Kapitel 2 - Auftragsverarbeitung

Was ist eine Auftragsverarbeitung?

Als Auftragsverarbeitung bezeichnet man die Verarbeitung personenbezogener Daten durch Dritte, wobei der Zahnarzt den Umfang und den Zweck der übermittelten Daten bestimmt. Er muss mit dem Auftragsverarbeiter einen Vertrag abschließen, dessen Inhalt sich an den Vorgaben des Art. 28 EU-DSGVO orientiert.

Der Zahnarzt soll nur mit Auftragsverarbeitern zusammenarbeiten, die eine hinreichende Gewähr dafür bieten, dass technische und organisatorische Maßnahmen im Hinblick auf die Sicherheit der Datenverarbeitung den Vorgaben der EU-DSGVO genügen. Das Datenschutzniveau beim Auftragsverarbeiter sollte somit mindestens dem der Praxis des Zahnarztes entsprechen.

Die ärztliche Schweigepflicht ist in Fällen der Auftragsverarbeitung dann nicht berührt, wenn die Offenbarungen für die ordnungsgemäße Tätigkeit der mitwirkenden Personen erforderlich sind (§ 203 Abs. 3 StGB). Es sollten nur personenbezogene Daten übermittelt werden, die für die Erfüllung des Auftrages zwingend notwendig sind. Der Zahnarzt muss die mitwirkenden Personen sorgfältig auswählen, zur Geheimhaltung verpflichten und bei ihrer Tätigkeit überwachen. Diese Punkte können in einem Vertrag über die Auftragsverarbeitung mit aufgenommen werden.

Ein Auftragsverarbeiter ist kein Dritter im Sinne des Datenschutzrechtes. Eine Weitergabe von Daten an den Auftragsverarbeiter bedarf deshalb keiner gesonderten Erlaubnis des Patienten.

 

Was sind Beispiele für eine Auftragsverarbeitung?

  • Zusammenarbeit mit einem gewerblichen zahntechnischen Labor
  • Auslagerung von Schreibtätigkeiten, z. B. Gutachten
  • Nutzung von externen Backup-Sicherheitsspeicherungen (Cloud etc.)

 

Hierfür steht Ihnen der Mustervertrag zur Auftragsverarbeitung zur Verfügung.

 

  • Prüfung und Wartung von informationstechnischen Systemen, auf denen Patientendaten gespeichert sind.

 

Hierfür steht Ihnen der Mustervertrag Prüfung und Wartung von informationstechnischen Systemen zur Verfügung.

 

Bei allen Arten der Auftragsverarbeitung sollte geklärt werden, ob der Auftragsverarbeiter einen eigenen Vertrag zur Auftragsverarbeitung hat. Hierzu können Sie unseren Mustertext Abfrage Auftragsverarbeitung benützen. Wenn kein Vertrag vom Auftragsverarbeiter vorliegt, können Sie unsere Musterverträge nutzen.

 

Was ist keine Auftragsverarbeitung?

Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei eigenständiger Verantwortlichkeit sind beispielsweise:

 

  • die Beauftragung von Berufsgeheimnisträgern (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer)
  • die Inanspruchnahme von Postdienstleistungen zum Brieftransport
  • Beauftragung von Inkassounternehmen
  • Konto bei einem Bankinstitut für eingehende und ausgehende Zahlungen

 

Die Übermittlung der Daten an diese Personen bzw. Institutionen erfolgt auf der Grundlage des Art 6 Abs. 1 f) EU-Datenschutz-Grundverordnung (EU-DSGVO) zur Wahrung berechtigter Interessen. Bei der Beauftragung dieser Personenkreise ist somit kein Vertrag über die Auftragsverarbeitung notwendig.

 

Außerdem sind auch die Übermittlungen von personenbezogenen Daten an Institutionen aufgrund einer gesetzlichen Verpflichtung bzw. Ermächtigung keine Auftragsverarbeitung (Art. 9 Abs. 2 b) und h) EU-DSGVO. Beispielsweise die Übermittlung von Daten an:

 

  • die KZV zum Zweck der Abrechnung (§ 295 SGB V)
  • die KZV zum Zweck der Qualitäts- und Wirtschaftlichkeitsprüfung
    (§ 298 SGB V)
  • den Medizinischen Dienst der Krankenversicherung (§ 284 mit § 295 SGB V)
  • die gesetzlichen Unfallversicherungen (§ 201 SGB VII)
  • die zahnärztliche Stelle (§ 17a RöV)

 

Welche Besonderheiten gibt es in der Zahnarztpraxis?

  • Auslagerung der Abrechnung an einen externer Abrechnungsdienstleister (Privatärztliche Abrechnungsunternehmen)

 

Aufgrund der Regelung des § 10 Abs. 6 GOZ ist bei der Inanspruchnahme von Abrechnungsdienstleistern stets die schriftliche Einwilligung und die schriftliche Entbindung von der ärztlichen Schweigepflicht zum Zwecke der Abrechnung notwendig. Die Weitergabe und Verarbeitung der Daten des Patienten erfolgt in diesem Fall rechtmäßig durch Einwilligung gemäß Art 6 Abs. 1 a) bzw. Art 9 Abs. 2 a) EU-DSGVO. Es handelt sich bei diesen Fällen deshalb nicht mehr um eine Auftragsverarbeitung. Die meisten Abrechnungsdienstleister halten eigene Musterformulare zur Einwilligung des Patienten vor. Sollte dies nicht der Fall sein, so steht Ihnen auf der rechten Seite der Mustertext "Einwilligungserklärung für die Abrechnung über eine Private Abrechnungsgesellschaft" zum Download zur Verfügung.

 

  • Zahntechnische Labore

 

Die Übermittlung von Patientendaten an das zahntechnische Labor stellt einen Fall der Verarbeitung personenbezogener Daten dar und bedarf daher eines Vertrages zur Auftragsverarbeitung.

Im Rahmen der Einbeziehung des zahntechnischen Labors in das Behandlungsverhältnis sollte, wenn möglich, mit pseudonymisierten Daten gearbeitet werden. Denn dies entspricht dem Grundsatz, nur so viele personenbezogene Daten zu übermitteln, wie zur Erfüllung des Auftrages erforderlich sind. Nach derzeitigem Stand ist dies im Bereich der gesetzlich versicherten Patienten in der Korrespondenz mit dem Labor noch nicht möglich, da die notwendige XML-Datei den Klarnamen des Patienten enthält. Unklar ist momentan auch, ob private Versicherungen und Beihilfestellen zahntechnische Fremdlaborrechnungen ohne Patientennamen akzeptieren.

Wenn man dem Labor statt des Patientennamens einen nur praxisinternen Nummerncode (bspw. Patientennummer) mitteilt, so ist es momentan noch nicht geklärt, ob diese Pseudonymisierung von personenbezogenen Daten dazu führt, dass es sich für das zahntechnische Labor nicht mehr um die Verarbeitung personenbezogener Daten handelt und demzufolge auch kein Vertrag zur Auftragsverarbeitung gefordert ist. Sollte sich in diesem Punkt eine eindeutige und rechtssichere Meinung herausbilden, informieren wir zeitnah.

 

Zurück zur Übersicht über die EU-DSGVO!

 

 

Erstellt von: Andrea Mader, 14.03.2018

Aktualisiert von: Andrea Mader, 29.05.2018