Ist die Leihe von Medizingeräten ohne Wartung oder Reparatur eine Auftragsverarbeitung, wenn bei Rückgabe Patientendaten anfallen?

Die bloße Leihe von Medizingeräten stellt in der Regel **keine Auftragsverarbeitung** im Sinne der DSGVO dar, solange der Verleiher keine personenbezogenen Daten im Auftrag des Entleihers verarbeitet. Entscheidend ist, ob der Verleiher im Rahmen der Leihe Zugriff auf personenbezogene Daten (z. B. Patientendaten) erhält und diese im Auftrag des Entleihers verarbeitet. **Im beschriebenen Fall:** - Der Verleiher führt keine Wartung oder Reparatur durch, verarbeitet also während der Leihe keine Daten im Auftrag. - Erst bei Rückgabe befinden sich Patientendaten auf dem Gerät. **Bewertung:** - Wenn der Verleiher bei Rückgabe des Geräts Zugriff auf die Patientendaten erhält (z. B. weil die Daten nicht gelöscht wurden), verarbeitet er diese Daten nicht im Auftrag des Entleihers, sondern erhält sie faktisch als „Dritter“. - Das ist **keine Auftragsverarbeitung**, sondern ein Datenschutzverstoß, da Patientendaten nicht an unbefugte Dritte weitergegeben werden dürfen. **Fazit:** Die Leihe selbst ist keine Auftragsverarbeitung. Der Entleiher ist verpflichtet, vor Rückgabe des Geräts alle Patientendaten zu löschen. Geschieht das nicht und der Verleiher erhält Zugriff auf die Daten, liegt ein Datenschutzverstoß vor, aber keine Auftragsverarbeitung. Weitere Informationen zur Auftragsverarbeitung findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf).