07.05.2025 Dr. Jochen Notholt

Welche rechtliche Hilfe brauchen IT-Dienstleister:innen für Ärzt:innen- und Zahnärzt:innenpraxen?

Viele IT-Dienstleister:innen betreuen Ärzt:innenpraxen und Zahnärzt:innenpraxen bei der Einrichtung und Wartung von IT-Systemen oder übernehmen Supportleistungen im laufenden Betrieb. Was oft nicht bedacht wird: Bei dieser Zusammenarbeit greifen sie regelmäßig auf besonders sensible Daten zu – Patient:innendaten. Was das aus rechtlicher Sicht bedeutet, und wie wir hier helfen, erfahren Sie in diesem Beitrag.

1. Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

IT-Dienstleister:innen verarbeiten in (Zahn-)Ärzt:innenpraxen in aller Regel personenbezogene Daten im Auftrag – etwa bei der Wartung von Praxissoftware, Backups oder bei der Fernwartung. In diesen Fällen ist ein Auftragsverarbeitungsvertrag (AVV) zwischen der Praxis (Verantwortliche:r) und der/dem IT-Dienstleister:in (Auftragsverarbeiter:in) zwingend vorgeschrieben.

Eine AVV hat bestimmte Mindestinhalte, welche die Datenschutz-Grundverordnung (DSGVO) in Art. 28 vorschreibt. Wichtig ist vor allem die richtige Bearbeitung der auftragsindividuellen Inhalte sowie der technisch-organisatorischen Maßnahmen (TOM). Wenn comp/lex Ihnen das AVV-Muster bereitstellt, übernehmen wir die Beratung zu den Regelungsinhalten mit dazu – zum Festpreis.

Wichtig: Dass eine korrekte AVV geschlossen wird, liegt nicht nur in der Verantwortung der Kund:innen. Kümmern sich Dienstleister:innen ihrerseits nicht um den AVV-Abschluss, begehen sie selbst einen Datenschutzverstoß.

2. Verschwiegenheitsverpflichtung gemäß § 203 StGB und berufsrechtlichen Regelungen

Ein oft übersehener Punkt: Ärztinnen, Ärzte, Zahnärztinnen und Zahnärzte unterliegen einer strafbewehrten Schweigepflicht nach § 203 StGB. Wer ihnen bei der Berufsausübung zur Seite steht – also auch externe IT-Dienstleister:innen –, muss vertraglich zur Verschwiegenheit verpflichtet werden. Andernfalls macht sich zumindest die Ärztin / der Zahnarzt strafbar. Professionelle IT-Dienstleister:innen sollten ihre Kund:innen hierauf proaktiv hinweisen. Wir haben die Erfahrung gemacht, dass Ärzte und Zahnärztinnen diese Themen häufig nicht ernst genug nehmen. 

Aus rechtlicher Sicht ist die sog. Verschwiegenheitsverpflichtung nach § 203 StGB von der AVV zu unterscheiden. Die beiden Dokumente kann man in einem zusammenfassen, man muss das aber nicht tun.

Beachten Sie bei der Verschwiegenheitsverpflichtung bitte Folgendes:

  • Die Schweigepflicht gilt über das Vertragsende hinaus.
  • Sie müssen sicherstellen, dass auch die Mitarbeitenden und Subunternehmer:innen der IT-Dienstleister:innen (wie z.B. Hoster:innen) entsprechend verpflichtet sind.

Je nach Bundesland gelten zudem berufsrechtliche Vorgaben (z. B. der Ärztekammern), die eingehalten werden müssen.

Exkurs: Gibt es ein Pendant zu § 43e BRAO bei Ärztinnen und Zahnärzten?

Auch wir Rechtsanwält:innen sind Berufsgeheimnisträger:innen – die Anforderungen an die Verschwiegenheitsverpflichtung sind für uns in § 43e der Bundesrechtsanwaltsordnung (BRAO) geregelt (mehr dazu: hier). Für Ärzte und Zahnärztinnen existiert kein direktes Gegenstück zu § 43e BRAO mit gleichem oder ähnlichem Wortlaut. Die rechtliche Gestaltung ist aber ähnlich, abgeleitet aus:

  • § 203 StGB
    → Verpflichtung zur Verschwiegenheit gegenüber Hilfspersonen
  • Berufsordnungen der Ärztekammern / Zahnärztekammern
    → Pflicht, die Einhaltung der Schweigepflicht auch bei externen Dienstleister:innen sicherzustellen

Beispiel:
§ 9 MBO-Ä (Musterberufsordnung Ärzte):
„Ärztinnen und Ärzte haben […] dafür zu sorgen, dass auch ihre Gehilfen und Hilfspersonen die Schweigepflicht wahren.“

Was heißt das für IT-Dienstleister:innen?
Sie benötigen – zusätzlich zum AVV – eine gesonderte vertragliche Verschwiegenheitsverpflichtung, die den Anforderungen aus Straf- und Berufsrecht entspricht. Andernfalls riskieren sowohl Praxis als auch Dienstleister:innen strafrechtliche Konsequenzen.

3. Datenschutzbeauftragte:r – ja oder nein?

IT-Dienstleister:innen, die regelmäßig für mehrere Ärztinnen-/Zahnarztpraxen tätig sind und dabei auf Gesundheitsdaten zugreifen, müssen außerdem prüfen, ob sie zur Benennung einer/eines Datenschutzbeauftragten (DSB) verpflichtet sind. Neben der weiterhin in Deutschland geltenden 20-Personen-Grenze (§ 38 (1) BDSG) dürfen Sie Art. 37 (1) c) DSGVO nicht übersehen: Wenn Sie besondere Kategorien von Daten (Gesundheitsdaten!) umfangreich und als Kerntätigkeit verarbeiten (wobei der reine Zugriff als Verarbeitung gilt), fallen Sie unter die DSB-Bestellpflicht.

Beachten Sie zudem noch, dass Sie als internen DSB weder ein Mitglied der Geschäftsführung noch einen IT-Verantwortlichen bestellen dürfen (mehr dazu in diesem Beitrag von uns). Sie sehen also, häufig müssen auch kleine IT-Unternehmen oder sogar Freelancer:innen, die vorrangig Ärztinnen- und Zahnarztpraxen betreuen, eine:n externe:n Datenschutzbeauftragte:n bestellen. Wir übernehmen diese Arbeit gerne – hier erhalten Sie weitere Informationen zu unserer Bestellung.

Übrigens: Auch bei freiwilliger Benennung kann ein:e externe:r DSB helfen, Haftungsrisiken zu minimieren – gerade wenn häufig sensible Daten bearbeitet werden.

4. Unsere Empfehlung: Einfache Hilfe aus einer Hand

Viele IT-Freelancer:innen und kleine Unternehmen, die Arzt- und Zahnärztinnenpraxen betreuen, wollen keine Zeit mit komplexen rechtlichen Fragen verschwenden – müssen aber trotzdem rechtlich sauber aufgestellt sein. (Zu den oben erwähnten kommen noch ein paar weitere hinzu, wie vor allem Datenschutzhinweise, ein Verzeichnis der Verarbeitungstätigkeiten, Prozessdokumentationen usw. – von rechtssicheren vertraglichen Vereinbarungen mit Ihren Kund:innen ganz zu schweigen.). Wir bieten Ihnen die nötige Hilfe zu transparenten Festpreisen und monatlichen Pauschalen. 

Fazit

Die Arbeit für Ärztinnen- und Zahnarztpraxen bringt besondere rechtliche Anforderungen mit sich. Wer Patient:innendaten sieht oder verarbeiten kann, muss neben dem Datenschutz auch straf- und berufsrechtliche Vorschriften beachten. Mit den richtigen Rechtsdokumenten sind IT-Dienstleister:innen aber auf der sicheren Seite.

Wenn Sie sich nicht sicher sind, ob Sie betroffen sind oder welche Dokumente Sie benötigen: Sprechen Sie uns an – wir helfen Ihnen pragmatisch und verständlich weiter.

Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:

  • Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.
  • Abonnieren Sie unsere Tipps und Tricks und erhalten Sie zugleich Zugang zu unserem Mitgliederbereich mit kostenlosen E-Books, Videos und vielem mehr.
  • Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.

Ihre Ansprechperson

Dr Jochen Notholt

Unsere Top-Artikel:

Themen:

Ähnliche Artikel:

Welche IT-Vertragsdokumente gibt es und welche davon brauchen Sie?

Was ist das überhaupt, ein IT-Vertrag? Für uns Anwälte ist das ganz einfach: eine Vereinbarung zwischen (normalerweise) zwei Parteien, in der es um die Erbringung von IT-Leistungen geht. In diesem Beitrag erklären wir Ihnen, in welchen Formen — und...

So arbeiten IT-Anbieter:innen und Rechtsanwält:innen gut zusammen – Stichwort: Verschwiegenheitsvereinbarung

IT-Anbieter:innen mit Zugriff auf Kundendaten sollten neben der Auftragsverarbeitung ein weiteres rechtliches Thema im Auge haben – vorausgesetzt, sie möchten (auch) Rechtsanwält:innen als Kund:innen haben. Das Zauberwort: Verschwiegenheitsvereinbarung nach § 43e Bundesrechtsanwaltsordnung (BRAO). In diesem Beitrag erklären wir, was es damit auf...