Auftragsverarbeitung bezeichnet nach Art. 28 DSGVO die Konstellation, in der ein Verantwortlicher (z. B. die Arztpraxis) personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt. Der AV-Vertrag (Auftragsverarbeitungsvertrag) ist die Pflichtvereinbarung, die Art und Umfang der Verarbeitung, Weisungsbefugnisse und Sicherheitsmaßnahmen regelt.

Bedeutung für Ärzte

Praxen arbeiten regelmäßig mit Dienstleistern zusammen, die Patientendaten verarbeiten: IT-Dienstleister für die Praxissoftware-Wartung, Abrechnungsstellen, Cloud-Anbieter für digitale Patientenakten oder Schreibbüros für Arztbriefe. Für jeden dieser Dienstleister ist ein AV-Vertrag nach Art. 28 DSGVO verpflichtend. Fehlt er, drohen erhebliche Bußgelder durch die Datenschutzbehörden (bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes). Der AV-Vertrag muss schriftlich oder elektronisch geschlossen werden und Mindestinhalte wie Datenlöschung, Subunternehmerregelungen und Nachweispflichten umfassen. Ärzteversichert empfiehlt regelmäßige DSGVO-Überprüfungen in der Praxis.

Abgrenzung

Der AV-Vertrag ist von einer gemeinsamen Verantwortlichkeit (Joint Controllership nach Art. 26 DSGVO) zu unterscheiden, bei der zwei Verantwortliche gemeinsam Zweck und Mittel der Verarbeitung festlegen. Auch eine reine Geheimhaltungsvereinbarung (NDA) ersetzt den AV-Vertrag nicht, da sie die inhaltlichen DSGVO-Anforderungen nicht erfüllt.

Praxisbeispiel

Eine gynäkologische Praxis wechselt auf eine cloudbasierte Praxissoftware. Der Softwareanbieter als Auftragsverarbeiter erhält Zugang zu Patientenstammdaten und Befunden. Vor der Systemumstellung schließt die Praxisinhaberin einen AV-Vertrag ab, der die Serverstandorte (EU), Zugriffsrechte und Löschfristen nach Vertragsende regelt.

Quellen

  • Art. 28 DSGVO: Auftragsverarbeitung, EU-Datenschutz-Grundverordnung (2018)
  • Datenschutzkonferenz (DSK): Kurzpapier Nr. 13 zur Auftragsverarbeitung, 2024
  • Bayerisches Landesamt für Datenschutzaufsicht: Muster-AV-Vertrag für Arztpraxen, lda.bayern.de (2025)

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →