Auftragsverarbeitungsvertrag: Cordela, oh Cordela - komm zeig mir Deine TOM
Aktuell haben „Verträge zur Verarbeitung personenbezogener Daten im Auftrag (Auftragsverarbeitung im Sinne von Artikel 28 DSGVO)“ auch bei Tierärzten Hochkonjunktur.
Die sind immer dann sinnvoll, wenn damit als Hauptzweck zwischen den zwei Vertragsparteien die Verarbeitung von personenbezogenen Daten geregelt werden soll.
Ob solch ein komplexes Vertragskonstrukt zwischen Tierarztpraxis und Reinigungsfirma - wie in einem Artikel in der Juni-Ausgabe einer tierärztlichen Fachzeitschrift empfohlen - Sinn macht, um die neugierigen Blicke der Reinigungskraft datenschutzrechtlich legitimiert zu bekommen, schauen wir uns hier mal an.
Sinn und Zweck von Auftragsverarbeitungsverträgen
Die Auftragsverarbeitungsverträge (AVV) sind als Instrument speziell dafür entwickelt worden, einem Unternehmen (AUFTRAGGEBER / VERANTWORTLICHER) die Möglichkeit an die Hand zu geben, Teile seiner Datenverarbeitung auszulagern, ohne hierfür die Einwilligung z.B. der Kunden (BETROFFENEN) einholen zu müssen. Dafür muss das Unternehmen aber mit dem AUFTRAGNEHMER genaue vertragliche Regelungen zum Schutz der Daten treffen und sich vor Auftragsvergabe davon überzeugen, dass der AUFTRAGNEHMER auch die Anforderungen einer gesetzeskonformen Verarbeitung erfüllt. Dies weist der AUFTRAGNEHMER an Hand der von ihm umgesetzten Technischen und Organisatorischen Maßnahmen (TOM) nach - und/oder durch eine Zertifizierung.
Wundern Sie sich nicht als Tierarzt, dass Sie die Verträge von unterschiedlicher Seite zugesandt bekommen. Eigentlich müssten Sie das in die Wege leiten, weil Sie ja entscheiden, ob Sie Daten außer Haus verarbeiten lassen wollen. Aber wer zuerst schreibt, diktiert schon mal die Konditionen…
Soviel zur Theorie – und nun rein ins richtige Leben….
Es war einmal...
Es ist Ihnen überlassen, den Wahrheitswert dieser Begebenheit zu beurteilen. Aber glauben Sie mir, die DSGVO schreibt Geschichten, dass hätte man so vor Wochen nicht erwartet. Und hier nun auch eine, die mir passiert ist.
Ich habe einen Freund. Der ist Tierarzt. Normal berate ich ja Tierärzte in betriebswirtschaftlichen, organisatorischen und natürlich auch in datenschutzrechtlichen Fragestellungen. Aber ihn nicht. Er gehört für mich nämlich in die Kategorie „beratungsresistent“. Und diese Zuordnung ermöglicht uns beiden eine langfristige wunderbare Freundschaft mit dem einen oder anderen Gläschen Wein.
Bei einem solchen fragte er mich kürzlich nach einer Empfehlung für einen datenschutzrechtlich bewanderten Rechtsanwalt. Er erzählte mir, dass er in einem Artikel einer veterinärmedizinischen Fachzeitschrift gelesen habe, er solle mit seiner Reinigungsfirma einen Auftragsverarbeitungsvertrag abschließen, weil ja die Möglichkeit bestünde, dass die Reinemachekraft beim Putzen einen Blick auf den Schreibtisch werfen könne und dort personenbezogene Daten sehen (und damit „verarbeiten“) könne.
Als er meinen Blick sah, fragte er mich, ob der Wein korkt…
Ich denke, ich erzähle Ihnen nichts Neues, wenn ich sage, dass der Beruf des Tierarztes vom Grund her wunderbar ist, Er ist zwar oft nicht gut genug bezahlt, meist stressig, zeitaufwändig und auch sehr komplex. Aber eines hat er definitiv nicht verdient: den Abschluss eines Auftragsverarbeitungsvertrages mit der Reinigungsfirma…
Auftragsverarbeitung in der Tierarztpraxis
Und weil es ganz wichtig ist, den Sinn - oder im Fall der Reinigungsfirma eben auch Unsinn - der Auftragsverarbeitung zu verstehen, hier noch einmal erläutert, wo das gedanklich hinführt, wenn man das mit der Reinigungsfirma weiterverfolgt.
Geregelt ist die Auftragsverarbeitung im Wesentlichen in Artikel 28 DSGVO.
Vereinfacht gesagt kann man das so beschreiben: „Im Rahmen einer Auftragsverarbeitung bedient sich der Auftraggeber (das sind Sie als Tierarzt – auch als „Verantwortlicher“ bezeichnet) eines Auftragnehmers (nämlich der Reinigungsfirma – auch als „Auftragsverarbeiter“ bezeichnet), um bestimmte Datenverarbeitungen durchzuführen. Der Auftraggeber entscheidet als „Herr der Daten“, wie der Auftragsverarbeiter mit den Daten umgeht. Die Daten gehören allein dem Auftraggeber. Der Auftragsverarbeiter ist nur eine ausgelagerte Stelle des Auftraggebers.
Der Vorteil dieser Konstruktion ist der Gedanke des Outsourcing, weil ein Unternehmen (der Auftraggeber oder konkret: die Tierarztpraxis) auf diese Art und Weise erweiterte Leistungen in Verbindung mit der Verarbeitung von personenbezogenen Daten nutzen kann, um den Betriebsablauf sicherzustellen.
Ein ganz typisches Beispiel ist der Lettershop: Wenn der Tierarzt eine großes Briefmailing an seine Kunden mit der Einladung zum 100jährigen Arbeitsjubiläum (ja, manchmal hat man schon Angst, dass der eine oder andere so lange arbeiten muss….) erstellen und versenden will, kann er daran verzweifeln, indem er es intern durchführt oder eben die Adressdaten der Kunden und den Text an einen Lettershop geben und das Wochenende genießen.
Typisch für den Einsatz eines solchen Vertrages ist auch die Beauftragung des Herstellers der Praxisverwaltungssoftware mit Wartungsarbeiten an der eigenen Datenbank, weil auch hier massenhaft Kundendaten eingesehen (und damit „verarbeitet“) werden können.
Zentrales Kriterium in beiden Fällen ist, dass Sie einen Auftrag zur Verarbeitung geben oder einen Auftrag, bei dem die Verarbeitung von personenbezogenen Daten vom Wesen her impliziert ist. Zugegeben: die Abgrenzung in unserer komplexen Welt ist da nicht immer ganz einfach, aber: AVV mit einer Reinigungsfirma...
Der Preis für eine Auftragsverarbeitung mit der Reinigungsfirma
Mit einem Vertrag zur Auftragsverarbeitung erreicht man nun eine datenschutzkonforme Weitergabe der Daten außer Haus, weil sie ja eigentlich gar nicht „außer Haus“ gehen. Durch den Auftragsverarbeitungsvertrag ist der Tierarzt ja immer noch „Herr der Daten“.
Allerdings hat solch ein Auftragsverarbeitungsvertrag auch seinen Preis. Und dies nicht nur in Form einer Beratungsrechnung, weil nun Tausende von Tierärzten der Empfehlung des Fachautors folgend zu ihrem Rechtsanwalt laufen und das Aufsetzen eines Auftragsverarbeitungsvertrages mit ihrer Reinigungsfirma erbitten.... Zuvor muss der Tierarzt nämlich als Auftraggeber (Verantwortlicher) erst einmal einige Voraussetzungen schaffen und auch kontrollieren. Denn im Zweifelsfall hat er den Großteil der Verantwortung für die ordnungsgemäße Verarbeitung der Daten.
So muss er sich vor Auftragsvergabe erst einmal davon überzeugen, dass der Verarbeiter Technische und Organisatorische Maßnahmen (TOM) ergreift, um die Datenverarbeitung datenschutzkonform sicherzustellen.
Die Aufstellung dieser Maßnahmen finden Sie übrigens immer als Anhang an den Verträgen zur Auftragsverarbeitung, die Ihnen aktuell – teils berechtigt und teils unberechtigt – ins Haus flattern…
Aber das ist nur ein kleiner Teil des insgesamt zu regelnden Vertragsinhalts. Die Mindestbestandteile eines solchen Vertrages finden Sie in Art. 28 Abs. 3 DSGVO. Neben der Anforderung der sorgfältigen Auswahl des Auftragsverabeiters sind dies insbesondere
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien der Betroffenen
- Pflichten und Rechte des Verantwortlichen
Mein Tipp: Sparen Sie schon mal kräftig für die Beratung zu Ihrem Auftragsverarbeitungsvertrag. Mit einem GOT-Satz von unter dem 1,8fachen bekommen Sie das wohl kaum hin.
Und jetzt endlich kommen wir zu unserer Reinigungsfirma
Wenn also nun in unserem konkreten Fall der Mitarbeiter der Reinigungsfirma der Tierarztpraxis meines Freundes bei der „Datenverarbeitung“ (= beim Putzen in den Unterlagen auf dem Schreibtisch schnüffeln) schlampig arbeitet und dort liest, (wir schließen den AVV ja eigentlich nur, damit wir regeln können, dass der Reinemachemann KEINE Daten verarbeiten soll) dass Max Müller, Musterstraße 24, 12345 Musterstadt 50 Euro zuviel bezahlt hat und die Reinigungsfirma ein Leck in ihrer Datensicherheitsstruktur (Teil der TOM) hat, indem der datenverarbeitende Reinemachemann seinem Freund erzählt, dass Max Müller, Musterstraße 42, 12345 Musterstadt 40 Euro zuviel bezahlt hat, dann hat der Tierarzt ein Problem, wenn Max Müller, Musterstraße 24, 12345 Musterstadt darlegt, dass ihm auf Grund der unzureichenden Sicherheitsmaßnahmen ein immaterieller Schaden (an seiner Reputation) entstanden sei, weil seine Großzügigkeit in Zweifel gezogen werden könne, auf Grund des offenbarten geringeren Betrages von immerhin 10 Euro…
Verstanden? Nein? Ich auch nicht.
Aber: Es scheitert nicht erst am Inhalt – es scheitert bereits vielmehr daran, dass solch ein Beispiel überhaupt entwickelt werden muss - und sogar Wirklichkeit werden kann, weil in einer grünen Fachzeitschrift für Tierärzte tatsächlich stand, dass man als Tierarzt mit seiner Reinigungsfirma solch ein AVV abschließen soll.
Deshalb merke: Was hier vom Grundsatz her schon nicht passend ist, kann auch vom besten Tierarzt nicht passend gemacht werden.
Das Drama nimmt seinen Lauf
Und nun zurück zu meinem Freund – und dessen Reinigungsfirma, deren Inhaberin Cordela heisst. Wie es eben bei uns auf dem Land ist, kennt man sich seit Kindesbeinen und ist auch per Du. Beziehungen sind jahrelang in Zuneigung oder Abneigung gefestigt. Mal so und mal so. Aber eines gilt für alle: diese zwischenmenschlichen Beziehungen grundlegend zu verändern, ist fast unmöglich. Schublade ist eben Schublade. Es sei denn, man richtet sich mit folgenden Worten an die Inhaberin seiner Reinigungsfirma:„Cordela, oh Cordela, komm zeig mir Deine TOM.“
Sie ahnen es schon: Fachbeiträge in Tierarztzeitschriften zum Thema Datenschutz können sogar tief verwurzelte Beziehungen grundlegend verändern...
Das Happy End
Aber ein Gutes hat die Geschichte dennoch: Nicht ich, sondern Cordela berät nun meinen Freund in datenschutzrechtlichen Fragen. Und das mit der Auftragsverarbeitung haben sie bei einem Glas Wein gelöst, indem sie ihm mit einem strengen Blick tief in die Augen geschaut hat und sagte:
„Schließ den Schrank mit den personenbezogenen Daten in Deinem Büro ab und räum abends endlich mal Deinen Schreibtisch auf. Dann muss mein Angestellter zukünftig auch nicht mehr ständig um Deine Unordnung drumherum putzen.“
Und die Moral von der Geschicht
Ein Vertrag über die Verarbeitung personenbezogener Daten im Auftrag mit seiner Reinigungsfirma hat - zumindest in den von mir beratenen Tierkliniken und Tierarztpraxen - nichts verloren. Und vermutlich im restlichen Europa (da gilt nämlich die DSGVO) auch nicht.
Die ganze Sache regelt man vielleicht erst einmal mit einer Portion gesundem Menschenverstand, indem man bei sich im Unternehmen sicherstellt, dass personenbezogene Daten auf Papier abends verschlossen sind - auch die, die auf dem Schreibtisch liegen. Basta! Neudeutsch heißt so etwas: Clean Your Desk-Policy. Das ist nicht nur datenschutzkonform sondern sieht auch noch schön aufgeräumt aus.
Bei externen Personen, die sich regelmäßig auch mal unbeaufsichtigt (z.B. Reinemachemann) in der Praxis aufhalten dürfen, sorgt man für eine Verpflichtung auf Verschwiegenheit, entweder direkt oder über das Reinigungsunternehmen. Wenn da noch die Verpflichtung auf die Schweigepflicht mit einbezogen ist, ist der Sicherheitsfaktor für die Daten, die in einer Tierarztpraxis verarbeitet werden, wohl zur Genüge sichergestellt.
Das spart nicht nur Geld sondern auch Verwaltungsaufwand, weil ein AVV immer wieder Arbgeit macht. Deshalb setzt man die Verträge nur dort ein, wo sie sinnvoll ihren Zweck erfüllen. Sie zu inflationieren ist nicht zielführend.
Und weshalb Sie auch mit Labors und Überweisungskliniken keine Auftragsverarbeitungsverträge für die Weitergabe von Daten verwenden sollten, erfahren Sie demnächst mal hier.
Sollten Sie es allerdings bereits vorher erfahren wollen, dann rufen Sie mich einfach unter der Telefonnummer 06245-9945572 an oder schreiben mir eine E-Mail an
Datenschutz kann auch einfach sein...
