Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein datenschutzrechtlicher Vertrag nach Art. 28 DSGVO, den eine Arztpraxis als Verantwortlicher mit jedem externen Dienstleister schließen muss, der im Auftrag der Praxis personenbezogene Daten von Patienten verarbeitet. Er regelt Zweck, Art, Dauer und Umfang der Datenverarbeitung sowie die Sicherheitsmaßnahmen des Auftragsverarbeiters.
Bedeutung für Ärzte
Arztpraxen sind in der Regel auf externe Dienstleister angewiesen: IT-Systemhäuser, Praxissoftware-Anbieter, Buchhaltungsdienstleister oder Abrechnungsunternehmen (z.B. für die privatärztliche Abrechnung nach GOÄ). Sobald diese Dienstleister Zugriff auf Patientendaten haben, ist ein AV-Vertrag zwingend. Fehlt er, liegt ein Datenschutzverstoß vor, der Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes auslösen kann. In der Praxis schließen die meisten Softwareanbieter standardisierte AV-Verträge an; die Praxis muss diese aber aktiv annehmen und dokumentieren.
Abgrenzung
Der AV-Vertrag ist von einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zu unterscheiden, die entsteht, wenn zwei Parteien gemeinsam über Zweck und Mittel der Verarbeitung entscheiden. Bei der Auftragsverarbeitung hingegen handelt der Dienstleister nur nach Weisung der Praxis. Außerdem ist der AV-Vertrag kein Datenschutzvertrag mit dem Patienten; die Patienteninformation erfolgt über die Datenschutzerklärung.
Beispiel
Eine Praxis nutzt ein cloudbasiertes Praxisverwaltungssystem. Der Anbieter hat Zugriff auf alle Patientendaten. Der Datenschutzbeauftragte der Praxis prüft den AV-Vertrag des Anbieters: Er enthält alle Mindestanforderungen nach Art. 28 DSGVO, die Praxis unterschreibt ihn und hält ihn in der Dokumentation fest. Ärzteversichert empfiehlt regelmäßige Überprüfung aller AV-Verträge auf Aktualität.
Quellen
- Bundesärztekammer
- BaFin – Bundesanstalt für Finanzdienstleistungsaufsicht
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →