Was die DSGVO für Arztpraxen genau bedeutet
Gesundheitsdaten gehören nach DSGVO Art. 9 zur Kategorie der besonders schützenswerten personenbezogenen Daten. Das bedeutet: Für Arztpraxen gelten strengere Regeln als für viele andere Branchen, und zwar von der ersten Patientenaufnahme an.
Die DSGVO trat 2018 in Kraft. Seitdem hat sich die Prüfpraxis der Datenschutzbehörden verschärft. Beschwerden über Praxen nehmen zu, und Bußgelder gegen einzelne Praxen sind keine Ausnahme mehr.
Der Kern der Pflicht ist einfach formuliert: Sie müssen nachweisen können, dass Sie Patientendaten schützen. Nicht behaupten. Nachweisen. Das geht nur mit Dokumentation.
Quelle: Verordnung (EU) 2016/679 (DSGVO)Verordnung (EU) 2016/679, Art. 9 (besondere Kategorien), Art. 28 (Auftragsverarbeitung), Art. 33 und 34 (Meldepflicht bei Datenpannen).
Pflicht-Dokumente nach DSGVO
Es gibt vier Dokumente, die jede Arztpraxis erstellen und aktuell halten muss. Keines davon ist optional.
Verzeichnis von Verarbeitungstätigkeiten (VVT): Das VVT listet auf, welche personenbezogenen Daten Sie zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeiten. Für eine Arztpraxis sind das typischerweise zehn bis fünfzehn Verarbeitungstätigkeiten: Patientenaufnahme, Behandlungsdokumentation, Abrechnung, Labordatenübermittlung, Terminverwaltung und weitere. Das VVT muss bei einer Prüfung durch die Datenschutzbehörde sofort vorgelegt werden können.
Technisch-organisatorische Maßnahmen (TOMs): Die TOMs beschreiben konkret, wie Sie Patientendaten schützen. Nicht in allgemeinen Worten, sondern mit Bezug auf Ihre tatsächliche Infrastruktur: Welches Backup-System nutzen Sie? Wie werden Zugriffsrechte vergeben? Wie werden Festplatten beim Austausch gelöscht? Welche Verschlüsselung setzt Ihr PVS ein?
Auftragsverarbeitungsverträge (AVV): Mit jedem Dienstleister, der in Ihrem Auftrag auf Patientendaten zugreift, brauchen Sie einen schriftlichen AVV. Das betrifft Ihren IT-Dienstleister, Ihren Cloud-Anbieter, den PVS-Hersteller, die externe Abrechnung. Ein fehlender AVV ist ein eigenständiger DSGVO-Verstoß, unabhängig davon, ob ein Schaden eingetreten ist.
Datenschutzinformation für Patienten: Beim ersten Praxisbesuch müssen Patienten informiert werden, wer ihre Daten verarbeitet, zu welchem Zweck und welche Rechte sie haben. Meist gelöst durch ein Informationsblatt am Empfang oder einen Aushang, der tatsächlich vollständig und aktuell ist.
- Verarbeitungstätigkeiten erfassenAlle Stellen in der Praxis ermitteln, an denen Patientendaten verarbeitet werden: Empfang, PVS, Labor, Abrechnung, Cloud-Dienste. Jede Tätigkeit mit Zweck, Rechtsgrundlage und Speicherdauer dokumentieren.
- TOMs beschreibenDie tatsächlich eingesetzten technischen und organisatorischen Schutzmaßnahmen aufschreiben. Keine Wunschliste, sondern der Ist-Zustand. Lücken werden sichtbar und können gezielt geschlossen werden.
- AVV-Verträge abschliessenListe aller externen Dienstleister erstellen, die Patientendaten berühren. Mit jedem ohne vorhandenen AVV einen Vertrag abschliessen. Viele Anbieter haben fertige AVV-Muster.
- Dokumentation aktuell haltenBei jeder Änderung, neuem Mitarbeitenden, neuer Software, neuem Dienstleister, die Dokumentation sofort anpassen. Mindestens jährlich eine vollständige Überprüfung.
Datenschutzbeauftragter: Pflicht oder Kür
Die Grenze liegt bei 20 Personen. Wenn in Ihrer Praxis 20 oder mehr Personen regelmäßig mit der automatisierten Verarbeitung von Gesundheitsdaten befasst sind, ist die Benennung eines Datenschutzbeauftragten (DSB) gesetzlich vorgeschrieben. Geregelt in § 38 BDSG in Verbindung mit Art. 37 DSGVO.
Was als "regelmäßig" und "befasst" gilt: Eine MFA, die täglich im PVS Termine einträgt oder Befunde aufruft, zählt. Eine Reinigungskraft, die gelegentlich im Büro ist, zählt nicht.
Unterhalb der 20-Personen-Grenze ist ein DSB freiwillig, aber sinnvoll. Arztpraxen mit besonders sensiblen Daten, etwa psychiatrische Praxen oder Suchtmedizin, sollten die Benennung unabhängig von der Personalzahl prüfen.
Der DSB darf kein Interessenkonflikt bestehen: Wer gleichzeitig IT-Leitung oder Praxismanager ist und damit selbst Verarbeitungsentscheidungen trifft, kann nicht gleichzeitig DSB sein. Der DSB kann extern sein, das ist bei Praxen die häufigere Lösung.
Datenpanne in 72 Stunden melden
Eine Datenpanne ist jeder unbeabsichtigte oder unrechtmäßige Umgang mit Patientendaten. Das betrifft mehr als nur Hackerangriffe. Konkrete Beispiele aus dem Praxisalltag:
- Ein Laptop mit Patientenliste wird aus dem Auto gestohlen.
- Eine E-Mail mit Laborwerten geht an die falsche Adresse.
- Ein Ransomware-Angriff verschlüsselt den Praxisserver.
- Ein ehemaliger Mitarbeitender hatte noch Zugang zum PVS und hat diesen genutzt.
Die Pflicht zur Meldung an die Datenschutzbehörde tritt ein, sobald die Panne ein Risiko für die betroffenen Personen darstellt. Bei Gesundheitsdaten ist dieses Risiko fast immer gegeben. Die Frist: 72 Stunden nach Bekanntwerden. Nicht nach Bestätigung, nicht nach vollständiger Ursachenklärung, sondern nach Bekanntwerden.
Was Sie brauchen, wenn Sie melden: Beschreibung des Vorfalls, Art der betroffenen Daten, ungefähre Anzahl der betroffenen Personen, wahrscheinliche Folgen und getroffene Gegenmaßnahmen. Die zuständige Behörde in Rheinland-Pfalz ist der Landesbeauftragte für Datenschutz in Mainz, in Hessen der HBDI in Wiesbaden.
Quelle: Bundesbeauftragte für den DatenschutzBundesbeauftragte für den Datenschutz: Informationen zu Meldepflichten nach Art. 33 DSGVO.
Was ITCC im DSGVO-Kontext übernimmt
ITCC ist kein Datenschutzberater und ersetzt keinen Datenschutzbeauftragten. Was wir übernehmen, ist die technische und organisatorische Umsetzung der Maßnahmen, die Sie rechtlich schulden.
Konkret bedeutet das:
Wir schließen mit Ihrer Praxis einen AVV ab, der DSGVO Art. 28 entspricht. Sie erhalten ihn beim Onboarding, nicht auf Nachfrage Monate später. Wir beschreiben die technischen Schutzmaßnahmen so, dass sie in Ihre TOM-Dokumentation einfließen können. Zugriffsschutz, Verschlüsselung, Backup-Konzept und Protokollierung sind Teil unserer Standardbetreuung.
Wenn ein Sicherheitsvorfall eintritt, den wir in Ihrem System erkennen, informieren wir Sie sofort. Das gibt Ihnen die Zeit, die 72-Stunden-Frist einzuhalten. Kein IT-Dienstleister, der bei einem Vorfall zwei Tage schweigt, nützt Ihnen bei der Meldepflicht.
ITCC betreut über 50 medizinische Einrichtungen in der DACH-Region, von Einzelpraxen bis hin zu Dialysezentren mit mehreren Standorten. Die DSGVO-relevante Dokumentation ist kein Nebenprodukt, sondern Bestandteil jeder Betreuungsvereinbarung.
Häufige Fragen
Verwandte Themen
- ComplianceBSI-Grundschutz in der Arztpraxis: Die Basis-Absicherung
Wie der BSI-Grundschutz pragmatisch in einer Arztpraxis umgesetzt wird. Drei Absicherungsstufen, relevante Bausteine, Verzahnung mit §75b und DSGVO.
- ComplianceKBV §75b SGB V erklärt: Pflichten, Praxisgrößen, Prüfungen
Welche IT-Sicherheits-Pflichten §75b SGB V für jede Vertragsarztpraxis bringt. Praxisgrößen, Pflicht-Dokumente, was bei einer Stichprobenprüfung passiert.
- ComplianceNIS2 für medizinische Einrichtungen: Wen sie trifft und wen nicht
NIS2-Schwellenwerte, Pflichten, persönliche Haftung. Was MVZ und große Praxen jetzt schon umsetzen sollten.