Externe Dienstleister in der Arztpraxis: Vorteile und Risiken der Auftragsverarbeitung

Auftragsverarbeitung ist erfahrungsgemäß in nahezu jeder Arztpraxis ein wichtiges Thema – denn externe Dienstleister werden als Auftragsverarbeiter (AV) eingesetzt. Die Dienstleistungen werden dabei in unterschiedlichen Bereichen erbracht. Aus wirtschaftlicher Sicht macht ein solches „Outsourcing“ auch tatsächlich Sinn, um in einer immer komplexer werdenden Arbeitswelt die eigenen Ressourcen der Arztpraxis optimal zu nutzen.

Aus datenschutzrechtlicher Sicht ist beim Einsatz solcher externen Leistungserbringer neben der Auswahl qualifizierter & zuverlässiger Partner unbedingt auf den Abschluss der korrekten vertraglichen Rahmenbedingungen (Stichwort: Auftragsverarbeitungsvertrag (AVV)) zu achten. Der Abschluss solcher rechtskonformer Verträge ist entscheidend, um die gesetzlichen Vorgaben zu erfüllen, den Dienstleister vertraglich ausreichend zu verpflichten und haftungsrechtliche Folgen für den Arzt auszuschließen.

Bei welchen Dienstleistern einer Arztpraxis liegt Auftragsverarbeitung vor?

• Fernwartungs- bzw. IT-Unternehmen

• Externe Stellen zur Lohn- und Gehaltsabrechnung (Steuerberater fallen nicht hierunter)

• Cloud-Dienstleister

• Abrechnungsstellen (ohne Forderungskauf/ Factoring)

• Datenträgerentsorgungsunternehmen

Keine Auftragsverarbeiter sind in der Regel:

• Abrechnungsstellen, die unechtes oder echtes Factoring durchführen (mit Forderungskauf)

• Rechtsanwälte und Steuerberater

• Medizinische Labore

• Bankinstitute

• Postdienstleister

In jeder Arztpraxis wichtig: So etablieren Sie ein erfolgreiches Qualitätsmanagement - damit die Pflicht zur Freude wird!

In diesem Ebook finden Sie wertvolle Tipps und Beispiele für das Qualitätsmanagement Ihrer Praxis - kostenlos als PDF zum Download! Jetzt downloaden
Bild-EbookQM

Was ist bei der Beauftragung von Auftragsverarbeitung zu beachten?

Als verantwortlicher Praxisinhaber gibt es aus datenschutzrechtlicher Sicht einige Punkte, die Sie beim Einsatz eines Auftragsverarbeiters unbedingt beachten sollten.

Zunächst ist es wichtig, dass bei der Auswahl des richtigen Auftragverarbeiters stets die (datenschutzrechtliche) Zuverlässigkeit und Qualifikation abgeprüft werden. Der Dienstleister muss dahingehend ausreichende Garantien bieten, dass die Verarbeitung der hochsensiblen Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet wird und hierdurch der Schutz der Rechte Ihrer betroffenen Patienten im Einklang mit den Anforderungen der DSGVO erfolgt. Dies sollte der von ihnen gewählte Dienstleister auch durch eine entsprechende Dokumentation unaufgefordert nachweisen (können).

Stellt der AV noch nicht einmal einen eigenen AVV zur Verfügung, ist ein solchr zwar vorhanden aber mit erheblichen Mängeln behaftet oder erscheint das Datenschutzkonzept des AVs schon von Beginn an „löcherig“, wäre eine Beauftragung und Übergabe der sensiblen Patientendaten wohl kaum gegenüber der Datenschutzaufsichtsbehörde zu rechtfertigen. Um die Zuverlässigkeit des Dienstleisters, die Qualität und die Erfüllung der gesetzlichen Mindestinhalte (gem. Art. 28 DSGVO) des abzuschließenden AVVs bzw. die zugesicherten technisch und organisatorischen Maßnahmen tatsächlich beurteilen zu können, empfiehlt sich der Einsatz einer anwaltlich geprüften Checkliste und/oder die Rücksprache mit dem eigenen Datenschutzbeauftragten.

Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter

Einer der Grundsätze der DSGVO ist, dass jede Verarbeitung und Weitergabe von personenbezogenen (Patienten)Daten zwingend einer wirksamen Rechtsgrundlage (bspw. eine Patienteneinwilligung) bedarf. Dies gilt auf Grund der ärztlichen Schweigepflicht besonders dann, wenn Patientendaten an externe Dritte herausgegeben werden sollen. Die Auftragsverarbeitung stellt hier jedoch einen datenschutzrechtlichen Sonderfall dar. Der AV wird – auf Grund der strengen vertraglichen (Mindest-)Anforderungen – rechtlich nämlich wie ein eigener Mitarbeiter behandelt. Einer gesonderten Rechtsgrundlage bzw. eine ausdrückliche Zustimmung des Patienten bedarf es in diesem Fall zur Datenweitergabe deswegen nicht. Dies vereinfacht den Einsatz eines solchen Dienstleisters datenschutzrechtlich einerseits erheblich – verlangt aber vom verantwortlichen Arzt bei dessen Auswahl und der Gestaltung der vertraglichen Regelungen eine besondere Sorgfalt.

Beachtung der Informationspflichten aus Art. 13 DSGVO

Grundsätzlich hat jede Arztpraxis die Informationspflichten aus Art. 13 DSGVO zu beachten sprich Patienten müssen über die Datenverarbeitung umfänglich informiert werden. Auftragsverarbeiter zählen zu den sog. Empfängern im Sinne des Art. 13 Abs. 1 Satz 1 lit. e) DSGVO i.V.m. Art. 4 Nr. 9 DSGVO und müssen in den Datenschutzhinweisen der Praxis entsprechend aufgeführt werden.

Sollte man den AV regelmäßig kontrollieren?

Aus datenschutzrechtlicher Sicht ist es empfehlenswert regelmäßige Kontrollen des Auftragsverarbeiters durchzuführen, um die Zuverlässigkeit und die Qualität des AVs zu überprüfen. Dabei können Auditierungen persönlich vor Ort beim AV oder auch per Fragebogen erfolgen. Diese Aufgabe übernimmt in der Regel der Datenschutzbeauftragte Ihrer Praxis.

Fazit zur Auftragsverarbeitung in der Arztpraxis durch externe Dienstleister

Aus datenschutzrechtlicher Sicht sind einige wichtige Punkte beim Einsatz externer Dienstleister zu beachten. Verantwortliche Praxisinhaber haben durch eine sorgfältige Auswahl potenzieller Vertragspartner, den Abschluss entsprechender vertraglicher Vereinbarungen und die regelmäßige Kontrolle der Auftragnehmer, die datenschutzkonforme Verarbeitung der Patientendaten im Rahmen der Auftragsverarbeitung zu gewährleisten. Des Weiteren müssen die Informationspflichten aus Art. 13 DSGVO entsprechend angepasst werden. Praxisinhaber sollten sich bei diesem Prozess unbedingt von ihrem Datenschutzbeauftragten beraten lassen, damit der verantwortliche Arzt sich im Streitfall von der Haftung befreien kann und somit sein Haftungsrisiko verringert wird.

 

Weitere Infos 6x im Jahr in unserem Newsletter

Über weitere interessante Informationen, Tipps und Tricks rund um die Arztpraxis und andere Unternehmen aus dem Gesundheitswesen informieren wir Sie gerne in unserem Newsletter.

DIREKT KONTAKT AUFNEHMEN

ZURÜCK ZUR ÜBERSICHT

 

Zur Person

 

 

Die Rechtsanwaltskanzlei Datenschutzdoktor wurde im Jahre 2017 von RA Dr. Matthias Müller gegründet. Seitdem berät die Kanzlei mit mehreren Berufsträgern und Sitz in Nürnberg deutschlandweit Ärzte, Zahnärzte und Apotheker zum Thema Datenschutz und ist als externer Datenschutzbeauftragter bestellt.

RA Dr. Müller ist geschäftsführender Gesellschafter, zugelassener Rechtsanwalt und TÜV-zertifizierter Datenschutzbeauftragter. Nach seiner mehrjährigen Tätigkeit in einer internationalen Wirtschaftsrechtskanzlei, spezialisierte er sich auf das Thema Datenschutz mit dem Fokus auf Heilberufe.

Neben der Veröffentlichung von regelmäßigen Fachbeiträgen, hält er Seminare und Vorträge zum Thema: „Datenschutz in Heilberufen“ u.a. für die Niedersächsische Zahnärztekammer und wirkt an der Gestaltung zur Auslegung der datenschutzrechtlichen Regelungen für Heilberufe in mehreren Fachgremien mit.