Checkliste: DSGVO-Update – Unterlagen sammeln für Ärzte

Ein DSGVO-Update beginnt nicht mit dem Schreiben neuer Dokumente, sondern mit dem Zusammenstellen der bestehenden. Wer weiß, welche Unterlagen bereits vorhanden sind, erkennt schnell, wo Lücken bestehen – und kann Ressourcen gezielt dort einsetzen, wo sie gebraucht werden. Diese Checkliste hilft Ihnen, alle relevanten Dokumente vor dem DSGVO-Update systematisch zusammenzutragen.

Die Checkliste

1. Verzeichnis der Verarbeitungstätigkeiten (VVT) sichten: Das VVT nach Art. 30 DSGVO ist das Kerndokument der Datenschutzdokumentation. Prüfen Sie, ob es vorhanden, vollständig und aktuell ist.

1. Datenschutzerklärungen und Patienteninformationsblätter sammeln: Alle Versionen der Datenschutzerklärung – für Website, Praxisaushang und Einwilligungsformulare – müssen zusammengestellt werden.

1. Auftragsverarbeitungsverträge (AVV) zusammenstellen: Sammeln Sie alle AVV mit IT-Dienstleistern, Laboren, Abrechnungsstellen und sonstigen Auftragsverarbeitern. Prüfen Sie, ob für alle eingesetzten Dienstleister ein AVV vorhanden ist.

1. Technische und organisatorische Maßnahmen (TOM) sichten: Das TOM-Konzept beschreibt, wie Patientendaten technisch und organisatorisch geschützt werden. Liegt es vor und ist es noch aktuell?

1. Schulungsnachweise des Personals zusammentragen: Alle Nachweise über durchgeführte Datenschutzschulungen der Mitarbeiter sollten an einem Ort abgelegt sein und für das Update zugänglich gemacht werden.

1. Verpflichtungserklärungen zur Vertraulichkeit prüfen: Liegen für alle Mitarbeiter mit Datenzugang aktuelle schriftliche Verpflichtungserklärungen vor?

1. Bestellungsurkunde des Datenschutzbeauftragten sichten: Falls ein DSB bestellt ist, muss der Bestellungsvertrag vorliegen. Interner oder externer DSB: Kontaktdaten und Meldung an die Behörde prüfen.

1. Meldungen von Datenpannen und interne Vorfallsdokumentation sammeln: Alle bisher gemeldeten oder intern dokumentierten Datenschutzvorfälle sollten für das Update gesichtet werden, um wiederkehrende Muster zu erkennen.

1. Wartungsverträge und Servicevereinbarungen prüfen: IT-Wartungsverträge enthalten häufig Regelungen zum Datenzugang. Prüfen Sie, ob diese DSGVO-konform sind und ob AVV-Klauseln enthalten sind.

1. Datenschutz-Folgenabschätzungen (DSFA) sichten: Falls eine DSFA durchgeführt wurde, muss sie für das Update bereitstehen. Falls keine vorhanden ist, prüfen Sie, ob eine erforderlich wäre.

1. Einwilligungsformulare der Patienten zusammenstellen: Welche Formulare werden aktuell eingesetzt? Sind sie aktuell und DSGVO-konform? Alle Varianten zusammentragen und bewerten.

Typische Fehler

Unterlagen über die gesamte Praxis verteilt: Wenn AVV-Verträge im Büro des Chefarztes, Schulungsnachweise in der Personalakte und das VVT auf dem Server liegen, ist eine vollständige Übersicht kaum möglich. Eine zentrale Ablage fehlt.

Unvollständige AVV-Sammlung: Viele Praxen haben AVV nur für offensichtliche Dienstleister und vergessen kleinere Anbieter – Cloud-Dienste, Newsletter-Tools oder Terminbuchungssysteme.

Veraltete Dokumente nicht als solche gekennzeichnet: Wenn alte und neue Versionen von Formularen nicht klar unterschieden werden, besteht die Gefahr, dass veraltete Dokumente weiterverwendet werden.

Fazit

Das strukturierte Sammeln aller Unterlagen ist die Grundlage eines effizienten DSGVO-Updates. Ärzteversichert empfiehlt, eine zentrale Datenschutzablage einzurichten und diese beim jährlichen Update konsequent zu nutzen. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

• Bundesärztekammer – Datenschutz in der Arztpraxis
• BaFin – Dokumentationsanforderungen und Prüfungsgrundlagen
• Bundesministerium für Gesundheit – Datenschutz und Digitalisierung