Alle Systeme betriebsbereit · 99,98% Verfügbarkeit
← Alle Beiträge
DSGVO7 Min. · 27.05.2026

AV-Vertrag, TOMs, Löschkonzept: die DSGVO-Checkliste für Fahrdienste

Was der Datenschutzbeauftragte sehen will, bevor Sie eine Software einführen — als abhakbare Liste.

Bevor ein Fahrdienst eine neue Software einführt, die Gesundheitsdaten verarbeitet, will der Datenschutzbeauftragte — intern oder extern — bestimmte Dinge sehen. Diese Liste hilft Ihnen, gut vorbereitet in das Gespräch zu gehen. Sie ersetzt keine individuelle Rechtsberatung, deckt aber die Punkte ab, an denen die meisten Prüfungen ansetzen.

1. Auftragsverarbeitungsvertrag (AV-Vertrag)

Sobald ein externer Anbieter Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen Vertrag nach Artikel 28 DSGVO.

  • Liegt ein unterschriebener AV-Vertrag vor?
  • Sind Gegenstand, Dauer und Zweck der Verarbeitung darin beschrieben?
  • Ist geregelt, dass der Anbieter keine Unterauftragnehmer ohne Ihre Zustimmung einsetzt?

Seriöse Anbieter legen den AV-Vertrag von sich aus vor. Muss man danach lange fragen, ist das ein Warnsignal.

2. Technische und organisatorische Maßnahmen (TOMs)

Die TOMs beschreiben, wie der Anbieter die Daten technisch schützt. Prüfen Sie:

  • Verschlüsselung in Übertragung (TLS) und Speicherung (Datenbank)
  • Zugriffskontrolle: rollenbasiert, nach dem Need-to-know-Prinzip
  • Protokollierung aller Zugriffe
  • Backup- und Wiederherstellungskonzept
  • Standort der Server — für Gesundheitsdaten idealerweise Deutschland oder zumindest die EU

3. Rechtsgrundlage der Verarbeitung

Für jede Verarbeitung muss eine Rechtsgrundlage benannt sein. Bei Fahrdiensten typischerweise:

  • Artikel 9 Abs. 2 lit. h (Gesundheitsversorgung) für die Durchführung der Fahrt
  • Artikel 6 Abs. 1 lit. b (Vertragserfüllung) für die Abrechnung
  • ausdrückliche Einwilligung, wo die Verarbeitung darüber hinausgeht

4. Löschkonzept

Daten dürfen nicht ewig gespeichert werden. Das Löschkonzept legt fest:

  • Welche Datenkategorie wird wie lange aufbewahrt? (Achtung: steuer- und handelsrechtliche Aufbewahrungsfristen von bis zu zehn Jahren können greifen.)
  • Wann und wie wird gelöscht?
  • Wie wird die Löschung dokumentiert?

5. Betroffenenrechte

Patienten haben Rechte, die Sie erfüllen können müssen:

  • Auskunft (Art. 15): Welche Daten haben Sie über die Person gespeichert?
  • Berichtigung (Art. 16) und Löschung (Art. 17)
  • Datenübertragbarkeit (Art. 20)

Prüfen Sie: Kann Ihr System diese Auskünfte in vertretbarer Zeit liefern? Ein Auskunftsersuchen, das drei Tage Handarbeit bedeutet, ist ein Betriebsrisiko.

6. Verzeichnis von Verarbeitungstätigkeiten

Nach Artikel 30 DSGVO müssen Sie ein Verzeichnis führen, in dem alle Verarbeitungstätigkeiten dokumentiert sind. Die Einführung einer neuen Software ist ein guter Anlass, dieses Verzeichnis zu aktualisieren.

7. Meldewege für Datenpannen

Kommt es zu einer Datenpanne, haben Sie in der Regel 72 Stunden Zeit, sie der Aufsichtsbehörde zu melden. Klären Sie vorab:

  • Wer wird informiert, wenn etwas passiert?
  • Unterstützt der Anbieter Sie bei der Aufklärung?

Der pragmatische Abschluss

Diese Liste sieht lang aus, ist aber schneller abgearbeitet, als viele befürchten — vorausgesetzt, der Software-Anbieter bringt die Grundlagen von Haus aus mit. Ein Anbieter, der AV-Vertrag, TOMs-Dokumentation, deutsches Hosting und ein sauberes Löschkonzept unaufgefordert vorlegt, erledigt die Hälfte Ihrer Checkliste für Sie. MITA Base ist genau darauf ausgelegt: Hosting in Frankfurt, AV-Vertrag inklusive, DSGVO Art. 9 als Voreinstellung.

Nehmen Sie diese Liste mit ins nächste Gespräch mit Ihrem Datenschutzbeauftragten. Wenn Sie zu jedem Punkt eine belegbare Antwort haben, sind Sie besser aufgestellt als die meisten Betriebe Ihrer Branche.

Genug gelesen. Sehen Sie es laufen.

30 Minuten Demo mit Ihren echten Abläufen — kein Verkaufsdruck, versprochen.

🇩🇪 Hosting Frankfurt · DSGVO Art. 9 · AV-Vertrag inkl.