73
ddm | Ausgabe1 | 2017
New Media
NachfolgendsollderkonkreteFall „Dentallabore“näherbetrachtetwerden.
Dentallabore können in verschiedenen Ausprägungen existieren, vor deren Zusammenstellung
sichdie rechtlicheGrundlage zur Verarbeitungder Datenentsprechend ändert und somit auchdie
datenschutzkonformeGestaltungder Leistung.
1.DasDentallabor istdereigenenZahnarztpraxiszugeordnet
Vorausgesetzt zahntechnische Leistungenwerden im praxiseigenen Labor erbracht, gilt dieses als
Hilfsbetrieb unter zahnärztlicher Leitung. Gemäß der MBO-ZÄmuss das praxiseigene Labor nicht
zwingend indenRäumlichkeitenderZahnarztpraxisbetriebenwerden (vgl. §11MBO-ZÄ).DerZahn-
arztmuss die fachlicheAnleitung sowie Beaufsichtigung seinerMitarbeiter sicherstellen. Demnach
gilt es, dieMitarbeiter auf denDatenschutz zu verpflichten, regelmäßig imUmgangmit personen-
bezogenenDaten zu schulenundgenauwie inder Praxis auch, die technischenundorganisatori-
schen Maßnahmen (z. B. Diskretionsbereich einrichten, automatische Bildschirmsperrung bei den
Praxisrechnern, o. ä.) einzuhalten.
Hinweis:
Sindmehr alsneunMitarbeitermitder VerarbeitungvonDatenbetraut, ist einDatenschutzbeauf-
tragter zubestellen.
2.DasDentallabor istexternerDienstleister
ExterneDentallabore sind Betriebe, deren Beziehungmit der zahnärztlichen Praxis innerhalb eines
Werkvertrages bestimmt wird. Das Dentallabor ist somit gewerblicher Partner des Zahnarztes und
trittgegenüber demPatientennicht inErscheinung. Der Zahnarzt schließt indiesemRahmeneinen
Werkvertragmit demDentallabor sowie einen Behandlungsvertragmit dem Patienten ab. Je nach
Konstellation,wennpersonenbezogeneDatenübertragenwerden,musszusätzlichnocheinVertrag
zurAuftragsdatenverarbeitung zwischendemZahnarzt unddemDentallabor geschlossenwerden.
DieAuftragsdatenverarbeitung istandieengengesetzlichenVoraussetzungendes§11BDSGgekop-
pelt undwird als weisungsgebundene Tätigkeit des Dienstleisters verstanden. Bei der Auftragsda-
tenverarbeitung liegt die datenschutzrechtliche Verantwortung für die Verarbeitung undNutzung
der GesundheitsdatenbeimZahnarzt. Er gilt als verantwortliche Stelle („Herr der Daten“) und ist für
dieGewährleistungder datenschutzkonformenUmsetzungder technischenundorganisatorischen
MaßnahmenbeimDienstleister verantwortlich.DemDienstleisterwirdnurdie tatsächlicheVerarbei-
tung nachWeisung und unter Verantwortung des Auftraggebers, gewissermaßen als sein verlän-
gerterArm, übertragen. Bei derDatenverarbeitung imAuftragwirddamit lediglicheineTeilfunktion
der eigentlichenAufgabe ausgelagert, ohne dass der Dienstleister einen eigenenHandlungs- oder
Entscheidungsspielraumhat.Werdendagegendieder Verarbeitung zugrunde liegendenAufgaben
oder Geschäftszwecke ganz oder teilweise abgegeben, erbringt der Dienstleister über die techni-
scheDurchführunghinaus Leistungenmithilfe der überlassenenDatenoder bestehenHandlungs-
undEntscheidungsspielräumebei derErledigungderAufgabe, liegteineFunktionsübertragungvor.
IndiesemFallwirdderDienstleister zurDatenverarbeitendenundsomitverantwortlichenStelleund
hat eigenständig für diedatenschutzrechtlichenVorgabendurchdieUmsetzungder erforderlichen
technischenundorganisatorischenMaßnahmen zu sorgen.
Die Funktionsübertragung findet keine ausdrückliche gesetzliche Grundlage. Bedingt durch die
Übertragung der datenschutzrechtlichen Verantwortung handelt es sich hierbei um eine Daten-
übermittlung (§3Abs. 4Nr. 3BDSG),welchenur zulässig ist,wennentwedereinegesetzlicheGrund-
lagediese legitimiert oder eineEinwilligungdesBetroffenenvorliegt.