Arztpraxen verarbeiten täglich besonders sensible personenbezogene Daten: Gesundheitsdaten nach Art. 9 DSGVO unterliegen einem erhöhten Schutz. Verstöße können Bußgelder in sechsstelliger Höhe und erhebliche Reputationsschäden nach sich ziehen. Diese Checkliste hilft Ihnen, die wichtigsten DSGVO-Anforderungen systematisch umzusetzen.

Die Checkliste

  1. Verzeichnis der Verarbeitungstätigkeiten anlegen: Dokumentieren Sie alle Verarbeitungsvorgänge in der Praxis (Patientenverwaltung, Abrechnung, E-Mail, Website) mit Zweck, Rechtsgrundlage und Empfängern.
  2. Datenschutzbeauftragten prüfen: Prüfen Sie, ob Ihre Praxis nach Art. 37 DSGVO oder landesrechtlichen Vorschriften einen Datenschutzbeauftragten benennen muss.
  3. Datenschutzerklärung aktualisieren: Prüfen Sie, ob die Datenschutzerklärung auf Website und im Wartezimmer vollständig und aktuell ist; Patienten müssen über ihre Rechte informiert werden.
  4. Einwilligungen rechtssicher gestalten: Einwilligungen zur Datenweitergabe müssen informiert, freiwillig und nachweisbar sein; formlose Einwilligungen reichen nicht.
  5. Technische und organisatorische Maßnahmen (TOMs) umsetzen: Dokumentieren Sie TOMs wie Zugriffsschutz, Verschlüsselung, Backups, Bildschirmsperren und Zutrittskontrollen.
  6. Auftragsverarbeitungsverträge abschließen: Mit allen externen Dienstleistern, die Patientendaten verarbeiten (Abrechnungsdienst, IT-Service, Cloud-Anbieter), muss ein AVV nach Art. 28 DSGVO geschlossen sein.
  7. Datenschutz-Folgenabschätzung prüfen: Prüfen Sie, ob besonders risikoreiche Verarbeitungen (z. B. KI-gestützte Diagnose) eine Datenschutz-Folgenabschätzung erfordern.
  8. Mitarbeiter regelmäßig schulen: Schulen Sie das gesamte Praxisteam mindestens jährlich zu Datenschutzpflichten; dokumentieren Sie Teilnehmer und Inhalte.
  9. Betroffenenrechte prozessual verankern: Legen Sie fest, wie Sie Auskunftsanfragen, Löschanfragen und Datenportabilitätswünsche von Patienten fristgerecht (innerhalb eines Monats) bearbeiten.
  10. Datenpannenmeldepflicht kennen: Bei einer Datenpanne müssen Sie die zuständige Aufsichtsbehörde binnen 72 Stunden informieren; legen Sie interne Abläufe fest.
  11. Website und Online-Dienste auf DSGVO-Konformität prüfen: Eingebettete Tools, Newsletter oder Online-Terminbuchungen erfordern jeweils eine eigene Rechtsgrundlage.
  12. Regelmäßige Überprüfung einplanen: DSGVO-Compliance ist kein einmaliges Projekt; planen Sie eine jährliche Überprüfung aller Maßnahmen ein.

Typische Fehler

  • Kein Verarbeitungsverzeichnis angelegt: Das Verarbeitungsverzeichnis ist Pflicht für alle Praxen und wird bei behördlichen Prüfungen als erstes angefordert.
  • Auftragsverarbeitungsverträge fehlen: Besonders bei Cloud-Diensten und Abrechnungsdienstleistern fehlen häufig die erforderlichen Verträge.
  • Datenpannenmeldung vergessen: Die 72-Stunden-Frist ist kurz; ohne etablierte Prozesse wird die Meldepflicht leicht versäumt.

Fazit

DSGVO-Compliance in der Arztpraxis erfordert strukturiertes Vorgehen und regelmäßige Aktualisierung. Ärzteversichert informiert Sie zu Versicherungslösungen, die auch Datenschutzverstöße und damit verbundene Kosten abdecken. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →