ddm | Ausgabe1 | 2017
74
New Media
Zusammengefasstwerden folgendePunktealsErkennungsmerkmaleeiner
Auftragsdatenverarbeitungdefiniert:
• fehlendeEntscheidungsbefugnisdesDienstleisters
• Weisungsgebundenheit desDienstleistersbezüglichdessen,wasmit denDatengeschieht
• Umgangnurmit personenbezogenenDaten, diederAuftraggeber zur Verfügung stellt,
es sei denn, derAuftrag ist auchauf dieErhebungvonDatengerichtet
• Ausschlussder VerarbeitungoderNutzungderDaten zueigenenZweckendes
Dienstleisters
• keine (vertragliche) BeziehungdesDienstleisters zumBetroffenen.
Zusammengefasstwerden folgendePunktealsErkennungsmerkmale
einerFunktionsübertragungdefiniert:
• Weisungsfreiheit desDienstleistersbezüglichdessen,wasmit denDatengeschieht
• ÜberlassungvonNutzungsrechtenandenDaten
• eigenverantwortlicheSicherstellungvonZulässigkeit undRichtigkeit derDatendurch
denDienstleister, einschließlichdes Sicherstellensder RechtevonBetroffenen
(Benachrichtigungspflicht, Auskunftsanspruch)
• HandelndesDienstleisters (gegenüber demBetroffenen) ineigenemNamen
• EntscheidungsbefugnisdesDienstleisters inder Sache.
DenkenSieandieSchweigepflicht
ImGesundheitswesenwerdendiedatenschutzrechtlichenVorschriftendurchdieberuflicheSchwei-
gepflicht der Zahnärzte ergänzt. Man spricht indiesemZusammenhang vonder „Zwei-Schranken-
Theorie“. Diese besagt, dass für Patientendaten sowohl die Anforderungen des Datenschutzes als
auchdie der Schweigepflicht erfüllt seinmüssen. Dies hat direkteAuswirkungen auf das Konstrukt
der Auftragsdatenverarbeitung. In Industrieunternehmen stellt es mittels des Konzeptes der Auf-
tragsdatenverarbeitung keineHerausforderungdar, die Kundendatenbank auf externe Server eines
Anbieters auszulagern. Bei der Übertragung dieses Szenarios auf eine zahnärztliche Praxis werden
aus klassischen Kunden Patienten, derenDaten dem Zahnarzt während seiner Tätigkeit anvertraut
worden sind und somit der zahnärztlichen Schweigepflicht unterliegen. Ein Vertrag zur Auftrags-
datenverarbeitung kann nur die datenschutzrechtliche Schranke „heben“, die der zahnärztlichen
Schweigepflicht bleibt jedoch „geschlossen“. Hierdurch ist die Verarbeitungdurch einenDienstleis-
ternicht zulässig.Dies liegtdarinbegründet, dassdemZahnarztoffenbarteDatennurdurch ihnund
seineErfüllungsgehilfen zur Kenntnisgenommenwerdendürfen.
Dem Kreis der Erfüllungsgehilfen werden insbesondere keine Personen hinzugerechnet, die ihre
Tätigkeit ineiner anderenGesellschaft ausüben. Dabei ist esunerheblich, obdieGesellschaften sich
ineinerHolding-oderKonzernstrukturbefinden.Dies führtunteranderemdazu, dassbeispielsweise
dieAuslagerungder IT, aber auchandererAbteilungen, die für ihreTätigkeitZugriffaufpatientenbe-
zogeneDatenhaben, ineineServicegesellschaft aus Sicht der ärztlichenSchweigepflicht eigentlich
nicht zulässig ist. Die zuständigenAufsichtsbehörden sind sichdieser Problematikbewusst undbei
Prüfungendieses Sachverhalts inder Regelwohlwollendeingestellt.