Wie Arztpraxen einen DSGVO-konformen Vertrag zur Auftragsverarbeitung nutzen

Wenn das Wartezimmer schon gefüllt ist und gleichzeitig ein externer IT-Dienstleister Zugang zu Systemen benötigt, zeigt sich schnell, wie leicht fremde Hände mit Patientendaten in Berührung kommen können. In einer hausärztlichen Praxis startete ein Techniker kürzlich eine Fernwartung, um ein Update einzuspielen – allerdings ohne dass zuvor ein AV-Vertrag geschlossen worden war. Die Situation wirkte auf den ersten Blick unproblematisch, doch im Hintergrund flossen sensible Informationen über ein System, das nicht unter der Kontrolle der Praxis stand.

Solche Momente machen deutlich, warum klare Regeln und verlässliche Vereinbarungen notwendig sind. Ein gut ausgestalteter AV-Vertrag schützt die Praxis gerade in diesen Alltagssituationen, schafft Transparenz und stellt sicher, dass die Datenverarbeitung im Auftrag rechtmäßig und kontrollierbar erfolgt.

Warum Arztpraxen zwingend einen DSGVO-konformen AV-Vertrag benötigen

Im Praxisalltag greifen zahlreiche externe Dienstleister auf sensible Daten zu – vom IT-Support über Praxissoftwareanbieter bis hin zu Laborlogistik, Online-Terminbuchung oder Cloud-Backups. Damit diese Zugriffe rechtmäßig und kontrollierbar bleiben, braucht es ein klar geregeltes Auftragsverhältnis. Sobald ein externer Anbieter personenbezogene Daten verarbeitet, handelt es sich um eine Auftragsverarbeitung, die immer eine dokumentierte Vereinbarung voraussetzt. Für Praxen bedeutet das: Jeder externe Zugriff auf Patientendaten muss vertraglich abgesichert sein, damit Zuständigkeiten eindeutig bleiben.

Welche Risiken fehlende Vereinbarungen bergen, zeigt sich oft erst, wenn eine Störung oder Kontrolle eintritt. Ohne AV-Vertrag ist unklar, ob die Datenverarbeitung rechtmäßig erfolgt, und die Praxis kann im Ernstfall voll verantwortlich gemacht werden. Neben möglichen Bußgeldern steht auch das Vertrauen der Patientinnen und Patienten auf dem Spiel – insbesondere, wenn nicht nachvollziehbar ist, wie ein Dienstleister mit Gesundheitsdaten umgeht. Ohne Vertrag fehlen zudem feste Abläufe und Meldewege für Datenschutzvorfälle, was die Situation zusätzlich verschärft.

Praxen bleiben immer in der Verantwortung, auch wenn Daten zeitweise außerhalb der eigenen Systeme verarbeitet werden. Sie müssen sicherstellen, dass Dienstleister geeignete Schutzmaßnahmen einsetzen und Daten nur nach dokumentierten Weisungen verarbeiten. Weil es um besonders sensible Informationen geht, gelten erhöhte Anforderungen an die Kontrolle und Nachvollziehbarkeit. Ein DSGVO-konformer AV-Vertrag ist deshalb kein Formalakt, sondern ein zentrales Element einer funktionierenden Datenschutzorganisation in medizinischen Einrichtungen.

Was ein Vertrag zur Auftragsverarbeitung zwingend enthalten muss

Ein vollständiger AV-Vertrag beschreibt zunächst den konkreten Gegenstand der Verarbeitung – also welche Leistungen der Dienstleister erbringt und welche Daten er dafür benötigt. Dazu zählen unter anderem die Kategorien betroffener Personen (z. B. Patienten oder Mitarbeitende), die Datenarten wie Stammdaten oder Gesundheitsdaten sowie der Ort, an dem die Verarbeitung stattfindet. Ebenso wichtig ist eine klare Angabe zur Dauer des Auftrags und zur Art der Zusammenarbeit. Diese Struktur sorgt dafür, dass eindeutig festgelegt ist, welche Verarbeitung legitim ist und welche nicht.

Damit Praxen alle erforderlichen Angaben vollständig erfassen können, hat sich eine klare Gliederung bewährt: Welche Leistungen werden erbracht? Welche Datenarten sind betroffen? Wer sind die betroffenen Personen? Wo findet die Verarbeitung statt und wie lange dauert sie? Solche strukturierten Angaben helfen dabei, den gesamten Verarbeitungsvorgang zu überblicken und den Vertrag später zuverlässig zu prüfen. Gleichzeitig erkennt die Praxis leichter, wenn ein Dienstleister wichtige Punkte nicht ausreichend beschreibt.

Konkrete Beispiele machen die Zuordnung leichter: Bei einer Praxissoftware umfasst der Gegenstand etwa Hosting, Wartung, Support und Datensicherung. Verarbeitet werden dabei Gesundheitsdaten, Termin- und Kommunikationsdaten, während der Ort der Verarbeitung meist ein Rechenzentrum innerhalb der EU ist. Bei Labor-IT-Dienstleistern können zusätzliche Transport- oder Schnittstellenprozesse hinzukommen. Durch solche eindeutigen Beschreibungen wird die Verarbeitung transparent und nachvollziehbar – ein wichtiger Vorteil für spätere Kontrollen und interne Entscheidungen.

TOM: Die Maßnahmen, auf die Praxen wirklich achten müss

Die TOM (technische und organisatorische Maßnahmen) bilden den sicherheitsrelevanten Kern des Vertrages, denn sie beschreiben konkret, wie der Dienstleister Patientendaten schützt. Gerade bei Gesundheitsdaten ist dieser Punkt entscheidend, weil hier ein besonders hohes Risiko für Betroffene besteht. Anhand der TOM lässt sich erkennen, ob Systeme stabil laufen, Zugriffe kontrolliert werden und der Anbieter tatsächlich ein Schutzniveau bietet, das der Praxisanforderung entspricht. Damit entscheidet die TOM-Anlage letztlich darüber, ob eine Zusammenarbeit überhaupt infrage kommt.

In der TOM-Anlage werden alle sicherheitsrelevanten Maßnahmen beschrieben – zum Beispiel Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Daten- und Mandantentrennung, Backup-Strategien, Verfügbarkeitskonzepte oder Notfallpläne. Diese Punkte sind nicht bloß formale Angaben, sondern bestimmen, wie zuverlässig ein Dienstleister im Alltag arbeitet. Praxen müssen nachvollziehen können, wie Zugänge geschützt werden, ob Backups automatisiert erfolgen und welche Maßnahmen greifen, wenn ein technischer Ausfall auftritt. Nur so lässt sich beurteilen, ob die Datenverarbeitung dauerhaft sicher bleibt.

Für Praxen sind vor allem vier Fragen besonders wichtig: Erstens, ob Unbefugte zuverlässig vom physischen Zutritt ausgeschlossen werden. Zweitens, ob Rollen- und Rechtekonzepte klar geregelt sind und digitaler Zugriff kontrolliert wird. Drittens, wie Daten gesichert und im Notfall wiederhergestellt werden können. Und viertens, ob Pseudonymisierung oder Verschlüsselung eingesetzt wird, wenn dies technisch sinnvoll ist. Diese Kernpunkte zeigen, ob der Dienstleister ein angemessenes Schutzniveau wirklich umsetzt – und nicht nur verspricht.

Kontrollrechte der Praxis: Wie Praxen Dienstleister effektiv überprüfen

Im Praxisalltag zeigt sich schnell, wie wichtig gelebte Kontrollrechte sind. Wenn ein IT-Dienstleister eine neue Softwareversion einspielt oder ein Abrechnungsservice externe Datenexporte durchführt, braucht die Praxis Klarheit: Werden die vereinbarten Schutzmaßnahmen eingehalten? Ein AV-Vertrag schafft hierfür den verbindlichen Rahmen und verpflichtet den Dienstleister, jederzeit nachweisen zu können, dass die Verarbeitung datenschutzkonform erfolgt. Für Praxen bedeutet das nicht nur ein Recht, sondern auch die Verantwortung, solche Nachweise aktiv einzufordern – besonders bei neuen Funktionen oder veränderten technischen Bedingungen.

Zu diesen Nachweisen gehören in der Regel schriftliche Auskünfte, Zertifikate, Protokolle oder Selbstauskünfte. Solche Unterlagen helfen der Praxis, die Qualität eines Dienstleisters realistisch einzuschätzen und mögliche Schwachstellen früh zu erkennen. Sinnvoll ist eine kurze Vorbereitung: Welche Systeme setzt der Dienstleister ein? Welche TOM sind dokumentiert? Wo liegen potenzielle Risiken? Durch regelmäßige, kleine Prüfungen entsteht eine Kultur der Transparenz, die auch im Kontakt mit der Aufsichtsbehörde hilfreich ist. So wird Kontrolle zum festen Bestandteil des alltäglichen Datenschutzes und nicht nur zum Ausnahmefall.

Ein praktisches Vorgehen ähnelt einer kleinen Inspektion: Vor-Ort-Prüfungen sollten angekündigt und anhand einer Checkliste durchgeführt werden. Prüfunterlagen und Selbstauskünfte erleichtern es, nicht nur theoretische Aussagen zu erhalten, sondern echte Maßnahmen sichtbar zu machen. So zeigt sich, ob ein Dienstleister tatsächlich wirksame Schutzmechanismen umsetzt. Richtig genutzt, stärkt das Kontrollrecht die Zusammenarbeit, weil beide Seiten wissen, dass Sicherheit ein fortlaufender Prozess ist, der dokumentiert und überprüft werden muss.