Arztpraxen benötigen für die DSGVO-Umsetzung keine behördliche Genehmigung, sind aber verpflichtet, ein Verarbeitungsverzeichnis zu führen, Auftragsverarbeitungsverträge abzuschließen und ab 20 regelmäßig mit Patientendaten arbeitenden Personen einen Datenschutzbeauftragten zu benennen.

Hintergrund

Arztpraxen verarbeiten besonders schützenswerte Gesundheitsdaten nach Art. 9 DSGVO und unterliegen strengen Pflichten. Das Verarbeitungsverzeichnis (Art. 30 DSGVO) muss alle Datenverarbeitungsvorgänge dokumentieren; es ist Behörden auf Verlangen vorzulegen. Mit allen Dienstleistern (IT-Service, Abrechnungsstelle, Cloud-Anbieter), die Patientendaten verarbeiten, muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen werden. Ab 20 Personen, die regelmäßig Patientendaten verarbeiten, ist ein betrieblicher Datenschutzbeauftragter zu benennen (§ 38 BDSG). Datenpannen müssen innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden.

Wann gilt das nicht?

Praxen mit ausschließlich anonymisierten oder pseudonymisierten Daten unterliegen weniger strengen Pflichten. Einzelarztpraxen ohne externe Datenverarbeitung können von der Pflicht zur formellen Datenschutzbeauftragtenbestellung befreit sein.

Quellen

Ärzteversichert informiert über Cyber-Versicherungen, die Arztpraxen bei DSGVO-Verstößen und Datenpannen finanziell absichern.

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →