MeetOne Ratgeber

Auftragsverarbeitung bei Videoanbietern: AVV richtig abschließen

Wer Videosprechstunden anbietet, braucht einen AVV mit dem Dienstanbieter. Was in den Vertrag gehört und welche Fallstricke bei Gesundheitsdaten lauern.

Auftragsverarbeitung bei Videoanbietern: AVV richtig abschließen

Was ein AVV ist und warum er Pflicht ist

Wenn eine Arztpraxis eine Videosprechstunde über einen externen Dienstleister durchführt, verarbeitet dieser Dienstleister personenbezogene Daten im Auftrag der Praxis. Art. 28 DSGVO schreibt für genau diesen Fall einen Auftragsverarbeitungsvertrag (AVV) vor. Ohne diesen Vertrag ist die Nutzung des Videodienstes datenschutzrechtlich unzulässig - unabhängig davon, wie gut die technische Absicherung ist.

Der AVV regelt, was der Anbieter mit den Daten tun darf und was nicht. Er verpflichtet ihn auf die Weisungen der Praxis, legt technische Schutzmaßnahmen fest und definiert, wie bei Datenpannen vorgegangen wird. Kurz: Der AVV ist das rechtliche Fundament der Zusammenarbeit zwischen Praxis und Videodienstanbieter.

Ein häufiges Missverständnis: Der AVV ist kein optionaler Zusatz, den man bei Gelegenheit abschließt. Er muss vor dem ersten Einsatz des Videodienstes vorliegen. Fehlt er, drohen Bußgelder nach Art. 83 DSGVO - und zwar für die Praxis als verantwortliche Stelle, nicht für den Anbieter.

Wann genau ein AVV erforderlich ist

Die Antwort ist im Kontext von Videosprechstunden eindeutig: Immer, wenn der Anbieter in irgendeiner Form personenbezogene Daten verarbeitet. Und das tut er praktisch in jedem Fall.

Selbst wenn ein Anbieter keine Videoinhalte auf eigenen Servern speichert, fallen bei der Nutzung regelmäßig Daten an:

  • Verbindungsdaten (IP-Adressen, Zeitpunkt und Dauer der Verbindung)
  • Accountdaten (Name, E-Mail-Adresse des Arztes)
  • Metadaten (Gerätetyp, Browserversion, Betriebssystem)
  • Zugangsdaten (Einladungslinks, die auf einen Patienten verweisen können)

All das sind personenbezogene Daten im Sinne der DSGVO. Allein die Tatsache, dass eine bestimmte Person zu einem bestimmten Zeitpunkt eine Videosprechstunde mit einer Arztpraxis hatte, kann eine Gesundheitsinformation darstellen.

Der Sonderfall Peer-to-Peer

Bei Peer-to-Peer-Verbindungen fließen die eigentlichen Video- und Audiodaten direkt zwischen den Teilnehmern, ohne einen zentralen Server zu passieren. Das ist ein erheblicher Vorteil für den Datenschutz - aber es befreit nicht vom AVV.

Der Grund: Auch bei einer Peer-to-Peer-Architektur betreibt der Anbieter in der Regel einen Signalisierungsserver, der die Verbindung zwischen den Teilnehmern herstellt. Dabei werden mindestens IP-Adressen und Verbindungszeitpunkte verarbeitet. Hinzu kommen oft STUN- oder TURN-Server, die bei Netzwerkproblemen als Vermittler einspringen.

Die ehrliche Einschränkung: Auch wenn bei Peer-to-Peer deutlich weniger Daten beim Anbieter anfallen als bei serverbasierten Lösungen, ist die Auftragsverarbeitung nicht null. Ein AVV bleibt erforderlich - er kann allerdings schlanker ausfallen, weil der Umfang der Datenverarbeitung geringer ist.

Wie die MeetOne Peer-to-Peer-Architektur funktioniert

Erfahren Sie, wie MeetOne Ihre Praxis digitalisiert

Funktionen ansehen

Was in einen AVV gehört

Art. 28 Abs. 3 DSGVO listet die Mindestinhalte auf. Im Kontext einer Videosprechstunde bedeutet das konkret:

Gegenstand und Dauer der Verarbeitung

Der AVV muss beschreiben, was der Anbieter tut (Bereitstellung einer Videoplattform für telemedizinische Behandlungen) und wie lange die Datenverarbeitung andauert (in der Regel für die Dauer der Vertragsbeziehung).

Art und Zweck der Verarbeitung

Hier wird festgehalten, dass die Verarbeitung zum Zweck der Durchführung von Videosprechstunden im Rahmen der Patientenversorgung erfolgt. Das ist wichtig, weil es den Anbieter daran hindert, die Daten für andere Zwecke zu nutzen - etwa für eigene Analysen oder Werbung.

Art der personenbezogenen Daten

Eine konkrete Auflistung, welche Daten verarbeitet werden. Bei Videosprechstunden typischerweise:

  • Verbindungs- und Metadaten
  • Kontaktdaten des Arztes (Account)
  • Gegebenenfalls Patientenname (bei Terminbuchung über den Anbieter)
  • Bild- und Tondaten während der Übertragung (bei serverbasierten Lösungen)

Kategorien betroffener Personen

Ärzte, medizinisches Fachpersonal und Patienten. Diese Angabe klingt banal, ist aber rechtlich relevant, weil bei Patienten besondere Kategorien personenbezogener Daten (Gesundheitsdaten) betroffen sind.

Technische und organisatorische Maßnahmen (TOMs)

Der Anbieter muss dokumentieren, wie er die Daten schützt. Relevant sind unter anderem:

  • Verschlüsselung (Transport und idealerweise Ende-zu-Ende)
  • Zugangskontrollen zu Servern und Systemen
  • Pseudonymisierung, wo möglich
  • Regelmäßige Sicherheitsüberprüfungen
  • Verfahren zur Wiederherstellung bei technischen Störungen

Unterauftragnehmer

Der Anbieter muss offenlegen, welche Dritten er einsetzt - etwa Hosting-Provider, CDN-Dienste oder Monitoring-Tools. Die Praxis muss diesen Unterauftragnehmern zustimmen können.

Häufige Fallstricke bei Standard-AVVs

Viele Videodienstanbieter stellen einen vorgefertigten AVV zum Download bereit. Das ist grundsätzlich praktisch, birgt aber Risiken.

Fehlende Healthcare-Spezifika

Standard-AVVs sind oft branchenübergreifend formuliert. Sie berücksichtigen nicht, dass bei Videosprechstunden Gesundheitsdaten verarbeitet werden, die nach Art. 9 DSGVO einem erhöhten Schutzbedarf unterliegen. Ein AVV, der nur allgemein von "personenbezogenen Daten" spricht, ohne die besonderen Kategorien zu adressieren, ist lückenhaft.

Unklare Löschfristen

Der AVV sollte regeln, wann und wie Daten gelöscht werden - insbesondere Verbindungsprotokolle und temporäre Daten. Fehlt eine klare Regelung, behalten Anbieter die Daten möglicherweise länger als nötig.

Pauschale Zustimmung zu Unterauftragnehmern

Manche AVVs enthalten Klauseln wie "Der Auftragnehmer darf weitere Unterauftragnehmer hinzuziehen". Das ist problematisch, wenn keine konkrete Liste der aktuellen Unterauftragnehmer beigefügt ist und kein Widerspruchsrecht bei Änderungen eingeräumt wird.

Warnsignale in AVVs

Bestimmte Formulierungen sollten Praxisinhaber und Datenschutzbeauftragte aufhorchen lassen:

Datentransfer in Drittländer: Wenn der AVV die Verarbeitung in Ländern außerhalb des EWR erlaubt - etwa in den USA -, gelten zusätzliche Anforderungen. Seit dem Angemessenheitsbeschluss für die USA (EU-U.S. Data Privacy Framework) ist ein Transfer unter bestimmten Bedingungen möglich, aber die rechtliche Lage bleibt komplex. Bei Gesundheitsdaten ist besondere Vorsicht geboten.

Eigene Nutzungsrechte des Anbieters: Formulierungen wie "anonymisierte Daten dürfen für eigene Zwecke verwendet werden" sind kritisch. Was als anonymisiert gilt, ist oft Auslegungssache - und bei kleinen Datensätzen (eine Arztpraxis mit wenigen Videosprechstunden pro Tag) kann eine echte Anonymisierung schwierig sein.

Fehlende Meldepflichten: Der Anbieter muss die Praxis unverzüglich über Datenschutzverletzungen informieren. Fehlt diese Klausel oder enthält sie lange Fristen (z.B. "innerhalb von 30 Tagen"), ist das unzureichend. Die Praxis selbst muss die Aufsichtsbehörde innerhalb von 72 Stunden informieren und braucht dafür zeitnahe Informationen vom Anbieter.

Keine Angabe zu Serverstandorten: Wenn der AVV nicht spezifiziert, wo die Daten verarbeitet werden, ist das ein Hinweis darauf, dass der Anbieter sich Flexibilität vorbehalten möchte. Für eine Arztpraxis ist das nicht akzeptabel.

Fragen zum AVV bei MeetOne

Wir beantworten alle Ihre Fragen

Kontakt aufnehmen

Praktische Schritte: AVV anfordern, prüfen, abschließen

1. AVV anfordern

Seriöse Anbieter stellen den AVV proaktiv bereit - oft im eingeloggten Bereich oder auf Anfrage. Wenn ein Anbieter keinen AVV zur Verfügung stellt oder die Anfrage verzögert, ist das ein deutliches Warnsignal.

2. Inhalt prüfen

Gehen Sie die oben genannten Pflichtinhalte durch. Achten Sie besonders auf:

  • Werden Gesundheitsdaten als besondere Kategorie benannt?
  • Ist die Liste der Unterauftragnehmer konkret und aktuell?
  • Sind die TOMs spezifisch genug, oder bestehen sie nur aus allgemeinen Floskeln?
  • Gibt es klare Regelungen zur Datenlöschung nach Vertragsende?

3. Ergänzungen verhandeln

Sie haben das Recht, Anpassungen zu fordern. Insbesondere bei Gesundheitsdaten kann es sinnvoll sein, zusätzliche Schutzmaßnahmen zu vereinbaren - etwa kürzere Löschfristen für Verbindungsdaten oder eine explizite Verpflichtung auf deutsche Serverstandorte.

4. Dokumentation

Bewahren Sie den unterzeichneten AVV zusammen mit Ihrem Verzeichnis der Verarbeitungstätigkeiten auf. Die Aufsichtsbehörde kann ihn jederzeit anfordern.

AVV-Pflichtinhalte auf einen Blick

  • Gegenstand, Dauer, Art und Zweck der Datenverarbeitung klar benennen
  • Arten der personenbezogenen Daten und betroffene Personengruppen auflisten
  • Technische und organisatorische Maßnahmen konkret beschreiben
  • Unterauftragnehmer namentlich benennen und Widerspruchsrecht sichern
  • Löschfristen und Verfahren nach Vertragsende festlegen
  • Meldepflichten bei Datenpannen mit kurzen Fristen vereinbaren
Beratung vereinbaren

Fazit

Ein AVV ist bei der Nutzung eines Videodienstanbieters keine Formalität, sondern eine gesetzliche Pflicht nach Art. 28 DSGVO. Auch bei Peer-to-Peer-Anbietern, die keine Videoinhalte auf eigenen Servern verarbeiten, fallen Metadaten an, die einen AVV erfordern. Entscheidend ist nicht nur, dass ein AVV existiert, sondern dass er die Besonderheiten der Gesundheitsdatenverarbeitung berücksichtigt - von der Benennung besonderer Datenkategorien bis zu konkreten Löschfristen und einer transparenten Unterauftragnehmer-Liste.

Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle rechtliche Beratung. Für die datenschutzrechtliche Bewertung Ihrer konkreten Situation konsultieren Sie bitte Ihren Datenschutzbeauftragten oder einen Fachanwalt.