DSGVO im Krankenhaus: Patientendaten und § 22 BDSG

In einem Satz. Krankenhäuser und Pflegeeinrichtungen verarbeiten Gesundheitsdaten — die nach Art. 9 DSGVO besonders geschützten Daten — und müssen kumulativ § 22 BDSG, die ärztliche Schweigepflicht (§ 203 StGB), Krankenhausgesetze der Länder, das SGB V sowie das Patientendaten-Schutz-Gesetz (PDSG) einhalten.

Strafrechtliche Doppelrelevanz: Datenschutzverstoß ist nicht nur Bußgeld, sondern bei ärztlicher Schweigepflicht potenziell Straftat (§ 203 StGB, bis zu 1 Jahr Freiheitsstrafe). Aufsichtsbehörden im Gesundheitsbereich sind besonders aktiv — z.B. €105.000 LfDI Rheinland-Pfalz gegen Krankenhaus für Patientenverwechslung (2019), HmbBfDI gegen AOK Baden-Württemberg €1,24M (2020). Siehe BfDI.

Wichtige Punkte

• Gesundheitsdaten sind besondere Kategorien nach Art. 9 DSGVO — striktes Verbot mit Erlaubnisvorbehalt.
• § 22 BDSG erlaubt Verarbeitung u.a. für Gesundheitsvorsorge, Behandlung, Diagnostik.
• Ärztliche Schweigepflicht § 203 StGB ist strafbewehrt, geht über DSGVO hinaus.
• KIS-Auslagerung: AVV + § 203 Abs. 3 StGB Schweigepflichtverpflichtung erforderlich.
• ePA seit 2025 verpflichtend, Opt-out-System mit besonderen Schutzpflichten.

1. Rechtsgrundlagen für Patientendaten

Verarbeitung	Rechtsgrundlage
Behandlungsvertrag	Art. 9 Abs. 2 lit. h + § 22 Abs. 1 Nr. 1 lit. b BDSG
Abrechnung mit Kasse	Art. 9 Abs. 2 lit. h + SGB V
Wissenschaftliche Forschung	Art. 9 Abs. 2 lit. j + § 27 BDSG
Qualitätssicherung	Art. 9 Abs. 2 lit. h + § 135a SGB V
Marketing	Art. 9 Abs. 2 lit. a (Einwilligung)

Vorrang von SGB V Vorschriften (Lex specialis).

2. § 22 BDSG im Detail

Erlaubt Verarbeitung sensibler Daten u.a. für:

• Gesundheitsversorgung, Behandlung, Diagnostik
• Verwaltung von Gesundheitsdiensten
• Arbeitsmedizinische Beurteilung
• Öffentliches Interesse Gesundheit

Voraussetzung: angemessene Schutzmaßnahmen, insbesondere TOMs, Schweigepflichtbelehrung, Trennung von Verwaltungsdaten.

3. Ärztliche Schweigepflicht

§ 203 StGB schützt Geheimnisse, die Ärzten anvertraut wurden. Verstoß = Straftat, nicht nur Bußgeld. Strafmaß: bis 1 Jahr Freiheitsstrafe oder Geldstrafe.

§ 203 Abs. 3 StGB (seit 2017): Offenbarung an “mitwirkende Personen” zulässig, wenn diese verpflichtet werden. Wichtig für externe IT-Dienstleister.

4. KIS und IT-Auslagerung

Krankenhausinformationssysteme verarbeiten Diagnose-, Behandlungs-, Abrechnungsdaten. Auslagerungspflichten:

• AVV nach Art. 28 DSGVO
• Schweigepflichtverpflichtung nach § 203 Abs. 4 StGB für alle Mitarbeiter des Dienstleisters
• Pseudonymisierung wo möglich
• TOMs nach Art. 32 + § 22 BDSG

Siehe AVV-Muster und DSGVO Artikel 32.

5. Elektronische Patientenakte (ePA)

Seit 15.01.2025 für gesetzlich Versicherte verpflichtend (Opt-out). Besonderheiten:

• Gematik betreibt zentrale Telematikinfrastruktur
• Berechtigungsmanagement durch Patienten
• Krankenhaus-Pflicht: vollständige Befüllung
• Datenschutz-Folgenabschätzung (DSFA) verpflichtend

6. Datenpannen im Krankenhaus

Typische Vorfälle:

• Patientenverwechslung (Akten, Befunde)
• Ransomware (Lukaskrankenhaus Neuss 2016, UKD Düsseldorf 2020 mit Todesfolge)
• Fax-Fehlsendungen
• Verlust von Datenträgern

Meldepflicht: 72h an LDA/BfDI, ggf. Strafanzeige § 203 StGB.

7. DSFA-Pflicht

Nach Art. 35 DSGVO + DSFA-Muss-Liste (DSK): DSFA verpflichtend für:

• Krankenhausinformationssysteme
• ePA-Anbindung
• Telemedizin
• KI in der Diagnostik
• Patientenportale

Siehe DSFA.

8. Forschungsausnahmen (§ 27 BDSG)

Wissenschaftliche Forschung mit Patientendaten:

• Vorrang Pseudonymisierung
• Ethikkommissionsvotum
• ggf. Einwilligung (Broad Consent möglich)
• Veröffentlichung nur anonymisiert

9. Aufsichtsbehörden und Sanktionen

Fall	Sanktion	Behörde
AOK Baden-Württemberg (Gewinnspiel)	€1,24M	HmbBfDI
Krankenhaus Rhein-Pfalz	€105.000	LfDI RLP
Spital Lippstadt (ungeschützter Zugang)	€30.000	LDI NRW
Bremer Krankenhaus	€40.000	LfDI Bremen

10. Patientenrechte

Recht	Besonderheit
Auskunft (Art. 15)	volle Patientenakte, ggf. mit Erläuterung
Berichtigung (Art. 16)	medizinische Befunde nur ergänzend, nicht löschend
Löschung (Art. 17)	eingeschränkt — Aufbewahrungspflicht 10-30 Jahre
Einsichtsrecht	parallel § 630g BGB (Behandlungsvertrag)

11. Aufbewahrungsfristen

Dokument	Frist	Norm
Patientenakte allgemein	10 Jahre	§ 630f BGB
Röntgenaufzeichnungen	10 Jahre	§ 28 RöV
Strahlentherapie	30 Jahre	§ 85 StrlSchV
Kinder-Akten	bis 28. Lebensjahr	§ 28 RöV

12. Tool-Unterstützung

Legiscope bildet VVT, DSFA-Templates Gesundheitswesen, Schweigepflichtverpflichtungen für IT-Dienstleister und Aufbewahrungsfrist-Tracking ab.

Fazit

Im Gesundheitswesen ist DSGVO mit Strafrecht verzahnt. Wer § 203 StGB ignoriert, riskiert nicht nur Bußgeld, sondern persönliche Strafverfolgung der ärztlichen Leitung — Datenschutz ist hier kein Compliance-Beiwerk, sondern Existenzfrage.

FAQ

Darf ich Patientenakten in der Cloud speichern?

Ja, mit BSI-C5-zertifizierter EU-Cloud, AVV, Schweigepflichtverpflichtung der Anbieter-Mitarbeiter nach § 203 Abs. 4 StGB.

Wer ist Datenschutzbeauftragter im Krankenhaus?

Pflicht ab erster Verarbeitung sensibler Daten (i.d.R. immer). Häufig interner DSB plus externer Berater oder ausgelagerter DSB. Siehe Aufgaben DSB.

Wie ist die Schweigepflicht bei IT-Dienstleistern?

Nach § 203 Abs. 4 StGB sind sie schriftlich zu verpflichten. Verstoß: Strafbarkeit auch des Dienstleisters und des Arztes/Klinikleitung.

Welche Aufbewahrungsfrist gilt für die Patientenakte?

Regel 10 Jahre nach Behandlungsende (§ 630f BGB), Röntgen 10 Jahre, Strahlentherapie 30 Jahre, Kinder bis 28. Geburtstag.

Ist die ePA-Nutzung Pflicht?

Für gesetzliche Krankenkassen-Versicherte seit 15.01.2025 mit Opt-out. Krankenhäuser müssen ePA-fähig sein und Befunde bereitstellen.