|
AuftragsverarbeitungAVVArt. 28 DSGVOArztpraxis

Auftragsverarbeitung in der Arztpraxis — AVV richtig abschließen (Art. 28 DSGVO)

Fast jede Arztpraxis arbeitet mit externen Dienstleistern: IT-Service, PVS-Anbieter, Abrechnungsstelle, Cloud-Speicher, Laboranbindung. Sobald diese Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeiten, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Fehlt dieser, drohen Bußgelder — und im schlimmsten Fall ist die gesamte Datenverarbeitung rechtswidrig.

Was ist Auftragsverarbeitung?

Auftragsverarbeitung liegt vor, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag und nach Ihrer Weisung verarbeitet. Sie bleiben als Praxis der "Verantwortliche" — der Dienstleister ist der "Auftragsverarbeiter".

Wichtig: Nicht jede Zusammenarbeit mit einem externen Partner ist Auftragsverarbeitung. Der entscheidende Unterschied:

  • Auftragsverarbeitung: Der Dienstleister verarbeitet Daten nach Ihrer Weisung (z.B. IT-Wartung mit Fernzugriff, Cloud-Backup, PVS-Hosting)
  • Keine Auftragsverarbeitung: Der Dienstleister handelt in eigener Verantwortung (z.B. Überweisungen an Fachärzte, Labore mit eigener Diagnostik, Steuerberater)

Typische Auftragsverarbeiter in der Arztpraxis

Diese Dienstleister brauchen in der Regel einen AVV:

  1. PVS-Anbieter — wenn das PVS in der Cloud gehostet wird oder der Anbieter Fernwartung durchführt
  2. IT-Dienstleister — Fernwartung, Backup-Lösungen, Server-Administration
  3. Abrechnungsdienstleister — privatärztliche Verrechnungsstellen (z.B. PVS Reiss, mediserv)
  4. Cloud-Dienste — Speicherlösungen, E-Mail-Hosting, Praxis-Website-Hosting
  5. Aktenvernichtung — Unternehmen die Patientenakten datenschutzkonform vernichten
  6. Online-Terminbuchung — Doctolib, Jameda Termine, etc.
  7. Videosprechstunde-Anbieter — wenn nicht KBV-zertifiziert mit eigenem Datenschutzkonzept

Was muss im AVV stehen?

Art. 28 Abs. 3 DSGVO legt fest, welche Regelungen ein AVV enthalten muss:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Weisungsgebundenheit — der Auftragsverarbeiter handelt nur auf Ihre Weisung
  • Vertraulichkeit — Mitarbeiter des Auftragsverarbeiters sind zur Vertraulichkeit verpflichtet
  • Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten
  • Subunternehmer — Regelung zur Einschaltung weiterer Auftragsverarbeiter
  • Unterstützungspflichten — z.B. bei Betroffenenanfragen oder Datenpannen
  • Löschung/Rückgabe der Daten nach Vertragsende
  • Kontrollrechte — Sie dürfen den Auftragsverarbeiter prüfen

Häufige Fehler beim AVV

  • Kein AVV vorhanden: Der häufigste Fehler. Viele Praxen wissen nicht, dass sie mit ihrem IT-Dienstleister einen AVV brauchen.
  • Veralteter AVV: Der AVV stammt noch von vor der DSGVO oder bezieht sich auf alte Leistungen.
  • AVV nicht bei allen Dienstleistern: PVS-Anbieter hat einen AVV, aber der IT-Wartungsdienst nicht.
  • Nur AGB statt AVV: Die AGB des Dienstleisters ersetzen keinen AVV.
  • Keine Prüfung der TOMs: Sie müssen sich überzeugen, dass der Auftragsverarbeiter angemessene Schutzmaßnahmen hat.

AVV-Checkliste für Ihre Praxis

  • Liste aller externen Dienstleister erstellt, die Zugriff auf Patientendaten haben
  • Für jeden Dienstleister geprüft: Auftragsverarbeitung ja/nein?
  • AVV mit PVS-Anbieter abgeschlossen
  • AVV mit IT-Dienstleister abgeschlossen
  • AVV mit Abrechnungsstelle abgeschlossen (falls zutreffend)
  • AVV mit Cloud-/Hosting-Anbieter abgeschlossen
  • TOMs der Auftragsverarbeiter geprüft und dokumentiert
  • AVVs im Verarbeitungsverzeichnis referenziert
  • Jährliche Überprüfung der AVVs eingeplant

Wo bekomme ich einen AVV?

Die meisten seriösen Dienstleister bieten Ihnen einen AVV an — oft als Download auf ihrer Website oder auf Anfrage. Fragen Sie aktiv danach! Wenn ein Dienstleister keinen AVV bereitstellen kann oder will, ist das ein Warnsignal.

Muster-AVVs finden Sie bei:

  • Gesellschaft für Datenschutz und Datensicherheit (GDD)
  • Bitkom (Bundesverband Informationswirtschaft)
  • Ihrer zuständigen Datenschutz-Aufsichtsbehörde (LfDI Baden-Württemberg)

AVV und Verarbeitungsverzeichnis

Der AVV und das Verarbeitungsverzeichnis (Art. 30 DSGVO) hängen zusammen: In Ihrem VV müssen Sie für jede Verarbeitungstätigkeit die Empfänger und damit auch die Auftragsverarbeiter angeben. Umgekehrt sollte der AVV die konkreten Verarbeitungstätigkeiten benennen, die der Dienstleister durchführt.

PraxisGuard hilft Ihnen dabei, den Überblick zu behalten: Im Compliance-Taskboard werden alle AVV-bezogenen Aufgaben mit Deadlines geführt, und das Verarbeitungsverzeichnis referenziert automatisch die relevanten Empfänger und Auftragsverarbeiter für jede Verarbeitungstätigkeit.

Jetzt Compliance automatisieren

PraxisGuard erstellt Ihr Verarbeitungsverzeichnis, Patienten-Infoblatt und Compliance-Taskboard — kostenlos und in unter 10 Minuten.

Kostenlos starten
Alle Artikel