VVT-Muster für Arztpraxen
VVT-Musterbefüllungen für Arztpraxen und MVZ¶
Das Hauptkapitel hat erklärt, was ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist, warum es Pflicht ist und wie man es aufbaut. Dieser Anhang liefert konkrete Musterbefüllungen für fünf typische Verarbeitungsbereiche in Arztpraxen und MVZ: Patientenbehandlung & Dokumentation, Abrechnung, Kommunikation, Praxis-Website und Personalverwaltung.
Alle Muster sind Ausgangspunkte – keine fertigen Dokumente. Prüfen Sie jeden Eintrag auf Ihre konkrete Situation: Welche PVS-Systeme nutzen Sie tatsächlich? Welche Laborpartner, Kliniken oder Ärzte sind Empfänger? Welche Auftragsverarbeiter sind eingebunden? Welche Rechtsgrundlage passt wirklich? Ergänzen Sie, was fehlt, und streichen Sie, was nicht zutrifft.
Für alle Muster gilt: Die technischen und organisatorischen Maßnahmen (TOMs) werden als Verweis auf ein separates TOM-Dokument behandelt – was dort stehen sollte, ergibt sich aus den Maßnahmen in den Teilen 2 und 6 dieses Guides. Alle Muster berücksichtigen Art. 9 DSGVO (Gesundheitsdaten), § 630f BGB (10-jährige Aufbewahrungspflicht) und § 203 StGB (Berufsgeheimnis).
Muster 1: Patientenbehandlung & Dokumentation¶
Verantwortliche/r: [Name Praxis/MVZ, Adresse, E-Mail] Stand: [Datum]
Verarbeitungstätigkeit 1: Patientenverwaltung und Behandlungsdokumentation
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Anbahnung und Durchführung von Patientenbehandlungen; Dokumentation von Anamnese, Diagnose, Therapie und Befunden gemäß ärztlicher Dokumentationspflicht; Erinnerungshilfe für Folgebehandlungen; Sicherung der Behandlungsqualität |
| Rechtsgrundlage | Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) i.V.m. Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung durch § 630f BGB und ärztliche Dokumentationspflicht); § 203 StGB (Berufsgeheimnis) |
| Betroffene Personen | Patienten (natürliche Personen) |
| Datenkategorien | Name, Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten (Telefon, E-Mail); Versicherungsdaten; Medizinische Anamnese, Beschwerden, Diagnosen, Befunde, Diagnose-Codes (ICD-10); Behandlungsnotizen, durchgeführte Maßnahmen, Medikationen, Allergien, Unverträglichkeiten; Laborergebnisse, Bildgebung, Befundbriefe (als Gesundheitsdaten nach Art. 9 DSGVO); Patienteneinwilligungen |
| Empfänger | PVS-Software (Anbieter: ____) als Auftragsverarbeiter; überweisende/übernehmende Ärzte und Fachkliniken (mit Schweigepflichtentbindung); Labore und Radiologien (mit Schweigepflichtentbindung); behandelnde Psychotherapeuten oder Fachärzte (mit Schweigepflichtentbindung); ggf. Krankenhaus zur Aufnahme (mit Schweigepflichtentbindung) |
| Drittland | Nein – PVS-Daten müssen auf deutschen/europäischen Servern gespeichert sein. US-Anbieter für Gesundheitsdaten sind datenschutzrechtlich nicht zulässig (kein angemessenes Schutzniveau nach Art. 45 DSGVO). EU-US Data Privacy Framework ist für Gesundheitsdaten nicht ausreichend. |
| Speicherdauer | Mindestens 10 Jahre nach Abschluss der Behandlung (§ 630f BGB) oder nach Tod des Patienten; Abrechnungsunterlagen: 10 Jahre (§ 147 AO); archivierte Unterlagen: nach Ablauf der Aufbewahrungsfrist dem Patienten zurück geben oder sicher vernichten |
| TOMs | Siehe TOM-Dokument – besonderer Hinweis: Verschlüsselung der Patientenakte ist bei Gesundheitsdaten zwingend, nicht optional (Art. 32 DSGVO, KBV-Sicherheitsrichtlinie); Zugang nur für berechtigtes Personal auf Need-to-know-Basis; Anmeldung mit individuellem Passwort und Zwei-Faktor-Authentifizierung; Audit-Logging aller Zugriffe |
Verarbeitungstätigkeit 2: Terminverwaltung und Terminbuchung
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Verwaltung und Koordination von Patiententerminen; Online-Terminbuchung (wenn vorhanden) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Anbahnung der Behandlung); ggf. Art. 9 Abs. 2 lit. h DSGVO, wenn Terminbuchungssystem Behandlungsgrund enthält (Gesundheitsdaten) |
| Betroffene Personen | Patienten; bei Terminbuchungsportalen auch Besucher der Website |
| Datenkategorien | Name, Kontaktdaten, Terminzeit; ggf. Behandlungsgrund oder -art (dann: Gesundheitsdaten nach Art. 9 DSGVO); IP-Adressen und Browser-Daten von Website-Besuchern |
| Empfänger | Online-Terminbuchungssystem / PVS-Modul (Anbieter: ____) – bei Gesundheitsdaten: AVV zwingend, Anbieter muss auf deutschen/europäischen Servern operieren und angemessenes Datenschutzniveau nachweisen; ggf. Praxis-Personal zur Bestätigung |
| Drittland | Kritisch bei Online-Buchungssystemen: US-Anbieter (Calendly, Acuity Scheduling) für Gesundheitsdaten nicht zulässig. Deutsche/europäische Alternativen bevorzugen (z. B. Doctolib mit deutschem Datenschutz, appointmed, PVS-integrierte Lösungen). Prüfung des Datenstandorts ist obligatorisch. |
| Speicherdauer | Reine Terminhistorie ohne Behandlungsdokumentation: 1 Jahr nach Termin; mit Behandlungsbezug: wie Behandlungsdokumentation (10 Jahre nach Abschluss der Behandlung) |
| TOMs | Siehe TOM-Dokument; bei Online-Terminbuchung: sichere Übertragung (HTTPS mit hochwertigem Zertifikat), Validierung der Eingaben, kein Speichern sensitiver Daten in Cookies |
Muster 2: Abrechnung¶
Verantwortliche/r: [Name Praxis/MVZ, Adresse, E-Mail] Stand: [Datum]
Verarbeitungstätigkeit 1: Kassenabrechnung und Abrechnungsvorbereitung
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Erstellung, Prüfung und Übermittlung von Abrechnungsdaten an Krankenkassen und Kassenärztliche Vereinigung (KV); Dokumentation von erbrachten Leistungen; Abrechnung erbrachter Leistungen nach EBM oder GOÄ |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung: §§ 295ff SGB V für Kassenärzte, Abrechnungsrichtlinien der KBV, § 147 AO); Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung – Diagnosen und Leistungen sind Gesundheitsdaten) |
| Betroffene Personen | Patienten |
| Datenkategorien | Patientenstammdaten (Name, Geburtsdatum, Versichertennummer, Krankenkasse); ICD-10-Diagnose-Codes; KODI-Kodes (Leistungs-Codes nach EBM oder GOÄ); Behandlungstage und -dauer; überweisende Ärzte; durchgeführte Untersuchungen und Leistungen; ggf. Laborergebnisse (als Gesundheitsdaten) |
| Empfänger | KV (Kassenärztliche Vereinigung) des Bundeslandes als Auftragsverarbeiter/Empfänger; Krankenkassen (für Kostenerstattung); PVS-Software (Anbieter: _) als Auftragsverarbeiter; ggf. Abrechnungsdienstleister (Anbieter: _, AVV vorhanden: ja/nein); Steuerberater/in (nur anonymisierte/aggregierte Abrechnungsdaten, kein Zugriff auf Patientenakten) |
| Drittland | Nein – KV-Übermittlung läuft über deutsche Systeme; PVS-Software muss auf deutschen/europäischen Servern laufen. |
| Speicherdauer | Abrechnungsunterlagen und Belege: 10 Jahre (§ 147 AO, § 257 HGB); Kassenabrechnung: wie Abrechnungsrichtlinien der KBV vorgeben (regelmäßig Quartal + 2 Jahre Nachlagefrist) |
| TOMs | Siehe TOM-Dokument; besondere Anforderung: Verschlüsselung bei Übermittlung an KV; Prüfung der Abrechnungsdaten auf Vollständigkeit und Korrektheit vor Übermittlung; Audit-Trail aller Abrechnungsvorgänge |
Verarbeitungstätigkeit 2: Privatpatienten-Abrechnung und Gebührenabrechnung
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Erstellung und Versand von Rechnungen für Privatpatienten und private Leistungen nach GOÄ; Verfolgung von Zahlungseingängen; Mahnverfahren bei Nicht-Zahlung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – private Behandlungsvereinbarung); Art. 6 Abs. 1 lit. c DSGVO (steuerliche Aufbewahrung: § 147 AO, § 257 HGB); Art. 9 Abs. 2 lit. h DSGVO (Diagnosen und durchgeführte Leistungen) |
| Betroffene Personen | Privatpatienten; Kostenträger (Privatversicherungen, Beihilfestellen) |
| Datenkategorien | Patientenstammdaten (Name, Adresse); ICD-10-Diagnose-Codes; GOÄ-Leistungs-Codes; Betrag der Leistung; Privatabrechnung; Rechnungsdaten; ggf. Bankverbindung oder Zahlungsdaten (bei Kartenzahlung) |
| Empfänger | PVS-Software (Anbieter: _) als Auftragsverarbeiter; Rechnungs- und Buchhaltungssoftware (Anbieter: _); Steuerberater/in; ggf. Zahlungsdienstleister (für Kartenzahlungen: Anbieter: ____, PCI-DSS-konform); ggf. Inkassounternehmen (mit Vertrag und Schweigepflicht nach § 203 Abs. 4 StGB) |
| Drittland | PVS und Buchhaltungssoftware: europäische Server bevorzugt; Zahlungsdienstleister: PCI-DSS-Konformität prüfen |
| Speicherdauer | Rechnungen und Abrechnungsbelege: 10 Jahre (§ 147 AO); Zahlungsdaten: nach Begleichung + Gewährleistungszeit + Verjährung (regelmäßig 3-4 Jahre); Bankverbindungen: nach Ende der Geschäftsbeziehung löschen |
| TOMs | Siehe TOM-Dokument; besondere Anforderung: Zahlungsdaten dürfen nicht in der PVS gespeichert sein (PCI-DSS); Rechnungen müssen verschlüsselt versendet werden; Kassendatenträger (GDPdU-Anforderungen für Finanzamt) müssen sicher verwahrt sein |
Muster 3: Kommunikation¶
Verantwortliche/r: [Name Praxis/MVZ, Adresse, E-Mail] Stand: [Datum]
Verarbeitungstätigkeit 1: E-Mail-Kommunikation mit Patienten und Partnern
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Geschäftliche und medizinische Kommunikation mit Patienten, überweisenden Ärzten, Fachkliniken und anderen medizinischen Partnern; Terminabsprachen; Befundmitteilungen; Behandlungskoordination |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Behandlung); Art. 9 Abs. 2 lit. h DSGVO (wenn Befunde oder Diagnosen mitgeteilt werden); § 203 StGB (Berufsgeheimnis) |
| Betroffene Personen | Patienten, überweisende Ärzte, Fachärzte, Klinikpersonal, Praxis-Partner |
| Datenkategorien | Name, E-Mail-Adresse, Kommunikationsinhalte (ggf. Befunde, Diagnosen, Behandlungshinweise als Gesundheitsdaten) |
| Empfänger | E-Mail-Anbieter mit eigenem Server (Anbieter: ____) – muss sicheres IMAP/POP3 oder proprietäres System mit Verschlüsselung haben; nur europäische Provider empfohlen; als Auftragsverarbeiter |
| Drittland | Nein – US-Anbieter (Gmail, Outlook, Office 365) für ärztliche Kommunikation datenschutzrechtlich problematisch. EU-US DPF reicht für Gesundheitsdaten nicht. Deutsche Alternative bevorzugt (z. B. Posteo, mailbox.org mit deutschem Datenschutz und DSGVO-Zertifizierung). |
| Speicherdauer | Geschäftliche Korrespondenz mit medizinischem Inhalt: 10 Jahre (analog § 630f BGB); reine Terminabsprachen: 2 Jahre nach Termin; gelöschte E-Mails: permanent löschen, nicht in Papierkorb hinterlassen |
| TOMs | Siehe TOM-Dokument; besonderheiten: Verschlüsselung end-to-end bei sensiblen Inhalten (z. B. Befunde); Versand von Diagnosen oder Befunden nur über verschlüsselten Kanal; S/MIME oder PGP für medizinische Inhalte; Passwortschutz bei Cloud-Mailboxen; Anmeldedaten sicher gespeichert (Passwort-Manager) |
Verarbeitungstätigkeit 2: KIM (Kommunikation im Medizinwesen)
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Sichere Kommunikation mit anderen Ärzten, Kliniken, Apotheken und medizinischen Fachpersonen über das KIM-System (Kommunikation im Medizinwesen der gematik) |
| Rechtsgrundlage | Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung); § 203 StGB (Berufsgeheimnis); ggf. KIM-Betreiber-Anforderungen der gematik |
| Betroffene Personen | Patienten (Empfänger von Befunden/Terminen), andere medizinische Fachpersonen (Empfänger von Arztbriefen) |
| Datenkategorien | Name, KIM-Adresse, Befunde, Diagnose-Codes, Befundbriefe, Arztbriefe, Termineinladungen |
| Empfänger | KIM-Anbieter (Anbieter: ____) als Auftragsverarbeiter; Empfänger-Ärzte, -Kliniken, -Apotheken; ggf. TI-Betreiber |
| Drittland | Nein – KIM läuft über deutsche Telekommunikations-Infrastruktur |
| Speicherdauer | Wie Arztbriefe und medizinische Kommunikation: 10 Jahre |
| TOMs | Siehe TOM-Dokument; KIM nutzt gematik-Standard mit Ende-zu-Ende-Verschlüsselung; Authentifizierung über eHBA (elektronischer Heilberufsausweis) oder Nutzer-Zertifikat; Audit-Logging über gematik; Transport über verschlüsselte TI-Verbindung |
Verarbeitungstätigkeit 3: Telefon und Telemedizin
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Telefonische Patientenberatung, Terminabsprache, Befundmitteilung; Video-Sprechstunde (Telemedizin) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Behandlung); Art. 9 Abs. 2 lit. h DSGVO (bei medizinischen Inhalten) |
| Betroffene Personen | Patienten |
| Datenkategorien | Name, Telefonnummer, Gesprächsinhalte (bei Videokonferenz: Bild, Ton, ggf. Bildschirm-Sharing); Befunde, Diagnosen (Gesundheitsdaten); Terminabsprachen |
| Empfänger | Telefon-Provider (Anbieter: _); Videokonferenz-Anbieter (falls Telemedizin: Anbieter: _, muss ärztliche Standards erfüllen – z. B. HIPAA-ähnliche Zertifizierung oder gematik-zugelassen); Praxis-Personal mit Telefon-Zugang |
| Drittland | Telemedizin-Plattformen: nur europäische Anbieter oder Anbieter mit angemessenem Datenschutzniveau (z. B. Jitsi, BigBlueButton auf eigenem Server, gematik-zugelassene Anbieter). US-Plattformen (Zoom, Microsoft Teams) für ärztliche Videokonferenzen nur mit zusätzlichen Sicherheitsmaßnahmen (Verschlüsselung, Datenstandort-Prüfung). |
| Speicherdauer | Gesprächsnotizen mit medizinischem Inhalt: 10 Jahre (wie Behandlungsdokumentation); Aufzeichnungen von Videokonferenzen: nur mit expliziter Patienteneinwilligung, dann wie Behandlungsdokumentation (10 Jahre); reine Terminabsprachen: 1 Jahr |
| TOMs | Siehe TOM-Dokument; Videokonferenzen: nur auf sicheren, verschlüsselten Plattformen; Aufzeichnungen benötigen gesonderte Einwilligung und müssen verschlüsselt gespeichert sein; Telemedizin-Software muss ärztliche Anforderungen erfüllen (z. B. gematik-Zulassung, HIPAA, ISO 27001) |
Muster 4: Praxis-Website und Terminbuchung¶
Verantwortliche/r: [Name Praxis/MVZ, Adresse, E-Mail] Stand: [Datum]
Verarbeitungstätigkeit 1: Website, Kontaktformular und allgemeine Online-Präsenz
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Informationsbereitstellung über die Praxis (Öffnungszeiten, Leistungen, Ausstattung); Bearbeitung von Kontaktanfragen und Terminanfragen über Kontaktformular |
| Rechtsgrundlage | Kontaktformular: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) / Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Beantwortung von Anfragen). Webhosting/technisch notwendige Daten: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: sicherer Betrieb der Website) |
| Betroffene Personen | Website-Besucher, Personen, die das Kontaktformular nutzen |
| Datenkategorien | IP-Adressen (Serverlog); Name, E-Mail, Telefon (optional, aus Kontaktformular); Nachrichteninhalt; ggf. User-Agent und Browser-Informationen; Cookies (falls vorhanden) |
| Empfänger | Webhoster (Anbieter: _) als Auftragsverarbeiter; Formular-Plugin-Anbieter (falls nicht integriert: Anbieter: _, AVV vorhanden: ja/nein); Praxis-Personal (zur Bearbeitung der Anfragen) |
| Drittland | Nur europäische Webhoster verwenden. US-Hoster (GoDaddy, AWS, Google Cloud) sind ohne EU-Äquivalenzsicherung datenschutzrechtlich problematisch. Deutsche/schweizer Hoster bevorzugen (z. B. Hetzner, netcup, Alfahosting). |
| Speicherdauer | Serverlog: max. 7 Tage (statistische/sicherheitliche Analyse); Kontaktanfragen: bis Bearbeitung abgeschlossen, danach wie E-Mail-Kommunikation (2 Jahre, falls keine medizinische Relevanz) |
| TOMs | Siehe TOM-Dokument; Website muss HTTPS mit aktuellen Zertifikaten nutzen (mindestens TLS 1.2); Kontaktformular muss geschützt sein (CAPTCHA oder ähnlich gegen Spam-Bots); kein Speichern von Zahlungsdaten im Formular; Cookies dürfen nur mit Einwilligung (Consent-Banner) gesetzt werden |
Muster 5: Personalverwaltung (MVZ und größere Praxen mit Mitarbeitern)¶
Verantwortliche/r: [Name Praxis/MVZ, Adresse, E-Mail] Stand: [Datum]
Verarbeitungstätigkeit 1: Personalverwaltung und Mitarbeiterdaten
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Verwaltung von Mitarbeiterstammdaten; Abrechnung von Gehalt und Lohn; Sozialversicherungs- und Steuermeldungen (Lohnsteuer, Beitragsnachweise); Einhaltung arbeitsrechtlicher Verpflichtungen; Schulungs- und Fortbildungsmanagement |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Arbeitsvertrag); Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen: Lohnsteuer, Sozialversicherung § 108 SGB IV, Arbeitszeitgesetz); Art. 9 Abs. 2 lit. b DSGVO (falls erforderlich für Arbeitnehmervergünstigungen oder Schutzmaßnahmen: z. B. Schwerbehindertenausweis) |
| Betroffene Personen | Mitarbeiter (Ärzte, Arzthelferin/Arzhelfer, MTA, sonstiges Personal) |
| Datenkategorien | Name, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten; Sozialversicherungsnummer, Steuernummer; Bankverbindung (für Gehalt); Arbeitsvertrag und Zusatzvereinbarungen; Arbeitszeit und Urlaub; Krankmeldungen; Qualifikationen, Approbation, Fachzertifikate; Schulungs- und Fortbildungsnachweise; ggf. Arzt-/Zahnarzt-Registrierung in KZV/KV |
| Empfänger | Lohn- und Finanzbuchhaltungssoftware (Anbieter: ____); Steuerberater/in oder Lohnabrechner (mit Verschwiegenheitsverpflichtung nach § 203 Abs. 4 StGB); Finanzamt (für Lohnsteuer-Anmeldung); Krankenkasse und Rentenversicherung (für Beitragsnachweise); Berufsgenossenschaft (für Unfallversicherung) |
| Drittland | Nein – Lohnabrechnung darf nicht auf US-Servern laufen. Europäischer Anbieter mit deutschem Datenschutz erforderlich. |
| Speicherdauer | Personalstammdaten: Dauer der Betriebszugehörigkeit + 3 Jahre (Aufbewahrung nach BetrVG und Arbeitsrecht); Lohnabrechnungen und Beitragsnachweise: 6 Jahre (§ 257 HGB, § 147 AO); Arbeitsunfähigkeit und Krankmeldungen: 4 Jahre (Aufbewahrungspflicht unter Betriebsräte-Vereinbarungen) |
| TOMs | Siehe TOM-Dokument; besondere Anforderung: Personaldaten müssen streng vom Arztsystem getrennt sein – nicht in der PVS speichern; Zugriff nur für berechtigte Praxis-Leiter und HR-Personal; Verschlüsselung aller Personaldaten; Sichere Vernichtung nach Aufbewahrungsfrist |
Verarbeitungstätigkeit 2: Dienstpläne und Urlaubsverwaltung
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Erstellung und Verwaltung von Schicht- und Dienstplänen; Verwaltung von Urlaub und Abwesenheiten; Einhaltung von Arbeitszeitgesetzen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Arbeitsvertrag); Art. 6 Abs. 1 lit. c DSGVO (Arbeitszeitgesetz, Betriebsverfassungsgesetz) |
| Betroffene Personen | Mitarbeiter |
| Datenkategorien | Name, Arbeitszeit, Schicht-Zuordnung, Urlaub und Abwesenheits-Gründe; ggf. Notizen zu Langzeitkrankmeldungen |
| Empfänger | Dienstplan-Software (Anbieter: ____) oder PVS-Modul (wenn integriert); ggf. alle Mitarbeiter (zur Einsicht in den eigenen Dienstplan); Schichtleitung/Praxisleitung |
| Drittland | Deutsche/europäische Lösung bevorzugt |
| Speicherdauer | Gültige Dienstpläne für Betriebsdauer + 6 Monate (für Retrospektive); archivierte Pläne: 2 Jahre (Nachweis für Arbeitszeit-Audits) |
| TOMs | Siehe TOM-Dokument; Dienstpläne sollten nicht in der PVS mit Patientendaten sichtbar sein; Zugriff nur für Planungs-Personal und betroffene Mitarbeiter |
Hinweise zur Anpassung¶
Was Sie immer ergänzen müssen: - Konkrete Anbieter aller eingesetzten Dienste (PVS-Software, KIM-Anbieter, E-Mail, Videokonferenz, Personalmanagement) - Ob ein Auftragsverarbeitungsvertrag (AVV) mit diesen Anbietern besteht – und wenn nicht, ob einer benötigt wird - Konkrete Drittland-Situation bei Cloud-Diensten: Welche Garantie gilt? (EU-US DPF ist für Gesundheitsdaten NICHT ausreichend) - Deine spezifischen Löschfristen und ob Sie sie technisch umsetzen - Laborpartner, Überweisungspartner und Kliniken, an die Patientendaten übermittelt werden (mit/ohne Schweigepflichtentbindung)
Was Sie im Zweifelsfall rechtlich prüfen lassen sollten: - Rechtsgrundlage für ungewöhnliche Verarbeitungstätigkeiten - Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO): Gesundheitsdaten sind immer besondere Kategorien - Drittlandübermittlungen und deren Garantien – besonders kritisch: US-Anbieter - Interaktion zwischen DSGVO und ärztlichen Berufsgeheimnissen (§ 203 StGB, § 630f BGB) - Anforderungen der KBV-Sicherheitsrichtlinie und Einhaltung der TI-Standards - Besonderheiten beim MVZ: kollektive Haftung, Daten-Zugriff zwischen Ärzten
Jährliche Pflege: Das VVT ist kein einmaliges Dokument. Jeder neue Dienst, jeder Anbieterwechsel, jede neue Verarbeitungstätigkeit muss eingetragen werden. Eine jährliche Überprüfung ist Pflicht – ein kurzer Kalendertermin reicht dafür. Besonders wichtig: Jährliche Prüfung der AVVs mit allen Auftragsverarbeitern.