DSGVO im Gesundheitswesen: Was Arztpraxen und Kliniken beachten müssen
Gesundheitsdaten gehören zu den sensibelsten Daten der DSGVO. Erfahre, welche Pflichten Arztpraxen, Kliniken und Therapeuten bei Patientendaten, Online-Terminbuchung und Praxis-Websites haben.
Gesundheitsdaten sind nach Art. 9 Abs. 1 DSGVO “besondere Kategorien personenbezogener Daten” und genießen den höchsten Schutzstatus. Für Arztpraxen, Kliniken, Therapeuten und andere Akteure im Gesundheitswesen bedeutet das: Die allgemeinen DSGVO-Anforderungen gelten nicht nur — sie sind verschärft. Gleichzeitig digitalisiert sich das Gesundheitswesen rasant: Online-Terminbuchung, Telemedizin, elektronische Patientenakte (ePA) und Cloud-basierte Praxissoftware erzeugen neue Datenschutzrisiken.
Dieser Artikel erklärt systematisch, welche DSGVO-Pflichten im Gesundheitswesen gelten, welche Rechtsgrundlagen für die Verarbeitung von Patientendaten existieren und was Praxen bei ihrer Website beachten müssen.
Gesundheitsdaten nach Art. 9 DSGVO
Art. 9 Abs. 1 DSGVO definiert Gesundheitsdaten als personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen. Dazu gehören:
- Diagnosen und Befunde
- Laborergebnisse und Bildgebung
- Medikamentenpläne und Rezepte
- Therapieverläufe und Behandlungsdokumentation
- Informationen über Behinderungen oder chronische Erkrankungen
- Genetische und biometrische Daten
- Versicherungsstatus und Abrechnungsdaten mit Gesundheitsbezug
Grundsatz: Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Sie ist nur zulässig, wenn eine der Ausnahmen in Art. 9 Abs. 2 greift.
Rechtsgrundlagen für die Verarbeitung in der Arztpraxis
| Verarbeitung | Rechtsgrundlage | Vorschrift |
|---|---|---|
| Behandlung und Dokumentation | Behandlungsvertrag (Art. 9 Abs. 2 lit. h + Abs. 3 DSGVO, ss 630a ff. BGB) | Art. 6 Abs. 1 lit. b i.V.m. Art. 9 Abs. 2 lit. h |
| Kassenabrechnung | Gesetzliche Verpflichtung | Art. 6 Abs. 1 lit. c i.V.m. ss 295 SGB V |
| Arbeitsunfähigkeitsbescheinigung | Gesetzliche Verpflichtung | Art. 6 Abs. 1 lit. c i.V.m. ss 73 Abs. 2 SGB V |
| Meldepflicht (Infektionsschutz) | Gesetzliche Verpflichtung | Art. 6 Abs. 1 lit. c i.V.m. ss 6, 7 IfSG |
| Marketing und Newsletter | Einwilligung | Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a |
| Online-Terminbuchung | Einwilligung oder Vertrag | Art. 6 Abs. 1 lit. a oder b |
| Überweisung an Facharzt | Einwilligung des Patienten | Art. 9 Abs. 2 lit. a |
Wichtig: Der Behandlungsvertrag nach ss 630a BGB ist die primäre Rechtsgrundlage für die medizinische Datenverarbeitung. Eine separate Einwilligung in die Datenverarbeitung ist für die Behandlung selbst in der Regel nicht erforderlich. Erst wenn Daten über den Behandlungszweck hinaus verarbeitet werden — etwa für Marketing oder Forschung — braucht es eine ausdrückliche Einwilligung.
Aufbewahrungsfristen im Gesundheitswesen
Die Dokumentationspflicht nach ss 630f BGB und die berufsrechtlichen Vorgaben der Musterberufsordnung für Aerzte (MBO-Ae) bestimmen, wie lange Patientendaten aufbewahrt werden müssen:
| Dokumentenart | Frist | Rechtsgrundlage |
|---|---|---|
| Patientenakte (allgemein) | 10 Jahre nach Abschluss der Behandlung | ss 630f Abs. 3 BGB, ss 10 Abs. 3 MBO-Ae |
| Röntgenaufnahmen | 10 Jahre nach letzter Aufnahme | ss 28 Abs. 3 RoeV |
| Strahlentherapie-Dokumentation | 30 Jahre | ss 85 StrlSchV |
| Arbeitsmedizinische Vorsorge | 40 Jahre | ss 43 Abs. 5 ArbMedVV (bei krebserzeugenden Stoffen) |
| Abrechnungsunterlagen (Kasse) | 10 Jahre | ss 147 AO |
| Transfusionsprotokolle | 30 Jahre | ss 14 Abs. 3 TFG |
Praxistipp: Nach Ablauf der Aufbewahrungsfrist besteht eine Löschpflicht (Art. 17 DSGVO). Viele Praxen vergessen das systematische Löschen. Ein dokumentiertes Löschkonzept ist zwingend erforderlich.
Digitale Patientenakte und Praxissoftware
Anforderungen an Praxisverwaltungssysteme (PVS)
Praxissoftware wie CGM MEDISTAR, medatixx oder Dampsoft verarbeitet den gesamten Patientenstamm. DSGVO-Anforderungen:
- Verschlüsselung: Patientendaten müssen verschlüsselt gespeichert werden (Art. 32 Abs. 1 lit. a DSGVO)
- Zugriffssteuerung: Rollenbasiertes Berechtigungskonzept — nicht jede MFA muss auf alle Patientendaten zugreifen können
- Protokollierung: Zugriffe auf Patientenakten müssen nachvollziehbar protokolliert werden
- Backup: Regelmäßige, verschlüsselte Datensicherung an einem sicheren Ort
Cloud-basierte Praxissoftware
Cloud-PVS-Anbieter verarbeiten Patientendaten als Auftragsverarbeiter. Hier gelten besonders strenge Anforderungen:
- AVV nach Art. 28 DSGVO ist Pflicht
- Serverstandort: Muss im EWR liegen (keine US-Cloud ohne zusätzliche Garantien)
- Zertifizierungen: ISO 27001 und C5-Testat des BSI empfohlen
- Datenportabilität: Wechsel des Anbieters muss möglich sein (Art. 20 DSGVO)
Online-Terminbuchung: Doctolib, Jameda & Co.
Online-Terminbuchungsportale verarbeiten mindestens den Namen, die Kontaktdaten und den Behandlungsgrund des Patienten. Datenschutzrechtlich gibt es mehrere Problemfelder:
AVV-Pflicht
Doctolib, Jameda und andere Portale sind Auftragsverarbeiter gemäß Art. 28 DSGVO. Du als Praxisinhaber bist der Verantwortliche. Ein AVV muss vor Beginn der Nutzung abgeschlossen sein.
Datenminimierung
Das Buchungsformular sollte nur die Daten abfragen, die für die Terminbuchung nötig sind:
- Name und Kontaktdaten (Telefon oder E-Mail)
- Gewünschter Termin
- Behandlungsgrund (optional, Freitext — keine Pflichtfelder für Diagnosen)
Keine detaillierten Gesundheitsinformationen im Buchungsformular abfragen. Das Behandlungsanliegen sollte nur als grobe Kategorie wählbar sein (“Vorsorge”, “Akuttermin”, “Beratung”).
Datenschutzerklärung anpassen
Jeder eingesetzte Terminbuchungsdienst muss in der Datenschutzerklärung der Praxis-Website erwähnt werden, inklusive Rechtsgrundlage, übermittelter Daten und Speicherdauer.
Telemedizin und Videosprechstunde
Seit der COVID-19-Pandemie sind Videosprechstunden Teil der Regelversorgung. Die KBV stellt technische Anforderungen, die gleichzeitig DSGVO-Vorgaben erfüllen:
- Ende-zu-Ende-Verschlüsselung ist Pflicht (ss 365 Abs. 1 SGB V)
- Zertifizierte Anbieter: Nur von der KBV und GKV-Spitzenverband zertifizierte Dienste verwenden (Liste unter kbv.de)
- Kein Zoom oder Teams: Allgemeine Videokonferenz-Tools sind für Videosprechstunden nicht zulässig (fehlende Zertifizierung, US-Server)
- Aufklärung: Der Patient muss vor der Videosprechstunde über die Datenverarbeitung informiert werden
- Dokumentation: Die Videosprechstunde muss in der Patientenakte dokumentiert werden, die Aufnahme der Sprechstunde ist ohne ausdrückliche Einwilligung unzulässig
Zertifizierte Videosprechstunden-Anbieter (Auswahl)
| Anbieter | Serverstandort | AVV | KBV-zertifiziert |
|---|---|---|---|
| RED medical | Deutschland | Ja | Ja |
| arztkonsultation.de | Deutschland | Ja | Ja |
| Doctolib Video | EU | Ja | Ja |
| TeleClinic | Deutschland | Ja | Ja |
Meldepflicht bei Datenpannen: Die 72-Stunden-Regel
Datenpannen im Gesundheitswesen sind besonders kritisch, weil Gesundheitsdaten betroffen sind. Nach Art. 33 DSGVO muss eine Datenpanne innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, wenn ein Risiko für die betroffenen Personen besteht.
Bei Gesundheitsdaten ist dieses Risiko fast immer gegeben. Typische Datenpannen in Arztpraxen:
- E-Mail mit Patientendaten an falschen Empfänger gesendet
- USB-Stick mit Patientendaten verloren
- Ransomware-Angriff auf das Praxissystem
- Unbefugter Zugriff durch ehemalige Mitarbeiter
- Fax mit Befunden an falsche Nummer
Zusätzlich: Wenn die Datenpanne voraussichtlich ein hohes Risiko für die Betroffenen bedeutet, müssen auch die betroffenen Patienten direkt benachrichtigt werden (Art. 34 DSGVO). Bei Gesundheitsdaten wird ein hohes Risiko von den Aufsichtsbehörden regelmäßig angenommen.
Meldeprozess etablieren
1. Datenpanne erkennen und dokumentieren
2. Risikoeinschaetzung durchfuehren (Art. 33 Abs. 1)
3. Binnen 72 Stunden an Aufsichtsbehoerde melden
4. Bei hohem Risiko: Betroffene Patienten benachrichtigen (Art. 34)
5. Massnahmen zur Behebung und Praevention ergreifen
6. Gesamten Vorgang im internen Verzeichnis dokumentieren (Art. 33 Abs. 5)
Die Praxis-Website: DSGVO-Anforderungen
Die Website der Arztpraxis unterliegt denselben DSGVO-Anforderungen wie jede andere Website — plus erhöhten Anforderungen wegen der Sensibilität des Kontexts.
Cookie-Banner
Auch Praxis-Websites nutzen häufig Dienste, die Cookies setzen oder Daten an Dritte übermitteln:
- Google Maps für die Anfahrt: Überträgt IP-Adressen an Google (USA) — Einwilligung erforderlich oder Bild-Alternative verwenden
- Google Analytics: Nicht notwendig für eine Praxis-Website, aber wenn eingesetzt: Consent erforderlich
- Social-Media-Plugins: Facebook Like-Button, Instagram-Feed — übertragen Daten ohne Consent
- Schriftarten von Google Fonts: Müssen lokal eingebunden werden (LG München I, Az. 3 O 17493/20)
- YouTube-Videos: Nur im erweiterten Datenschutzmodus einbetten (
youtube-nocookie.com)
Ein rechtskonformer Cookie-Banner mit Script-Blocking ist Pflicht, sobald nicht-essentielle Cookies oder Third-Party-Dienste eingesetzt werden.
Kontaktformular und E-Mail
- SSL/TLS-Verschlüsselung für die gesamte Website ist Pflicht (insbesondere für Formulare)
- Datenminimierung: Nur notwendige Felder (Name, E-Mail/Telefon, Nachricht)
- Keine Gesundheitsdaten im Kontaktformular: Patienten sollten im Formular nicht nach Symptomen oder Diagnosen gefragt werden — dafür ist das Kontaktformular nicht sicher genug
- Hinweistext: “Bitte senden Sie keine sensiblen Gesundheitsinformationen über dieses Formular”
- E-Mail-Verschlüsselung: Reguläre E-Mails sind nicht verschlüsselt. Für die Kommunikation von Befunden empfehlen sich sichere Patientenportale oder KIM (Kommunikation im Medizinwesen)
Impressum und Datenschutzerklärung
Die Datenschutzerklärung muss neben den allgemeinen Angaben (Art. 13 DSGVO) auch praxisspezifische Verarbeitungen erwähnen:
- Online-Terminbuchung (Anbieter, Daten, Rechtsgrundlage)
- Kontaktformular und Telefonanfragen
- Eingebettete Dienste (Google Maps, Schriftarten)
- Alle eingesetzten Cookies und deren Zweck
Der Compliso Content-Generator unterstützt bei der Erstellung rechtssicherer Datenschutzerklärungen für Praxis-Websites.
Mitarbeiterschulungen und Vertraulichkeit
Praxismitarbeiter haben Zugang zu hochsensiblen Daten. DSGVO-Anforderungen:
- Verpflichtung auf Vertraulichkeit nach Art. 28 Abs. 3 lit. b DSGVO (schriftlich, bei Eintritt)
- Regelmäßige Schulungen zum Datenschutz (mindestens jährlich empfohlen)
- Belehrung nach ss 203 StGB (ärztliche Schweigepflicht) — gilt auch für nicht-ärztliches Personal
- Clean-Desk-Policy: Keine Patientenakten offen auf dem Empfangstresen
- Bildschirmsperre: Automatische Sperre nach Inaktivität an allen Arbeitsplätzen
- Private Geräte: Klare Regelung zu BYOD (Bring Your Own Device) — im Idealfall: untersagen
Datenschutzbeauftragter in der Arztpraxis
Die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) besteht nach ss 38 BDSG, wenn:
- Mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder
- Eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich ist, oder
- Personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden
Praxisrelevanz: Viele Gemeinschaftspraxen und MVZs überschreiten die 20-Personen-Schwelle. Und: Da Arztpraxen regelmäßig besondere Kategorien von Daten (Gesundheitsdaten, Art. 9 DSGVO) in großem Umfang verarbeiten, kann nach Art. 37 Abs. 1 lit. c DSGVO bereits ab einer geringeren Größe eine DSB-Pflicht bestehen. Die DSK empfiehlt: Im Zweifel einen DSB bestellen.
Praxis-Checkliste: DSGVO in der Arztpraxis
- Verarbeitungsverzeichnis (VVT) für alle Datenverarbeitungen in der Praxis erstellen
- Rechtsgrundlagen für jede Verarbeitung dokumentieren (Behandlungsvertrag, Einwilligung, gesetzliche Pflicht)
- AVV mit allen IT-Dienstleistern, Terminbuchungsportalen und Cloud-Anbietern abschließen
- Löschkonzept mit konkreten Fristen erstellen (10 Jahre Patientenakte, 30 Jahre Strahlentherapie)
- Praxis-Website prüfen: SSL, Cookie-Banner, lokale Schriftarten, Google-Maps-Alternative
- Kontaktformular sichern: Keine Gesundheitsdaten abfragen, SSL Pflicht
- Mitarbeiter auf Vertraulichkeit verpflichten und regelmäßig schulen
- Meldeprozess für Datenpannen (72-Stunden-Frist) etablieren und dokumentieren
- Prüfen, ob DSB-Pflicht besteht (ab 20 Personen oder Umfang der Datenverarbeitung)
- Datenschutzerklärung praxisspezifisch erstellen (Terminbuchung, Kontaktformular, Dienste)
- Videosprechstunden nur über KBV-zertifizierte Anbieter durchführen
- Regelmäßige Website-Scans durchführen (neue Cookies, Third-Party-Requests)
Praxis-Website automatisch prüfen
Viele Datenschutzverstöße auf Praxis-Websites entstehen unbemerkt — durch ein Theme-Update, ein neues WordPress-Plugin oder eine veränderte Einbettung von Google Maps. Der Compliso Scanner prüft deine Praxis-Website automatisch auf 30 DSGVO-relevante Kriterien, darunter externe Schriftarten, fehlende Cookie-Consent-Mechanismen, unsichere Verbindungen und problematische Third-Party-Requests.
Scanne deine Praxis-Website jetzt kostenlos und finde heraus, ob deine Online-Präsenz den erhöhten Datenschutzanforderungen im Gesundheitswesen gerecht wird. Oder registriere dich direkt für die vollständige DSGVO-Toolbox mit Scanner, Cookie-Banner und Content-Generator.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.