Auftragsverarbeitung oder Joint Controller Ship?
In unserem dritten Teil der Blogserie „Datenschutz im Gesundheitswesen“ widmen wir uns dem Thema „Auftragsverarbeitung“.
Im Arbeitsalltag kommt es nicht selten vor, dass Firmen, die im Gesundheitswesen tätig sind, auf externe Dienstleister zurückgreifen. Meist geschieht das, um bestimmte Verarbeitungstätigkeiten zu übertragen, die nicht vom Praxisbetreiber selbst oder vom Personal durchgeführt werden.
Die Unternehmen und Praxen nutzen also Dritte bzw. externe Arbeitskräfte zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Im Rahmen der DSGVO wird diese Praktik als sogenannte Auftragsverarbeitung bezeichnet.
Wikipedia definiert den Begriff Auftragsverarbeitung folgendermaßen:
„Datenverarbeitung im Auftrag – auch Auftragsdatenverarbeitung (ADV) genannt – bezeichnete in Deutschland die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Dienstleister im Auftrag des Verantwortlichen.“
Nun fällt aber nicht jede ausgelagerte Tätigkeit unter den Oberbegriff „Auftragsverarbeitung“. Es gibt auch das sogenannte „Joint Controller Ship“. Von einem Joint Controller Ship spricht man zum Beispiel in einer Praxisgemeinschaft, in der zwar die Verantwortung für die Datenverarbeitung bei jedem einzelnen Mitglied der Gemeinschaft liegt, jedoch gemeinsam über den Einsatz von Mitteln und Zweck der Datenvereinbarung entschieden wird. Im Alltag reden wir also von einem Joint Controller Ship, wenn eine Praxisgemeinschaft über eine gemeinsame Homepage mit IT-Betreuung verfügt, die Datenverarbeitung muss aber dennoch jede Praxis alleine verantworten.
Ob nun ein Joint Controller Ship oder eine Auftragsverarbeitung vorliegt, muss der Datenschutzbeauftragte genau prüfen. Um Ihnen eine kleine Hilfestellung an die Hand zu geben, empfehlen wir, zunächst, detaillierte Fragen zu stellen:
Stellen Sie nun fest, dass es sich in Ihrer Praxis um eine in Auftrag gegebene Datenverarbeitung handelt (kein Joint Controller Ship), ist gem. Art. 28 DSGVO auch ein entsprechender Vertrag notwendig. Um diesen Vertrag richtig vorzubereiten, sollten Sie sich die folgenden Fragen stellen.
Wer ist Auftragsverarbeiter?
Bevor wir zu den Inhalten des Vertrages kommen, befassen wir uns noch kurz damit, wer innerhalb des Gesundheitswesens zu den Auftragsverarbeitern gehört. Dazu haben wir die folgende Liste erstellt, damit Sie sich schneller orientieren und selbst einordnen können:
Klassische Auftragsverarbeiter
- IT-Dienstleister
– Cloud-Computing
– Digitalisierung von Patientenakten Wartung/ Fernwartung (auch medizinische Geräte)
– Laps, SaaS, PaaS
– Externe Rechenzentren
– Hosting der Homepage - Externe Archivierung
- Aktenvernichter, Datenträgervernichter
- Lohn- und Gehaltsabrechnung
- Lettershop, Druckerei
- Externes Arztbriefschreiben
- Fahrdienste
- Pfortendienst
- Hol- und Bringdienst
- „grüne Damen“
- Sterilisation
- Sicherheitsdienst
- Haustechnik
- Reinigung Essenversorgung
Anhand dieser Liste lässt sich bereits erkennen, wo Sie mit eventuellen Auftragsverarbeitern in Kontakt kommen könnten. Ausschlaggebend ist hier natürlich, dass personenbezogene Daten verarbeitet werden. (Diese Liste erhebt keinen Anspruch auf Vollständigkeit, jede Tätigkeit sollte von Ihnen im Einzelfall erneut geprüft werden).
Was ist denn nun eine Auftragsvereinbarung gem. Art. 28 DSGVO und wie ist der Vertrag zu gestalten?
Die aufgeführten Punkte müssen vertraglich geregelt sein. Eine Vielzahl von Anbietern listen diese Punkte bereits standardmäßig auf, doch auch hier gilt es im Detail zu prüfen, ob alle Punkte enthalten und eindeutig geregelt sind. Zudem empfehlen wir immer die Beachtung Ihrer persönlichen ToDos, bevor Sie externe Datenverarbeiter engagieren oder deren Produkte nutzen. Welche Pflichten haben Sie und welche Pflichten hat der Auftragnehmer?
ToDos Als Auftraggeber
Der wichtigste Punkt zu Beginn: Sie sollten die Auftragsverarbeitung schriftlich festhalten (ein elektronischer AV-Vertrag ist auch möglich). Sie haben die Verantwortung über die Einhaltung der Datenschutzvorschriften. Deshalb ist es unerlässlich, die (vertraglich festgelegten) Datenschutz-Maßnahmen auch immer in geeigneter Form zu kontrollieren.
ToDos als Auftragnehmer
Die Auftragnehmer sind natürlich auch nicht völlig pflichtentbunden. Sie unterstützen den Auftraggeber bei der Umsetzung der zuvor festgelegten datenschutzrechtlichen Vorgaben und erarbeiten ein Datenschutzkonzept, das auch die Auftragsverarbeitung beinhaltet. Zudem bereiten die Auftragnehmer die Zurverfügungstellung von rechtssicheren Auftragsverarbeitungs-Verträgen vor (als Leistungsmerkmal).
DOCH AUFGEPASST!
Wie zu Beginn des Artikels bereits erwähnt, haben wir es nicht immer mit einer Auftragsverarbeitung gem. Artikel 28 DSGVO zu tun. Neben dem Joint Controller Ship gibt es noch eine andere Art der Zusammenarbeit, bei der Daten von externen verarbeitet und genutzt werden: die Funktionsübertragung. Allerdings ist die Unterscheidung zwischen Funktionsübertragung und Auftragsverarbeitung nicht immer ganz einfach.
Die Funktionsübertragung
Beispiele für Funktionsübertragung
- Steuerberater
- Wirtschaftsprüfer
- Betriebsarzt
- Mitarbeiterrekrutierung
- Outsourcing komplette Personalverwaltung
- Inkassobüro
- Diät-Beratung
- Belegarzt
- Hygiene
- Tumorboard
- Externe Zertifizierung
- Multizentrische Studien mit Industrie
- Leih- und Vertretungsärzte
- Unternehmensberatung
- Externe Labore, MVZ
- Rechtsberatung
- Privatärztliche Verrechnungsstelle mit Fakturing
- Bewachungsdienste
- Bank- und Transportdienstleistungen
- Privatdetektive
- Physikalische Therapie
- Sozialdienst
- Seelsorger
- Selbsthilfegruppen
- Hospizdienst
- DSB
Keine Auftragsverarbeitung bei Funktionsübertragung
Die Grenzen zwischen Auftragsverarbeitung und Funktionsübertragung sind fließend, da beide Aufgaben in einander über gehen und miteinander verzahnt sind. Das macht es mitunter schwierig festzulegen, ob denn ein Auftragsverarbeitungs-Vertag benötigt wird oder nicht. Die Frage, die wir uns stellen sollten:
Wann hört die Auftragsverarbeitung auf und wo fängt die Funktionsübertragung an?
Bei vielen Dienstleistern ist der Übergangspunkt nicht klar definiert. Es gibt jedoch ein Unterscheidungsmerkmal, das Ihnen helfen kann, die Verantwortungsübertragung zu definieren: die Weisungsbindung. Fragen Sie sich: Kann der Beauftragte bzw. externe Dienstleister frei entscheiden? Oder ist er an die Weisungen des Auftraggebers gebunden und es ist dadurch kein Auftragsverarbeitungs-Vertrag notwendig?
Bei Funktionsübertragungen besteht keine Pflicht zum Abschluss eines Vertrages, wir empfehlen jedoch ausdrücklich auch hier eine vertragliche Grundlage zu schaffen und zwar im besten Falle mit den folgenden Inhalten.
Vertragliche Vereinbarung bei „Funktionsübertragung“
Maßstab aus dem Art. 28 DSGVO:
- Verantwortlichkeiten
- Zweckbindung
- Hinweispflichten
- Geheimhaltungspflichten
- Pflicht zur Bestellung eines Datenschutzbeauftragten
- Festlegung der technischen und organisatorischen Maßnahmen
- Unterauftragsverhältnisse
Anwendung in der Praxis – Integrieren Sie Ihr Wissen im Alltag
Aus den Teile eins „Datenschutz im Gesundheitswesen“ und zwei „Rechtsgrundlagen und Datenkategorien im Datenschutz“ dieser Blogserie) wissen Sie bereits, dass Ihre Prozesse dokumentiert sein müssen und um die zuständigen Gesetzte ergänzt sein sollten (auch Datenkategorien sollten benannt sein).
Sie sind nun in der Lage zu erkennen, ob Sie die Dienste Dritter nutzen und ob diese Dienste als Auftragsverarbeitung gemäß DSGVO gelten, oder nicht.
Die einzelnen Verarbeitungstätigkeiten können anhand der hier aufgeführten Punkte geprüft werden und die entsprechenden Rückschlüsse gezogen werden. Schreiben Sie am besten die einzelnen Tätigkeiten auf und überprüfen Sie diese Schritt für Schritt. So identifizieren Sie, an welcher Stelle eine Leistung vertraglich geregelt werden muss.
Nach Abschluss dieser Überprüfung haben Sie einen weiteren Punkt Ihres Verarbeitungsverzeichnises geregelt und damit das Thema Auftragsverarbeitung abgeschlossen.
Zusammenfassung des Themas „Auftragsverarbeitung“
Wir sprechen also von Auftragsverarbeitung, sobald dritte personenbezogene Daten verarbeiten. Das können Abrechnungsstellen, Lohnabrechnung oder IT Dienstleister sein, die für Sie bestimmte Aufgaben übernehmen. Sie müssen genau prüfen, ob eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO vorliegt und ob ein entsprechender Vertrag geschlossen werden muss. Zudem sollten Sie zwischen Auftragsverarbeiter und Funktionsübertragung unterscheiden, denn nicht bei beiden besteht eine Vertragspflicht.
WAS KOMMT ALS NÄCHSTES?
Jetzt sind Sie in der Lage, ein fast komplettes Verarbeitungsverzeichnis aufzustellen. Ein wichtiges, noch ausstehende Themen betrifft die Fristen für die Löschung von Daten. Diesem Thema widmen wir uns im nächsten Teil der Blogreihe „Datenschutz im Gesundheitswesen“.