Welche DSGVO-Software braucht eine Arztpraxis? Kurzantwort: eine, die für Gesundheitsdaten der besonderen Kategorie nach Art. 9 DSGVO gebaut ist. Praxen, MVZ und Kliniken verarbeiten die sensibelsten Daten überhaupt und unterliegen zusätzlich dem strafbewehrten Berufsgeheimnis (§ 203 StGB). Die Software muss deshalb ein Verzeichnis führen, das Patientendaten sauber abbildet, die nach der DSK-Muss-Liste häufig verpflichtende Datenschutz-Folgenabschätzung unterstützen, Patienteneinwilligungen dokumentieren und die vielen Auftragsverarbeiter einer Praxis — Labore, Praxisverwaltungssystem-Anbieter, Abrechnungsstellen — vertraglich korrekt einbinden. Ein generisches Datenschutztool ohne Gesundheitsdaten-Logik ist hier die falsche Wahl.
Dieser Beitrag zeigt, worauf Praxen bei DSGVO-Software achten müssen, welche Behördenfälle es bereits gab und wie die Auswahl gelingt.
Key Takeaways
- Gesundheitsdaten sind besondere Kategorien nach Art. 9 DSGVO — die Verarbeitung braucht eine gesonderte Erlaubnis, meist § 22 BDSG oder Einwilligung.
- Zusätzlich gilt das Berufsgeheimnis (§ 203 StGB) — auch gegenüber IT-Dienstleistern ohne saubere Absicherung.
- Für viele Praxis-Verarbeitungen ist eine DSFA Pflicht (DSK-Muss-Liste, z. B. große Gesundheitsdatenmengen, neue Technologien wie TI/ePA).
- Labore, PVS-Anbieter und Abrechnungsstellen sind Auftragsverarbeiter und brauchen jeweils eine AVV nach Art. 28.
- Landesbehörden haben Gesundheitseinrichtungen bereits mit sechs- und siebenstelligen Bußgeldern belegt.
Warum Gesundheitsdaten Sondersoftware verlangen
Gesundheitsdaten stehen unter dem strengsten Schutzregime der Datenschutz-Grundverordnung. Art. 9 Abs. 1 verbietet ihre Verarbeitung grundsätzlich; erlaubt ist sie nur über eine der Ausnahmen des Art. 9 Abs. 2 — für Praxen typischerweise die Gesundheitsvorsorge und Behandlung (Buchstabe h) in Verbindung mit § 22 BDSG, oder die ausdrückliche Einwilligung des Patienten. Jede Verarbeitung muss dieser Logik folgen, und das Verzeichnis muss die Rechtsgrundlage pro Verarbeitung ausweisen.
Hinzu kommt das Berufsgeheimnis: § 203 StGB stellt die Offenbarung von Patientengeheimnissen unter Strafe. Wie bei Kanzleien bedeutet das, dass IT-Dienstleister nur unter strengen Bedingungen eingebunden werden dürfen — mit Verschwiegenheitsverpflichtung, begrenztem Zugriff und Kontrollrechten. Software, deren Anbieter unkontrolliert auf Patientendaten zugreifen kann, ist ein § 203-Risiko. Die branchenspezifischen Grundlagen vertieft unser Leitfaden zur DSGVO in der Arztpraxis; für stationäre Einrichtungen der Beitrag zu Krankenhäusern und Pflegeeinrichtungen.
Die DSFA-Pflicht im Gesundheitswesen
Viele Praxis-Verarbeitungen lösen eine Pflicht zur Datenschutz-Folgenabschätzung aus. Maßgeblich ist die Muss-Liste der Datenschutzkonferenz (DSK), die für die umfangreiche Verarbeitung von Gesundheitsdaten und für den Einsatz neuer Technologien regelmäßig eine DSFA verlangt. Konkret relevant sind unter anderem: die Anbindung an die Telematikinfrastruktur (TI) und die elektronische Patientenakte (ePA), der Einsatz von KI-gestützter Diagnostik und große Terminplattformen mit Gesundheitsbezug.
Gute Software erkennt diese Trigger und führt durch die Schwellwertanalyse. Eine strukturierte Vorlage und den Ablauf zeigt unsere DSFA-Vorlage zur Datenschutz-Folgenabschätzung. Der Fehler vieler Praxen: Sie führen die TI- oder ePA-Anbindung ein, ohne die DSFA zu dokumentieren — und stehen in einer Prüfung ohne Nachweis da.
Die Vergleichskriterien für Praxen
| Kriterium | Warum bei Praxen entscheidend |
|---|---|
| Art.-9-Logik im VVT | Rechtsgrundlage pro Gesundheitsdaten-Verarbeitung |
| DSFA-Trigger | DSK-Muss-Liste für TI, ePA, KI-Diagnostik |
| Einwilligungsverwaltung | Patienteneinwilligungen dokumentieren und widerrufbar halten |
| AVV-Register | Labore, PVS-Anbieter, Abrechnung als Auftragsverarbeiter |
| § 203-taugliches Zugriffskonzept | Kein Anbieterzugriff auf Patientendaten im Klartext |
| EU-Hosting | Kein Drittlandzugriff auf Gesundheitsdaten |
| Löschkonzept | Aufbewahrungsfristen (Patientenakte i. d. R. 10 Jahre, § 630f BGB) |
| Deutsche Lokalisierung | Landesbehörde und Kammer lesen Deutsch |
Der kritische Punkt ist das AVV-Register. Eine durchschnittliche Praxis hat mehr Auftragsverarbeiter, als sie glaubt: das Praxisverwaltungssystem, der Laborverbund, die privatärztliche Verrechnungsstelle, der IT-Dienstleister, der Terminplattform-Anbieter. Jeder braucht eine AVV nach Art. 28. Software, die dieses Register zentral führt und an Fristen erinnert, verhindert die häufigste Prüflücke.
Behördenfälle im Gesundheitswesen
Aufsichtsbehörden nehmen den Gesundheitssektor ernst. Der LfDI Baden-Württemberg verhängte 2020 ein Bußgeld von 1,24 Mio. € gegen die AOK Baden-Württemberg, weil Gesundheits- und Kontaktdaten aus Gewinnspielen ohne wirksame Einwilligung für Marketing genutzt wurden. Der LfDI Rheinland-Pfalz belegte 2019 ein Krankenhaus mit 105.000 €, nachdem Patientenverwechslungen bei der Aufnahme auf strukturelle Datenschutzmängel zurückzuführen waren. Solche Fälle veröffentlichen die Behörden in ihren Tätigkeitsberichten und der BfDI im Bundesbericht.
Die Lehre für Praxen: Nicht die spektakuläre Datenpanne ist das typische Risiko, sondern der strukturelle Mangel — fehlende Einwilligung, fehlendes Verzeichnis, fehlende DSFA. Genau diese Nachweise hält eine passende Plattform vor. Hinzu kommt die zivilrechtliche Dimension: Patienten machen bei Datenschutzverstößen zunehmend Schadensersatz nach Art. 82 DSGVO geltend, und deutsche Gerichte sprechen bei sensiblen Gesundheitsdaten vergleichsweise bereitwillig immateriellen Schadensersatz zu. Eine unvollständige oder verspätete Auskunft an einen Patienten kann so unmittelbar zu einer Forderung führen — ein weiterer Grund, Betroffenenanfragen fristsicher und vollständig zu bearbeiten. Für den ambulanten Pflegebereich mit ähnlichen Anforderungen siehe unseren Beitrag zu ambulanten Pflegediensten.
Einwilligung und Schweigepflichtentbindung
Ein Bereich, in dem Praxen regelmäßig stolpern, ist die Einwilligung. Sie erfüllt im Gesundheitswesen zwei getrennte Funktionen, die oft verwechselt werden. Erstens die datenschutzrechtliche Einwilligung nach Art. 9 Abs. 2 Buchstabe a DSGVO, die eine der möglichen Erlaubnisgrundlagen für die Verarbeitung von Gesundheitsdaten ist. Zweitens die Schweigepflichtentbindung, mit der ein Patient die Weitergabe von Informationen an Dritte — etwa an einen Facharzt, ein Labor oder eine Versicherung — erlaubt und den Arzt insoweit von § 203 StGB freistellt.
Beide müssen dokumentiert, jederzeit auffindbar und für die datenschutzrechtliche Variante widerrufbar sein. Eine Praxis, die Einwilligungen nur auf Papier in der Akte führt, kann in einer Prüfung oder bei einem Widerruf nicht schnell nachweisen, auf welcher Grundlage welche Weitergabe erfolgte. Software, die Einwilligungen und Entbindungen zentral verwaltet und mit der jeweiligen Verarbeitung verknüpft, schließt diese Lücke. Die Orientierungshilfen der Aufsichtsbehörden — gebündelt über den Europäischen Datenschutzausschuss (EDPB) und die deutsche Datenschutzkonferenz — konkretisieren die Anforderungen an eine wirksame Einwilligung im Gesundheitskontext.
Der dritte Baustein ist das Löschkonzept. Patientenakten unterliegen nach § 630f BGB einer Aufbewahrungsfrist von in der Regel zehn Jahren, in bestimmten Fällen länger. Diese gesetzliche Pflicht ist die Rechtsgrundlage für die weitere Speicherung und muss im Verzeichnis ausgewiesen sein — sonst wirkt die lange Aufbewahrung wie ein Verstoß gegen die Speicherbegrenzung, obwohl sie gesetzlich geboten ist.
TI, ePA und die neue Risikolage
Die Digitalisierung des Gesundheitswesens verschärft die Datenschutzanforderungen an Praxen. Die Anbindung an die Telematikinfrastruktur (TI) ist verpflichtend, die elektronische Patientenakte (ePA) ist mit dem Opt-out-Modell in der Breite angekommen, und immer mehr Praxen setzen digitale Terminplattformen, Videosprechstunden und KI-gestützte Anamnese ein. Jede dieser Technologien verarbeitet Gesundheitsdaten und verändert die Risikolage.
Für die Software bedeutet das zwei Dinge. Erstens muss das Verzeichnis diese neuen Verarbeitungen erfassen — eine Praxis, deren Verzeichnis die ePA-Nutzung oder die Videosprechstunde nicht abbildet, ist nicht aktuell. Zweitens lösen diese Technologien oft eine DSFA-Pflicht aus, weil sie neue Verarbeitungsformen mit hohem Risiko für sensible Daten darstellen. Wichtig ist dabei der Zuschnitt der DSFA: Sie muss den konkreten Einsatz in der Praxis bewerten — welche Datenkategorien über die TI fließen, wer in der ePA auf welche Dokumente zugreift und welche Risiken die Anbindung für die Vertraulichkeit birgt —, nicht nur pauschal auf die Systemdokumentation der gematik verweisen. Wer eine Videosprechstunden-Plattform einführt, ohne die Folgenabschätzung zu dokumentieren, hat eine Lücke, die in jeder Prüfung auffällt.
Der praktische Rat: Behandeln Sie jede neue digitale Anwendung im Praxisalltag wie ein kleines Compliance-Projekt. Erfassen Sie sie im Verzeichnis, prüfen Sie den DSFA-Trigger, schließen Sie die AVV mit dem Anbieter und dokumentieren Sie die Rechtsgrundlage. Eine Plattform, die diesen Ablauf standardisiert, macht aus einer wiederkehrenden Fehlerquelle einen Routineprozess — und genau das trennt eine gesundheitstaugliche Datenschutzsoftware von einem generischen Tool. Für vernetzte Einrichtungen mit stationärem Bezug gelten die verschärften Anforderungen aus unserem Beitrag zu Krankenhäusern und Pflegeeinrichtungen entsprechend.
Der Markt für Datenschutzsoftware ist breit, aber nur wenige Werkzeuge sind für Gesundheitsdaten optimiert. Der vollständige Anbietervergleich — von deutschen Anbietern über EU-Plattformen wie Legiscope bis zu den Enterprise-Suiten — steht im DSGVO-Software-Vergleich. Für Praxen gilt bei der Auswahl besonders: Testen Sie in der Demo, ob das Werkzeug die Art.-9-Rechtsgrundlage im Verzeichnis abbildet, ob es die DSFA für TI/ePA kennt und ob der AVV § 203 StGB adressiert. Ein Tool, das diese drei Fragen nicht beantwortet, ist für eine Praxis ungeeignet — unabhängig vom Preis.
FAQ
Braucht jede Arztpraxis eine DSFA?
Nicht für jede Verarbeitung, aber für viele. Die DSK-Muss-Liste verlangt eine Datenschutz-Folgenabschätzung unter anderem bei umfangreicher Verarbeitung von Gesundheitsdaten und beim Einsatz neuer Technologien — etwa der Anbindung an die Telematikinfrastruktur, die ePA oder KI-gestützte Diagnostik. Diese DSFA muss dokumentiert vorliegen, bevor die Verarbeitung startet.
Sind Labore und PVS-Anbieter Auftragsverarbeiter?
In der Regel ja. Praxisverwaltungssystem-Anbieter, Labore und privatärztliche Verrechnungsstellen verarbeiten Patientendaten im Auftrag der Praxis und brauchen jeweils eine AVV nach Art. 28 DSGVO. Ein zentrales AVV-Register ist deshalb Pflicht — die fehlende AVV ist eine der häufigsten Prüflücken.
Darf eine Praxis Cloud-Software für Patientendaten nutzen?
Ja, wenn das Berufsgeheimnis gewahrt bleibt. § 203 StGB verlangt, dass der Anbieter zur Verschwiegenheit verpflichtet ist, der Zugriff auf das Notwendige begrenzt wird und die Praxis Kontrollrechte hat. EU-Hosting ohne Drittlandzugriff und ein schlüsselgetrenntes Zugriffskonzept sind praktische Mindestanforderungen.
Was kostet DSGVO-Software für eine Arztpraxis?
Für eine typische Praxis oder ein kleines MVZ liegt eine EU-Plattform meist im niedrigen vierstelligen Bereich pro Jahr, abhängig von der Zahl der Verarbeitungen und Auftragsverarbeiter. Entscheidend ist nicht der Preis, sondern ob das Werkzeug die Art.-9-Logik, die DSFA-Trigger und den § 203-tauglichen AVV abdeckt.
Fazit
Für Arztpraxen ist DSGVO-Software eine Frage der Spezialisierung: Sie muss Gesundheitsdaten der besonderen Kategorie nach Art. 9 im Verzeichnis abbilden, die DSFA für TI und ePA kennen, Patienteneinwilligungen dokumentieren und die vielen Auftragsverarbeiter mit § 203-tauglichen Verträgen einbinden. Behördenfälle wie die AOK-Sanktion über 1,24 Mio. € zeigen, dass strukturelle Mängel teuer werden. Wählen Sie ein Werkzeug, das diese Punkte nachweislich abdeckt — der vollständige Vergleich steht im DSGVO-Software-Vergleich, die branchenspezifische Vertiefung im Leitfaden zur DSGVO in der Arztpraxis.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo