Wie Arztpraxen alte AV-Verträge jetzt rechtssicher und DSGVO-konform ergänzen

In vielen Praxen liegen noch Auftragsverarbeitungsverträge, die irgendwann „zwischen Faxgerät und Terminkalender“ unterschrieben wurden – häufig noch nach altem Recht. Ein typisches Beispiel: Die Praxissoftware läuft seit Jahren stabil, der IT-Dienstleister arbeitet zuverlässig, doch der Vertrag stammt aus 2014 und enthält weder aktuelle technische und organisatorische Maßnahmen noch klare Meldewege bei Datenschutzvorfällen. Erst als eine MFA versehentlich eine falsche Patientenakte an den Support sendet, wird deutlich, wie viele Punkte heute nicht mehr geregelt sind.

In solchen Momenten erkennt die Praxisleitung: Der Vertrag besteht zwar formal weiter, aber er bildet die heutigen Anforderungen nicht ab. Genau hier setzt die Ergänzungsvereinbarung an. Sie ermöglicht es, veraltete Verträge rechtssicher zu aktualisieren – ohne die bestehende Zusammenarbeit komplett neu verhandeln oder ersetzen zu müssen.

Warum Altverträge heute zu einem Risiko für Arztpraxen werden

Viele ältere Auftragsverarbeitungsverträge gelten formal weiter, bilden aber nur den damaligen Rechtsrahmen ab. Seit Inkrafttreten der DSGVO sind zusätzliche Anforderungen hinzugekommen, die in diesen Verträgen schlicht fehlen. Besonders kritisch sind unklare oder nicht geregelte Meldewege bei Datenschutzvorfällen, denn bei einem Zwischenfall zählt jede Minute. Erst durch eine Ergänzungsvereinbarung lassen sich diese fehlenden Inhalte nachziehen und der alte Vertrag wieder auf ein aktuelles Schutzniveau bringen.

Die größten Risiken zeigen sich, sobald man einen älteren Vertrag mit den heutigen Anforderungen vergleicht. Häufig fehlen aktuelle technische und organisatorische Maßnahmen, oder die Dokumentation ist veraltet. Ebenso unklar bleibt oft, wie der Dienstleister die Praxis bei Anfragen von Betroffenen unterstützen soll. Solche Lücken führen zu Unsicherheiten im Alltag – etwa wenn eine MFA nicht weiß, welche Informationen ein Dienstleister im Schadensfall liefern muss. Die Folge können Verzögerungen und Probleme bei Prüfungen durch Aufsichtsbehörden sein.

Aufsichtsbehörden erwarten heute klar definierte Rollen, eindeutige Meldeketten und nachvollziehbare Sicherheitsmaßnahmen. Fehlt eine dieser Komponenten, gilt die Vereinbarung als unzureichend. Selbst wenn ein älterer Vertrag formal weiterbesteht, ist er ohne Ergänzung praktisch nicht DSGVO-tauglich. Praxen profitieren daher davon, die Ergänzungsvereinbarung nicht nur als Pflichtdokument zu sehen, sondern als Chance, die Zusammenarbeit mit Dienstleistern zu ordnen und den Schutz sensibler Patientendaten wirksam abzusichern.

Die Rolle der Ergänzungsvereinbarung: Was sie leistet – und was nicht

Eine Ergänzungsvereinbarung ist häufig der pragmatischste Weg, ältere Verträge an die heutigen Datenschutzanforderungen anzupassen. Sie baut auf dem bestehenden Dokument auf und ergänzt die Inhalte, die früher nicht verpflichtend waren. Der große Vorteil: Die laufende Zusammenarbeit bleibt bestehen, während die rechtlichen Lücken geschlossen werden. Gerade in Praxen, die seit Jahren mit denselben IT- oder Abrechnungsdienstleistern arbeiten, verhindert dieser Ansatz unnötige Neuverhandlungen. Voraussetzung ist jedoch, dass die Ergänzung >alle heute erforderlichen Regelungen enthält – erst dann erfüllt sie ihren Zweck.

Dazu zählen vor allem klare Meldewege bei Datenschutzvorfällen, die Unterstützung bei Betroffenenanfragen sowie die Festlegung angemessener technischer und organisatorischer Maßnahmen. Viele ältere Verträge kannten diese Punkte schlicht nicht, weil sie damals nicht verlangt wurden. Durch die Ergänzungsvereinbarung werden diese Inhalte nachgezogen und verbindlich festgelegt, wie Praxis und Dienstleister künftig zusammenarbeiten. Alles, was im Altvertrag bereits dem heutigen Recht entspricht, bleibt bestehen – so entsteht eine harmonisierte Vertragsbasis, die Sicherheit für beide Seiten schafft.

Wichtig ist jedoch eine klare Grenze: Eine Ergänzung kann nur funktionieren, wenn der Altvertrag eine ausreichende Grundlage bietet. Fehlen zentrale Elemente – etwa eine Beschreibung der Leistungen, die Rollenverteilung oder grundlegende Angaben zur Datenverarbeitung – reicht eine Ergänzung nicht mehr aus. Dann ist ein komplett neuer Vertrag sinnvoller. Eine Ergänzungsvereinbarung darf kein Flickwerk sein, sondern muss auf einem Vertrag aufbauen, der zumindest die Grundstruktur trägt. Nur so entsteht eine kohärente und vollständige Vertragsarchitektur, die die Praxis im Alltag wirklich schützt.

Pflichten des Auftragsverarbeiters: Wobei Dienstleister die Praxis unterstützen müssen

Die Ergänzungsvereinbarung verpflichtet den Dienstleister, die Praxis bei allen Rechten der betroffenen Personen zu unterstützen – etwa bei Auskunfts-, Lösch- oder Berichtigungsanfragen. Dazu gehört, dass der Dienstleister alle benötigten Daten und Unterlagen rechtzeitig bereitstellt. Für Praxen bedeutet das: Sie können Betroffenenanfragen zuverlässig beantworten, weil der Dienstleister im Hintergrund die nötigen Informationen liefert. Diese Unterstützungspflicht ist kein Zusatzservice, sondern ein verbindlicher Bestandteil der Auftragsverarbeitung.

Darüber hinaus muss der Dienstleister bei der Bewertung von Risiken mitwirken – insbesondere dann, wenn neue Software eingeführt oder bestehende Prozesse verändert werden. Dazu zählen auch die Bereitstellung relevanter Dokumente und die aktive Mitarbeit bei Risikoanalysen. Ohne diese Informationen kann die Praxis nicht beurteilen, ob eine Verarbeitung sicher ist. Die Ergänzungsvereinbarung sorgt deshalb dafür, dass der Dienstleister rechtzeitig einbezogen wird und Praxen Risiken für Patientendaten realistisch einschätzen können.

Ein weiterer Schwerpunkt sind die Anforderungen an das eingesetzte Personal. Der Dienstleister muss sicherstellen, dass alle Beschäftigten auf Vertraulichkeit verpflichtet sind und regelmäßig geschult werden. Das ist im Praxisalltag besonders wichtig, weil externe Mitarbeitende oft direkten Zugriff auf sensible Daten haben – etwa über Fernwartung oder bei der Verarbeitung von Abrechnungsdaten. Nur wenn diese Personen qualifiziert und verpflichtet sind, entsteht ein verlässliches Schutzniveau. Die Ergänzungsvereinbarung stellt klar, dass der Dienstleister hierfür verantwortlich ist und dass Personal und Prozesse DSGVO-konform organisiert sein müssen.

Meldepflichten bei Datenschutzverletzungen: Was die Ergänzungsvereinbarung klarstellt

Die Ergänzungsvereinbarung legt eindeutig fest, dass der Dienstleister die Praxis unverzüglich über Datenschutzvorfälle informieren muss. Dieser Punkt ist entscheidend, weil eine verspätete Meldung im Ernstfall wertvolle Zeit kostet. Der Dienstleister muss nicht nur Bescheid geben, sondern aktiv an der Einschätzung mitwirken – etwa indem er Informationen zur Art des Vorfalls, den betroffenen Daten, möglichen Risiken und bereits eingeleiteten Sofortmaßnahmen bereitstellt. Nur so erhält die Praxis die Grundlage, um schnell und korrekt reagieren zu können.

Ebenso wichtig ist die Struktur der Meldung. Die Praxis muss den Vorfall fachlich beurteilen können – dazu gehören Angaben zum technischen oder organisatorischen Hintergrund, zum genauen Zeitpunkt des Ereignisses und zu den ersten Maßnahmen, die bereits ergriffen wurden. In vielen älteren Verträgen fehlen solche Vorgaben vollständig, was im Ernstfall zu Verzögerungen oder Missverständnissen führt. Die Ergänzungsvereinbarung schließt diese Lücke und sorgt dafür, dass die Informationen die nötige Tiefe besitzen, um Schadensbegrenzung und Compliance (Einhaltung aller rechtlichen Vorgaben) zu sichern.

Ein weiterer zentraler Punkt ist die Kooperation im gesamten Meldemanagement. Der Dienstleister muss die Praxis nicht nur informieren, sondern sie aktiv dabei unterstützen, alle notwendigen Schritte einzuleiten – zum Beispiel durch die Bereitstellung ergänzender Unterlagen, technischer Details oder Einschätzungen zur weiteren Risikominimierung. Damit entsteht ein klarer Kommunikationsweg, der in Stresssituationen unverzichtbar ist. Die Praxis erhält so die Informationen, die im Ernstfall über eine rechtzeitige Meldung oder kritische Versäumnisse entscheiden können.

Mit den Meldepflichten ist einer der zentralen Punkte benannt, an denen ältere Auftragsverarbeitungsverträge häufig lückenhaft sind. Damit Sie diese Vorgaben ohne eigenen Formulierungsaufwand in Ihre bestehenden Verträge übernehmen können, stellen wir Ihnen eine vollständig ausformulierte Ergänzungsvereinbarung bereit. Die Vorlage enthält alle heute erforderlichen Regelungen und lässt sich direkt in Ihrer Praxis verwenden.