Einordnung der unterstützenden Nutzung laboreigener Software
Am 25.05.2018 ist die EU-Datenschutzgrundverordnung (EU-DSGVO) rechtsverbindlich in Kraft getreten. Die neue Verordnung hat viele Unsicherheiten geweckt, sodass auch bewährte Strukturen hinterfragt wurden. Wir haben uns aus diesem Grunde dazu entschieden, eine ausführliche rechtliche Prüfung der Gegebenheiten vorzunehmen, um Ihnen und uns die nötige Sicherheit geben zu können, die einer vertrauensvollen Zusammenarbeit zugrunde liegen sollte.
Wir freuen uns, Ihnen mitteilen zu können, dass ein Vertrag zur Auftragsdatenverarbeitung im Rahmen unserer kooperativen Zusammenarbeit nicht erforderlich ist, da keine Auftragsdatenverarbeitung im Sinne des Art. 28 ff. der DSGVO stattfindet (vgl. DSK Kurzpapier Nr. 13 Anhang B).
Die Einbindung sowie die (Fern-)Wartung einer Software zur Datenübertragung in die Laborleistungserbringung ändert nichts an der datenschutzrechtlichen Einstufung. Nach wie vor handelt es sich um eine Zusammenarbeit zweier Parteien mit abgegrenzter Verantwortlichkeit. Der Einsatz des TeamViewers zur Wartung der entsprechenden Software führt ebenfalls nicht zu Verstößen gegen die DSGVO.
Details
Im Rahmen der rechtlichen Bewertung, ob eine Auftragsdatenverarbeitung vorliegt oder nicht, ist die Verantwortlichkeit für die personenbezogenen Daten ausschlaggebend. Im Zuge der Betreuung Ihrer Patienten sind Sie zunächst verantwortlich für deren Daten. Die Erteilung von Laboraufträgen nehmen Sie stellvertretend für Ihre Patienten vor. Es kommt (im juristischen Sinne) ein wirksamer Vertrag zwischen uns und dem jeweiligen Patienten zustande. Im Zuge der eigenverantwortlichen Erbringung von Laborleistungen sind wir sodann verantwortlich für dessen Daten. Der unterstützende Einsatz einer Software und deren Wartung ändert nichts an unserer Verantwortlichkeit für die Daten.
Hintergrund
Bei einer Auftragsdatenverarbeitung werden nach der Definition des Art. 4 Nr. 8 DSGVO durch einen unverantwortlichen Dienstleister personenbezogene Daten für den Verantwortlichen verarbeitet.
Hinweis: Sämtliche rechtsrelevante Einschätzungen sind auf eine ausführliche Rechtsberatung zurückzuführen und wurden durch den Landesdatenschutzbeauftragten des Landes Rheinland-Pfalz bestätigt.