DSGVO für Gesundheitsdienstleister: Praxisnahe Checkliste

DSGVO für Gesundheitsdienstleister: Praxisnahe Checkliste

DSGVO für Dienstleister im Gesundheitswesen: Der Praxisleitfaden

Die Zusammenarbeit zwischen Gesundheitseinrichtungen und externen Partnern ist essenziell für eine moderne Patientenversorgung. Doch gerade im Umgang mit hochsensiblen Gesundheitsdaten stellt die Datenschutz-Grundverordnung (DSGVO) hohe Anforderungen. Dieser Leitfaden bietet Datenschutzbeauftragten, IT-Leitungen und Compliance-Verantwortlichen einen praxisorientierten Überblick und konkrete Handlungsempfehlungen für die Zusammenarbeit mit Dienstleistern im Gesundheitswesen und die Einhaltung der DSGVO.

Inhaltsverzeichnis

Kurzüberblick und Kernaussagen (3-Minuten-Executive-Summary)

Die Verarbeitung von Gesundheitsdaten unterliegt dem strengsten Schutz der DSGVO (Art. 9). Bei der Auslagerung von Prozessen an externe Dienstleister – von der IT-Infrastruktur über Abrechnungsservices bis zu Telemedizin-Plattformen – bleibt die Gesundheitseinrichtung (Klinik, MVZ, Praxis) die verantwortliche Stelle. Der Schlüssel zur Compliance liegt in einer sorgfältigen Auswahl, vertraglichen Absicherung und kontinuierlichen Kontrolle der Partner. Dieser Leitfaden fokussiert auf die kritischen Aspekte der Dienstleister im Gesundheitswesen und der DSGVO, insbesondere auf die formale Absicherung durch Auftragsverarbeitungsverträge (AVV), die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) und eine rigorose Vendor Due Diligence. Die strategische Planung für 2025 und darüber hinaus muss auch Notfallszenarien wie den Wegfall von Angemessenheitsbeschlüssen für Drittlandtransfers beinhalten.

Schnellcheck: 10 Pflichtpunkte für Kliniken und Praxen

Überprüfen Sie Ihre Compliance mit dieser schnellen Checkliste für den Umgang mit Dienstleistern:

  • AV-Verträge (AVV): Liegt für jeden externen Dienstleister, der personenbezogene Daten verarbeitet, ein gültiger und vollständiger AVV nach Art. 28 DSGVO vor?
  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Sind alle externen Dienstleister als Auftragsverarbeiter im VVT korrekt dokumentiert?
  • Datenschutz-Folgenabschätzung (DSFA): Wurde für risikoreiche Verarbeitungstätigkeiten (z. B. Einführung einer neuen KIS-Software, Cloud-Speicher für Patientendaten) eine DSFA durchgeführt?
  • Vendor Due Diligence: Wurden die Dienstleister vor Vertragsabschluss auf ihre datenschutzrechtliche Zuverlässigkeit und die Wirksamkeit ihrer TOMs geprüft?
  • TOMs-Prüfung: Sind die Technischen und Organisatorischen Maßnahmen (TOMs) des Dienstleisters dokumentiert und als angemessen bewertet worden?
  • Subunternehmer: Ist die Beauftragung von Subunternehmern durch den Dienstleister vertraglich geregelt und haben Sie ein Widerspruchsrecht?
  • Datenübermittlung in Drittländer: Findet eine Datenübermittlung außerhalb der EU/des EWR statt? Falls ja, auf welcher Rechtsgrundlage (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln)?
  • Mitarbeiterschulung: Sind die eigenen Mitarbeiter im Umgang mit den Systemen der Dienstleister geschult, insbesondere hinsichtlich datenschutzkonformer Nutzung?
  • Weisungsrechte: Ist vertraglich sichergestellt, dass der Dienstleister Daten ausschließlich auf Ihre Weisung hin verarbeitet?
  • Löschkonzept: Gibt es eine klare Regelung zur Löschung der Daten nach Vertragsende?

Rechtlicher Rahmen: Art. 9 DSGVO und nationale Vorgaben

Das Herzstück des Datenschutzes im Gesundheitswesen ist Artikel 9 DSGVO, der die Verarbeitung “besonderer Kategorien personenbezogener Daten” regelt. Gesundheitsdaten fallen explizit darunter. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, eine der strengen Ausnahmen greift. Für Krankenhäuser und Praxen sind dies typischerweise:

  • Art. 9 Abs. 2 lit. h DSGVO: Erforderlichkeit für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich.
  • Art. 9 Abs. 2 lit. i DSGVO: Erforderlichkeit aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit.

Zusätzlich sind nationale Gesetze wie das Fünfte Buch Sozialgesetzbuch (SGB V), die Berufsordnungen der Ärzte und die Landeskrankenhausgesetze zu beachten, die weitere Konkretisierungen, insbesondere zur Schweigepflicht, enthalten.

Detaillierte DSFA-Checks für Gesundheitsprozesse

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist immer dann erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Im Gesundheitswesen ist dies bei der Zusammenarbeit mit Dienstleistern häufig der Fall, insbesondere bei:

  • Einführung eines neuen Krankenhausinformationssystems (KIS) oder Praxisverwaltungssystems (PVS), das von einem externen Anbieter gehostet wird.
  • Nutzung von Cloud-Diensten zur Speicherung oder Verarbeitung von elektronischen Patientenakten.
  • Implementierung von Telemedizin-Plattformen.
  • Auslagerung der Datenarchivierung.

Ein DSFA-Check sollte systematisch die Risiken identifizieren, bewerten und geplante Abhilfemaßnahmen dokumentieren, um diese Risiken zu minimieren.

Auftragsverarbeitung und Vertragsgestaltung: Prägnante Klausel Bausteine

Die Zusammenarbeit mit einem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, erfordert zwingend einen Auftragsverarbeitungsvertrag (AVV). Dieser muss die Mindestinhalte des Art. 28 Abs. 3 DSGVO abdecken. Achten Sie auf präzise Formulierungen in folgenden Bereichen:

  • Gegenstand und Dauer der Verarbeitung: Exakte Beschreibung der Dienstleistung und der verarbeiteten Datenkategorien.
  • Weisungsgebundenheit: Klarstellung, dass der Auftragnehmer nur nach dokumentierter Weisung des Auftraggebers handelt.
  • Vertraulichkeit: Verpflichtung aller zur Verarbeitung berechtigten Personen zur Vertraulichkeit.
  • Technische und Organisatorische Maßnahmen (TOMs): Konkrete Beschreibung oder Verweis auf eine detaillierte Anlage mit den vereinbarten Schutzmaßnahmen.
  • Sub-Auftragsverarbeiter: Regelung zur Genehmigung (vorherige spezifische oder allgemeine schriftliche Genehmigung) und vertragliche Weitergabe der Pflichten.
  • Unterstützungspflichten: Hilfe bei der Beantwortung von Betroffenenanfragen und bei der Durchführung von DSFAs.
  • Kontroll- und Auditrechte: Ihr Recht, die Einhaltung des AVV und der TOMs beim Dienstleister zu überprüfen, auch durch Vor-Ort-Inspektionen.
  • Rückgabe und Löschung: Festlegung der Verfahren zur Datenlöschung oder -rückgabe nach Beendigung des Auftrags.

Technische und Organisatorische Maßnahmen (TOMs): Praxisnahe Minimalanforderungen

Die im AVV vereinbarten TOMs müssen dem hohen Schutzbedarf von Gesundheitsdaten gerecht werden. Fordern Sie von Ihren Dienstleistern Nachweise für folgende Minimalanforderungen:

  • Zugangskontrolle: Physischer Schutz der Rechenzentren und Serverräume (z. B. durch Zutrittskarten, Biometrie).
  • Zugriffskontrolle: Starke Authentifizierungsverfahren (z. B. Zwei-Faktor-Authentifizierung), rollenbasierte Berechtigungskonzepte und lückenlose Protokollierung der Zugriffe.
  • Verschlüsselung: State-of-the-Art-Verschlüsselung von Daten sowohl während der Übertragung (in-transit, z. B. TLS 1.3) als auch im Ruhezustand (at-rest, z. B. Festplattenverschlüsselung).
  • Pseudonymisierung: Wo immer möglich, sollten Daten pseudonymisiert werden, um den direkten Personenbezug zu entfernen.
  • Integrität und Belastbarkeit: Regelmäßige Sicherheitsupdates, Patch-Management, Firewalls und Systeme zur Erkennung von Angriffen.
  • Wiederherstellbarkeit: Umfassende Backup- und Recovery-Strategien zur schnellen Wiederherstellung der Datenverfügbarkeit nach einem Vorfall.

Vendor Due Diligence: C5, Alternativen und Prüfbelege

Eine gründliche Prüfung (Due Diligence) potenzieller Dienstleister im Gesundheitswesen bezüglich der DSGVO ist unerlässlich. Verlassen Sie sich nicht nur auf vertragliche Zusicherungen. Fordern Sie konkrete Nachweise an:

  • BSI C5-Testat: Für Cloud-Dienstleister ist der Anforderungskatalog “Cloud Computing Compliance Controls Catalogue” (C5) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ein starker Indikator für ein hohes Sicherheitsniveau. Fragen Sie nach einem aktuellen C5-Testat.
  • ISO/IEC 27001 Zertifizierung: Ein Zertifikat nach diesem internationalen Standard für Informationssicherheits-Managementsysteme belegt etablierte Sicherheitsprozesse.
  • Branchenspezifische Zertifikate: Je nach Anwendungsfall können auch spezifische Zertifikate relevant sein (z. B. für Videosprechstunden).
  • Auditberichte und Penetrationstests: Fordern Sie (ggf. unter NDA) die Zusammenfassungen aktueller Sicherheitsüberprüfungen an.

Datenlokation, Übermittlungen und Adequacy-Risiken

Klären Sie eindeutig, wo Ihre Daten physisch gespeichert und verarbeitet werden. Eine Verarbeitung innerhalb der EU oder des EWR ist unproblematisch. Bei einer Übermittlung in ein Drittland (z. B. USA) muss eine gültige Rechtsgrundlage nach Art. 44 ff. DSGVO vorliegen:

  • Angemessenheitsbeschluss: Die EU-Kommission hat das Datenschutzniveau des Landes als angemessen anerkannt.
  • Standardvertragsklauseln (SCCs): Vertragliche Vereinbarungen zwischen Ihnen und dem Dienstleister, die ein angemessenes Schutzniveau sicherstellen sollen. Oft sind zusätzliche Maßnahmen (z. B. Verschlüsselung) erforderlich.
  • Binding Corporate Rules (BCRs): Unternehmensinterne, verbindliche Datenschutzvorschriften für konzernweite Übermittlungen.

Die Rechtslage, insbesondere für Transfers in die USA, ist dynamisch. Ein strategischer Fokus auf EU-basierte Dienstleister minimiert die Risiken.

Kommunikationskanäle mit Patientinnen und Patienten

Wenn Dienstleister Kommunikationslösungen (E-Mail, SMS, Messenger) bereitstellen, ist besondere Vorsicht geboten. Der Versand unverschlüsselter E-Mails mit Gesundheitsdaten ist ein klarer DSGVO-Verstoß. Sichern Sie sich ab durch:

  • Ende-zu-Ende-Verschlüsselung: Setzen Sie auf Lösungen, die eine durchgängige Verschlüsselung garantieren.
  • Patientenportale: Die sicherste Methode ist oft die Bereitstellung von Informationen und Dokumenten in einem gesicherten Portal, auf das sich Patienten einloggen.
  • Einwilligung: Für weniger sichere Kanäle (z. B. SMS für Terminerinnerungen ohne Diagnosedaten) ist eine informierte und freiwillige Einwilligung der Patienten erforderlich.

Abrechnungsprozesse und externe Dienstleister

Die Auslagerung der Abrechnung an externe Verrechnungsstellen ist ein klassischer Fall der Auftragsverarbeitung. Hierbei sind besonders die Grundsätze der Datenminimierung und Zweckbindung zu beachten. Der Dienstleister darf nur die Daten erhalten, die für die Abrechnung zwingend erforderlich sind. Der Übertragungsweg muss sicher (z. B. per verschlüsselter Verbindung) sein, und der gesamte Prozess muss im AVV detailliert abgebildet werden.

Notfallplan: Schritte bei Widerruf einer Angemessenheitsentscheidung

Die Datenschutzlandschaft ist im Wandel. Ein Angemessenheitsbeschluss für ein wichtiges Drittland könnte für ungültig erklärt werden. Seien Sie für 2025 und die Folgejahre vorbereitet. Ihr Notfallplan sollte folgende Schritte umfassen:

  1. Inventarisierung: Führen Sie eine aktuelle Liste aller Dienstleister, die Daten in Drittländer übermitteln, inklusive des betroffenen Landes und der Rechtsgrundlage.
  2. Risikobewertung: Analysieren Sie, welche Prozesse kritisch betroffen wären.
  3. Kommunikation mit dem Dienstleister: Fordern Sie umgehend eine Stellungnahme an, welche alternativen rechtlichen Garantien (z. B. aktualisierte SCCs) und zusätzlichen technischen Maßnahmen der Dienstleister implementieren wird.
  4. Suche nach Alternativen: Identifizieren Sie proaktiv alternative Dienstleister mit Serverstandort in der EU.
  5. Entscheidung und Migration: Legen Sie einen Zeitplan für die Umstellung fest, falls der bisherige Dienstleister keine DSGVO-konforme Lösung anbieten kann.

Implementierungsfahrplan: Zuständigkeiten, Fristen und Nachweise

Setzen Sie die Compliance systematisch um. Ein einfacher Fahrplan hilft, den Überblick zu behalten.

Aufgabe Zuständigkeit Frist Nachweisdokumentation
Überprüfung aller bestehenden AV-Verträge Datenschutzbeauftragter (DSB), Rechtsabteilung Q1 2025 Aktualisierter Vertragsordner, Vermerke
Durchführung von Vendor Audits (Stichproben) IT-Leitung, DSB Laufend, mind. jährlich Auditberichte, Prüfprotokolle
Aktualisierung des VVT mit allen Dienstleistern DSB, Fachabteilungen Q2 2025 Aktualisiertes VVT-Dokument
Entwicklung des Notfallplans für Drittlandtransfer Compliance, IT-Leitung Q3 2025 Schriftlicher und freigegebener Notfallplan

Kontrollkatalog für Audits und Behördenanfragen

Seien Sie auf Anfragen der Aufsichtsbehörden vorbereitet. Mit den folgenden Kontrollfragen können Sie Ihre Dokumentation proaktiv prüfen:

  • Können Sie für jeden Dienstleister einen gültigen AVV vorlegen?
  • Wie haben Sie die Zuverlässigkeit und die TOMs des Dienstleisters vor Vertragsabschluss geprüft und dokumentiert?
  • Wie stellen Sie sicher, dass der Dienstleister nur auf Ihre Weisung hin handelt?
  • Welche Prozesse existieren, um die Genehmigung und Kontrolle von Sub-Auftragsverarbeitern zu managen?
  • Können Sie nachweisen, dass für risikoreiche Verarbeitungen eine DSFA durchgeführt wurde?
  • Wie ist der Prozess zur Meldung von Datenschutzverletzungen durch den Dienstleister an Sie geregelt?

Eine gute Vorbereitung auf diese Fragen ist entscheidend. Unterstützung und weitere Informationen bieten Fachverbände wie die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. oder der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. sowie die Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Anhang: Checklisten, Musterformulierungen und Glossar

Checkliste zur Dienstleister-Auswahl

  • AVV-Muster des Dienstleisters geprüft? Verhandlungsspielraum vorhanden?
  • Zertifikate (ISO 27001, BSI C5) aktuell und gültig?
  • Standort der Datenverarbeitung klar definiert (EU/EWR bevorzugt)?
  • Regelungen zu Subunternehmern transparent und akzeptabel?
  • Referenzen aus dem Gesundheitssektor vorhanden?

Musterformulierung: Auditrecht im AVV

“Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch von ihm beauftragte Dritte zu kontrollieren. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu geben und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis kann auch durch die Vorlage eines aktuellen Testats, von Berichten unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Datenschutzauditor) oder einer geeigneten Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit erbracht werden.”

Glossar

  • DSGVO: Datenschutz-Grundverordnung. Der EU-weite Rechtsrahmen für den Datenschutz.
  • AVV: Auftragsverarbeitungsvertrag. Der rechtlich zwingende Vertrag zwischen Verantwortlichem und Auftragsverarbeiter.
  • TOMs: Technische und Organisatorische Maßnahmen. Die konkreten Sicherheitsmaßnahmen zum Schutz der Daten.
  • DSFA: Datenschutz-Folgenabschätzung. Eine strukturierte Risikobewertung für Verarbeitungen mit hohem Risiko.
  • BSI C5: Ein Kriterienkatalog des BSI zur Bewertung der Sicherheit von Cloud-Diensten.