50.000 Euro Geldbuße – das ist der Betrag, den das Bayerische Landesamt für Datenschutzaufsicht festgesetzt hatte. In einem Fall mit ausgelagerter Datenverarbeitung. Die Höhe der Geldbuße ist für einen „schlechten“ Vertrag, der in jeder Zahnarztpraxis vorkommen kann (beispielsweise Übernahme der IT-Wartung oder von Schreibarbeiten) an sich schon bemerkenswert.
Erhöhte Aufmerksamkeit bekommt jedoch folgendes Detail: Die Datenschutzaufsichtsbehörde hat die Geldbuße vor Erlass der Datenschutz-Grundverordnung festgesetzt. Mit der DSGVO ist der Rahmen der Geldbußen noch einmal deutlich ausgeweitet worden. Dies soll Anlass dafür sein, die Auftragsverarbeitung einmal in den Fokus zu rücken.
Auftragsverarbeitung – was ist das?
In der DSGVO wird viel geregelt, und es werden viele Begrifflichkeiten bestimmt. Nur eins sucht man vergeblich: Was ist eine Auftragsverarbeitung? Artikel 28 DSGVO regelt zwar die Auftragsverarbeitung, enthält entgegen dem früheren Recht jedoch keine Definition.
Allerdings hilft Artikel 4 Nr. 8 DSGVO weiter. Dort wird zumindest bestimmt, wer Auftragsverarbeiter ist. Auftragsverarbeiter ist eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Ganz klassische Fälle der Auftragsverarbeitung sind datenverarbeitungstechnische Arbeiten für die Lohnabrechnung und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren. Aber auch die Überprüfung oder technische Wartung einer Computeranlage (beispielsweise Fernwartung über TeamViewer, wo sich der Mitarbeiter eines IT Dienstleistungsunternehmens auf den Computer der Praxis aufschaltet) gehören dazu. Ein weiteres Beispiel ist die Entsorgung von Datenträgern oder Patientenakten aus der Zahnarztpraxis durch fremde Dienstleister.
All dies sind Vorgänge, für die eine Zahnarztpraxis über einen Vertrag verfügen muss, der Artikel 28 DSGVO entspricht. Nicht geklärt ist derzeit die Situation, wie beispielsweise Verträge mit Versicherungen anzusehen sind, bei denen Implantologen oder MKG-Chirurgen die Begutachtung eines Versicherungsfalls mit Gesundheitsschäden im Mundbereich übernehmen sollen.
Unübersichtliche Vorgaben
In Artikel 28 DSGVO sind die Vorgaben für die Auftragsverarbeitung enthalten. Artikel 28 DSGVO gibt sich schon, ohne dass man ihn gelesen hat, allein aufgrund der Länge unübersichtlich. Die spätere Lektüre dürfte diesen Eindruck eher bestätigen und weniger entkräften. In groben Zügen enthält Artikel 28 – verteilt über zehn Absätze – Vorgaben für die Auswahl eines geeigneten Auftragsverarbeiters, für den Vertragsinhalt mit dem Auftragsverarbeiter und für vertragliche Inhalte zwischen einem Auftragsverarbeiter und einem Unterauftragsverarbeiter.
Privilegiert – früher, heute nicht?
Früher sprach man von Auftragsdatenverarbeitung und einer Privilegierungswirkung. Heute spricht man von Auftragsverarbeitung, was aus der Privilegierungswirkung geworden ist, ist dabei nicht klar. Was hat es mit dieser Privilegierungswirkung auf sich?
Die Privilegierungswirkung führte dazu, den Verantwortlichen, wie beispielsweise eine implantologische Praxis und den Auftragsdatenverarbeiter (zum Beispiel IT-Unternehmen, das die IT-Wartung vornimmt) als Einheit zu behandeln. Diese „einheitliche Betrachtung“ privilegierte dazu, dass bei Einschaltung eben einer anderen Stelle für eine Hilfestellung beziehungsweise Auslagerung von Aufgaben aus der Zahnarztpraxis nicht eine Übermittlung vorlag. Daher musste sich die Zahnarztpraxis nicht für die Überlassung der Daten rechtfertigen, vor allem nicht eine komplizierte Abwägung ihrer Interessen mit möglicherweise entgegenstehenden Interessen von Patienten vornehmen. Denn grundsätzlich ist beispielsweise auch nach dem neuen Artikel 6 DSGVO jeder Datenumgang verboten und bedarf der gesonderten Rechtfertigung. Es sei nur erwähnt, dass diese Privilegierungswirkung mit der DSGVO kontrovers diskutiert wird.
Die Zahnarztpraxis wählt aus, nicht umgekehrt
In Artikel 28 Absatz 1 und Absatz 5 DSGVO werden Vorgaben zur Auswahl eines geeigneten Auftragsverarbeiters gemacht. Es sind Anforderungen, die sich von Anfang an – und nicht erst im dokumentierten Vertragsverhältnis – auswirken. Die Zahnarztpraxis schuldet eine sorgfältige Auswahl des Auftragsverarbeiters. Dazu gehört es beispielsweise, mit solchen IT-Unternehmen zusammenzuarbeiten, die der Zahnarztpraxis ausreichende technisch-organisatorische Maßnahmen anbieten können, die nach der DSGVO vor allem zur Sicherheit der Verarbeitung erwartet werden. Wenn ein Auftragsverarbeiter dies nicht erfüllen kann, darf die Zahnarztpraxis ihn nicht beauftragen – so einfach ist das! Zu den unverhandelbaren Gewährleistungen gehört, dass beispielsweise der implantologischen Praxis eine Kontrollmöglichkeit beim Auftragsverarbeiter eingeräumt wird.
Ein sich selbsterklärender Katalog?
In Artikel 28 Absatz 3 DSGVO wird nicht nur verlangt, dass die implantologische Praxis einen Vertrag vorweisen kann. Vielmehr werden umfangreiche Vorgaben zum Vertragsinhalt gemacht.
Der Verfasser dieses Beitrags hat in seiner bisherigen Beratungspraxis feststellen müssen, dass sich die von den Dienstleistern (beispielsweise IT-Wartung, Erstellung einer Website mit Speicherort Praxiscomputer) selbstständig angebotenen Verträge nicht so einfach übernehmen lassen. Teilweise haben die Dienstleister frühere Verträge zum alten Bundesdatenschutzgesetz lediglich mit einer neuen Überschrift versehen. Andere wiederum wollen sich unbedingt und auch durchaus praxisnah den Einsatz von Unterauftragsverarbeitern offenhalten, halten sich jedoch nicht an die Vorgaben aus Artikel 28 DSGVO und möchten am liebsten eine unkontrollierte Zustimmung zum Einsatz aller möglichen Unterauftragsverarbeiter. Man kann nur davon abraten, derartige Verträge unbesehen zu unterzeichnen.
Festhalten an Altverträgen
Für viele stellt sich die Frage, ob nicht die nach dem alten Bundesdatenschutzgesetz benutzten und unterzeichneten Verträge einfach weiter gebraucht werden können. Zwar gibt es Gemeinsamkeiten zwischen Paragraf 11 BDSG und Artikel 28 DSGVO. Die frühere pauschale Genehmigung von Unterauftragsverarbeiter ist mit der neuen Datenschutz-Grundverordnung nicht mehr in Einklang zu bringen.
Weil Artikel 28 Absatz 9 DSGVO einen sichtbaren Vertrag, nämlich schriftlich oder in einem elektronisch ausschließbaren Format, vorschreibt und damit für eine Aufsichtsbehörde bei Anforderung die Unzulänglichkeiten offensichtlich auf der Hand liegen werden, ist dringend die Überprüfung von Altverträgen anzuraten und von neuen Verträgen, die einem überreicht werden. Wenn eine Datenschutzaufsichtsbehörde die Dokumentation anfordert, und zu dieser gehört im weiteren Verständnis ein solcher Vertrag, sollte man nicht die Höhe der Möglichkeiten an Geldbußen austesten.
Dr. Tim Oehler
www.rechtsanwalt-oehler.de
Kanzlei in Hamm mit Prof. Dr. Gaidzik
(wird ab September 2018 im „Focus“ Anwalts-Ranking der Top-Kanzleien für Medizinrecht geführt)