, hingewiesen wird. Die Namen und Adressen sind daher in dieses Informationsblatt aufzunehmen. Unser Mustertext in Kapitel 3 wurde dementsprechend angepasst.

 

Zurück zur Übersicht über die EU-DSGVO!

 

 

Erstellt von: Andrea Mader, 14.03.2018

Aktualisiert von: Andrea Mader, 13.03.2019