Die DSGVO verlangt von Arztpraxen nicht nur die Einhaltung der Datenschutzvorschriften, sondern auch den lückenlosen Nachweis dieser Einhaltung. Das Prinzip der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verpflichtet Praxisinhaber, jederzeit belegen zu können, was sie wann warum getan haben. Ein DSGVO-Update ohne strukturierte Archivierung der Nachweise ist deshalb nur halb so viel wert – und im Falle einer Prüfung durch die Datenschutzbehörde besonders riskant.

Die Checkliste

  1. Verarbeitungsverzeichnis in versionierter Form ablegen: Das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) muss in der jeweils aktuellen Version vorliegen. Alte Versionen sollten mit Datum archiviert werden, um Änderungen nachvollziehbar zu machen.
  1. Datenschutzerklärungen mit Gültigkeitsdatum speichern: Jede Version Ihrer Website-Datenschutzerklärung und Ihrer Patienteninformationsblätter muss mit dem Zeitraum ihrer Verwendung dokumentiert sein.
  1. Einwilligungserklärungen der Patienten aufbewahren: Schriftliche Einwilligungen zur Datenverarbeitung (z. B. für Fotodokumentation oder Forschungszwecke) müssen mindestens so lange aufbewahrt werden wie die zugehörigen Behandlungsunterlagen.
  1. AVV-Verträge mit Versionierung archivieren: Auftragsverarbeitungsverträge mit IT-Dienstleistern, Laboren oder Abrechnungsstellen müssen vollständig archiviert sein. Bei Aktualisierungen die alte Version nicht löschen.
  1. Schulungsnachweise systematisch ablegen: Für jede durchgeführte Datenschutzschulung sollten Teilnehmerlisten, Schulungsinhalte und Datum dokumentiert werden. Idealerweise mit Unterschrift der Teilnehmer.
  1. Datenpannen und Meldungen dokumentieren: Jeder Datenschutzvorfall – auch wenn er nicht meldepflichtig ist – sollte intern dokumentiert werden: Was ist passiert, wann wurde es bemerkt, welche Maßnahmen wurden ergriffen?
  1. Datenschutz-Folgenabschätzungen aufbewahren: Falls eine DSFA (Art. 35 DSGVO) durchgeführt wurde, muss die vollständige Dokumentation einschließlich der Risikoabwägung archiviert werden.
  1. Beauftragung des Datenschutzbeauftragten belegen: Der Bestellungsvertrag des internen oder externen DSB sowie etwaige Abberufungen müssen dokumentiert sein.
  1. Löschnachweise führen: Wenn Patientendaten nach Ablauf der Aufbewahrungsfrist gelöscht werden, sollte dies dokumentiert werden – mit Datum, Kategorie der Daten und zuständiger Person.
  1. Technische und organisatorische Maßnahmen (TOM) aktualisieren: Das TOM-Konzept muss beim DSGVO-Update überprüft und die neue Version mit Datum festgehalten werden.
  1. Revisionssicheres Ablagesystem nutzen: Papierarchive müssen vor unbefugtem Zugriff und Vernichtung geschützt sein. Digitale Archive müssen manipulationssicher und langzeitstabil sein.

Typische Fehler

Dokumente ohne Datum gespeichert: Nachweise ohne klares Erstellungs- oder Gültigkeitsdatum sind bei einer Prüfung nahezu wertlos, weil nicht nachvollziehbar ist, wann die Maßnahme umgesetzt wurde.

Alte Versionen gelöscht: Wenn Datenschutzerklärungen oder AVV-Verträge nach Aktualisierung gelöscht werden, fehlt der Nachweis, was zu einem bestimmten Zeitpunkt gegolten hat.

Schulungen nicht schriftlich dokumentiert: Mündliche Unterweisungen ohne Nachweis sind nicht belegbar. Behörden akzeptieren keine mündlichen Versicherungen als Nachweis.

Fazit

Gute Datenschutzarbeit muss nachweisbar sein – das ist das Kernprinzip der Rechenschaftspflicht. Ärzteversichert empfiehlt, bereits beim DSGVO-Update ein strukturiertes Ablagesystem zu etablieren, das im Prüfungsfall schnell und vollständig zur Hand ist. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →