Datenschutz

DSGVO Arztpraxis 2026: Pflichten + Fristen + Bußgelder

DSGVO in der Arztpraxis 2026: Gesundheitsdaten nach Art. 9, Patientenakte, Schweigepflicht, KV-Abrechnung, TI und Aufbewahrungsfristen - mit echten Bußgeldern.

In einem Satz. Eine Arztpraxis wird DSGVO-konform, indem sie Gesundheitsdaten als besondere Kategorien nach Art. 9 behandelt, die Verarbeitung auf Art. 9 Abs. 2 lit. h (Behandlung) stützt, die ärztliche Schweigepflicht (§ 203 StGB) mit dem Datenschutz verzahnt, die Patientenakte 10 Jahre aufbewahrt, für KV-Abrechnung und Telematikinfrastruktur die Rechtsgrundlagen dokumentiert und hohe technische Maßnahmen umsetzt.

Was muss eine Arztpraxis für DSGVO-Konformität tun? Praxen verarbeiten fast ausschließlich hochsensible Gesundheitsdaten. Konformität heißt: die richtige Rechtsgrundlage (Art. 9 Abs. 2 lit. h i.V.m. § 22 BDSG), ein Art.-30-Verzeichnis, in der Regel eine Datenschutz-Folgenabschätzung, ein bestellter Datenschutzbeauftragter, ein diskretes Wartezimmer- und Anmeldungssetup, verschlüsselte Kommunikation und ein Aufbewahrungs- und Löschkonzept. Verwandte Themen für den stationären Bereich behandelt unser Beitrag DSGVO Krankenhäuser und Pflegeeinrichtungen. Grundlagen zu sensiblen Daten: Art. 9 DSGVO.

Wichtige Punkte

  • Gesundheitsdaten = besondere Kategorien (Art. 9), höchstes Schutzniveau.
  • Rechtsgrundlage Behandlung: Art. 9 Abs. 2 lit. h i.V.m. § 22 BDSG.
  • Datenschutzbeauftragter regelmäßig Pflicht (Kernverarbeitung sensibler Daten).
  • DSFA nach Art. 35 in der Regel erforderlich.
  • Patientenakte 10 Jahre aufbewahren (§ 630f BGB, § 57 BMV-Ä).

1. Welche Daten die Praxis verarbeitet

Praxen verarbeiten Patientenstammdaten, Diagnosen, Befunde, Medikation, Labor- und Bildgebungsdaten, Abrechnungsdaten und teils genetische Daten - durchweg besondere Kategorien nach Art. 9. Hinzu kommen Beschäftigtendaten des Praxisteams. Die Datensensibilität ist strukturell am oberen Ende, was die höchste Sorgfalt bei Rechtsgrundlagen, Zugriff und Sicherheit verlangt.

2. Rechtsgrundlagen pro Verarbeitung

Verarbeitung Rechtsgrundlage
Behandlung / Patientenakte Art. 9 Abs. 2 lit. h i.V.m. § 22 BDSG
KV-/Privatabrechnung Art. 9 Abs. 2 lit. h; Art. 6 Abs. 1 lit. c
Überweisung / Befundübermittlung Art. 9 Abs. 2 lit. h (Behandlungszusammenhang)
Telematikinfrastruktur (ePA, eRezept) Art. 9 Abs. 2 lit. h i.V.m. SGB V
Terminverwaltung / Erinnerung Art. 6 Abs. 1 lit. b / lit. a
Praxis-Website / Kontaktformular Art. 6 Abs. 1 lit. a/f
Praxis-Mitarbeiter § 26 BDSG

Für Forschung oder Qualitätssicherung gelten eigene Grundlagen (Art. 9 Abs. 2 lit. j i.V.m. § 27 BDSG).

3. Schweigepflicht und DSGVO

Die ärztliche Schweigepflicht nach § 203 StGB und den Berufsordnungen ist strenger als der allgemeine Datenschutz und ergänzt ihn. Wichtig: Bei der Auslagerung von Datenverarbeitung (Abrechnungsstelle, IT-Wartung, Aktenvernichtung) muss der Dienstleister zur Verschwiegenheit verpflichtet werden - § 203 Abs. 3 StGB erlaubt die Einbindung “sonstiger mitwirkender Personen” nur unter strengen Voraussetzungen. Der Auftragsverarbeitungsvertrag nach Art. 28 wird um die strafrechtliche Verschwiegenheitsverpflichtung ergänzt.

4. Datenschutzbeauftragter und DSFA

Weil die Praxis Gesundheitsdaten als Kerntätigkeit umfangreich verarbeitet, ist regelmäßig ein Datenschutzbeauftragter zu benennen (Art. 37 Abs. 1 lit. c DSGVO). Zusätzlich ist bei umfangreicher Verarbeitung besonderer Kategorien in der Regel eine Datenschutz-Folgenabschätzung nach Art. 35 erforderlich - die DSK-Liste der Muss-DSFA nennt entsprechende Verarbeitungen. Kleine Einzelpraxen sollten dies im Einzelfall mit dem DSB prüfen.

5. Diskretion in Anmeldung und Wartezimmer

Ein Dauerthema der Aufsichtsbehörden: In vielen Praxen können wartende Patienten Gespräche am Empfang mithören. Erforderlich sind organisatorische Maßnahmen - Diskretionsabstand, geschlossene Türen bei sensiblen Gesprächen, kein Aufruf mit vollständigem Namen und Diagnose, keine offen einsehbaren Bildschirme oder Aktenstapel. Diese Maßnahmen sind Teil der technischen und organisatorischen Maßnahmen nach Art. 32.

6. Telematikinfrastruktur und Kommunikation

ePA, eRezept und KIM-Nachrichten laufen über die Telematikinfrastruktur, deren Nutzung sozialrechtlich geregelt ist (SGB V). Die Praxis bleibt datenschutzrechtlich verantwortlich für die korrekte Nutzung. Der Versand von Befunden per unverschlüsselter E-Mail ist unzulässig - stattdessen KIM, verschlüsselte Portale oder Faxvermeidung. Auch Terminerinnerungen per SMS/E-Mail dürfen keine Diagnosen enthalten.

7. Aufbewahrungsfristen

Datenart Frist Grundlage
Patientenakte (allgemein) 10 Jahre § 630f Abs. 3 BGB, § 57 BMV-Ä
Röntgenaufnahmen / Strahlentherapie 10-30 Jahre § 85 StrlSchG
Aufzeichnungen nach Transfusionsgesetz 15-30 Jahre § 14 TFG
Abrechnungsbelege 10 Jahre § 147 AO
Bewerberdaten 6 Monate nach Absage AGG-Klagefrist

Nach Fristablauf besteht Löschpflicht (Recht auf Löschung). Wichtig: Die 10-Jahres-Frist beginnt mit Ablauf des Behandlungsjahres; besondere Fristen (Röntgen, Transfusion) gehen vor.

8. Echte Bußgelder - was den Sektor betrifft

Der Gesundheitssektor ist einer der am meisten sanktionierten:

Jahr Behörde Fall (Sektor) Sanktion Lehre für Praxen
2019 LfDI RLP Krankenhaus (Klinik) 105.000 € Organisationsmängel bei Aufnahme/Abrechnung
2020 LfDI BW AOK Baden-Württemberg 1.240.000 € keine Zweckentfremdung von Gesundheitsdaten
2018 CNPD (PT) Krankenhaus Barreiro 400.000 € Zugriffsrechte auf Patientendaten begrenzen

Der portugiesische Klinikfall zeigt die zentrale Praxisgefahr: zu viele Nutzer mit Zugriff auf zu viele Patientenakten. In der Praxis heißt das ein strenges Rollenkonzept - jede MFA sieht nur, was ihre Aufgabe erfordert.

9. Häufige Fehler

  • Unverschlüsselter E-Mail-Versand von Befunden.
  • Kein Rollenkonzept - das gesamte Team sieht alle Akten.
  • Namensaufruf mit Diagnose im Wartezimmer, mithörbare Anmeldung.
  • Kein AVV mit privatärztlicher Abrechnungsstelle und IT-Dienstleister.
  • Keine dokumentierte DSFA trotz umfangreicher Gesundheitsdatenverarbeitung.
  • Altakten werden über die Fristen hinaus ungesichert gelagert.

10. Tool-Unterstützung

Legiscope unterstützt Praxen beim Verarbeitungsverzeichnis, bei der DSFA für Gesundheitsdaten, bei AVV mit Verschwiegenheitsklausel nach § 203 StGB und einem Löschkonzept entlang der 10-Jahres-Fristen.

11. Datenpanne in der Praxis

Typische Szenarien: ein Fehlversand von Befunden an den falschen Patienten (Fax, E-Mail, Portal), ein verlorenes Notebook mit Patientendaten, ein Ransomware-Angriff auf das Praxisverwaltungssystem oder ein offen einsehbarer Server. Weil es sich fast immer um Gesundheitsdaten handelt, ist das Risiko regelmäßig hoch - die 72-Stunden-Meldung nach Art. 33 DSGVO und die Benachrichtigung der Betroffenen nach Art. 34 sind dann in der Regel Pflicht. Vorsorge: Verschlüsselung aller Datenträger, KIM statt offener E-Mail, getestete Offline-Backups, Notfallplan für den PVS-Ausfall. Meldewege: Datenpanne melden.

12. Umsetzung in fünf Schritten

  1. Datenlandkarte: Behandlungs-, Abrechnungs-, TI- und Teamdaten sowie alle Dienstleister (PVS, Labor, Abrechnungsstelle, IT) erfassen.
  2. Verzeichnis nach Art. 30 und DSFA: Schwellenwertanalyse für die Folgenabschätzung dokumentieren; DSB benennen.
  3. AVV mit Verschwiegenheitsklausel nach Art. 28 und § 203 StGB für alle mitwirkenden Dienstleister schließen.
  4. Rollen- und Diskretionskonzept: Zugriff je Funktion begrenzen, Anmeldung und Wartezimmer diskret gestalten.
  5. Sicherheit und Löschung: Verschlüsselung, KIM, Löschroutinen entlang der 10-/30-Jahres-Fristen einrichten.

13. Betroffenenrechte in der Praxis

Patienten machen ihre Rechte gegenüber der Praxis zunehmend geltend - der Umgang damit ist in der Monatsfrist (Art. 12 Abs. 3) zu organisieren:

  • Auskunft und Kopie (Art. 15): Patienten haben Anspruch auf Auskunft und eine kostenfreie erste Kopie ihrer Daten. Ergänzend besteht das Einsichtsrecht in die Patientenakte nach § 630g BGB. Die erste Kopie ist unentgeltlich; die frühere Regelung einer Kostenbeteiligung ist durch die EuGH-Rechtsprechung überholt.
  • Berichtigung (Art. 16): objektiv unrichtige Angaben korrigieren - ärztliche Bewertungen und Diagnosen bleiben aber dokumentiert.
  • Löschung (Art. 17): greift nicht gegen die 10-jährige Dokumentationspflicht (§ 630f BGB); die Akte wird gesperrt und erst nach Fristablauf gelöscht.
  • Beschwerde und Schadensersatz: Patienten können sich an die Aufsichtsbehörde wenden (Art. 77); ein Datenschutzverstoß bei Gesundheitsdaten kann Ansprüche nach Art. 82 auslösen.

Praktisch heißt das: ein klarer Prozess für die Herausgabe von Aktenkopien mit Identitätsprüfung, damit weder eine Frist versäumt noch eine Akte an eine unberechtigte Person herausgegeben wird.

Fazit

In der Arztpraxis steht der Datenschutz auf der höchsten Stufe: besondere Kategorien, Schweigepflicht, DSB-Pflicht und regelmäßig eine DSFA. Die größten Praxisrisiken liegen im Alltäglichen - mithörbare Anmeldung, unverschlüsselte Befunde und zu weite Zugriffsrechte. Wer diese Punkte löst, ist auf der sicheren Seite. Für den ambulanten Pflegebereich mit ähnlicher Datenlage siehe DSGVO ambulante Pflegedienste.

FAQ

Auf welche Rechtsgrundlage stütze ich die Patientenbehandlung?

Auf Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 BDSG (Gesundheitsvorsorge, Diagnostik, Behandlung durch ärztliches Personal unter Schweigepflicht). Eine separate Einwilligung ist für die Behandlung selbst nicht nötig.

Braucht meine Praxis einen Datenschutzbeauftragten?

In der Regel ja. Die umfangreiche Verarbeitung von Gesundheitsdaten als Kerntätigkeit löst die Pflicht nach Art. 37 Abs. 1 lit. c DSGVO aus - unabhängig von der 20-Personen-Schwelle des § 38 BDSG.

Darf ich Befunde per E-Mail versenden?

Nur verschlüsselt. Unverschlüsselter Versand von Gesundheitsdaten verstößt gegen Art. 32. Nutzen Sie KIM, verschlüsselte Portale oder übergeben Sie Befunde persönlich.

Wie lange muss ich die Patientenakte aufbewahren?

Grundsätzlich 10 Jahre (§ 630f BGB, § 57 BMV-Ä). Für Röntgenaufnahmen (bis 30 Jahre, StrlSchG) und Transfusionsunterlagen (bis 30 Jahre, TFG) gelten längere Fristen. Danach ist zu löschen.

Muss ich eine Datenschutz-Folgenabschätzung machen?

Bei umfangreicher Verarbeitung besonderer Kategorien in der Regel ja (Art. 35, DSK-Muss-Liste). Kleine Einzelpraxen prüfen dies mit dem DSB im Einzelfall anhand einer Schwellenwertanalyse.

Darf ich Patientenakten an einen Praxisnachfolger übergeben?

Nicht ohne Weiteres. Bei einer Praxisübergabe ist grundsätzlich das sogenannte Zwei-Schrank-Modell zu beachten: Altakten bleiben verschlossen und werden erst bei Zustimmung oder erneuter Behandlung durch den Nachfolger geöffnet. Alternativ ist die Einwilligung der Patienten in die Übergabe einzuholen. Eine pauschale Übergabe des gesamten Aktenbestands ohne diese Sicherungen verstößt gegen die Schweigepflicht und den Datenschutz.

Darf ich Termine per SMS oder E-Mail erinnern?

Ja, aber ohne Gesundheitsbezug. Eine Terminerinnerung darf keine Diagnose, Fachrichtung mit Rückschlusswirkung oder Behandlungsdetails enthalten. Die Erinnerung stützt sich auf die Vertragsdurchführung oder eine Einwilligung; der Patient muss widersprechen können.

Behördeninformationen: DSK und BfDI; Gesetzestexte unter gesetze-im-internet.de/bgb (§ 630f).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →