ovu-p86
Goto Top

DSGVO - Arbeiten am PC bei Ärzten

Hallo,

will bei einem Arzt Vor-Ort Arbeiten an PC, Betriebssystem und Software vornehmen.
Bin ich dann Auftragsdatenverarbeiter?


Wie geht ihr damit um wenn ihr bei einem Arzt, o.ä. einen Auftrag durchführt?

Habe mir bei activemind ein AV-Vertrags-Muster heruntergeladen.
Musterformular activemind

Ist meiner Ansicht aber viel zu kompliziert für meinen Fall.
Nichtstartender PC, Behebung Vor-Ort.

Nochmal die Frage:
Wie geht ihr damit um wenn ihr bei einem Arzt, o.ä. einen Auftrag durchführt?
- Habt ihr einen guten Link für ein Musterformular?

Dank im Voraus

Gruss
Uwe

Content-Key: 393936

Url: https://administrator.de/contentid/393936

Printed on: February 23, 2024 at 05:02 o'clock

Member: StefanKittel
Solution StefanKittel Nov 26, 2018 updated at 18:01:49 (UTC)
Goto Top
Hallo,

ja, ist notwendig und ja, es muss so kompliziert sein und ja, es muss an den Kunden spezifisch angepasst werden.
Aber das ist sein Problem, nicht Deines.

Er kann einen AVV von Dir verlangen und dann must Du ihm einen Standardvertrag geben den er ausfüllt.
Wenn er das nicht macht/will ist es sein Problem nicht Deines. Die Daten sind ja in seinem Verantwortungsbereich.

Es gibt genug Vorlagen die man günstig kaufen und anpassen kann.
Viel Spass damit.

Stefan
Member: Vision2015
Solution Vision2015 Nov 26, 2018 at 16:46:44 (UTC)
Goto Top
Moin...
Zitat von @ovu-p86:

Hallo,

will bei einem Arzt Vor-Ort Arbeiten an PC, Betriebssystem und Software vornehmen.
Bin ich dann Auftragsdatenverarbeiter?

ja, das bist du!

Wie geht ihr damit um wenn ihr bei einem Arzt, o.ä. einen Auftrag durchführt?
neben der Auftragsverarbeitung wird noch eine verschwiegenheitserklärung von dir benötigt!

Habe mir bei activemind ein AV-Vertrags-Muster heruntergeladen.
Musterformular activemind

Ist meiner Ansicht aber viel zu kompliziert für meinen Fall.
nee... ist es nicht

Nichtstartender PC, Behebung Vor-Ort.
jo.. und wenn der startet, schaust du denn wech?

Nochmal die Frage:
Wie geht ihr damit um wenn ihr bei einem Arzt, o.ä. einen Auftrag durchführt?
- Habt ihr einen guten Link für ein Musterformular?
wir haben das ausgearbeitet...das Musterfomular ist nur ein Rahmen...

Dank im Voraus

Gruss
Uwe

Frank
Member: Lochkartenstanzer
Lochkartenstanzer Nov 26, 2018 at 16:55:31 (UTC)
Goto Top
Moin,

Wenn das ein Arzt Deines Vertrauens ist, kann man den Vertrag natürluch auch per feuchtem Händedruck besiegeln. Nur wird es dann im Streitfall schwierig Vertragsdetails nachzuweisen.

lks
Member: Vision2015
Vision2015 Nov 26, 2018 at 17:01:23 (UTC)
Goto Top
Moin...
Zitat von @StefanKittel:

Hallo,

ja, ist notwendig und ja, es muss so kompliziert sein und ja, es muss an den Kunden spezifisch angepasst werden.
Aber das ist sein Problem, nicht Deines.
das ist aber Falsch! der Auftragsdatenverarbeiter muss dem Kunden seinen Vertrag vorlegen, schließlich steht ja da drin, was er macht, und was nicht.. usw...

Er kann einen AVV von Dir verlangen und dann must Du ihm einen Standardvertrag geben den er ausfüllt.
auch Falsch, nicht der Kunde soll das Ausfüllen, sondern der AV... der kunde soll ja wissen, was mit seinen Daten passiert, und wer alles beteiligt ist!
Beispiel: Festplatte ist kaputt, Kollege in der Werkstatt soll es richten.... was passiert mit der Festplatte genau, und wer ist der Kollege....
der kunde darf allerdings sowas streichen!

Wenn er das nicht macht/will ist es sein Problem nicht Deines. Die Daten sind ja in seinem Verantwortungsbereich.
auch Falsch...der AV übernimmt die mitverantwortung der Daten, bei der verarbeitung!
Beispiel: der Kollege in der Werkstatt findet auf der HDD Patientenbilder, die sooo witzig sind, das sie bei Frazebook hochgeladen werden...
jetzt haftet der AV!
ich hoffe du hast einen Datenschutzbeauftragten!

Es gibt genug Vorlagen die man günstig kaufen kann.
in der regel ist das aber nicht auf alle Tätigkeiten abbildbar... da sollten RA´s und Datenschutzbeauftragte was ausarbeiten!
Viel Spass damit.
face-smile

Stefan
Frank
Member: StefanKittel
StefanKittel Nov 26, 2018 at 17:43:41 (UTC)
Goto Top
Hallo Frank,
so "einfach" ist es nun auch nicht.
Alle Deine Beispiele basieren auf dem normalen Datenschutzgesetzen.
Durch die AVV sind viele Punkte dazugekommen und konkretisiert worden.
Stefan
Member: Looser27
Solution Looser27 Nov 26, 2018 at 17:52:10 (UTC)
Goto Top
Da die Daten und der Umgang damit in der Verantwortung des Auftraggebers liegen muss er dem Auftragnehmer seinen ADV geben um diesen auszufüllen. Natürlich kann dieser umgekehrt seinen schicken, aber schlussendlich bleibt es in der Verantwortung des AG.

Gruß

Looser
Member: ovu-p86
ovu-p86 Nov 26, 2018 updated at 18:22:37 (UTC)
Goto Top
Danke für die Antworten,

aber reicht es nicht, nur eine Verschwiegenheitserklärung abzugeben.
Muster activemind

Insbesondere in meinem Fall, wo ich ja nur Vor-Ort an der Hardware, ggf. am Betriebssystem arbeite.
Und nur für den Fall, dass ich versehentlich was sehe, reicht da nicht, wie gesagt, die Verschwiegenheitserklärung?


Background:
Der Kunde ist neu. Auftrag ist der Versuch den nicht startenden, defekten PC Vor-Ort wiederzubeleben. Mehr nicht.
Das schreibe ich als Auftrag auch sinngemäss so rein. (Wobei das alles für mich neu ist, meine Firmenkunden, bisher keine Ärzte, haben noch nie weder einen schriftl. Auftrag noch einen AVV von mir verlangt, war immer mündlich. Was ich gemacht habe stand ja später in der Rechnung.)
Kann aber nachvollziehen, dass das bei Ärzten speziell ist, die extrem in der Pflicht sind und will den Kunden ja auch schützen.

Deshalb:
Reicht in dem o.g. konkreten Fall nur die Verschwiegenheitserklärung?
(Sollte es später weitergehen kann man ja immer noch nachziehen)

Gruss
Uwe
Member: StefanKittel
Solution StefanKittel Nov 26, 2018 at 18:17:47 (UTC)
Goto Top
Hallo Uwe,

darauf wirst Du hier keine definitive Antworte bekommen (können).
Dies kann Die nur ein RA genau sagen. Und auch das nur zu 50%.

Ich bin der Meinung, dass es das Problem des Auftraggebers ist.
Wenn er von Dir einen AVV will, ist das so. Wenn nicht, dann halt nicht.

Stefan
Member: Xaero1982
Xaero1982 Nov 26, 2018 at 18:23:48 (UTC)
Goto Top
Hi Uwe,

willst du ihm eine Rechnung stellen, die du mit einer Software erstellst? Oder willste ihm die handschriftlich überreichen?
Ist ersteres der Fall brauchst du den Vertrag schon mal, weil du seine Daten (Name, Anschrift) verarbeitest.

Hast du eine Buchhaltung die das für dich dann alles abrechnet etc. dann brauchst du es auf jeden Fall, weil deine Buchhaltung dann ebenfalls die Daten deines Kunden verarbeitest.

Das mit der Verschwiegenheitserklärung sehe ich allerdings anders. Wenn ein Kunde von mir Verschwiegenheit verlangt - ich sehe das zwar als selbstverständlich an - dann soll er mir einen entsprechenden Vertrag geben, den ich dann gerne unterzeichne. Von mir bekommt er keinen, weil er ja gerne über meine super Leistung beim Golfen mit den Kollegen sprechen soll face-smile

VG
X
Member: keine-ahnung
keine-ahnung Nov 26, 2018 at 18:48:26 (UTC)
Goto Top
Moin,
wo ich ja nur Vor-Ort an der Hardware, ggf. am Betriebssystem arbeite.
was genau hast Du an dem Wort Datenschutz nicht verstanden? Du fummelst da an irgendwelcher Hard- und/oder Software rum, kann ja auch auf dem Server sein - und daaaaann: Server tot, Daten wech ... weil nicht vor Dir geschützt face-smile

Mannomann, bin ich froh, dass ich meinen ScheiXX selber machen kann!

LG, Thomas
Member: ovu-p86
ovu-p86 Nov 26, 2018 updated at 20:58:35 (UTC)
Goto Top
Hallo Stefan,

bin auch deiner u. "Looser27" Ansicht, dass der AN, insbesondere bspw. Ärzte, selbst dafür verantwortlich sind ihre besonderen Datenschutz/ Dokumentationspflichten einzuhalten, die dafür selber in der Haftung stehen. Die haben ja besondere Pflichten, kann ich ja auch nachvollziehen. So zumindest meine bisherige Recherche.

Da ich ja ein korrekter Dienstleister bin, und der Kunde mich fragte, weil er selber nichts dazu hatte, fühle ich mich verantwortlich und will ihn schützen. Mir geht es nicht darum mich um irgendwas zu drücken, oder um die Frage wer muss was machen.

Deshalb habe ich diese Diskussion losgetreten.

Ich werde das jetzt morgen so machen:
Der bekommt einen schriftl. Auftrag mit den bereits erwähnten Tätigkeiten und eine Verschwiegenheitserklärung. Dann der mdl. Hinweis, falls mehr nötig ist, möchte er sich bitte bei seiner Ärztekammer o.ä. erkundigen.
Es sei denn es kommen noch Kommentare die das Ganze umschmeissen.


Gruss
Uwe


P.S.:
Das ist jetzt eher allgemein:
Finde Datenschutz auch sehr wichtig.
Aber irgendwie pervertiert das, bzw. die rechtl. Unsicherheit überfordert doch viele.
Beispielsweise gib mal: dsgvo visitenkarte bei Google ein.
Erschreckend, selbst da die Unsicherheit mit der prakt. Umsetzung.
Member: keine-ahnung
keine-ahnung Nov 26, 2018 at 19:18:54 (UTC)
Goto Top
"Dann der mdl. Hinweis, falls mehr nötig ist, möchte er sich bitte bei seiner Ärztekammer o.ä. erkundigen."
Bei mir wärst Du dann schon aussen vor - es ist (auch) Dein Ding, die DSGVO zu kennen ... nur noch am PC schrauben reicht heute eher nicht mehr ... face-smile

LG, Thomas
Member: ovu-p86
ovu-p86 Nov 26, 2018 at 19:21:16 (UTC)
Goto Top
Hallo Xaero,

mein Fehler, hab das Problem offensichtlich nicht prägnant genug geschildert.

Hier geht es nicht um meine Daten oder die Daten des AN, sondern um die Daten der Kunden des AN.
Der Datenschutz meiner Kunden ist ja bereits in meinen ABGs/Datenschutzerklärung geregelt.

Und das ist das Problem. Bspw. Ärzte unterliegen besonderen Vorschriften.

Gruss
Uwe
Member: Vision2015
Vision2015 Nov 26, 2018 updated at 19:48:18 (UTC)
Goto Top
Moin...
neben der Auftragsverarbeitung wird noch eine verschwiegenheitserklärung von dir benötigt!
was verstehst du daran nicht?
du brauchst auf jedenfall beides!
Muster eines "Auftragsverarbeitungs-Vertrages" auf der Grundlage der EU Datenschutz-Grundverordnung

Frank
Member: Xaero1982
Xaero1982 Nov 26, 2018 at 23:32:06 (UTC)
Goto Top
Zitat von @ovu-p86:

Hallo Xaero,

mein Fehler, hab das Problem offensichtlich nicht prägnant genug geschildert.

Hier geht es nicht um meine Daten oder die Daten des AN, sondern um die Daten der Kunden des AN.
Der Datenschutz meiner Kunden ist ja bereits in meinen ABGs/Datenschutzerklärung geregelt.

Und das ist das Problem. Bspw. Ärzte unterliegen besonderen Vorschriften.

Gruss
Uwe

Du kannst das aber so nicht regeln in irgendwelchen AGB (ohne S) oder Datenschutzerklärungen. Du brauchst für deine Kunden einen Datenverarbeitungsvertrag. Dieser muss darüber in Kenntnis gesetzt werden was mit seinen Daten passiert und wofür du sie verwendest.
Sei es wie gesagt um eine Rechnung zu stellen, die Daten an die Buchhaltung zu schicken oder an eine Firma, weil du was für den Kunden kaufen möchtest, was du direkt zu dem Kunden schicken willst.
Darüber musst du den Kunden in Kenntnis setzen.
Member: Looser27
Looser27 Nov 27, 2018 at 06:30:16 (UTC)
Goto Top
Zitat von @Xaero1982:

Zitat von @ovu-p86:

Hallo Xaero,

mein Fehler, hab das Problem offensichtlich nicht prägnant genug geschildert.

Hier geht es nicht um meine Daten oder die Daten des AN, sondern um die Daten der Kunden des AN.
Der Datenschutz meiner Kunden ist ja bereits in meinen ABGs/Datenschutzerklärung geregelt.

Und das ist das Problem. Bspw. Ärzte unterliegen besonderen Vorschriften.

Gruss
Uwe

Du kannst das aber so nicht regeln in irgendwelchen AGB (ohne S) oder Datenschutzerklärungen. Du brauchst für deine Kunden einen Datenverarbeitungsvertrag. Dieser muss darüber in Kenntnis gesetzt werden was mit seinen Daten passiert und wofür du sie verwendest.
Sei es wie gesagt um eine Rechnung zu stellen, die Daten an die Buchhaltung zu schicken oder an eine Firma, weil du was für den Kunden kaufen möchtest, was du direkt zu dem Kunden schicken willst.
Darüber musst du den Kunden in Kenntnis setzen.

All das beschreibst Du in der Datenschutzerklärung. Der ADV beschreibt viel detaillierter, was mit Kundendaten Dritter (nicht die Daten des AG, sondern die der Kunden des AG) passiert. Und da der AG dafür.l verantwortlich ist, muss er für den entsprechenden Vertrag sorgen.
Member: Xaero1982
Xaero1982 Nov 27, 2018 at 07:38:22 (UTC)
Goto Top
Muss ich widersprechen. Es gilt genau so für die Daten des Auftraggebers, denn nicht jeder Kunde hat Kundendaten zu verarbeiten. Du verarbeitest aber die Daten deines Kunden und das muss dort rein.
Mitglied: 137960
Solution 137960 Nov 27, 2018 at 12:40:03 (UTC)
Goto Top
Uwe,

ich habe viel mit der DSGVO (und den ganzen anderen Rechtsnormen drumherum) zu tun und kann Dir quasi garantieren, dass Du einen AVV benötigst, wenn Du beim Arzt als Freelancer/Gewerbetreibender/Externer Mitarbeiter tätig wirst. Nur wenn Du beim Arzt angestellt bist oder nicht gewerblich tätig bist, brauchst Du keinen AVV. Mit "nicht gewerblich" meine ich Freundschaftsdienste. Der Arzt sollte dich dann trotzdem so etwas wie eine Verschwiegenheitserklärung unterschreiben lassen (das, was seine Angestellten auch unterschreiben sollten).

Ein AVV ist deshalb notwendig, weil es nicht "Deine Daten" sind. Der Arzt ist und bleibt Verantwortlicher im Sinne der DSGVO. Daraus ergibt sich die Konsequenz, dass Du nur Auftragsverarbeiter sein kannst. Verarbeiter wird man im Sinne der DSGVO schon, wenn man auch nur auf die Daten des Verantwortlichen gucken KÖNNTE. Als weitere Konsequenz ist ein entsprechender Vertrag (AVV) Pflicht. In dem wird eigentlich nur festgehalten, wer für die Daten verantwortlich ist (der Arzt), wer Du bist (Anschrift und so), welche Kategorien von Personen betroffen sind (Angestellte des Arztes und Patienten des Arztes, eventuell auch Dienstleister des Arztes - je nachdem, was auf dem Rechner gespeichert ist), welche Kategorien von Daten verarbeitet werden (besondere Kategorien, weil Gesundheitsdaten), was Du möglichst genau machen sollst (Wartung Betriebssystem, Update, ...), etc. Plus noch einige anderer Pflichtangaben. Du kannst Dich an den Mustern aus dem WWW orientieren. Machs nicht zu kompliziert.

Und jetzt das Wichtigste: Du bist überhaupt nicht verantwortlich für den AVV. Es ist eine "urbane Legende", dass man als Auftragsverarbeiter auch den AVV vorzulegen hat. Das geht schon alleine deshalb nicht, weil nur der für die Daten verantwortliche genau weiß, welche Daten- und Personenkategorien verarbeitet werden. Der Verantwortliche muss anhand der sog. TOMs (technische und organisatorische Maßnahmen) des Auftragverarbeiters den besten raussuchen. Die TOMs für Dich als Freelancer dürften auch kurz ausfallen: Du verschlüsselst Dein Notebook oder führst am besten überhaupt gar keine Daten von Auftraggebern auf Deinen Systemen. Auch nicht in Papierform. Dann dürften die TOMs entfallen.
Jedenfalls ist es Pflicht des AUFTRAGGEBERS, für einen AVV zu sorgen. Der bekommt von den Aufsichtsbehörden als erstes und richtig eines auf die Umme, wenn kein AVV vorliegt. Das, was man im Internet von den üblichen Verdächtigen als AVV-Vorlage erhält (Google, Facebook, ....), sind quasi Vorschläge, die es den großen Anbietern einfacher machen. Die wollen halt nicht, dass 10000 Kunden mit ihren eigenen AVV um die Ecke kommen. Leider hat sich das als Anspruchsdenken gegenüber Auftragsverarbeitern durchgesetzt.
Also noch einmal: ein AVV ist Sache des Auftraggebers bzw. für die Daten verantwortlichen. Profi-Auftragsverarbeiter können es dem Auftraggeber natürlich leichter machen, indem sie selber Vorlagen, die ihnen genehm sind, entwickeln.

Es spielt übrigens keine Rolle, ob Du vor Ort oder per Remote Desktop arbeiten würdest. Letzteres zählt zu den "Fernwartungsaufgaben", die schon von Gerichten vor der DSGVO-Zeit als (damals) ADV-pflichtig eingestuft wurden (heute nennt sich das halt AVV).
Member: ovu-p86
ovu-p86 Nov 27, 2018 updated at 20:25:01 (UTC)
Goto Top
Hallo yoppi1,

grossen Dank für deine ausführliche, anschauliche Beschreibung.
Die Zusammenhänge sind mir jetzt klarer und ich weiss für die Zukunft Bescheid.
Hat mir sehr geholfen.

Nichtsdestotrotz werde ich mich für die Zukunft optional, aus Servicegründen, um einen eigenen AVV kümmern, zumindest um ein Rahmenmuster.

Nochmals vielen Dank

Gruss
Uwe
Member: Xaero1982
Xaero1982 Nov 27, 2018 at 21:29:13 (UTC)
Goto Top
@137960, du bist glaube ich nicht ganz auf dem Laufenden bzgl. der Verantwortlichkeit zum Abschluss eines AVV, denn nach der EU DSGVO gilt nicht mehr nur, dass der Auftraggeber dafür verantwortlich ist und bei Zuwiderhandlungen zahlen muss, sondern auch der Auftragnehmer (Dienstleister).

Kannst du auch gerne z.B. hier nachlesen:
https://www.datenschutz-notizen.de/auftragsdatenverarbeitung-auftragnehm ...
Member: ovu-p86
ovu-p86 Nov 28, 2018 at 00:59:18 (UTC)
Goto Top
Hallo Xaero1982,

dazu möchte ich jetzt, für mich thematisch abschliessend, doch noch was sagen.

Genau das ist das. Diese Unklarheit der Auslegung, der eine interpretiert das so der andere so, Anwälte können auch nichts 100% sagen. Was nun? Zur Sicherheit Gewerbe aufgeben?

Obwohl, kann ja immer noch so sein, die Quelle die du da anführst ist, so interpretiere ich das, ist vom 19.12.2016 (steht ganz unten). Kann aber trotzdem so sein, das dass immer noch so gilt. Ich weiss es nicht.

Und genau das verunsichert dann in der Erkenntnisbildung. Ist das so oder so.

Dank noch mal an yoppi1.

Gruss
Uwe
Mitglied: 137960
137960 Nov 28, 2018 at 06:14:54 (UTC)
Goto Top
Danke für die Klarstellung, Xaero1982.

Mir ging es primär darum, darauf hinzuweisen, dass der für die personenbezogenen Daten Verantwortliche auch immer Verantwortlich bleibt. Es ist und bleibt seine Aufgabe, die Daten zu schützen und bei einer "Fremdverarbeitung" dafür zu sorgen, dass nur geeignete Verarbeiter als Auftragnehmer in Frage kommen.
Ich sehe deshalb die Verantwortlichen in der "Hauptpflicht", einen AVV zu formulieren. Alleine schon deshalb, weil sowohl DSGVO und BDSG-neu Anforderungen an den Verantwortlichen stellen, BEVOR überhaupt eine Auftragsvergabe statt findet. Diesen Anforderungen kann man eigentlich nur nachkommen, wenn man die DSGVO ernst nimmt. Und dann hat man sich als Verantwortlicher schon um so Dinge wie einen AVV gekümmert.

Natürlich besteht die Möglichkeit, dass ein Auftragsverarbeiter auch die Bußgeldkeule zu spüren bekommt - denn die DSGVO sieht vor, dass man vor dem Beginn der Verarbeitung einen AVV vorliegen hat.

Rechtlich ist es - nicht nur laut Einschätzung der Aufsichtsbehörden - sogar so, dass ein Auftragsverarbeiter, der ohne AVV arbeitet nicht "im Auftrag" die Daten verarbeitet, sondern selber zum Verantwortlichen über die Daten wird. Das ergibt ernsthafte Konsequenzen, weil man dann nämlich plötzlich Daten verarbeitet, die man gar nicht haben dürfte. Oder bei wo man gegenüber den Betroffenen den Informationspflichten nachkommen müsste, etc...pp...

Deshalb: Ja, bei keinem AVV ergibt sich für den Verarbeiter ebenfalls ein Problem.

Dennoch: Zuerst sind die Verantwortlichen in der Pflicht. Es ist davon auszugehen, dass Aufsichtsbehörden irgendwann einmal (wenn sie mal wieder Zeit haben face-wink) sich gerade solche Verantwortliche angucken, die mit besonderen Kategorien von Daten hantieren und diese von anderen verarbeiten lassen.

Es besteht keine Notwendigkeit, sich jetzt arbeitslos zu melden, weil einem die DSGVO nicht schmeckt. face-smile Ähnliche Bestimmungen gab es ja auch schon mit dem BDSG-alt. Es ist davon auszugehen, dass wer unter dem alten BDSG korrekt gearbeitet hat, keine wesentlichen Änderungen unter der DSGVO beachten muss. Was unter dem alten BDSG illegal war, wird auch unter der DSGVO illegal bleiben.

Am besten ist es (aus Sicht der Auftragnehmer), man baut sich einmal ein AVV-Muster zusammen und richtet sich nach der DSGVO, was die halt so vorsieht, was in einem AVV stehen soll. Bei neuen Aufträgen fragt man den Auftraggeber nach einem AVV. Wenn der keinen zur Hand hat, bietet man seinen eigenen an und bittet den Auftraggeber, ein paar Felder/Freitexte auszufüllen. Das ist ein Aufwand von ca. 10 Minuten.
Member: StefanKittel
StefanKittel Nov 28, 2018 at 07:12:58 (UTC)
Goto Top
Meine Interpretation: Die Verantwortung des AN liegt in der Kenntniss wenn es keinen AVV gibt.
Wenn man ohne AVV arbeitet, dann hat man Kenntniss von einer Straftat und unterstützt diese.
Und wenn man in diesem Bereich arbeitet muss man auch die Fähigkeit habe dies beurteilen zu können.
Also macht man sich selber strafbar.
Stefan
Member: ovu-p86
ovu-p86 Nov 29, 2018 updated at 03:13:50 (UTC)
Goto Top
Hallo,

möchte doch noch mal eine konkrete Frage stellen, beschäftigt mich zutiefst, deshalb noch so spät.

Was soll ich eigentlich eintragen, bei einem Vor-Ort Termin, wenn ich bspw. einen nichtstartenden PC hard- bzw. softwaremässig analysiere und entsprechend wiederbeleben soll.

Wie ich das jetzt verstanden habe, bin ich jetzt Auftragsdatenverarbeiter.
(Hoffe, dass es klar bei dieser Frage ist, es geht hier um die Daten der Kunden/Mitarbeiter des AG. Nicht um die Daten des AG selber, dem ich mit seinen eigenen Daten später eine Rechnung stelle. Dafür habe ich ja meine AGB u. Datenschutzerklärung)

Frage:
Hier liegt mein Problem.
Was soll ich, vorher, wenn ich an Hardware, dem Betriebssystem arbeiten will, um ein Problem zu lösen, in den AVV schreiben, bei:
- Verarbeitungsgegenstand
- Art u. Zweck der Verarbeitung
- Art der Daten
- Kategorien der betroffenen Personen

Wahrscheinlich ne blöde Frage.
Aber, kann ja überhaupt nicht überblicken, bin mir überhaupt nicht bewusst welche Kundendaten des AG ich bei bspw. bei der Wiederbelebung des PC vermeintlich verarbeitet habe. Und wenn ich den AG danach frage hält der mich für bekloppt.

Symphatisch, könnte selbst ich gut ausfüllen, ist dieses Muster, ist aber kein echter AVV:
Wartungsvertrag

(Geht mir hier nicht ums rechthaben, ist einfach eine totale Verunsicherung, trotz weitergehender Recherche. Für konstruktive Antworten bin ich sehr dankbar. Es kann doch nicht sein, dass ich als einziger so blöd bin, da keine eindeutige Vorgehensweise zu finden. Das betrifft doch eigentlich eine grössere Gruppe der Nutzer dieses Forums. Stelle mich aber schon auf schlimmste Beschimpfungen ein. Ist doch eigentlich alles klar, geklärt.. Na gut.)

Über Antworten zu meiner eigentlichen Frage, was ich da für den Fall vorher eintragen soll, bin ich dankbar.

Gruss
Uwe

______________________________________________________________________________

Kleine Kritik an der praktischen Umsetzung des AV-Vertrags-DSGVO:
Nicht das ich da in eine falsche Ecke gestellt werde, finde Datenschutz extrem wichtig. Aber die Ausführung ist schwierig, selbst wenn man null Interesse an Ausnutzung/Auswertung fremder Daten hat. Da wird man allein gelassen. Die Interpretationen ob im Fall einer Systemwartung/Problembehebung eine AV nötig ist, gehen von nein, bei Bitkom bis hin zu lda.bayern, ja. Wobei das alles weiter diskutiert wird. Und ganz erschreckend, die wohl früher zielführenden Links der diversen Beiträge die Bezug auf Bitkom oder lda.bayern hatten, landen aktuell jetzt entweder auf "Seite nicht mehr vorhanden" oder auf der "Startseite".

Und was soll so einer wie ich jetzt machen?
Selbst grössere Firmen vertreten, als Hinweis, nach wie vor die Meinung von Bitkom, und liefern bei reinen Wartungsarbeiten keinen AVV.

NEIN, gedacht war die DSGVO ja die Datenkraken an der Ausnutzung persönlicher Daten zu hindern. Wie so oft findet jetzt aber eine über den gesamten Kamm gescherte Regelung statt. Die LDAs bieten auch keine Hilfe in Form von Mustern. Für bestimmte Gruppen schon, aber nicht für den Bereich der PC-System-Wartung. Da sind die wahrscheinlich selber noch nicht ganz klar. Also abgeladen auf den AN.

Winzige Anmerkung für die Hardliner:
War das o.g. nicht das eigentliche Ziel der DSGVO? Ist es wirklich sinnvoll selbst Tätigkeiten wie Wartungsarbeiten am System einer AV zu unterstellen? Warum geben die LDAs nicht Hilfestellung in Form von rechtsverbindlichen Mustern für Arbeiten dieser Art? Warum gibt es da keine eindeutige Meinung?

Und wie das bei kleingedrucktem immer so ist, der das ellenlang formuliert ist im Vorteil. Liest dann eh keiner. Cookies, etc. Meldungen werden ja inzwischen automatisch weggeklickt. Das Gefährliche: Gewöhnung tritt ein, überträgt sich auf andere wichtige Meldungen.
Warum nicht klare Sprache im Sinne des Ziels. So wie es jetzt ist, sind beide verunsichert, Anbieter und Nutzer.

Nichtsdestotrotz, bitte jetzt nochmal nach oben, meine eigentliche, konkrete Frage. Über Antworten bin ich dankbar.
Member: Looser27
Looser27 Nov 29, 2018 at 06:32:06 (UTC)
Goto Top
Den AV machst Du einmal pro Kunde. Beschreibe alle in Frage kommenden Tätigkeiten darin.
Von daher evtl. Muster ablegen für die typischen Kunden. Diese ziehst Du dann aus der Tasche.
Member: StefanKittel
StefanKittel Nov 29, 2018 at 06:41:22 (UTC)
Goto Top
Moin,

ich habe ein Standard-AVV vom Verband.
Darin ist beschrieben wie ich mit Daten von Kunden umgehe, wie wir in der Firma damit umgehen, wie Datenträger gelöscht werden, wie unsere IT gesichert ist, Subunternehmer wie z.B. Teamviewer, etc...

Dort trägt der Kunde nur noch seine Stammdaten, die Art der Daten, den Kreis der Betroffenen und besondere Anforderungen ein.
Den kann man auch schnell von Hand ausfüllen.

Für einige Kunden passen wir den AVV dann an.

Stefan
Member: Carlos1964
Carlos1964 Dec 03, 2018 at 20:10:19 (UTC)
Goto Top
Hallo Zusammen,

habe mir den Beitrag und deren Postings mal genau durchgelesen, da ich selber seit fast 25 Jahren in der Medizintechnik tätig bin.
Da ich mit Krankenhäusern, niedergelassenen Ärzten und mit den Krankenkassen zu tun habe, ist natürlich Datenschutz und vor allem
der Datenschutz der Patienten mein täglich Brot.
Ich spreche hier von Daten, welche Sozialversicherungsnummer, Krankengeschichten, Behandlungen, Leistungen der Krankenkassen, usw.
beinhalten. Also der ganz harte Stoff...
Wie meine Vereinbarungen mit den Institutionen aussieht, könnt ihr euch vielleicht vorstellen.

Viel wichtiger ist, auch ich habe durch meine sehr Umfangreiche Software einen Partner der mir in manch Administrativen weise Unterstützung bietet. Dieser hat natürlich Zugang zu all den sensiblen Daten!
Ich rate dir zu einer Verschwiegenheits Vereinbarung zwischen deinem Unternehmen und dem Arzt!
Weiters sollte festgehalten werden das durch dein Unternehmen keinerlei Patientendaten auf deinem System dupliziert und gespeichert werden.
Zusätzlich sollten alle möglichen Mitarbeiter von dir Namentlich genannt werden. Und diese haben die Vereinbarung auch zu Unterschreiben.
Ne Beschreibung, falls Notwendig, wie die Daten bei dir gemäß DSGVO gelöscht werden sollte auch enthalten sein.
Schaffe eine schlanke Überschaubare Struktur, dann bist du sehr gut Abgesichert und macht dir kein Kopfweh.

Die DSGVO schafft schon die eine oder andere Verwirrung, aber Leute lasst euch dadurch nicht fertig machen...
Die "Was wäre wenn" Diskussionen gehen in der Regel stark am Realismus vorbei.
Gesunder Hausverstand löst immer noch viele Probleme