In einem Satz. Eine Arztpraxis wird DSGVO-konform, indem sie Gesundheitsdaten als besondere Kategorien nach Art. 9 behandelt, die Verarbeitung auf Art. 9 Abs. 2 lit. h (Behandlung) stützt, die ärztliche Schweigepflicht (§ 203 StGB) mit dem Datenschutz verzahnt, die Patientenakte 10 Jahre aufbewahrt, für KV-Abrechnung und Telematikinfrastruktur die Rechtsgrundlagen dokumentiert und hohe technische Maßnahmen umsetzt.
Was muss eine Arztpraxis für DSGVO-Konformität tun? Praxen verarbeiten fast ausschließlich hochsensible Gesundheitsdaten. Konformität heißt: die richtige Rechtsgrundlage (Art. 9 Abs. 2 lit. h i.V.m. § 22 BDSG), ein Art.-30-Verzeichnis, in der Regel eine Datenschutz-Folgenabschätzung, ein bestellter Datenschutzbeauftragter, ein diskretes Wartezimmer- und Anmeldungssetup, verschlüsselte Kommunikation und ein Aufbewahrungs- und Löschkonzept. Verwandte Themen für den stationären Bereich behandelt unser Beitrag DSGVO Krankenhäuser und Pflegeeinrichtungen. Grundlagen zu sensiblen Daten: Art. 9 DSGVO.
Wichtige Punkte
- Gesundheitsdaten = besondere Kategorien (Art. 9), höchstes Schutzniveau.
- Rechtsgrundlage Behandlung: Art. 9 Abs. 2 lit. h i.V.m. § 22 BDSG.
- Datenschutzbeauftragter regelmäßig Pflicht (Kernverarbeitung sensibler Daten).
- DSFA nach Art. 35 in der Regel erforderlich.
- Patientenakte 10 Jahre aufbewahren (§ 630f BGB, § 57 BMV-Ä).
1. Welche Daten die Praxis verarbeitet
Praxen verarbeiten Patientenstammdaten, Diagnosen, Befunde, Medikation, Labor- und Bildgebungsdaten, Abrechnungsdaten und teils genetische Daten - durchweg besondere Kategorien nach Art. 9. Hinzu kommen Beschäftigtendaten des Praxisteams. Die Datensensibilität ist strukturell am oberen Ende, was die höchste Sorgfalt bei Rechtsgrundlagen, Zugriff und Sicherheit verlangt.
2. Rechtsgrundlagen pro Verarbeitung
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Behandlung / Patientenakte | Art. 9 Abs. 2 lit. h i.V.m. § 22 BDSG |
| KV-/Privatabrechnung | Art. 9 Abs. 2 lit. h; Art. 6 Abs. 1 lit. c |
| Überweisung / Befundübermittlung | Art. 9 Abs. 2 lit. h (Behandlungszusammenhang) |
| Telematikinfrastruktur (ePA, eRezept) | Art. 9 Abs. 2 lit. h i.V.m. SGB V |
| Terminverwaltung / Erinnerung | Art. 6 Abs. 1 lit. b / lit. a |
| Praxis-Website / Kontaktformular | Art. 6 Abs. 1 lit. a/f |
| Praxis-Mitarbeiter | § 26 BDSG |
Für Forschung oder Qualitätssicherung gelten eigene Grundlagen (Art. 9 Abs. 2 lit. j i.V.m. § 27 BDSG).
3. Schweigepflicht und DSGVO
Die ärztliche Schweigepflicht nach § 203 StGB und den Berufsordnungen ist strenger als der allgemeine Datenschutz und ergänzt ihn. Wichtig: Bei der Auslagerung von Datenverarbeitung (Abrechnungsstelle, IT-Wartung, Aktenvernichtung) muss der Dienstleister zur Verschwiegenheit verpflichtet werden - § 203 Abs. 3 StGB erlaubt die Einbindung “sonstiger mitwirkender Personen” nur unter strengen Voraussetzungen. Der Auftragsverarbeitungsvertrag nach Art. 28 wird um die strafrechtliche Verschwiegenheitsverpflichtung ergänzt.
4. Datenschutzbeauftragter und DSFA
Weil die Praxis Gesundheitsdaten als Kerntätigkeit umfangreich verarbeitet, ist regelmäßig ein Datenschutzbeauftragter zu benennen (Art. 37 Abs. 1 lit. c DSGVO). Zusätzlich ist bei umfangreicher Verarbeitung besonderer Kategorien in der Regel eine Datenschutz-Folgenabschätzung nach Art. 35 erforderlich - die DSK-Liste der Muss-DSFA nennt entsprechende Verarbeitungen. Kleine Einzelpraxen sollten dies im Einzelfall mit dem DSB prüfen.
5. Diskretion in Anmeldung und Wartezimmer
Ein Dauerthema der Aufsichtsbehörden: In vielen Praxen können wartende Patienten Gespräche am Empfang mithören. Erforderlich sind organisatorische Maßnahmen - Diskretionsabstand, geschlossene Türen bei sensiblen Gesprächen, kein Aufruf mit vollständigem Namen und Diagnose, keine offen einsehbaren Bildschirme oder Aktenstapel. Diese Maßnahmen sind Teil der technischen und organisatorischen Maßnahmen nach Art. 32.
6. Telematikinfrastruktur und Kommunikation
ePA, eRezept und KIM-Nachrichten laufen über die Telematikinfrastruktur, deren Nutzung sozialrechtlich geregelt ist (SGB V). Die Praxis bleibt datenschutzrechtlich verantwortlich für die korrekte Nutzung. Der Versand von Befunden per unverschlüsselter E-Mail ist unzulässig - stattdessen KIM, verschlüsselte Portale oder Faxvermeidung. Auch Terminerinnerungen per SMS/E-Mail dürfen keine Diagnosen enthalten.
7. Aufbewahrungsfristen
| Datenart | Frist | Grundlage |
|---|---|---|
| Patientenakte (allgemein) | 10 Jahre | § 630f Abs. 3 BGB, § 57 BMV-Ä |
| Röntgenaufnahmen / Strahlentherapie | 10-30 Jahre | § 85 StrlSchG |
| Aufzeichnungen nach Transfusionsgesetz | 15-30 Jahre | § 14 TFG |
| Abrechnungsbelege | 10 Jahre | § 147 AO |
| Bewerberdaten | 6 Monate nach Absage | AGG-Klagefrist |
Nach Fristablauf besteht Löschpflicht (Recht auf Löschung). Wichtig: Die 10-Jahres-Frist beginnt mit Ablauf des Behandlungsjahres; besondere Fristen (Röntgen, Transfusion) gehen vor.
8. Echte Bußgelder - was den Sektor betrifft
Der Gesundheitssektor ist einer der am meisten sanktionierten:
| Jahr | Behörde | Fall (Sektor) | Sanktion | Lehre für Praxen |
|---|---|---|---|---|
| 2019 | LfDI RLP | Krankenhaus (Klinik) | 105.000 € | Organisationsmängel bei Aufnahme/Abrechnung |
| 2020 | LfDI BW | AOK Baden-Württemberg | 1.240.000 € | keine Zweckentfremdung von Gesundheitsdaten |
| 2018 | CNPD (PT) | Krankenhaus Barreiro | 400.000 € | Zugriffsrechte auf Patientendaten begrenzen |
Der portugiesische Klinikfall zeigt die zentrale Praxisgefahr: zu viele Nutzer mit Zugriff auf zu viele Patientenakten. In der Praxis heißt das ein strenges Rollenkonzept - jede MFA sieht nur, was ihre Aufgabe erfordert.
9. Häufige Fehler
- Unverschlüsselter E-Mail-Versand von Befunden.
- Kein Rollenkonzept - das gesamte Team sieht alle Akten.
- Namensaufruf mit Diagnose im Wartezimmer, mithörbare Anmeldung.
- Kein AVV mit privatärztlicher Abrechnungsstelle und IT-Dienstleister.
- Keine dokumentierte DSFA trotz umfangreicher Gesundheitsdatenverarbeitung.
- Altakten werden über die Fristen hinaus ungesichert gelagert.
10. Tool-Unterstützung
Legiscope unterstützt Praxen beim Verarbeitungsverzeichnis, bei der DSFA für Gesundheitsdaten, bei AVV mit Verschwiegenheitsklausel nach § 203 StGB und einem Löschkonzept entlang der 10-Jahres-Fristen.
11. Datenpanne in der Praxis
Typische Szenarien: ein Fehlversand von Befunden an den falschen Patienten (Fax, E-Mail, Portal), ein verlorenes Notebook mit Patientendaten, ein Ransomware-Angriff auf das Praxisverwaltungssystem oder ein offen einsehbarer Server. Weil es sich fast immer um Gesundheitsdaten handelt, ist das Risiko regelmäßig hoch - die 72-Stunden-Meldung nach Art. 33 DSGVO und die Benachrichtigung der Betroffenen nach Art. 34 sind dann in der Regel Pflicht. Vorsorge: Verschlüsselung aller Datenträger, KIM statt offener E-Mail, getestete Offline-Backups, Notfallplan für den PVS-Ausfall. Meldewege: Datenpanne melden.
12. Umsetzung in fünf Schritten
- Datenlandkarte: Behandlungs-, Abrechnungs-, TI- und Teamdaten sowie alle Dienstleister (PVS, Labor, Abrechnungsstelle, IT) erfassen.
- Verzeichnis nach Art. 30 und DSFA: Schwellenwertanalyse für die Folgenabschätzung dokumentieren; DSB benennen.
- AVV mit Verschwiegenheitsklausel nach Art. 28 und § 203 StGB für alle mitwirkenden Dienstleister schließen.
- Rollen- und Diskretionskonzept: Zugriff je Funktion begrenzen, Anmeldung und Wartezimmer diskret gestalten.
- Sicherheit und Löschung: Verschlüsselung, KIM, Löschroutinen entlang der 10-/30-Jahres-Fristen einrichten.
13. Betroffenenrechte in der Praxis
Patienten machen ihre Rechte gegenüber der Praxis zunehmend geltend - der Umgang damit ist in der Monatsfrist (Art. 12 Abs. 3) zu organisieren:
- Auskunft und Kopie (Art. 15): Patienten haben Anspruch auf Auskunft und eine kostenfreie erste Kopie ihrer Daten. Ergänzend besteht das Einsichtsrecht in die Patientenakte nach § 630g BGB. Die erste Kopie ist unentgeltlich; die frühere Regelung einer Kostenbeteiligung ist durch die EuGH-Rechtsprechung überholt.
- Berichtigung (Art. 16): objektiv unrichtige Angaben korrigieren - ärztliche Bewertungen und Diagnosen bleiben aber dokumentiert.
- Löschung (Art. 17): greift nicht gegen die 10-jährige Dokumentationspflicht (§ 630f BGB); die Akte wird gesperrt und erst nach Fristablauf gelöscht.
- Beschwerde und Schadensersatz: Patienten können sich an die Aufsichtsbehörde wenden (Art. 77); ein Datenschutzverstoß bei Gesundheitsdaten kann Ansprüche nach Art. 82 auslösen.
Praktisch heißt das: ein klarer Prozess für die Herausgabe von Aktenkopien mit Identitätsprüfung, damit weder eine Frist versäumt noch eine Akte an eine unberechtigte Person herausgegeben wird.
Fazit
In der Arztpraxis steht der Datenschutz auf der höchsten Stufe: besondere Kategorien, Schweigepflicht, DSB-Pflicht und regelmäßig eine DSFA. Die größten Praxisrisiken liegen im Alltäglichen - mithörbare Anmeldung, unverschlüsselte Befunde und zu weite Zugriffsrechte. Wer diese Punkte löst, ist auf der sicheren Seite. Für den ambulanten Pflegebereich mit ähnlicher Datenlage siehe DSGVO ambulante Pflegedienste.
FAQ
Auf welche Rechtsgrundlage stütze ich die Patientenbehandlung?
Auf Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 BDSG (Gesundheitsvorsorge, Diagnostik, Behandlung durch ärztliches Personal unter Schweigepflicht). Eine separate Einwilligung ist für die Behandlung selbst nicht nötig.
Braucht meine Praxis einen Datenschutzbeauftragten?
In der Regel ja. Die umfangreiche Verarbeitung von Gesundheitsdaten als Kerntätigkeit löst die Pflicht nach Art. 37 Abs. 1 lit. c DSGVO aus - unabhängig von der 20-Personen-Schwelle des § 38 BDSG.
Darf ich Befunde per E-Mail versenden?
Nur verschlüsselt. Unverschlüsselter Versand von Gesundheitsdaten verstößt gegen Art. 32. Nutzen Sie KIM, verschlüsselte Portale oder übergeben Sie Befunde persönlich.
Wie lange muss ich die Patientenakte aufbewahren?
Grundsätzlich 10 Jahre (§ 630f BGB, § 57 BMV-Ä). Für Röntgenaufnahmen (bis 30 Jahre, StrlSchG) und Transfusionsunterlagen (bis 30 Jahre, TFG) gelten längere Fristen. Danach ist zu löschen.
Muss ich eine Datenschutz-Folgenabschätzung machen?
Bei umfangreicher Verarbeitung besonderer Kategorien in der Regel ja (Art. 35, DSK-Muss-Liste). Kleine Einzelpraxen prüfen dies mit dem DSB im Einzelfall anhand einer Schwellenwertanalyse.
Darf ich Patientenakten an einen Praxisnachfolger übergeben?
Nicht ohne Weiteres. Bei einer Praxisübergabe ist grundsätzlich das sogenannte Zwei-Schrank-Modell zu beachten: Altakten bleiben verschlossen und werden erst bei Zustimmung oder erneuter Behandlung durch den Nachfolger geöffnet. Alternativ ist die Einwilligung der Patienten in die Übergabe einzuholen. Eine pauschale Übergabe des gesamten Aktenbestands ohne diese Sicherungen verstößt gegen die Schweigepflicht und den Datenschutz.
Darf ich Termine per SMS oder E-Mail erinnern?
Ja, aber ohne Gesundheitsbezug. Eine Terminerinnerung darf keine Diagnose, Fachrichtung mit Rückschlusswirkung oder Behandlungsdetails enthalten. Die Erinnerung stützt sich auf die Vertragsdurchführung oder eine Einwilligung; der Patient muss widersprechen können.
Behördeninformationen: DSK und BfDI; Gesetzestexte unter gesetze-im-internet.de/bgb (§ 630f).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial