Checkliste: DSGVO-Update – Verträge prüfen für Ärzte

Arztpraxen stehen in zahlreichen Vertragsbeziehungen, bei denen personenbezogene Daten eine Rolle spielen – von IT-Dienstleistern über Labore bis hin zu Abrechnungsstellen. Die DSGVO schreibt vor, dass alle Verarbeitungen durch Dritte vertraglich geregelt sein müssen, insbesondere durch Auftragsverarbeitungsverträge (AVV). Ein DSGVO-Update ist der richtige Zeitpunkt, alle bestehenden Vertragsbeziehungen systematisch zu überprüfen – bevor eine Datenpanne zeigt, wo die Lücken sind.

Die Checkliste

1. Auftragsverarbeitungsverträge (AVV) vollständig identifizieren: Erstellen Sie eine Liste aller Dienstleister, die im Auftrag der Praxis personenbezogene Daten verarbeiten – von der Praxissoftware über das Labor bis zum Reinigungsunternehmen.

1. Vorhandene AVV auf Aktualität prüfen: Entsprechen bestehende AVV noch dem aktuellen Stand der DSGVO und dem tatsächlichen Leistungsumfang des Dienstleisters? Veraltete Verträge müssen aktualisiert werden.

1. Fehlende AVV identifizieren und nachholen: Für jeden Auftragsverarbeiter ohne AVV muss umgehend ein Vertrag abgeschlossen oder der Dienstleister gewechselt werden.

1. Arbeitsverträge auf Datenschutzklauseln prüfen: Enthalten die Arbeitsverträge des Praxispersonals Regelungen zur Verschwiegenheit und Datenschutzpflicht? Falls nicht, sollten Ergänzungen vorgenommen werden.

1. Kooperationsverträge mit anderen Ärzten überprüfen: Gemeinschaftspraxen, Berufsausübungsgemeinschaften oder Honorarärzte erfordern klare Regelungen, wer für welche Datenverarbeitung verantwortlich ist.

1. Mietvertrag auf Datenschutzrelevanz prüfen: Wenn Vermieter oder andere Mieter im Gebäude Zugang zu gemeinsam genutzten Bereichen haben (Serverraum, Postfächer), kann das datenschutzrechtlich relevant sein.

1. Versicherungsverträge auf DSGVO-Bezug prüfen: Cyberversicherungen oder Berufshaftpflichtpolicen können Sicherheitsanforderungen enthalten, die mit den DSGVO-Maßnahmen der Praxis kompatibel sein müssen.

1. Cloud-Dienste und SaaS-Anbieter überprüfen: Jeder Cloud-Dienst, der Patientendaten verarbeitet, braucht einen AVV und muss in einem Land mit angemessenem Datenschutzniveau betrieben werden.

1. Wartungs- und Serviceverträge sichten: IT-Wartungsverträge räumen Technikern häufig weitreichenden Systemzugang ein. Klären Sie, ob ein AVV vorliegt und wie der Zugang protokolliert wird.

1. Fortbildungsvertrag und Datenschutz: Wenn externe Trainer Datenschutzschulungen durchführen, sollten auch diese Vertragsbeziehungen auf datenschutzrechtliche Anforderungen geprüft werden.

1. Vertragsarchiv aktualisieren: Legen Sie alle geprüften und aktualisierten Verträge in einer zentralen, zugriffsgeschützten Ablage ab. Versionierung und Datumsangaben sind Pflicht.

Typische Fehler

AVV für Cloud-Dienste fehlt: Viele Praxen nutzen Cloudbasierte Terminbuchung, E-Mail-Dienste oder Backup-Lösungen, ohne einen AVV abgeschlossen zu haben – obwohl diese Dienste eindeutig Patientendaten verarbeiten.

Veraltete Standardformulierungen in Arbeitsverträgen: Arbeitsverträge aus der Zeit vor 2018 enthalten oft keine DSGVO-konforme Datenschutzklausel. Diese Lücke wird häufig nicht geschlossen.

Keine Prüfung von Unterauftragnehmern: AVV-Verträge müssen auch regeln, ob der Dienstleister Unterauftragnehmer einsetzen darf und unter welchen Bedingungen. Diese Klauseln werden oft übersehen.

Fazit

Vollständige und aktuelle Verträge sind das Fundament jeder DSGVO-konformen Praxis. Ärzteversichert empfiehlt, beim jährlichen DSGVO-Update eine vollständige Vertragsprüfung durchzuführen und Lücken konsequent zu schließen. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

• BaFin – Auftragsverarbeitung und vertragliche Anforderungen
• Bundesärztekammer – Kooperationsverträge und Datenschutz
• Gesetze im Internet – DSGVO Art. 28 Auftragsverarbeiter