Gilt die zeitweise Überlassung von Medizingeräten mit Patientendaten ohne Wartung als Auftragsverarbeitung?

Question

Gilt die zeitweise Überlassung von Medizingeräten mit Patientendaten ohne Wartung als Auftragsverarbeitung?

Antwort

Verwandte Fragen

Ist die Leihe von Medizingeräten ohne Wartung oder Reparatur eine Auftragsverarbeitung, wenn bei Rückgabe Patientendaten anfallen?

Welche Voraussetzungen machen einen Auftragsverarbeitungsvertrag (AV-Vertrag) erforderlich?

Accepted Answer

Die zeitweise Überlassung von Medizingeräten, auf denen sich Patientendaten befinden, stellt in der Regel **keine Auftragsverarbeitung** im Sinne von Art. 28 DSGVO dar, **sofern** der Empfänger der Geräte (z.B. ein anderes Krankenhaus oder eine Arztpraxis) die Daten **eigenverantwortlich** verarbeitet und **keine Weisungen** vom ursprünglichen Verantwortlichen erhält. **Wichtige Aspekte:** - **Auftragsverarbeitung** liegt vor, wenn ein Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet (z.B. Wartung, Reparatur, Fernwartung). - **Keine Auftragsverarbeitung** liegt vor, wenn der Empfänger die Daten für eigene Zwecke verarbeitet oder eigenverantwortlich handelt. **Beispiel:** - Wird ein Medizingerät samt Patientendaten an eine andere Praxis verliehen, und diese nutzt das Gerät eigenständig, ist sie für die Datenverarbeitung selbst verantwortlich. Es handelt sich dann um eine Übermittlung von Daten an einen anderen Verantwortlichen, nicht um eine Auftragsverarbeitung. - Wird das Gerät nur zur Wartung oder Reparatur an einen Dienstleister gegeben, der dabei Zugriff auf Patientendaten erhält, ist dies eine Auftragsverarbeitung. **Fazit:** Ohne Wartung, Reparatur oder eine sonstige weisungsgebundene Dienstleistung ist die bloße Überlassung eines Medizingeräts mit Patientendaten **keine Auftragsverarbeitung**, sondern eine Datenübermittlung an einen anderen Verantwortlichen. In diesem Fall sind die Vorgaben für die Übermittlung personenbezogener Daten (z.B. Rechtsgrundlage, Informationspflichten) zu beachten. **Quellen und weitere Informationen:** - [Art. 4 Nr. 8 und Art. 28 DSGVO](https://dsgvo-gesetz.de/art-28-dsgvo/) - [BayLDA: Auftragsverarbeitung und gemeinsame Verantwortlichkeit](https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html) - [BfDI: Auftragsverarbeitung nach DSGVO](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html)

Accepted Answer

Die bloße Leihe von Medizingeräten stellt in der Regel **keine Auftragsverarbeitung** im Sinne der DSGVO dar, solange der Verleiher keine personenbezogenen Daten im Auftrag des Entleihers v... [mehr]

Accepted Answer

Die bloße Leihe von Medizingeräten stellt in der Regel **keine Auftragsverarbeitung** im Sinne der DSGVO dar, solange der Verleiher keine personenbezogenen Daten im Auftrag des Entleihers verarbeitet. Entscheidend ist, ob der Verleiher im Rahmen der Leihe Zugriff auf personenbezogene Daten (z. B. Patientendaten) erhält und diese im Auftrag des Entleihers verarbeitet. **Im beschriebenen Fall:** - Der Verleiher führt keine Wartung oder Reparatur durch, verarbeitet also während der Leihe keine Daten im Auftrag. - Erst bei Rückgabe befinden sich Patientendaten auf dem Gerät. **Bewertung:** - Wenn der Verleiher bei Rückgabe des Geräts Zugriff auf die Patientendaten erhält (z. B. weil die Daten nicht gelöscht wurden), verarbeitet er diese Daten nicht im Auftrag des Entleihers, sondern erhält sie faktisch als „Dritter“. - Das ist **keine Auftragsverarbeitung**, sondern ein Datenschutzverstoß, da Patientendaten nicht an unbefugte Dritte weitergegeben werden dürfen. **Fazit:** Die Leihe selbst ist keine Auftragsverarbeitung. Der Entleiher ist verpflichtet, vor Rückgabe des Geräts alle Patientendaten zu löschen. Geschieht das nicht und der Verleiher erhält Zugriff auf die Daten, liegt ein Datenschutzverstoß vor, aber keine Auftragsverarbeitung. Weitere Informationen zur Auftragsverarbeitung findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auslegung_auftragsverarbeitung.pdf).

Accepted Answer

Die wichtigsten Merkmale, die die Notwendigkeit eines Auftragsverarbeitungsvertrags (AV-Vertrag) gemäß Art. 28 DSGVO begründen, sind: 1. **Verarbeitung personenbezogener Daten im Auft... [mehr]

Accepted Answer

Die wichtigsten Merkmale, die die Notwendigkeit eines Auftragsverarbeitungsvertrags (AV-Vertrag) gemäß Art. 28 DSGVO begründen, sind: 1. **Verarbeitung personenbezogener Daten im Auftrag**: Ein AV-Vertrag ist erforderlich, wenn ein Unternehmen (der Verantwortliche) einen externen Dienstleister (den Auftragsverarbeiter) damit beauftragt, personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen zu verarbeiten. 2. **Keine eigene Entscheidungsbefugnis des Dienstleisters**: Der Dienstleister darf die Daten nicht zu eigenen Zwecken nutzen, sondern verarbeitet sie ausschließlich im Rahmen der Weisungen des Verantwortlichen. 3. **Typische Beispiele**: Klassische Fälle sind IT-Dienstleister, Cloud-Anbieter, Lohnbuchhaltungsfirmen oder Aktenvernichter, die personenbezogene Daten im Auftrag verarbeiten. 4. **Keine gemeinsame Verantwortlichkeit**: Liegt eine gemeinsame Verantwortlichkeit vor (beide Parteien entscheiden gemeinsam über Zwecke und Mittel der Verarbeitung), ist stattdessen eine Vereinbarung nach Art. 26 DSGVO erforderlich. 5. **Rechtliche Grundlage**: Die Notwendigkeit eines AV-Vertrags ergibt sich aus Art. 28 DSGVO, sobald eine Auftragsverarbeitung vorliegt. **Fazit:** Ein AV-Vertrag ist immer dann notwendig, wenn ein externer Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung eines Verantwortlichen verarbeitet und keine eigenen Zwecke verfolgt. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf) oder beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung/Verarbeitung-AV/Verarbeitung-AV_node.html).