Zertifizierung von Dienstleistern und Auftragsdatenverarbeitern


Als sicherer Auftragsdatenverarbeiter zertifiziert zu sein, kann ein unschätzbarer Vorteil sein, bei der Akquise von Neukunden im Gesundheits und Sozialwesen. Dabei profitieren sowohl Auftraggeber wie auch Auftragnehmer von der Zertifizierung durch den VBSG.

 

Auch Wartung und Pflege von IT-Systemen gelten als Auftragsdatenverarbeitung, soweit der Zugriff auf personenbezogene Daten dabei nicht ausgeschlossen werden kann. Andere Auftragsdatenverarbeitungen finden sich typischerweise im Bereich von Dienstleister, wie z.B. klinischen Laboren oder Zahntechniklaboren. Die Aufzählung dessen, was im Gesundheits- und Sozialwesen als Auftragsdatenverarbeitung im Sinne datenschutzrechtlicher Bestimmungen angesehen werden kann oder muß, könnte nahezu endlos fortgesetzt werden. Eine solche Auftragsdatenverarbeitung bringt aber für beide Seiten einiges an Verpflichtungen mit sich.

Dazu gehört insbesondere die Pflicht der verantwortlichen Stellen (Auftraggeber) mit dem Auftragnehmer einen Vertrag über die Auftragsdatenverarbeitung (sog. ADV-Vertrag) zu schließen und die ordnungsgemäße „Verarbeitung von Daten im Auftrag“ sicherzustellen. Letztere Pflicht schließt ebenfalls das Recht bzw. die Pflicht des Auftraggebers (Verantwortliche Stelle) ein, sich über die ordnungsgemäße Auftragsdatenverarbeitung auch im Rahmen von Prüfungen zu überzeugen (§11 BDSG). Die Erläuterungen zu §11 BDSG weisen diesbezüglich jedoch auf den Umstand hin, daß ein derartiger Audit mitunter höchst aufwendig ist (Gola/Schomerus, Kommentar zu §11BDSG, RN 21, S.292, Verlag C.H. Beck). Der Auftraggeber kann demnach auch auf andere Weise seine Kontrollverpflichtung erbringen. Dazu gehört u.a. die Verwendung von Fragebögen oder die Anforderung von Prüfergebnissen oder Zertifikaten. Insbesondere kann dem Auftraggeber auch ein durch einen unabhängigen Auditor/Sachverständigen durchgeführter Audit genügen. In diesem Fall muß jedoch die Qualifikation des Auditors nachgewiesen werden. Als Nachweis einer solchen Qualifikation dient die Anerkennung durch den VBSG, wobei der Bezug des Auditors zum Gesundheits- und Sozialwesen ebenfalls sichergestellt ist.

Das bedeutet, daß eine Zertifizierung durch den VBSG (als unabhängige und sachverständige Stelle) nach erfolgtem Audit dem Auftraggeber als ausreichender Nachweis dienen kann, daß beim Auftragnehmer ein ausreichendes Datenschutzniveau sichergestellt ist.

 

Das VBSG-Datenschutzsiegel für Dienstleister, ist also zum einen ein Marktvorteil des Dienstleisters und bringt sowohl Auftraggeber wie Auftragnehmer eine Einsparung an Ressourcen.

 

Der Audit selbst wird nicht vom VBSG selbst durchgeführt, sondern durch anerkannte Auditoren (Sachverständige), die als Mitglieder des VBSG Ihre Fachkenntnis regelmäßig nachweisen müssen.

Nach Abschluß des Audits fertigt der Auditor einen umfassenden Bericht, der alle Kritierien des Zertifizierungskatalogs (für Dienstleister) des VBSG beinhalten muß.

 

Dieser Bericht kann vom Dienstleister/Auftragsdatenverarbeiter dann mit dem Antrag auf Zertifizierung (Verleihung des VBSG-Datenschutzsiegels für Dienstleister) dem VBSG zugeleitet werden. Soweit dem Antrag statt gegeben wird, wird dem Dienstleister/Auftragsdatenverarbeiter das VBSG-Datenschutzsiegel für die Dauer von drei Jahren verliehen.

 

Eine Verlängerung kann jeweils auf weitere drei Jahre erfolgen, wobei lediglich Änderungen an Systemen oder technischen oder organisatorischen Maßnahmen betrachtet werden und Veränderungen hinsichtlich des Stands der Technik in die Rezertifizierung einbezogen werden.

 

Das VBSG-Datenschutzsiegel gibt Auftraggebern die Sicherheit, daß deren Daten mit der gebotenen Sorgfalt verarbeitet werden. Dies ist insbesondere deshalb wertvoll, da die Verantwortung für die Daten immer beim Auftraggeber bleibt und nicht delegiert werden kann.

 

Für Zertifizierungsanträge oder Rückfragen wenden Sie sich bitte an das Büro des Vorsitzenden des VBSG.