DSGVO - Arbeiten am PC bei Ärzten
Hallo,
will bei einem Arzt Vor-Ort Arbeiten an PC, Betriebssystem und Software vornehmen.
Bin ich dann Auftragsdatenverarbeiter?
Wie geht ihr damit um wenn ihr bei einem Arzt, o.ä. einen Auftrag durchführt?
Habe mir bei activemind ein AV-Vertrags-Muster heruntergeladen.
Musterformular activemind
Ist meiner Ansicht aber viel zu kompliziert für meinen Fall.
Nichtstartender PC, Behebung Vor-Ort.
Nochmal die Frage:
Wie geht ihr damit um wenn ihr bei einem Arzt, o.ä. einen Auftrag durchführt?
- Habt ihr einen guten Link für ein Musterformular?
Dank im Voraus
Gruss
Uwe
will bei einem Arzt Vor-Ort Arbeiten an PC, Betriebssystem und Software vornehmen.
Bin ich dann Auftragsdatenverarbeiter?
Wie geht ihr damit um wenn ihr bei einem Arzt, o.ä. einen Auftrag durchführt?
Habe mir bei activemind ein AV-Vertrags-Muster heruntergeladen.
Musterformular activemind
Ist meiner Ansicht aber viel zu kompliziert für meinen Fall.
Nichtstartender PC, Behebung Vor-Ort.
Nochmal die Frage:
Wie geht ihr damit um wenn ihr bei einem Arzt, o.ä. einen Auftrag durchführt?
- Habt ihr einen guten Link für ein Musterformular?
Dank im Voraus
Gruss
Uwe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 393936
Url: https://administrator.de/forum/dsgvo-arbeiten-am-pc-bei-aerzten-393936.html
Ausgedruckt am: 25.12.2024 um 05:12 Uhr
27 Kommentare
Neuester Kommentar
Hallo,
ja, ist notwendig und ja, es muss so kompliziert sein und ja, es muss an den Kunden spezifisch angepasst werden.
Aber das ist sein Problem, nicht Deines.
Er kann einen AVV von Dir verlangen und dann must Du ihm einen Standardvertrag geben den er ausfüllt.
Wenn er das nicht macht/will ist es sein Problem nicht Deines. Die Daten sind ja in seinem Verantwortungsbereich.
Es gibt genug Vorlagen die man günstig kaufen und anpassen kann.
Viel Spass damit.
Stefan
ja, ist notwendig und ja, es muss so kompliziert sein und ja, es muss an den Kunden spezifisch angepasst werden.
Aber das ist sein Problem, nicht Deines.
Er kann einen AVV von Dir verlangen und dann must Du ihm einen Standardvertrag geben den er ausfüllt.
Wenn er das nicht macht/will ist es sein Problem nicht Deines. Die Daten sind ja in seinem Verantwortungsbereich.
Es gibt genug Vorlagen die man günstig kaufen und anpassen kann.
Viel Spass damit.
Stefan
Moin...
Wie geht ihr damit um wenn ihr bei einem Arzt, o.ä. einen Auftrag durchführt?
neben der Auftragsverarbeitung wird noch eine verschwiegenheitserklärung von dir benötigt!
Habe mir bei activemind ein AV-Vertrags-Muster heruntergeladen.
Musterformular activemind
Ist meiner Ansicht aber viel zu kompliziert für meinen Fall.
nee... ist es nicht
Nochmal die Frage:
Wie geht ihr damit um wenn ihr bei einem Arzt, o.ä. einen Auftrag durchführt?
- Habt ihr einen guten Link für ein Musterformular?
wir haben das ausgearbeitet...das Musterfomular ist nur ein Rahmen...
Dank im Voraus
Gruss
Uwe
Frank
Zitat von @ovu-p86:
Hallo,
will bei einem Arzt Vor-Ort Arbeiten an PC, Betriebssystem und Software vornehmen.
Bin ich dann Auftragsdatenverarbeiter?
ja, das bist du!Hallo,
will bei einem Arzt Vor-Ort Arbeiten an PC, Betriebssystem und Software vornehmen.
Bin ich dann Auftragsdatenverarbeiter?
Wie geht ihr damit um wenn ihr bei einem Arzt, o.ä. einen Auftrag durchführt?
Habe mir bei activemind ein AV-Vertrags-Muster heruntergeladen.
Musterformular activemind
Ist meiner Ansicht aber viel zu kompliziert für meinen Fall.
Nichtstartender PC, Behebung Vor-Ort.
jo.. und wenn der startet, schaust du denn wech?Nochmal die Frage:
Wie geht ihr damit um wenn ihr bei einem Arzt, o.ä. einen Auftrag durchführt?
- Habt ihr einen guten Link für ein Musterformular?
Dank im Voraus
Gruss
Uwe
Moin...
Er kann einen AVV von Dir verlangen und dann must Du ihm einen Standardvertrag geben den er ausfüllt.
auch Falsch, nicht der Kunde soll das Ausfüllen, sondern der AV... der kunde soll ja wissen, was mit seinen Daten passiert, und wer alles beteiligt ist!
Beispiel: Festplatte ist kaputt, Kollege in der Werkstatt soll es richten.... was passiert mit der Festplatte genau, und wer ist der Kollege....
der kunde darf allerdings sowas streichen!
Beispiel: der Kollege in der Werkstatt findet auf der HDD Patientenbilder, die sooo witzig sind, das sie bei Frazebook hochgeladen werden...
jetzt haftet der AV!
ich hoffe du hast einen Datenschutzbeauftragten!
Es gibt genug Vorlagen die man günstig kaufen kann.
in der regel ist das aber nicht auf alle Tätigkeiten abbildbar... da sollten RA´s und Datenschutzbeauftragte was ausarbeiten!
Stefan
Frank
Zitat von @StefanKittel:
Hallo,
ja, ist notwendig und ja, es muss so kompliziert sein und ja, es muss an den Kunden spezifisch angepasst werden.
Aber das ist sein Problem, nicht Deines.
das ist aber Falsch! der Auftragsdatenverarbeiter muss dem Kunden seinen Vertrag vorlegen, schließlich steht ja da drin, was er macht, und was nicht.. usw...Hallo,
ja, ist notwendig und ja, es muss so kompliziert sein und ja, es muss an den Kunden spezifisch angepasst werden.
Aber das ist sein Problem, nicht Deines.
Er kann einen AVV von Dir verlangen und dann must Du ihm einen Standardvertrag geben den er ausfüllt.
Beispiel: Festplatte ist kaputt, Kollege in der Werkstatt soll es richten.... was passiert mit der Festplatte genau, und wer ist der Kollege....
der kunde darf allerdings sowas streichen!
Wenn er das nicht macht/will ist es sein Problem nicht Deines. Die Daten sind ja in seinem Verantwortungsbereich.
auch Falsch...der AV übernimmt die mitverantwortung der Daten, bei der verarbeitung!Beispiel: der Kollege in der Werkstatt findet auf der HDD Patientenbilder, die sooo witzig sind, das sie bei Frazebook hochgeladen werden...
jetzt haftet der AV!
ich hoffe du hast einen Datenschutzbeauftragten!
Es gibt genug Vorlagen die man günstig kaufen kann.
Viel Spass damit.
Stefan
Hi Uwe,
willst du ihm eine Rechnung stellen, die du mit einer Software erstellst? Oder willste ihm die handschriftlich überreichen?
Ist ersteres der Fall brauchst du den Vertrag schon mal, weil du seine Daten (Name, Anschrift) verarbeitest.
Hast du eine Buchhaltung die das für dich dann alles abrechnet etc. dann brauchst du es auf jeden Fall, weil deine Buchhaltung dann ebenfalls die Daten deines Kunden verarbeitest.
Das mit der Verschwiegenheitserklärung sehe ich allerdings anders. Wenn ein Kunde von mir Verschwiegenheit verlangt - ich sehe das zwar als selbstverständlich an - dann soll er mir einen entsprechenden Vertrag geben, den ich dann gerne unterzeichne. Von mir bekommt er keinen, weil er ja gerne über meine super Leistung beim Golfen mit den Kollegen sprechen soll
VG
X
willst du ihm eine Rechnung stellen, die du mit einer Software erstellst? Oder willste ihm die handschriftlich überreichen?
Ist ersteres der Fall brauchst du den Vertrag schon mal, weil du seine Daten (Name, Anschrift) verarbeitest.
Hast du eine Buchhaltung die das für dich dann alles abrechnet etc. dann brauchst du es auf jeden Fall, weil deine Buchhaltung dann ebenfalls die Daten deines Kunden verarbeitest.
Das mit der Verschwiegenheitserklärung sehe ich allerdings anders. Wenn ein Kunde von mir Verschwiegenheit verlangt - ich sehe das zwar als selbstverständlich an - dann soll er mir einen entsprechenden Vertrag geben, den ich dann gerne unterzeichne. Von mir bekommt er keinen, weil er ja gerne über meine super Leistung beim Golfen mit den Kollegen sprechen soll
VG
X
Moin,
Mannomann, bin ich froh, dass ich meinen ScheiXX selber machen kann!
LG, Thomas
wo ich ja nur Vor-Ort an der Hardware, ggf. am Betriebssystem arbeite.
was genau hast Du an dem Wort Datenschutz nicht verstanden? Du fummelst da an irgendwelcher Hard- und/oder Software rum, kann ja auch auf dem Server sein - und daaaaann: Server tot, Daten wech ... weil nicht vor Dir geschützt Mannomann, bin ich froh, dass ich meinen ScheiXX selber machen kann!
LG, Thomas
Moin...
du brauchst auf jedenfall beides!
Muster eines "Auftragsverarbeitungs-Vertrages" auf der Grundlage der EU Datenschutz-Grundverordnung
Frank
neben der Auftragsverarbeitung wird noch eine verschwiegenheitserklärung von dir benötigt!
was verstehst du daran nicht?du brauchst auf jedenfall beides!
Muster eines "Auftragsverarbeitungs-Vertrages" auf der Grundlage der EU Datenschutz-Grundverordnung
Frank
Zitat von @ovu-p86:
Hallo Xaero,
mein Fehler, hab das Problem offensichtlich nicht prägnant genug geschildert.
Hier geht es nicht um meine Daten oder die Daten des AN, sondern um die Daten der Kunden des AN.
Der Datenschutz meiner Kunden ist ja bereits in meinen ABGs/Datenschutzerklärung geregelt.
Und das ist das Problem. Bspw. Ärzte unterliegen besonderen Vorschriften.
Gruss
Uwe
Hallo Xaero,
mein Fehler, hab das Problem offensichtlich nicht prägnant genug geschildert.
Hier geht es nicht um meine Daten oder die Daten des AN, sondern um die Daten der Kunden des AN.
Der Datenschutz meiner Kunden ist ja bereits in meinen ABGs/Datenschutzerklärung geregelt.
Und das ist das Problem. Bspw. Ärzte unterliegen besonderen Vorschriften.
Gruss
Uwe
Du kannst das aber so nicht regeln in irgendwelchen AGB (ohne S) oder Datenschutzerklärungen. Du brauchst für deine Kunden einen Datenverarbeitungsvertrag. Dieser muss darüber in Kenntnis gesetzt werden was mit seinen Daten passiert und wofür du sie verwendest.
Sei es wie gesagt um eine Rechnung zu stellen, die Daten an die Buchhaltung zu schicken oder an eine Firma, weil du was für den Kunden kaufen möchtest, was du direkt zu dem Kunden schicken willst.
Darüber musst du den Kunden in Kenntnis setzen.
Zitat von @Xaero1982:
Du kannst das aber so nicht regeln in irgendwelchen AGB (ohne S) oder Datenschutzerklärungen. Du brauchst für deine Kunden einen Datenverarbeitungsvertrag. Dieser muss darüber in Kenntnis gesetzt werden was mit seinen Daten passiert und wofür du sie verwendest.
Sei es wie gesagt um eine Rechnung zu stellen, die Daten an die Buchhaltung zu schicken oder an eine Firma, weil du was für den Kunden kaufen möchtest, was du direkt zu dem Kunden schicken willst.
Darüber musst du den Kunden in Kenntnis setzen.
Zitat von @ovu-p86:
Hallo Xaero,
mein Fehler, hab das Problem offensichtlich nicht prägnant genug geschildert.
Hier geht es nicht um meine Daten oder die Daten des AN, sondern um die Daten der Kunden des AN.
Der Datenschutz meiner Kunden ist ja bereits in meinen ABGs/Datenschutzerklärung geregelt.
Und das ist das Problem. Bspw. Ärzte unterliegen besonderen Vorschriften.
Gruss
Uwe
Hallo Xaero,
mein Fehler, hab das Problem offensichtlich nicht prägnant genug geschildert.
Hier geht es nicht um meine Daten oder die Daten des AN, sondern um die Daten der Kunden des AN.
Der Datenschutz meiner Kunden ist ja bereits in meinen ABGs/Datenschutzerklärung geregelt.
Und das ist das Problem. Bspw. Ärzte unterliegen besonderen Vorschriften.
Gruss
Uwe
Du kannst das aber so nicht regeln in irgendwelchen AGB (ohne S) oder Datenschutzerklärungen. Du brauchst für deine Kunden einen Datenverarbeitungsvertrag. Dieser muss darüber in Kenntnis gesetzt werden was mit seinen Daten passiert und wofür du sie verwendest.
Sei es wie gesagt um eine Rechnung zu stellen, die Daten an die Buchhaltung zu schicken oder an eine Firma, weil du was für den Kunden kaufen möchtest, was du direkt zu dem Kunden schicken willst.
Darüber musst du den Kunden in Kenntnis setzen.
All das beschreibst Du in der Datenschutzerklärung. Der ADV beschreibt viel detaillierter, was mit Kundendaten Dritter (nicht die Daten des AG, sondern die der Kunden des AG) passiert. Und da der AG dafür.l verantwortlich ist, muss er für den entsprechenden Vertrag sorgen.
Uwe,
ich habe viel mit der DSGVO (und den ganzen anderen Rechtsnormen drumherum) zu tun und kann Dir quasi garantieren, dass Du einen AVV benötigst, wenn Du beim Arzt als Freelancer/Gewerbetreibender/Externer Mitarbeiter tätig wirst. Nur wenn Du beim Arzt angestellt bist oder nicht gewerblich tätig bist, brauchst Du keinen AVV. Mit "nicht gewerblich" meine ich Freundschaftsdienste. Der Arzt sollte dich dann trotzdem so etwas wie eine Verschwiegenheitserklärung unterschreiben lassen (das, was seine Angestellten auch unterschreiben sollten).
Ein AVV ist deshalb notwendig, weil es nicht "Deine Daten" sind. Der Arzt ist und bleibt Verantwortlicher im Sinne der DSGVO. Daraus ergibt sich die Konsequenz, dass Du nur Auftragsverarbeiter sein kannst. Verarbeiter wird man im Sinne der DSGVO schon, wenn man auch nur auf die Daten des Verantwortlichen gucken KÖNNTE. Als weitere Konsequenz ist ein entsprechender Vertrag (AVV) Pflicht. In dem wird eigentlich nur festgehalten, wer für die Daten verantwortlich ist (der Arzt), wer Du bist (Anschrift und so), welche Kategorien von Personen betroffen sind (Angestellte des Arztes und Patienten des Arztes, eventuell auch Dienstleister des Arztes - je nachdem, was auf dem Rechner gespeichert ist), welche Kategorien von Daten verarbeitet werden (besondere Kategorien, weil Gesundheitsdaten), was Du möglichst genau machen sollst (Wartung Betriebssystem, Update, ...), etc. Plus noch einige anderer Pflichtangaben. Du kannst Dich an den Mustern aus dem WWW orientieren. Machs nicht zu kompliziert.
Und jetzt das Wichtigste: Du bist überhaupt nicht verantwortlich für den AVV. Es ist eine "urbane Legende", dass man als Auftragsverarbeiter auch den AVV vorzulegen hat. Das geht schon alleine deshalb nicht, weil nur der für die Daten verantwortliche genau weiß, welche Daten- und Personenkategorien verarbeitet werden. Der Verantwortliche muss anhand der sog. TOMs (technische und organisatorische Maßnahmen) des Auftragverarbeiters den besten raussuchen. Die TOMs für Dich als Freelancer dürften auch kurz ausfallen: Du verschlüsselst Dein Notebook oder führst am besten überhaupt gar keine Daten von Auftraggebern auf Deinen Systemen. Auch nicht in Papierform. Dann dürften die TOMs entfallen.
Jedenfalls ist es Pflicht des AUFTRAGGEBERS, für einen AVV zu sorgen. Der bekommt von den Aufsichtsbehörden als erstes und richtig eines auf die Umme, wenn kein AVV vorliegt. Das, was man im Internet von den üblichen Verdächtigen als AVV-Vorlage erhält (Google, Facebook, ....), sind quasi Vorschläge, die es den großen Anbietern einfacher machen. Die wollen halt nicht, dass 10000 Kunden mit ihren eigenen AVV um die Ecke kommen. Leider hat sich das als Anspruchsdenken gegenüber Auftragsverarbeitern durchgesetzt.
Also noch einmal: ein AVV ist Sache des Auftraggebers bzw. für die Daten verantwortlichen. Profi-Auftragsverarbeiter können es dem Auftraggeber natürlich leichter machen, indem sie selber Vorlagen, die ihnen genehm sind, entwickeln.
Es spielt übrigens keine Rolle, ob Du vor Ort oder per Remote Desktop arbeiten würdest. Letzteres zählt zu den "Fernwartungsaufgaben", die schon von Gerichten vor der DSGVO-Zeit als (damals) ADV-pflichtig eingestuft wurden (heute nennt sich das halt AVV).
ich habe viel mit der DSGVO (und den ganzen anderen Rechtsnormen drumherum) zu tun und kann Dir quasi garantieren, dass Du einen AVV benötigst, wenn Du beim Arzt als Freelancer/Gewerbetreibender/Externer Mitarbeiter tätig wirst. Nur wenn Du beim Arzt angestellt bist oder nicht gewerblich tätig bist, brauchst Du keinen AVV. Mit "nicht gewerblich" meine ich Freundschaftsdienste. Der Arzt sollte dich dann trotzdem so etwas wie eine Verschwiegenheitserklärung unterschreiben lassen (das, was seine Angestellten auch unterschreiben sollten).
Ein AVV ist deshalb notwendig, weil es nicht "Deine Daten" sind. Der Arzt ist und bleibt Verantwortlicher im Sinne der DSGVO. Daraus ergibt sich die Konsequenz, dass Du nur Auftragsverarbeiter sein kannst. Verarbeiter wird man im Sinne der DSGVO schon, wenn man auch nur auf die Daten des Verantwortlichen gucken KÖNNTE. Als weitere Konsequenz ist ein entsprechender Vertrag (AVV) Pflicht. In dem wird eigentlich nur festgehalten, wer für die Daten verantwortlich ist (der Arzt), wer Du bist (Anschrift und so), welche Kategorien von Personen betroffen sind (Angestellte des Arztes und Patienten des Arztes, eventuell auch Dienstleister des Arztes - je nachdem, was auf dem Rechner gespeichert ist), welche Kategorien von Daten verarbeitet werden (besondere Kategorien, weil Gesundheitsdaten), was Du möglichst genau machen sollst (Wartung Betriebssystem, Update, ...), etc. Plus noch einige anderer Pflichtangaben. Du kannst Dich an den Mustern aus dem WWW orientieren. Machs nicht zu kompliziert.
Und jetzt das Wichtigste: Du bist überhaupt nicht verantwortlich für den AVV. Es ist eine "urbane Legende", dass man als Auftragsverarbeiter auch den AVV vorzulegen hat. Das geht schon alleine deshalb nicht, weil nur der für die Daten verantwortliche genau weiß, welche Daten- und Personenkategorien verarbeitet werden. Der Verantwortliche muss anhand der sog. TOMs (technische und organisatorische Maßnahmen) des Auftragverarbeiters den besten raussuchen. Die TOMs für Dich als Freelancer dürften auch kurz ausfallen: Du verschlüsselst Dein Notebook oder führst am besten überhaupt gar keine Daten von Auftraggebern auf Deinen Systemen. Auch nicht in Papierform. Dann dürften die TOMs entfallen.
Jedenfalls ist es Pflicht des AUFTRAGGEBERS, für einen AVV zu sorgen. Der bekommt von den Aufsichtsbehörden als erstes und richtig eines auf die Umme, wenn kein AVV vorliegt. Das, was man im Internet von den üblichen Verdächtigen als AVV-Vorlage erhält (Google, Facebook, ....), sind quasi Vorschläge, die es den großen Anbietern einfacher machen. Die wollen halt nicht, dass 10000 Kunden mit ihren eigenen AVV um die Ecke kommen. Leider hat sich das als Anspruchsdenken gegenüber Auftragsverarbeitern durchgesetzt.
Also noch einmal: ein AVV ist Sache des Auftraggebers bzw. für die Daten verantwortlichen. Profi-Auftragsverarbeiter können es dem Auftraggeber natürlich leichter machen, indem sie selber Vorlagen, die ihnen genehm sind, entwickeln.
Es spielt übrigens keine Rolle, ob Du vor Ort oder per Remote Desktop arbeiten würdest. Letzteres zählt zu den "Fernwartungsaufgaben", die schon von Gerichten vor der DSGVO-Zeit als (damals) ADV-pflichtig eingestuft wurden (heute nennt sich das halt AVV).
@137960, du bist glaube ich nicht ganz auf dem Laufenden bzgl. der Verantwortlichkeit zum Abschluss eines AVV, denn nach der EU DSGVO gilt nicht mehr nur, dass der Auftraggeber dafür verantwortlich ist und bei Zuwiderhandlungen zahlen muss, sondern auch der Auftragnehmer (Dienstleister).
Kannst du auch gerne z.B. hier nachlesen:
https://www.datenschutz-notizen.de/auftragsdatenverarbeitung-auftragnehm ...
Kannst du auch gerne z.B. hier nachlesen:
https://www.datenschutz-notizen.de/auftragsdatenverarbeitung-auftragnehm ...
Danke für die Klarstellung, Xaero1982.
Mir ging es primär darum, darauf hinzuweisen, dass der für die personenbezogenen Daten Verantwortliche auch immer Verantwortlich bleibt. Es ist und bleibt seine Aufgabe, die Daten zu schützen und bei einer "Fremdverarbeitung" dafür zu sorgen, dass nur geeignete Verarbeiter als Auftragnehmer in Frage kommen.
Ich sehe deshalb die Verantwortlichen in der "Hauptpflicht", einen AVV zu formulieren. Alleine schon deshalb, weil sowohl DSGVO und BDSG-neu Anforderungen an den Verantwortlichen stellen, BEVOR überhaupt eine Auftragsvergabe statt findet. Diesen Anforderungen kann man eigentlich nur nachkommen, wenn man die DSGVO ernst nimmt. Und dann hat man sich als Verantwortlicher schon um so Dinge wie einen AVV gekümmert.
Natürlich besteht die Möglichkeit, dass ein Auftragsverarbeiter auch die Bußgeldkeule zu spüren bekommt - denn die DSGVO sieht vor, dass man vor dem Beginn der Verarbeitung einen AVV vorliegen hat.
Rechtlich ist es - nicht nur laut Einschätzung der Aufsichtsbehörden - sogar so, dass ein Auftragsverarbeiter, der ohne AVV arbeitet nicht "im Auftrag" die Daten verarbeitet, sondern selber zum Verantwortlichen über die Daten wird. Das ergibt ernsthafte Konsequenzen, weil man dann nämlich plötzlich Daten verarbeitet, die man gar nicht haben dürfte. Oder bei wo man gegenüber den Betroffenen den Informationspflichten nachkommen müsste, etc...pp...
Deshalb: Ja, bei keinem AVV ergibt sich für den Verarbeiter ebenfalls ein Problem.
Dennoch: Zuerst sind die Verantwortlichen in der Pflicht. Es ist davon auszugehen, dass Aufsichtsbehörden irgendwann einmal (wenn sie mal wieder Zeit haben ) sich gerade solche Verantwortliche angucken, die mit besonderen Kategorien von Daten hantieren und diese von anderen verarbeiten lassen.
Es besteht keine Notwendigkeit, sich jetzt arbeitslos zu melden, weil einem die DSGVO nicht schmeckt. Ähnliche Bestimmungen gab es ja auch schon mit dem BDSG-alt. Es ist davon auszugehen, dass wer unter dem alten BDSG korrekt gearbeitet hat, keine wesentlichen Änderungen unter der DSGVO beachten muss. Was unter dem alten BDSG illegal war, wird auch unter der DSGVO illegal bleiben.
Am besten ist es (aus Sicht der Auftragnehmer), man baut sich einmal ein AVV-Muster zusammen und richtet sich nach der DSGVO, was die halt so vorsieht, was in einem AVV stehen soll. Bei neuen Aufträgen fragt man den Auftraggeber nach einem AVV. Wenn der keinen zur Hand hat, bietet man seinen eigenen an und bittet den Auftraggeber, ein paar Felder/Freitexte auszufüllen. Das ist ein Aufwand von ca. 10 Minuten.
Mir ging es primär darum, darauf hinzuweisen, dass der für die personenbezogenen Daten Verantwortliche auch immer Verantwortlich bleibt. Es ist und bleibt seine Aufgabe, die Daten zu schützen und bei einer "Fremdverarbeitung" dafür zu sorgen, dass nur geeignete Verarbeiter als Auftragnehmer in Frage kommen.
Ich sehe deshalb die Verantwortlichen in der "Hauptpflicht", einen AVV zu formulieren. Alleine schon deshalb, weil sowohl DSGVO und BDSG-neu Anforderungen an den Verantwortlichen stellen, BEVOR überhaupt eine Auftragsvergabe statt findet. Diesen Anforderungen kann man eigentlich nur nachkommen, wenn man die DSGVO ernst nimmt. Und dann hat man sich als Verantwortlicher schon um so Dinge wie einen AVV gekümmert.
Natürlich besteht die Möglichkeit, dass ein Auftragsverarbeiter auch die Bußgeldkeule zu spüren bekommt - denn die DSGVO sieht vor, dass man vor dem Beginn der Verarbeitung einen AVV vorliegen hat.
Rechtlich ist es - nicht nur laut Einschätzung der Aufsichtsbehörden - sogar so, dass ein Auftragsverarbeiter, der ohne AVV arbeitet nicht "im Auftrag" die Daten verarbeitet, sondern selber zum Verantwortlichen über die Daten wird. Das ergibt ernsthafte Konsequenzen, weil man dann nämlich plötzlich Daten verarbeitet, die man gar nicht haben dürfte. Oder bei wo man gegenüber den Betroffenen den Informationspflichten nachkommen müsste, etc...pp...
Deshalb: Ja, bei keinem AVV ergibt sich für den Verarbeiter ebenfalls ein Problem.
Dennoch: Zuerst sind die Verantwortlichen in der Pflicht. Es ist davon auszugehen, dass Aufsichtsbehörden irgendwann einmal (wenn sie mal wieder Zeit haben ) sich gerade solche Verantwortliche angucken, die mit besonderen Kategorien von Daten hantieren und diese von anderen verarbeiten lassen.
Es besteht keine Notwendigkeit, sich jetzt arbeitslos zu melden, weil einem die DSGVO nicht schmeckt. Ähnliche Bestimmungen gab es ja auch schon mit dem BDSG-alt. Es ist davon auszugehen, dass wer unter dem alten BDSG korrekt gearbeitet hat, keine wesentlichen Änderungen unter der DSGVO beachten muss. Was unter dem alten BDSG illegal war, wird auch unter der DSGVO illegal bleiben.
Am besten ist es (aus Sicht der Auftragnehmer), man baut sich einmal ein AVV-Muster zusammen und richtet sich nach der DSGVO, was die halt so vorsieht, was in einem AVV stehen soll. Bei neuen Aufträgen fragt man den Auftraggeber nach einem AVV. Wenn der keinen zur Hand hat, bietet man seinen eigenen an und bittet den Auftraggeber, ein paar Felder/Freitexte auszufüllen. Das ist ein Aufwand von ca. 10 Minuten.
Meine Interpretation: Die Verantwortung des AN liegt in der Kenntniss wenn es keinen AVV gibt.
Wenn man ohne AVV arbeitet, dann hat man Kenntniss von einer Straftat und unterstützt diese.
Und wenn man in diesem Bereich arbeitet muss man auch die Fähigkeit habe dies beurteilen zu können.
Also macht man sich selber strafbar.
Stefan
Wenn man ohne AVV arbeitet, dann hat man Kenntniss von einer Straftat und unterstützt diese.
Und wenn man in diesem Bereich arbeitet muss man auch die Fähigkeit habe dies beurteilen zu können.
Also macht man sich selber strafbar.
Stefan
Moin,
ich habe ein Standard-AVV vom Verband.
Darin ist beschrieben wie ich mit Daten von Kunden umgehe, wie wir in der Firma damit umgehen, wie Datenträger gelöscht werden, wie unsere IT gesichert ist, Subunternehmer wie z.B. Teamviewer, etc...
Dort trägt der Kunde nur noch seine Stammdaten, die Art der Daten, den Kreis der Betroffenen und besondere Anforderungen ein.
Den kann man auch schnell von Hand ausfüllen.
Für einige Kunden passen wir den AVV dann an.
Stefan
ich habe ein Standard-AVV vom Verband.
Darin ist beschrieben wie ich mit Daten von Kunden umgehe, wie wir in der Firma damit umgehen, wie Datenträger gelöscht werden, wie unsere IT gesichert ist, Subunternehmer wie z.B. Teamviewer, etc...
Dort trägt der Kunde nur noch seine Stammdaten, die Art der Daten, den Kreis der Betroffenen und besondere Anforderungen ein.
Den kann man auch schnell von Hand ausfüllen.
Für einige Kunden passen wir den AVV dann an.
Stefan
Hallo Zusammen,
habe mir den Beitrag und deren Postings mal genau durchgelesen, da ich selber seit fast 25 Jahren in der Medizintechnik tätig bin.
Da ich mit Krankenhäusern, niedergelassenen Ärzten und mit den Krankenkassen zu tun habe, ist natürlich Datenschutz und vor allem
der Datenschutz der Patienten mein täglich Brot.
Ich spreche hier von Daten, welche Sozialversicherungsnummer, Krankengeschichten, Behandlungen, Leistungen der Krankenkassen, usw.
beinhalten. Also der ganz harte Stoff...
Wie meine Vereinbarungen mit den Institutionen aussieht, könnt ihr euch vielleicht vorstellen.
Viel wichtiger ist, auch ich habe durch meine sehr Umfangreiche Software einen Partner der mir in manch Administrativen weise Unterstützung bietet. Dieser hat natürlich Zugang zu all den sensiblen Daten!
Ich rate dir zu einer Verschwiegenheits Vereinbarung zwischen deinem Unternehmen und dem Arzt!
Weiters sollte festgehalten werden das durch dein Unternehmen keinerlei Patientendaten auf deinem System dupliziert und gespeichert werden.
Zusätzlich sollten alle möglichen Mitarbeiter von dir Namentlich genannt werden. Und diese haben die Vereinbarung auch zu Unterschreiben.
Ne Beschreibung, falls Notwendig, wie die Daten bei dir gemäß DSGVO gelöscht werden sollte auch enthalten sein.
Schaffe eine schlanke Überschaubare Struktur, dann bist du sehr gut Abgesichert und macht dir kein Kopfweh.
Die DSGVO schafft schon die eine oder andere Verwirrung, aber Leute lasst euch dadurch nicht fertig machen...
Die "Was wäre wenn" Diskussionen gehen in der Regel stark am Realismus vorbei.
Gesunder Hausverstand löst immer noch viele Probleme
habe mir den Beitrag und deren Postings mal genau durchgelesen, da ich selber seit fast 25 Jahren in der Medizintechnik tätig bin.
Da ich mit Krankenhäusern, niedergelassenen Ärzten und mit den Krankenkassen zu tun habe, ist natürlich Datenschutz und vor allem
der Datenschutz der Patienten mein täglich Brot.
Ich spreche hier von Daten, welche Sozialversicherungsnummer, Krankengeschichten, Behandlungen, Leistungen der Krankenkassen, usw.
beinhalten. Also der ganz harte Stoff...
Wie meine Vereinbarungen mit den Institutionen aussieht, könnt ihr euch vielleicht vorstellen.
Viel wichtiger ist, auch ich habe durch meine sehr Umfangreiche Software einen Partner der mir in manch Administrativen weise Unterstützung bietet. Dieser hat natürlich Zugang zu all den sensiblen Daten!
Ich rate dir zu einer Verschwiegenheits Vereinbarung zwischen deinem Unternehmen und dem Arzt!
Weiters sollte festgehalten werden das durch dein Unternehmen keinerlei Patientendaten auf deinem System dupliziert und gespeichert werden.
Zusätzlich sollten alle möglichen Mitarbeiter von dir Namentlich genannt werden. Und diese haben die Vereinbarung auch zu Unterschreiben.
Ne Beschreibung, falls Notwendig, wie die Daten bei dir gemäß DSGVO gelöscht werden sollte auch enthalten sein.
Schaffe eine schlanke Überschaubare Struktur, dann bist du sehr gut Abgesichert und macht dir kein Kopfweh.
Die DSGVO schafft schon die eine oder andere Verwirrung, aber Leute lasst euch dadurch nicht fertig machen...
Die "Was wäre wenn" Diskussionen gehen in der Regel stark am Realismus vorbei.
Gesunder Hausverstand löst immer noch viele Probleme