Die DSGVO gilt seit 2018 — aber viele Arztpraxen sind immer noch unsicher, welche Pflichten konkret für sie gelten. Das ist verständlich: Zwischen Patientenversorgung und Praxismanagement bleibt wenig Zeit für Datenschutz-Paragraphen. Diese Checkliste gibt Ihnen einen klaren Überblick über die 10 wichtigsten DSGVO-Pflichten für Ihre Praxis.
1. Verarbeitungsverzeichnis führen (Art. 30 DSGVO)
Was: Dokumentation aller Verarbeitungstätigkeiten mit personenbezogenen Daten.
Warum: Pflicht für alle Arztpraxen (keine Ausnahme wegen Gesundheitsdaten).
Tipp: Mindestens 6 Einträge: Behandlung, Abrechnung, Termine, TI/ePA, PVS, Personal.
2. Patienten-Infoblatt aushängen (Art. 13 DSGVO)
Was: Schriftliche Information für Patienten über die Datenverarbeitung in Ihrer Praxis.
Warum: Informationspflicht bei Erhebung personenbezogener Daten.
Tipp: Am Empfang auslegen oder aushängen. Muss Zweck, Rechtsgrundlage, Speicherdauer und Betroffenenrechte enthalten.
3. Datenschutz-Folgenabschätzung (DSFA) prüfen (Art. 35 DSGVO)
Was: Risikoanalyse für Verarbeitungen mit hohem Risiko für Betroffene.
Warum: Gesundheitsdaten sind "besondere Kategorien" — bei systematischer Verarbeitung ist eine DSFA oft erforderlich.
Tipp: Prüfen Sie anhand der Blacklist Ihrer Aufsichtsbehörde, ob eine DSFA nötig ist.
4. Auftragsverarbeitungsverträge (AVV) abschließen (Art. 28 DSGVO)
Was: Vertrag mit jedem Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet.
Warum: Ohne AVV ist die Datenweitergabe rechtswidrig.
Tipp: Typische AVV-Partner: PVS-Anbieter, IT-Dienstleister, Labor-Software, Cloud-Dienste, Abrechnungsdienstleister.
5. Mitarbeiter schulen und verpflichten
Was: Alle Mitarbeiter müssen auf Vertraulichkeit verpflichtet und in Datenschutz geschult werden.
Warum: Die ärztliche Schweigepflicht (§ 203 StGB) allein reicht nicht — die DSGVO verlangt zusätzliche Verpflichtung und Schulung.
Tipp: Mindestens jährlich schulen. Verpflichtungserklärung unterschreiben lassen und ablegen.
6. Datenpannen-Prozess einrichten (Art. 33/34 DSGVO)
Was: Klarer Prozess für den Umgang mit Datenschutzverletzungen.
Warum: Bei einer Datenpanne müssen Sie innerhalb von 72 Stunden die Aufsichtsbehörde informieren.
Tipp: Erstellen Sie ein kurzes Merkblatt: Wer meldet? An wen? Welche Infos werden gebraucht?
7. Technische Maßnahmen dokumentieren (Art. 32 DSGVO)
Was: Dokumentation Ihrer technischen und organisatorischen Schutzmaßnahmen (TOMs).
Warum: Bei einer Prüfung müssen Sie nachweisen, dass Sie angemessene Sicherheit gewährleisten.
Tipp: Zugriffskontrollen, Verschlüsselung, Backup-Konzept, Firewall, Virenschutz, Bildschirmsperre.
8. Website DSGVO-konform gestalten
Was: Datenschutzerklärung, Cookie-Consent, SSL-Verschlüsselung auf Ihrer Praxis-Website.
Warum: Ihre Website verarbeitet personenbezogene Daten (IP-Adressen, ggf. Kontaktformulare).
Tipp: Google Analytics nur mit Einwilligung. Kontaktformular braucht Hinweis auf Datenverarbeitung.
9. Datenschutzbeauftragten prüfen (Art. 37 DSGVO)
Was: Ab 20 Mitarbeitern, die regelmäßig mit personenbezogenen Daten arbeiten, ist ein DSB Pflicht.
Warum: Oder wenn die Kerntätigkeit in der Verarbeitung besonderer Datenkategorien besteht (was bei Ärzten der Fall ist).
Tipp: Auch kleinere Praxen sollten prüfen, ob ein externer DSB sinnvoll ist. Kosten: ca. 100-300€/Monat.
10. Jährliche Überprüfung durchführen
Was: Regelmäßige Überprüfung aller Datenschutz-Maßnahmen und -Dokumente.
Warum: Die DSGVO verlangt "regelmäßige Überprüfung" (Art. 24 DSGVO). Mindestens jährlich.
Tipp: Nutzen Sie den Jahreswechsel: VV aktuell? Schulungen durchgeführt? AVVs vollständig? TOMs geprüft?
Zusammenfassung
Diese 10 Pflichten klingen nach viel Arbeit — aber die gute Nachricht ist: Die meisten sind einmalig zu erledigen und danach nur noch jährlich zu aktualisieren. Mit einem systematischen Ansatz schaffen Sie die Grundlagen in wenigen Stunden.
PraxisGuard führt Sie durch alle 10 Punkte: Das Compliance-Taskboard zeigt Ihnen genau, welche Aufgaben noch offen sind, wann sie fällig werden und wie Sie sie erledigen. Verarbeitungsverzeichnis und Patienten-Infoblatt werden automatisch generiert.