Wie Arztpraxen externe Dienstleister sicher einbinden

In vielen Praxen beginnt der Tag mit einem bekannten Szenario: Die Praxissoftware reagiert langsam, Patientinnen und Patienten warten bereits, und der IT-Dienstleister schaltet sich per Fernwartung auf das System. Während im Vordergrund technische Probleme gelöst werden sollen, läuft im Hintergrund eine Verarbeitung von Patientendaten – und dafür bleibt die Praxis verantwortlich, nicht der Dienstleister.

Genau hier entscheidet sich, ob eine Praxis datenschutzkonform arbeitet: Immer dann, wenn externe Dienstleister auf Systeme oder Daten zugreifen – sei es bei der Fernwartung, einem Softwareupdate, der Laboranbindung oder der Fehleranalyse –, müssen bestimmte Prüf- und Dokumentationsschritte eingehalten werden. Diese regelmäßige Überprüfung wird häufig als „Auftragskontrolle“ bezeichnet. Gemeint ist damit ein klar strukturierter Alltagstest: Wer greift wann auf welche Daten zu, unter welchen Bedingungen – und ist das ausreichend abgesichert?

Damit Praxen diese Aufgaben nicht mühsam selbst strukturieren müssen, unterstützt die vorliegende Arbeitshilfe mit einem vollständigen Prüfraster für alle Arten von Dienstleisterzugriffen: von der Vertragsprüfung über die Kontrolle der technischen Maßnahmen bis zur Dokumentation der Fernwartung. Sie zeigt Schritt für Schritt, wie Praxen Risiken reduzieren, Zugriffe nachvollziehbar dokumentieren und ihre Verantwortung im Praxisalltag zuverlässig wahrnehmen.

Warum die Überprüfung externer Dienstleister für Praxen unverzichtbar ist

Immer dann, wenn externe Dienstleister Zugriff auf Praxis- oder Patientendaten erhalten – etwa bei einer Fernwartung, einem Software-Update oder der Verarbeitung von Abrechnungsdaten – muss die Praxis sicherstellen, dass dieser Zugriff erlaubt, geschützt und nachweisbar kontrolliert ist. Diese regelmäßige Überprüfung wird häufig als „Auftragskontrolle“ bezeichnet. Gemeint ist damit nichts anderes als ein strukturierter Check: Wer darf was tun, unter welchen Bedingungen, und sind alle Schutzmaßnahmen eingehalten?

Diese Prüfungen sind wichtig, weil die Verantwortung bei der Praxis bleibt. Wenn während einer Fernwartung sensible Informationen sichtbar werden oder Einstellungen fehlerhaft gesetzt werden, muss die Praxis belegen können, dass sie ihre Dienstleister sorgfältig ausgewählt und überwacht hat. Ohne diese Nachweise entstehen schnell Risiken – selbst dann, wenn der Fehler eigentlich beim Dienstleister lag.

Alltägliche Beispiele zeigen, wie schnell neuer Prüfbedarf entsteht: Kommt beim IT-Dienstleister ein neuer Mitarbeiter hinzu, muss dessen Vertraulichkeitsverpflichtung vorliegen. Wird eine Software in die Cloud verlagert, muss klar sein, wo die Daten gespeichert werden und wer darauf zugreifen darf. Ein systematisches Prüfraster hilft der Praxis, solche Punkte nicht zu übersehen – von technischen Sicherheitsmaßnahmen über eingesetzte Subunternehmen bis hin zu Regeln zur Datenlöschung.

Welche Dienstleister in Arztpraxen als Auftragsverarbeiter gelten

In einer Arztpraxis arbeiten viele externe Stellen mit – vom IT-Service über Softwareanbieter bis hin zu Abrechnungsfirmen. Doch nicht jede Zusammenarbeit ist automatisch Auftragsverarbeitung. Entscheidend ist, ob ein Dienstleister Zugriff auf personenbezogene Daten der Praxis hat oder diesen Zugriff technisch erhalten kann. In diesen Fällen handelt er nicht eigenständig, sondern im Auftrag der Praxis – und muss entsprechend eingebunden und geprüft werden.

Typische Beispiele sind IT-Wartung und Fernwartung, Praxissoftware, Hosting-Dienstleister, Anbieter von Online-Terminsystemen, Laboranbindungen oder Archivierungsdienste. Auch wenn diese Tätigkeiten oft „im Hintergrund“ laufen, werden dabei Patientendaten sichtbar oder verarbeitet. Daher müssen für diese Dienstleister immer bestimmte Unterlagen vorliegen: ein Vertrag zur Auftragsverarbeitung, ein Dokument zu den technischen und organisatorischen Maßnahmen und – falls vorhanden – eine Liste weiterer Subunternehmer.

Unsicherheiten entstehen oft bei Dienstleistern, die selbst selten auf Daten zugreifen, aber Zugriffsmöglichkeiten besitzen – etwa Systemhäuser mit Notfallzugang oder Cloud-Anbieter, die Speicherplätze bereitstellen. Auch hier gilt: Schon die technische Zugriffsmöglichkeit reicht aus, um den Dienstleister als Auftragsverarbeiter einzustufen. Die Praxis muss ihn dann im eigenen Register erfassen und regelmäßig prüfen. Die Arbeitshilfe unterstützt dabei mit einer klaren Einordnung und einem strukturierten Prüfrasters.

Das Fundament: Welche Verträge und Dokumente notwendig sind

Damit eine Praxis externe Dienstleister sicher einbinden kann, braucht es einen vollständigen und nachvollziehbaren Satz an Unterlagen. Die Arbeitshilfe zeigt übersichtlich, welche Dokumente für jeden Dienstleister zwingend vorliegen müssen: der Vertrag zur Auftragsverarbeitung, ein eigenes Dokument mit den technischen und organisatorischen Maßnahmen (TOM) sowie – falls der Dienstleister weitere Firmen einsetzt – eine aktuelle Liste seiner Subunternehmer. Fehlt eines dieser Dokumente, ist die Prüfung nicht abgeschlossen.

Damit ein AV-Vertrag wirklich brauchbar ist, muss er bestimmte Kernpunkte nachvollziehbar regeln: Was der Dienstleister genau macht, welche Daten verarbeitet werden, wie lange der Auftrag läuft, welche Weisungen gelten und welche Sicherheitsmaßnahmen zugesichert sind. In der Arbeitshilfe ist hierfür eine übersichtliche Prüftabelle enthalten. Dort wird für jeden Dienstleister festgehalten, an welcher Stelle im Vertrag die jeweiligen Angaben zu finden sind. So entsteht eine klare Dokumentation, mit der sich später nachweisen lässt, dass alle Anforderungen berücksichtigt wurden.

Häufig entstehen Probleme, weil zwar Unterlagen vorhanden sind, diese aber nie inhaltlich geprüft wurden. Typische Beispiele: In TOM-Dokumenten fehlen Angaben zur Wiederherstellbarkeit nach einem Systemausfall oder Subunternehmerlisten enthalten nur Namen, aber keine Informationen zu Standort oder Aufgaben. Die Arbeitshilfe zeigt, welche Angaben tatsächlich erforderlich sind und hilft dadurch, Lücken frühzeitig zu erkennen.

Die Prüfprotokolle richtig einsetzen: So behalten Praxen den Überblick

Damit Praxen ihre Dienstleister zuverlässig überwachen können, enthält die Arbeitshilfe ein übersichtliches Prüfprotokoll. Jede Zeile steht für einen Dienstleister, jede Spalte für einen Prüfpunkt – vom Vertragsgegenstand bis hin zu den technischen und organisatorischen Maßnahmen (TOM). Diese Struktur sorgt dafür, dass Sie jederzeit erkennen, welche Prüfungen abgeschlossen sind und wo noch Handlungsbedarf besteht. Auch neue Teammitglieder können den Stand auf einen Blick nachvollziehen.

Besonders hilfreich ist die systematische Erfassung aller Sicherheitsmaßnahmen. Die Spalten für Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, Wiederherstellbarkeit und Wirksamkeit orientieren sich an den zentralen Anforderungen moderner IT-Sicherheit. Entscheidend ist: Sie tragen nicht nur ein „erfüllt“ ein, sondern vermerken auch genau, wo im TOM-Dokument die jeweilige Aussage zu finden ist. Das macht die Prüfung klar, nachvollziehbar und später gut belegbar.

Darüber hinaus dokumentiert das Protokoll, ob Unterauftragnehmer beteiligt sind, wie Datenschutzvorfälle gemeldet werden und ob Regelungen zur Datenrückgabe oder Löschung vorliegen. Der integrierte Wiedervorlagepunkt erinnert daran, Prüfungen regelmäßig zu aktualisieren – ein wichtiger Faktor, da sich technische Lösungen, Dienstleisterstrukturen oder TOM-Dokumente verändern können. So entsteht eine lebendige und verlässliche Dokumentation, die jederzeit prüffähig ist.

In der Praxis stellt sich nun die Frage, wie Sie diese Vorgaben so prüfen und dokumentieren, dass Nachweise jederzeit vollständig und belastbar sind. Genau an diesem Punkt wird die tägliche Arbeit oft anspruchsvoll: Dokumente liegen verstreut vor, Angaben sind unvollständig oder technisch formuliert. Unsere Arbeitshilfe führt Sie durch die Prüfung Schritt für Schritt und sichert alle Ergebnisse nachvollziehbar ab. Im nächsten Abschnitt zeigen wir Ihnen, wie Sie damit die Kontrolle der technischen und organisatorischen Maßnahmen strukturiert durchführen.