Handbuch für Primär-Versorgungs-Einheiten

Eine Auftragsverarbeiterin/ein Auftragsverarbeiter ist quasi der „verlängerte Arm“ der/des Verantwortlichen. Sie/er ist demnach jene natürliche oder juristische Person, die im Auftrag der/des Verantwortlichen und ohne Eigeninteresse, die Daten für eigene Zwecke zu nutzen, die personenbezogenen Daten verarbeitet.

Jede Verantwortliche/jeder Verantwortliche hat mit jeder ihrer Auftragsverarbeiterinnen/jedem seiner Auftragsverarbeiter eine sogenannte Auftragsverarbeitungsvereinbarung abzuschließen. Darin ist sicherzustellen, dass die in Auftrag gegebene Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und die Auftragsverarbeiterin/der Auftragsverarbeiter sohin garantiert, ihre/seine Tätigkeit unter hinreichenden technischen und organisatorischen Maßnahmen auszuführen.

Auftragsverarbeiterinnen/Auftragsverarbeiter können beispielsweise nachstehende natürliche oder juristische Personen sein:

  • Anbieter von Arzt- bzw. Verwaltungssoftware, wenn dieser – beispielsweise im Rahmen von Wartungsarbeiten – Einsicht in die in das System eingespeisten personenbezogenen Daten nehmen kann
  • Anbieter von Gerätesoftware, wenn diese – beispielsweise im Rahmen von Wartungsarbeiten – Einsicht in die auf dem Endgerät gespeicherten personenbezogenen Daten nehmen können
  • der IT-Dienstleister, wenn dieser im Rahmen seiner Tätigkeit (Wartung, Service, Beratung etc.) Einsicht in verarbeitete personenbezogene Daten nimmt/nehmen kann
  • Host der Website bzw. von Kontaktformularen auf einer Website, wenn dieser beispielsweise
    • IP-Adressen der Website-Nutzerinnen/der Website-Nutzer speichert bzw. Einblick in das Nutzungsverhalten der Website-Besucherinnen/der Website-Besucher erlangen kann
    • Einsicht in die von den Betroffenen auf diesem Medium hinterlassenen personenbezogenen Daten nimmt/nehmen kann (z. B. Kenntnis über Inhalt der von der Interessentin/vom Interessenten auf dem Kontaktformular hinterlassenen Daten, wie beispielsweise Name, Geburtsdatum, Sozialversicherungsnummer, Beschreibung der gesundheitlichen Beschwerden etc.)
  • Anbieter eines Online-Kalenders, wenn diese Einsicht in die darin verarbeiteten personenbezogenen Daten nehmen können (z. B. Name der Patientin/des Patienten) oder diese die Daten auf ihren Server speichern
  • Cloud-Provider, wenn die Verantwortliche/der Verantwortliche dessen Dienste zur Sicherung des Datenbestandes in Anspruch nimmt
  • E-Mail-Provider, wenn diese Einsicht in den Inhalt der Emails nehmen können oder diese auf einem Server speichern

Insoweit Auftragsverarbeiterinnen/Auftragsverarbeiter bei der Datenverarbeitung selber als Verantwortliche tätig werden, d. h. die Daten für eigene Zwecke verarbeiten, ist mit ihnen keine Auftragsverarbeitungsvereinbarung zu schließen. Zu diesen zählen insbesondere

  • Anbieter von Internetleitungen
  • Anbieter von Telefonleitungen
  • Post
  • Labors
  • Apotheken
  • Krankenanstalten
  • Arztinnen/Ärzte
  • Andere nichtärztliche Angehörige von Gesundheits- und Sozialberufen
  • Rechtsanwältinnen/Rechtsanwälte
  • Notarinnen/Notare
  • Steuerberaterinnen/Steuerberater
  • Behörden
  • Banken
  • Sozialversicherungsanstalt