GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)
Auftragsverarbeitung | Gemeinsame Verarbeitung | Funktionsübertragung | |
---|---|---|---|
Grundsatz | Weisungsgebundene Verarbeitung von Daten durch Auftragnehmer | (Gleichberechtigte) Partnerschaft mit gemeinsamer Verantwortung | Eigenverantwortliche Entscheidung des Auftragnehmers über die Art und Weise der Datenverarbeitung |
Erlaubnistatbestand | Verantwortlicher verfügt über einen Erlaubnistatbestand für die Verarbeitung, der gleichzeitig die Auftragsdatenverarbeitung legitimiert. | Die gemeinsam an der Verarbeitung Beteiligten haben einen (gemeinsamen) Erlaubnistatbestand | Verantwortlicher hat einen Erlaubnistatbestand zur Übermittlung der Datenverarbeitung / der Verarbeitungsaufgabe an den anderen Verantwortlichen |
Voraussetzung für Verarbeitung | Vertrag oder sonstiges Rechtsinstrument entsprechend Art. 28 DS-GVO | Aufteilung der Pflichten gemäß Art. 26 (und entsprechende vertragliche Regelung / Vereinbarung) | Die datenempfangende Partei braucht einen eigenen Erlaubnistatbestand zur Datenverarbeitung |
Beispiel | Verantwortlicher beauftragt Hersteller mit Wartung und Weiterentwicklung von Software | Krankenhaus und MVZ behandeln gemeinsam einen Patienten | Laborarzt empfängt Daten vom Hausarzt zur Laboruntersuchung |