AVV — Auftragsverarbeitungsvertrag
Pflicht-Vertrag nach Art. 28 DSGVO mit jedem Software-Anbieter, der Patientendaten verarbeitet.
Hintergrund und Definition
Der Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, sobald eine externe Stelle personenbezogene Daten im Auftrag der Praxis verarbeitet. Er muss schriftlich oder elektronisch geschlossen werden und Inhalte wie Gegenstand, Dauer, Art und Zweck der Verarbeitung, Kategorien der Betroffenen, Weisungsrechte, Sub-Auftragnehmer, technisch-organisatorische Maßnahmen, Mitwirkungs- und Löschpflichten regeln. Ohne AVV ist die Datenweitergabe rechtswidrig und bußgeldbewehrt. Bei medizinischen Daten kommt § 203 StGB hinzu — der Anbieter braucht zusätzlich Verpflichtungserklärungen seiner Mitarbeiter. Sub-Unternehmen müssen offengelegt und kontrolliert sein; Drittlandtransfers (z. B. USA) brauchen zusätzliche Garantien wie Standardvertragsklauseln. Ein AVV ist kein Marketingdokument, sondern eine Risikovereinbarung — die Praxis bleibt datenschutzrechtlich verantwortlich. Aufsichtsbehörden prüfen den AVV als erstes, wenn ein Vorfall gemeldet wird.
Was das für die Praxis bedeutet
Manche Anbieter stellen den AVV erst auf Anfrage und teils gegen Aufpreis bereit — beides ist ein Warnsignal. Ein gut strukturierter Standard-AVV ohne Aufpreis sollte vor Vertragsschluss vorliegen und intern geprüft werden. Die typische Prüfung dauert 30 bis 90 Minuten — Sub-Auftragnehmer-Liste, Drittlandtransfer und Löschkonzept sind die kritischen Punkte. Praxen sollten ein einfaches AVV-Verzeichnis führen, in dem Vertragspartner, Datenkategorien und Update-Daten eingetragen sind. Bei jedem Anbieterwechsel oder bei Änderung der Sub-Unternehmen muss der AVV aktualisiert werden. KI-Anbieter mit lokaler Verarbeitung haben oft einen schlankeren AVV, weil keine Daten herausgegeben werden.
Beispiele aus dem Praxisalltag
- PVS-Anbieter, Cloud-Backup, Online-Terminbuchung, Laborinformationssystem — alles AVV-pflichtig.
- Microsoft 365 in der Praxis ohne separaten AVV-Anhang ist datenschutzrechtlich problematisch.
- Ein typischer AVV umfasst 8 bis 20 Seiten plus Anlagen zu Sub-Unternehmen.
- Vorlage der KBV oder Landesärztekammer als Ausgangspunkt — spart Zeit beim Vergleich.
Typische Stolperfallen
- AVV als unterschriebene PDF abgeheftet, aber Anlagen (TOM, Sub-Liste) fehlen.
- Sub-Auftragnehmer ändern sich, ohne dass die Praxis informiert wird.
- Drittlandtransfer in die USA ohne Standardvertragsklauseln und Transfer-Folgenabschätzung.
- AVV abgeschlossen, aber Mitarbeiter des Anbieters nicht auf Verschwiegenheit verpflichtet.
Verwandte Begriffe
- § 203 StGB — Verletzung von Privatgeheimnissen: Strafbarkeit der Verletzung der ärztlichen Schweigepflicht.
- Ärztliche Schweigepflicht: Berufs- und strafrechtliche Pflicht des Arztes, anvertraute Geheimnisse nicht zu offenbaren.
- US Cloud Act: US-Gesetz, das US-Konzerne weltweit zur Datenherausgabe verpflichten kann.
Quellen und weiterführende Hinweise
- datenschutzkonferenz-online.de — Mustertexte und Hinweise der DSK
- bfdi.bund.de — Hinweise des Bundesdatenschutzbeauftragten
- edpb.europa.eu — Leitlinien zu Auftragsverarbeitung
Hinweis: Dieser Lexikon-Eintrag dient der Orientierung und ersetzt keine rechtliche oder medizinische Beratung im Einzelfall.
Praxis-Dokumentation ohne Cloud. otium.doc auf otium.arx.
14 Tage testen, vortrainiert auf GOÄ und ICD-10. Hardware in Ihrer Praxis.