Was ist der deutsche Vertrag zur Auftragsverarbeitung (DPC)

Um den deutschen Datenschutzgesetzen (einschließlich dem Bundesdatenschutzgesetz (BDSG) und der Datenschutz-Grundverordnung (DSGVO)) zu entsprechen, müssen Patients Know Best (PKB) und Ihre Organisation einen Vertrag zur Auftragsverarbeitung (DPC) abschließen. Diese Vereinbarung ist eine gesetzliche Anforderung und legt fest, wie Patientendaten verarbeitet und geschützt werden – im Einklang mit den deutschen und europäischen Datenschutzvorgaben.

Wichtige Rollen und Verantwortlichkeiten im DPC

Der DPC definiert klar die Rollen und Verantwortlichkeiten von PKB und Ihrer Organisation im Zusammenhang mit der Verarbeitung von Patientendaten:

Ihre Organisation: Handelt als Verantwortlicher (Controller) für die Patientendaten in den Gesundheitsakten.
PKB: Handelt als Auftragsverarbeiter (Processor) für die Daten, die von Ihrer Organisation übermittelt werden.
PKB: Handelt als alleiniger Verantwortlicher für Patientenkontodaten (Informationen, die direkt von Patienten hinzugefügt werden).
Ihre Organisation: Handelt als eigenständig Verantwortlicher für Patientenkontodaten (Informationen, die direkt von Patienten hinzugefügt werden).

Der DPC enthält spezifische Anforderungen zum Datenschutz in Deutschland, einschließlich Sicherheitsmaßnahmen, Verarbeitungsaktivitäten und Verfahren zur Datenhandhabung, um die Einhaltung der deutschen Datenschutzbestimmungen sicherzustellen.

Wer muss den DPC unterzeichnen

Der DPC muss von einem autorisierten Vertreter beider Parteien unterzeichnet werden

Für Ihre Organisation: Eine bevollmächtigte Person, die Ihre Organisation rechtsverbindlich vertreten kann (z. B. Senior Information Risk Owner (SIRO), Ärztlicher Direktor, Chief Clinical Information Officer (CCIO), Chief Executive Officer (CEO) oder ein entsprechendes Pendant zum Caldicott Guardian).
Für PKB: Das Dokument wurde bereits von einer autorisierten Vertretung von PKB unterzeichnet.

Warum ist ein DPC erforderlich

Der DPC ist gesetzlich vorgeschrieben, um

Eine rechtmäßige Grundlage für die Verarbeitung von Gesundheitsdaten gemäß den deutschen Datenschutzgesetzen zu schaffen.
Die zulässigen Zwecke der Datenverarbeitung zu definieren (z. B. zur Gesundheitsversorgung oder für den Patientenzugang zu eigenen Daten).
Sicherzustellen, dass angemessene Sicherheitsmaßnahmen zum Schutz von Patientendaten umgesetzt werden.
Die Verantwortlichkeiten beider Parteien im Falle von Datenschutzverletzungen oder Anfragen betroffener Personen (z. B. Auskunftsersuchen) zu klären.

DPC-Prozess: Erste Schritte

Bestimmen Sie eine autorisierte Person in Ihrer Organisation, die zur Unterzeichnung befugt ist.
Klicken Sie auf den untenstehenden Link, um den elektronischen Signaturprozess für den DPC zu starten.
Nach Abschluss des Vorgangs erhalten Sie eine vollständig ausgefertigte Kopie des Vertrags für Ihre Unterlagen.

Weitere Ressourcen

PKB Trust Centre: Umfassende Unterlagen zu Datenschutz und Informationssicherheit
PKB Datenschutzbeauftragter: dpo@patientsknowbest.com
Bei Fragen zum deutschen DPC wenden Sie sich bitte an unser Information Governance Team unter: ig@patientsknowbest.com

Revision History

Version	Date	Editor	Reviewer	Approver	Description
2.0	14.04.25	Selina Davis-Edwards			Added to Trust Centre

German Data Processing Contract (English Version)

What is the German Data Processing Contract (DPC)

To comply with German data protection laws (including the Bundesdatenschutzgesetz (BDSG) and GDPR), Patients Know Best (PKB) and your organisation must have a DPC in place. This agreement is a legal requirement that explains how patient data will be handled and protected in accordance with both German and European data protection regulations.

Key Roles and Responsibilities Outlined in the DPC

The DPC clearly defines the roles and responsibilities of PKB and your organisation regarding the processing of patient data:

Your organisation: Acts as the Controller for patient record data.
PKB: Acts as the Processor for data received from your organisation.
PKB: Acts as the Sole Controller for patient account data (information added directly by patients)
Your organisation: Acts as independent controller for patient account data (information added directly by patients)

The DPC includes specific requirements for data protection in Germany, detailing security measures, processing activities, and data-handling procedures to ensure compliance with German data privacy regulations.

Who Needs to Sign the DPC

The DPC requires signatures from an authorised representative from both parties:

For your organisation: An authorised signatory who can legally bind your organisation (e.g., Senior Information Risk Owner (SIRO), Medical Director, Chief Clinical Information Officer (CCIO), Chief Executive Officer (CEO), or Caldicott Guardian equivalent).
For PKB: The document has already been signed by PKB's authorised representative.

Why is a DPC Required

The DPC is legally required to:

Establish a lawful basis for processing health data under German data protection laws.
Define the permitted purposes for data processing (e.g., providing healthcare, patient access to records).
Ensure that appropriate security measures are implemented to protect patient data.
Clarify each party's responsibilities in the event of data breaches or data subject requests.

DPC Process: Getting Started

Identify one authorised signatory from your organisation.
Click the link below to begin the electronic signing process for the DPC.
A fully executed copy will be provided to your organisation upon completion.

Additional Resources

PKB Trust Centre: For our comprehensive privacy and security documentation.
PKB Data Protection Officer: dpo@patientsknowbest.com

For any questions about the German DPC, don't hesitate to get in touch with our Information Governance team at ig@patientsknowbest.com

German Data Processing Contract (DPC) - Deutscher Auftragsverarbeitungsvertrag (AVV)