Hallo

Eine neue Tomedo-interessierte fragt in unserem Pädiatrie-Intranet folgende wichtige Frage, bevor sie zu Tomedo wechselt.

Ich gebe mal die Fragen weiter, weil ich die Antwort auch sehr wichtig finde und bitte Zollsoft um Beantwortung.

Zitatbeginn:

---------------

Jetzt kommt die Vertrieblerin von Tomedo und schickt mir eine ADV (Auftragsdatenverarbeitung) zur Unterschrift, die es in sich hat.

U.a. steht darin, dass die sensiblen Patientendaten auch in Nicht-EU-Länder wie z.B. Großbritannien, Russland etc. "weitergeleitet/übermittelt" werden dürfen.

Ein weiterer Punkt ist die Kündigungsfrist seitens der Firma zollsoft, die die Mietsoftware Tomedo mit einer Frist von 14 Tagen kündigen kann.

.... was dann? Nach 14 Tagen im Extremfall dann keine funktionsfähige Software mehr, kein AIS?

Wie haben es die Kollegen gehandhabt, die bisher bei Tomedo sind bzw. erst kürzlich zu Tomedo gewechselt sind?

Ist es überhaupt zulässig, eine von der KV zertifizierte/zugelassene Software so zu gestalten, dass die Daten in Drittländer (nicht-EU) übermittelt werden dürfen? Oder wäre das ein Punkt, so dass Tomedo ggf. das Zertifikat als AIS in Deutschland verliert? Wer kennt sich aus bzw. an wen kann ich mich wenden? - ich würde wirklich gerne weg von Medistar und hin zu Tomedo, aber diese Rahmenbedingungen sehen aktuell aus wie Show-Stopper...

----------- Zitatende

bitte um Kommrntar, ich werde die Antwort gerne weiter leiten. Ich freue kich nämlich, wenn wir mehr Pädiater werden bei Tomedo.

Cuma Özmen
Gefragt in Frage von (2.1k Punkte)
0 Punkte

2 Antworten

Sowas habe ich meines Wissens nie erhalten und unterschrieben?! Patientendaten dürfte Zollsoft ja eigentlich nicht haben, welche weitergegeben werden könnten!
Beantwortet von (3.8k Punkte)
0 Punkte

Ich bin mir recht sicher, dass hier ein Missverständnis vorliegt, hier ein Auszug aus den aktuellen Mietverträgen bzgl. der Kündigungsfrist:

Das Mietverhältnis beginnt zum ..., jedoch nicht vor Abschluss der (gemäß separater Vereinbarung geschuldeten) Installation der Software auf der Hardware des Kunden. Das Mietverhältnis ist unbefristet. Es kann vom Kunden jeweils zum Monatsende, vom Anbieter mit einer Frist von 6 Monaten zum Monatsende gekündigt werden.

Man beachte die fett markierten Passagen. Finden Sie mal einen anderen PVS-Anbieter, der sowas anbietet... ;)

Bzgl. der "Auftragsdatenverarbeitung", bzw. "ADV", genauer "VEREINBARUNG ZUR AUFTRAGSVERARBEITUNG NACH EU-DATENSCHUTZ-GRUNDVERORDNUNG" ist ein Missverständnis sogar noch wahrscheinlicher. Es handelt sich dabei um einen 15-seitigen "Standard-Vertrag" wie nach DSGVO gefordert. Die Formulierungen darin sind (leider, so sieht es die DSGVO wsl. vor) relativ komplex und wenn man da "nur so drüber liest" kann man bestimmt das ein oder andere falsch verstehen. 

Benötigt wird die ADV vor allem dann, wenn eine (Test-)Datenkonvertierung vorgenommen werden soll und der Sinn ist vor allem Sie bzw. Ihre Kollegin dabei bestmöglich abzusichern. Gerade deshalb muss die auch so umfangreich sein. Es empfiehlt sich hier, das ganze in Ruhe (mit jemandem der sich damit auskennt) durchzugehen, oder sich bei Fragen direkt an unseren Vertrieb bzw. unsere Datenschutzbeauftragte zu wenden, um sich das im Detail erklären zu lassen.

Ohne selbst den Text der ADV vollständig zu verstehen (das ist zum Glück nicht mein Kerngebiet), kann ich pauschal sagen, dass wir keine Patientendaten nach Russland schicken - bzw. überhaupt irgendwo hin - und das auch in der ADV ausgeschlossen bzw. nicht vorgesehen ist. Großbritanien wird in der Tat in der ADV mit aufgeführt und ist in einigen Fällen unserer Arbeit mit eingeschlossen (einer unserer Geschäftsführer wohnt in London und es wäre nicht gerade zuträglich, wenn er nicht mehr arbeiten dürfte), aber auch dort werden keine Patientendaten hingeschickt.

Ich würde Ihrer Kollegen raten, einfach mal mit "der Vertrieblerin von tomedo" Kontakt aufzunehmen und ihre Bedenken zu äußern bzw. die fraglichen Passagen zu besprechen. Im Zweifel findet sich sicherlich eine Lösung, bei der Formulierungen angepasst oder gestrichen werden können. In der Regel würde ich aber dringend davon abraten, das ohne jemanden zu machen, der sich im Detail mit der DSGVO auskennt. Im schlimmsten Fall schneidet sie sich damit ins eigene Fleisch, denn ähnlich wie unser Mietvertrag (siehe oben) haben wir auch die ADV bereits maßgeblich mit dem Blick auf den Schutz unserer Kunden ausarbeiten lassen.

Beantwortet von (8.9k Punkte)
+1 Punkt
Lieber Herr Zollmann

vielen Dank für Ihre ausführliche Antwort, die ich bereits weitergeleitet habe.

LG

Cuma Özmen
Hallo Herr Zollmann

Da ich keine Rückmeldung erhalten habe, erlaube ich mir hier den Hinweis, dass ich Ihnen die weitere Antwortnachricht der Kollegin in Ihren persönlichen Btiefkasten hier weiter geleitet habe. (Ich möchte nur sicherstellen, dass dies im Trubel des Alltages nicht untergeht.)

Schönen Freitag

Cuma Özmen
9,871 Beiträge
15,983 Antworten
24,997 Kommentare
4,592 Nutzer