Auftragsdatenverarbeitung: Vertrag und Kontrolle nicht vergessen!

| Hand aufs Herz: Wie gut ist Ihre Physiopraxis auf die neue Datenschutz-Grundverordnung (DSGVO) der EU eingestellt, die ab dem 25.05.2018 ihre volle Wirkung entfaltet? Und haben Sie auch an die Auftragsdatenverarbeitung gedacht? |

Der Praxisinhaber muss für hohe Sicherheitsstandards zur Abschottung der Praxis-IT sorgen ‒ etwa durch ein spezielles Sicherungssystem, das sein Rechnernetz vor unerwünschten Netzwerkzugriffen schützt. Für den Fall, dass Sie als Physiotherapeut einen externen Auftragnehmer mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten für Ihre Praxis beauftragen, beschreiben die §§ 28 ff. DSGVO im Detail, welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Ihnen als Auftraggeber und dem Dienstleister festzuhalten sind.

Die Beauftragung eines EDV-Unternehmens mit einer Fernwartung fällt ebenfalls unter die Auftragsdatenverarbeitung. Der Praxisinhaber muss sich vor der Beauftragung davon überzeugen, dass das Thema Datenschutz bei diesem Dienstleister ernst genommen wird, etwa indem er nach einem Datenschutzkonzept fragt. Auch während der Vertragslaufzeit muss er den Dienstleister regelmäßig kontrollieren, damit er die sensiblen Praxisdaten stets in guten Händen weiß. Entsprechende Kontrollrechte müssen in den Verträgen zur Auftragsdatenverarbeitung enthalten sein.