Datenweitergabe an externe Auftragsverarbeiter

Was hierbei zu beachten ist


In der Regel werden personenbezogene Daten von Apotheken und Arztpraxen zur Verarbeitung an externe Dienstleister, den sogenannten Auftragsdatenverarbeitern, weitergegeben. Viele Unternehmen haben etwa in den Bereichen IT-Support, Rezeptabrechnung oder Warenwirtschaft Verträge mit solchen Drittanbietern. Bei Arztpraxen kommen noch die externen Labore hinzu, während Apotheken oftmals zusätzlich mit Blisterzentren und Zulieferern zusammenarbeiten. Doch wann ist im Rahmen der Datenverarbeitung überhaupt der Abschluss eines Vertrages erforderlich? Nun, dies ist schon dann der Fall, wenn Unternehmen für ihre Datenverarbeitung etwa die Kapazitäten externer Rechenzentren nutzen oder die Lohnabrechnungen vom Steuerberater durchführen lassen. Sobald eine Auftragsdatenverarbeitung durch externe Dienstleister stattfindet, ist im Vorfeld zwischen beiden Parteien ein entsprechender Vertrag abzuschließen.

Mindest-Vertragsinhalt gesetzlich geregelt


Die Auftragsdatenverarbeitung unterliegt klaren Anforderungen, die durch den Gesetzgeber festgelegt sind. Wird der entsprechende Auftrag nicht korrekt, unvollständig oder nicht in der vorgeschriebenen Weise erteilt, gilt das als Ordnungswidrigkeit. Das heißt, besteht ein vertraglich besiegeltes Auftragsdatenverarbeitungsverhältnis zwischen zwei Parteien, muss auch der Vertragsinhalt an die Mindest-Vorgaben des Gesetzgebers angepasst sein. Apotheker und Apothekerinnen sind mit Abschluss solcher Verträge dazu verpflichtet, die ordnungsgemäße Verarbeitung ihrer Daten beim externen Dienstleister zu kontrollieren. Die Verantwortung für Datensicherheit und Datenschutz bleibt damit beim Datenbesitzer und kann nicht einfach auf die Auftragsdatenverarbeiter abgeschoben werden, wenn dort etwas schiefläuft.

Welche Punkte im Vertrag abgedeckt sein müssen


Ein Auftragsverarbeitungsvertrag muss Angaben zu verschiedenen Punkten wie etwa Gegenstand, Dauer, Art und Zweck der Datenverarbeitungstätigkeit, Art der personenbezogenen Daten und Kategorie der betroffenen Personen beinhalten. Darüber hinaus muss der Umfang der Weisungsbefugnisse geklärt sein, die zur Verarbeitung befugten Personen müssen explizit zur Vertraulichkeit verpflichtet werden und natürlich regelt der Vertrag die Sicherstellung von technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes. Unter anderem muss das Dokument Angaben zur Unterstützung des für die Datenverarbeitung Verantwortlichen bei der Meldepflicht im Rahmen von Datenschutzverletzungen enthalten und es muss auch festgelegt sein, was mit den personenbezogenen Daten geschieht, wenn ihre Verarbeitung abgeschlossen ist, das heißt, sie müssen an den Besitzer zurückgegeben oder vom externen Anbieter gelöscht werden. Dies sind nur einige Punkte und wer sich nicht ganz sicher ist, was nun wirklich alles in einen Auftragsverarbeitungsvertrag hinein muss, sollte sich lieber vom Fachmann beraten lassen. 

Beratung zur Apotheken-Versicherung vereinbaren


Bei der Apotheken-Versicherung gilt es einige Fallstricke zu vermeiden. Über nachfolgenden Button können Sie eine Beratung zu diesem Thema anfragen.

Markus Fischer Finanz- und Versicherungsmakler hat 4,81 von 5 Sternen 130 Bewertungen auf ProvenExpert.com