Datenschutz in der Arztpraxis: Pflichten aus DSGVO und BDSG im Überblick (inkl. Anbieter und Checkliste)

Patientendaten umfassen alle Informationen, die sich auf eine identifizierbare Person und ihren Gesundheitszustand beziehen. Die DSGVO stuft Gesundheitsdaten gemäß Art. 9 Abs. 1 als besondere Kategorie personenbezogener Daten ein, deren Verarbeitung grundsätzlich untersagt ist. Zulässig ist sie nur, wenn eine der in Art. 9 Abs. 2 DSGVO geregelten Ausnahmen greift. Für Arztpraxen ist dabei in der Regel Art. 9 Abs. 2 lit. h DSGVO maßgeblich: Dieser Paragraph erlaubt die Verarbeitung, soweit sie für die medizinische Diagnose und Behandlung erforderlich ist.

Konkret gehören zu den Patientendaten in Ihrer Praxis:

• Stammdaten: Name, Adresse, Geburtsdatum, Versicherungsnummer
• Befunddaten: Diagnosen, Laborwerte, Röntgenaufnahmen, Arztbriefe
• Anamnesedaten: Informationen, die der Patient im Gespräch offenbart
• Abrechnungsdaten: Leistungsziffern, behandelnder Arzt, Behandlungsdatum

Der Datenschutz in der Arztpraxis umfasst mehrere Pflichtbereiche, die gesetzlich verbindlich sind. Nachfolgend finden Sie die fünf zentralen Anforderungen, die jede Praxis erfüllen muss.

Jede Arztpraxis muss nach Art. 30 DSGVO ein Verzeichnis aller Tätigkeiten führen, bei denen personenbezogene Daten verarbeitet werden. Dieser Paragraph verpflichtet Verantwortliche dazu, schriftlich festzuhalten, zu welchem Zweck Daten verarbeitet werden, wer Zugriff darauf hat und wie lange die Daten aufbewahrt werden. Eine Ausnahme für kleine Praxen gibt es nicht, da Arztpraxen stets besondere Datenkategorien nach Art. 9 DSGVO verarbeiten.
Das Verzeichnis muss mindestens die folgenden Angaben enthalten:

• Zweck der Verarbeitung
• Beschreibung der betroffenen Personengruppen
• Empfänger der Daten
• Aufbewahrungsfristen
• Übersicht über die technischen und organisatorischen Schutzmaßnahmen

Sobald Sie erstmals Daten eines Patienten erheben, müssen Sie ihn nach Art. 13 DSGVO über die Datenverarbeitung informieren. Dieser Paragraph regelt, dass Betroffene zum Zeitpunkt der Datenerhebung Auskunft über Verarbeitungszweck, Rechtsgrundlage, Speicherdauer und ihre Betroffenenrechte erhalten müssen.

Die DSGVO schreibt hierzu keine bestimmte Form vor: Ein Aushang im Wartezimmer oder ein ausliegendes Informationsblatt sind theoretisch ebenso zulässig wie ein gesondertes Formular bei der Patientenaufnahme. Aus Gründen der Beweislast empfiehlt es sich jedoch, die Information durch ein unterschriebenes Formular bei der Erstaufnahme zu dokumentieren, insbesondere bei der Weitergabe von Daten an externe Abrechnungsstellen.

Art. 32 DSGVO verpflichtet Sie und Ihre Arztpraxis, geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der Patientendaten zu ergreifen. Dieser Artikel besagt, dass Verantwortliche unter Berücksichtigung des Risikos geeignete Maßnahmen treffen müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Konkret gilt für den Praxisalltag:

• Zugriffsberechtigungen: Nur autorisierte Mitarbeiter erhalten Zugriff auf Patientenakten und Praxissoftware.
• Verschlüsselung: Patientendaten dürfen niemals unverschlüsselt per E-Mail versendet werden.
• Bildschirmschutz: Computer müssen sich automatisch nach kurzer Inaktivität sperren; Bildschirme sind so zu positionieren, dass Dritte sie nicht einsehen können.
• Empfangsbereich: Patientengespräche finden diskret statt; offene Patientenakten dürfen nicht für Dritte einsehbar hinter dem Tresen liegen.
• Datensicherung: Regelmäßige Backups sichern die Verfügbarkeit der Daten; Wiederherstellungsprozesse sind zu dokumentieren.
• Aktenvernichtung: Dokumente sind mit einem Aktenvernichter der Sicherheitsstufe P-4 (mindestens DIN 66399) zu vernichten.

Immer wenn ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, ist nach Art. 28 Abs. 3 DSGVO ein schriftlicher Auftragsverarbeitungsvertrag (AVV) abzuschließen. Dieser muss Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie die Pflichten und Rechte des Verantwortlichen regeln. Konkret betrifft das:

• Praxisverwaltungssoftware in der Cloud
• IT-Dienstleister
• externe Abrechnungsstellen
• Anbieter von Aktenvernichtung

Sicherheitsvorfälle, bei denen Patientendaten unbefugt offengelegt, verloren oder verändert werden, sind nach Art. 33 DSGVO der zuständigen Landesdatenschutzbehörde zu melden. Dieser Artikel verpflichtet Verantwortliche, eine Datenpanne unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden zu melden. Besteht für Patienten ein hohes Risiko, sind auch diese nach Art. 34 DSGVO direkt zu informieren.

Typische Datenpannen in Praxen sind:

• Hackerangriffe auf die Praxissoftware
• Diebstahl von Geräten mit unverschlüsselten Patientendaten
• versehentlicher Versand von Befunden an den falschen Empfänger

Die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) richtet sich nach § 38 Abs. 1 BDSG sowie Art. 37 DSGVO. Für Arztpraxen gilt die Pflicht in folgenden Fällen:

• Ab 20 Mitarbeitern: Sind mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt, ist ein Datenschutzbeauftragter zu benennen. Dazu zählen alle Mitarbeiter mit Zugriff auf die Praxissoftware, einschließlich Praxisinhaber, Arzthelfern und Auszubildenden.
• Datenschutz-Folgenabschätzung erforderlich: Auch unabhängig von der Mitarbeiterzahl ist ein DSB Pflicht, wenn eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO notwendig wird. Bei der Datenschutz-Folgenabschätzung handelt es sich um eine strukturierte Risikoanalyse, mit der Sie vorab prüfen, ob eine geplante Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen birgt. Eine DSFA könnte z. B. bei der Einführung von KI-gestützten Diagnosesystemen oder umfangreichen Telemedizin-Angeboten erforderlich werden.

Der Datenschutzbeauftragte hat in der Arztpraxis folgende Kernaufgaben:

• Beratung der Praxisleitung und der Mitarbeiter in datenschutzrechtlichen Fragen
• Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften
• Schulung und Sensibilisierung der Mitarbeiter
• Zusammenarbeit mit der zuständigen Datenschutzaufsichtsbehörde
• Beratung bei der Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO

Der Datenschutzbeauftragte kann ein fortgebildeter Praxismitarbeiter sein oder ein externer Dienstleister. Die folgende Übersicht zeigt die Vor- und Nachteile beider Option:

Die Weitergabe von Patientendaten an eine externe privatärztliche Abrechnungsstelle ist datenschutzrechtlich besonders sensibel. Denn wenn Patienten ihre Daten zur Abrechnung an ihren Arzt weitergeben, können sie berechtigterweise zunächst davon ausgehen, dass diese Daten einzig bei ihrem behandelnden Arzt verbleiben und nicht an Dritte weitergegeben werden.

Der Landesbeauftragte für den Datenschutz Baden-Württemberg vertritt die Auffassung, dass die Weitergabe an eine private Abrechnungsstelle vom Behandlungsvertrag nicht abgedeckt ist und daher eine gesonderte Einwilligung des Patienten erforderlich ist. Auch das Amtsgericht Pforzheim verhängte 2022 gegen eine Logopädin 1.500 Euro Schadensersatz, weil Daten eines nicht einwilligenden Angehörigen an ein Abrechnungszentrum weitergegeben worden waren (Az.: 2 C 381/21, Urteil vom 27.01.2022). Die exakte Rechtslage ist bundesweit jedoch nicht abschließend geklärt.

Für die Zusammenarbeit mit externen Abrechnungsstellen sind folgende Datenschutzpunkte besonders relevant:

• Schweigepflichtentbindungs- und Einwilligungserklärung: Holen Sie bei der Patientenaufnahme eine schriftliche Einwilligung für die Datenweitergabe an die Abrechnungsstelle ein. Dies ist empfehlenswert, auch wenn die DSGVO keine bestimmte Form vorschreibt, da Sie im Streitfall die Beweislast tragen.
• Auftragsverarbeitungsvertrag (AVV): Schließen Sie mit Ihrer externen Abrechnungsstelle einen AVV nach Art. 28 DSGVO ab. Dieser wird von den Abrechnungsstellen in der Regel unkompliziert zur Verfügung gestellt.
• Datensparsamkeit: Geben Sie nur die Daten weiter, die für die Abrechnung tatsächlich erforderlich sind.
• ISO/IEC 27001-Zertifizierung: Prüfen Sie, ob Ihre Abrechnungsstelle über eine aktuelle Zertifizierung nach ISO/IEC 27001 verfügt. Diese bestätigt, dass das Informationssicherheitsmanagementsystem der Stelle geprüft und anerkannt ist.

Möchten Sie in Ihrer Praxis Kameras installieren, gelten strenge datenschutzrechtliche Anforderungen. Videoüberwachung ist nach Art. 6 Abs. 1 lit. f DSGVO in der Regel nur außerhalb der Öffnungszeiten zulässig. Außerdem muss ein berechtigtes Interesse bestehen (z. B. Schutz vor Einbruch oder Vandalismus), welches die Grundrechte der gefilmten Personen überwiegt.

Für den Praxisalltag bedeutet das konkret:

• Keine Videoüberwachung während der Öffnungszeiten: Während der Öffnungszeiten ist die Videoüberwachung in öffentlich zugänglichen Bereichen der Praxis (z. B. Wartezimmer, Flur, Empfang) grundsätzlich unzulässig.
• Außerhalb der Öffnungszeiten: Videoüberwachung zum Einbruchschutz kann zulässig sein, wenn ein konkretes berechtigtes Interesse vorliegt (z. B. nachgewiesene frühere Einbrüche), keine lesbaren Patientendaten oder Bildschirminhalte erfasst werden und die Speicherdauer auf maximal 48 Stunden begrenzt ist.
• Zulässige Ausnahmen: In bestimmten Fachbereichen kann eine Videoüberwachung medizinisch geboten und damit zulässig sein. Dies kann aus strahlenschutztechnischen Gründen z. B. in der Radiologie der Fall sein.
• Hinweispflicht: Die gefilmten Personen müssen durch gut sichtbare Hinweisschilder darüber informiert werden, dass eine Videoüberwachung stattfindet, wer verantwortlich ist und wie lange die Aufnahmen gespeichert werden.
• Speicherdauer: Aufnahmen sollten in der Regel nach 48 bis 72 Stunden gelöscht werden, sofern kein konkreter Vorfall die längere Aufbewahrung rechtfertigt.
• AVV mit dem Kameraanbieter: Verarbeitet ein externer Dienstleister (z. B. ein Sicherheitsunternehmen) die Aufnahmen, ist ein AVV nach Art. 28 DSGVO abzuschließen.

Holen Sie im Zweifel eine datenschutzrechtliche Einschätzung ein, entweder bei Ihrem Datenschutzbeauftragten oder einem Fachanwalt für Datenschutzrecht. In unserem Dienstleister-Verzeichnis finden Sie ausgewählte Datenschutzbeauftragte für Ärzte.

Bieten Sie Ihren Patienten Videosprechstunden an, gelten neben den allgemeinen DSGVO-Anforderungen besondere technische und vertragliche Pflichten. Da bei Videokonsultationen Gesundheitsdaten in Echtzeit übertragen werden, sind die Schutzanforderungen besonders hoch.

Folgende Punkte sind zu beachten:

• Zertifizierte Anbieter nutzen: Die Kassenärztliche Bundesvereinigung (KBV) hat eine Liste zugelassener Videosprechstunden-Anbieter veröffentlicht, die bestimmte Datenschutz- und IT-Sicherheitsanforderungen erfüllen. Nur diese dürfen genutzt werden, wenn eine anschließende Abrechnung mit der Kassenärztlichen Vereinigung (KV) stattfinden soll.
• AVV abschließen: Mit dem Videoplattform-Anbieter ist ein AVV nach Art. 28 DSGVO abzuschließen, sofern der Anbieter auf Patientendaten zugreifen kann.
• Ende-zu-Ende-Verschlüsselung: Die Übertragung muss verschlüsselt erfolgen. Herkömmliche Videokonferenz-Tools (z. B. Zoom oder Teams in der Standard-Version) sind für Arztgespräche nicht zulässig.
• Einwilligung dokumentieren: Holen Sie die Einwilligung des Patienten zur Videosprechstunde schriftlich oder nachweisbar digital ein und dokumentieren Sie diese.
• Aufzeichnungsverbot: Videosprechstunden dürfen grundsätzlich nicht aufgezeichnet werden, weder durch die Praxis noch durch den Patienten. Eine Ausnahme kann lediglich gemacht werden, wenn beide Seiten ausdrücklich zustimmen.

Viele Patientendaten müssen 10, teilweise sogar 40 Jahre oder dauerhaft aufbewahrt werden. Datenschutz und Aufbewahrungspflicht stehen hier in einem Spannungsverhältnis: Theoretisch gilt das Recht auf Löschung nach Art. 17 DSGVO. In der Praxis stehen diesem Recht jedoch die gesetzlich vorgeschriebenen Aufbewahrungsfristen entgegen.

Nach Ablauf der Aufbewahrungsfrist sind die Unterlagen datenschutzkonform zu vernichten. Für Papierakten ist ein Aktenvernichter der Sicherheitsstufe mindestens P-4 nach DIN 66399 einzusetzen. Digitale Daten sind so zu löschen und Speichermedien so zu vernichten, dass eine Wiederherstellung ausgeschlossen ist.

Betreiben Sie eine Website für Ihre Praxis, sind Sie nach Art. 13 DSGVO verpflichtet, eine vollständige Datenschutzerklärung bereitzustellen. Sie muss mindestens folgende Informationen enthalten:

• Name und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden)
• verwendete Cookies und Tracking-Tools
• Zwecke und Rechtsgrundlagen jeder Datenverarbeitung
• Rechte der Nutzer

Beachten Sie, dass es sich bei Online-Terminbuchungssystemen, eingebetteten Kartendiensten oder Kontaktformularen um eigenständige Verarbeitungen handelt, die in der Datenschutzerklärung gesondert ausgewiesen werden müssen. Prüfen Sie bei Terminbuchungstools, ob der Anbieter einen AVV anbietet und Daten ausschließlich innerhalb des EU/EWR-Raums verarbeitet.

Der Datenschutz in der Arztpraxis ist kein einmaliges Projekt, sondern eine laufende Aufgabe. Die Grundlage bildet ein vollständiges Verarbeitungsverzeichnis, das Sie regelmäßig aktualisieren. Darauf aufbauend sind technische und organisatorische Maßnahmen umzusetzen, Mitarbeiter regelmäßig zu schulen und für jeden externen Dienstleister ein AVV abzuschließen. Bei Unsicherheiten zur Pflicht eines Datenschutzbeauftragten oder zur Einwilligungspraxis bei externen Abrechnungsstellen empfiehlt sich die Konsultation eines spezialisierten Datenschutzberaters.