Patienten-Datenschutz in Praxen – Praxisorientierter Leitfaden

Patienten-Datenschutz in Praxen – Praxisorientierter Leitfaden

Inhaltsverzeichnis

1. Zusammenfassung und Anwendungsbereich

Der Patienten-Datenschutz ist ein zentraler Pfeiler des ärztlichen Berufsgeheimnisses und des Vertrauensverhältnisses zwischen Arzt und Patient. Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind die Anforderungen an die Verarbeitung von Gesundheitsdaten streng reguliert. Dieser Leitfaden richtet sich an Ärztinnen und Ärzte, Praxismanagerinnen und Praxismanager sowie ambulante Einrichtungen in Deutschland. Er bietet eine praxisnahe Hilfestellung, um den Patienten-Datenschutz gesetzeskonform umzusetzen, Risiken zu minimieren und die Patientensicherheit zu gewährleisten. Der Fokus liegt auf konkreten, umsetzbaren Maßnahmen für den Praxisalltag, von technischen Mindestanforderungen bis hin zu Mustervorlagen für die Patientenkommunikation.

2. Schnellcheck: 10-Schritte-Implementierungsplan für den Patienten-Datenschutz

Für eine schnelle und strukturierte Umsetzung des Datenschutzes in Ihrer Praxis können Sie sich an diesem Plan orientieren. Er hilft Ihnen, die wichtigsten Handlungsfelder zu identifizieren und systematisch abzuarbeiten.

  • Schritt 1: Verantwortlichkeiten festlegen: Benennen Sie eine Person, die für den Patienten-Datenschutz in der Praxis verantwortlich ist (ggf. einen externen Datenschutzbeauftragten bestellen).
  • Schritt 2: Verzeichnis von Verarbeitungstätigkeiten erstellen: Dokumentieren Sie alle Prozesse, bei denen Patientendaten verarbeitet werden (z. B. Terminvergabe, Abrechnung, Behandlung).
  • Schritt 3: Informationspflichten erfüllen: Erstellen Sie einen Aushang oder ein Informationsblatt gemäß Art. 13 DSGVO und händigen Sie es Patienten bei der Aufnahme aus.
  • Schritt 4: Dienstleister prüfen (AVV): Schließen Sie mit allen externen Dienstleistern, die Patientendaten verarbeiten (z. B. IT-Support, Labor, Abrechnungsstelle), einen Auftragsverarbeitungsvertrag (AVV) ab.
  • Schritt 5: Technische Sicherheit gewährleisten: Implementieren Sie grundlegende Schutzmaßnahmen wie Virenschutz, Firewall, regelmäßige Updates und Verschlüsselung.
  • Schritt 6: Zugriffskonzept definieren: Stellen Sie sicher, dass Mitarbeiter nur auf die Daten zugreifen können, die sie für ihre jeweilige Aufgabe benötigen (Need-to-Know-Prinzip).
  • Schritt 7: Mitarbeiter schulen und verpflichten: Führen Sie regelmäßige Datenschutzschulungen durch und verpflichten Sie alle Mitarbeiter schriftlich auf das Datengeheimnis.
  • Schritt 8: Prozesse für Betroffenenrechte schaffen: Legen Sie fest, wie Sie auf Anfragen von Patienten (z. B. auf Auskunft oder Kopie der Akte) reagieren.
  • Schritt 9: Löschkonzept entwickeln: Definieren Sie, wann welche Patientendaten unter Beachtung der gesetzlichen Aufbewahrungsfristen sicher gelöscht oder vernichtet werden.
  • Schritt 10: Notfallplan für Datenpannen erstellen: Bereiten Sie einen Plan vor, was im Falle eines Datenverlustes oder unbefugten Zugriffs zu tun ist (interne Meldung, Meldung an die Behörde).

3. Rechtliche Grundlagen mit Fokus auf Gesundheitsdaten (Art. 9 und Art. 6 DSGVO)

Die Verarbeitung von Patientendaten unterliegt strengen gesetzlichen Regeln. Die zentralen Normen finden sich in der DSGVO.

Besonderer Schutz für Gesundheitsdaten nach Art. 9 DSGVO

Gesundheitsdaten gehören zu den „besonderen Kategorien personenbezogener Daten“ (Art. 9 Abs. 1 DSGVO). Dazu zählen alle Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person beziehen, einschließlich Diagnosen, Laborwerte oder genetische Daten. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine explizite Ausnahme vor. Für Arztpraxen ist die wichtigste Ausnahme Art. 9 Abs. 2 lit. h DSGVO. Diese erlaubt die Verarbeitung für Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheitsbereich auf Grundlage eines Behandlungsvertrages.

Rechtsgrundlagen für die Verarbeitung nach Art. 6 DSGVO

Jede Datenverarbeitung benötigt zusätzlich eine allgemeine Rechtsgrundlage nach Art. 6 DSGVO. In der Arztpraxis sind dies vor allem:

  • Der Behandlungsvertrag (Art. 6 Abs. 1 lit. b DSGVO): Die primäre Rechtsgrundlage für alle Datenverarbeitungen, die direkt mit der Behandlung zusammenhängen (Anamnese, Diagnostik, Therapie, Dokumentation, Abrechnung).
  • Gesetzliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Hierzu gehören beispielsweise die ärztliche Dokumentationspflicht, Meldepflichten nach dem Infektionsschutzgesetz oder Aufbewahrungspflichten.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Eine Einwilligung ist nur dann erforderlich, wenn die Verarbeitung nicht durch den Behandlungsvertrag oder eine gesetzliche Pflicht abgedeckt ist. Typische Beispiele sind die Weitergabe von Daten an nicht-ärztliche Dritte (z. B. für eine private Zusatzversicherung) oder die Teilnahme an einer klinischen Studie.

4. Rechte der Betroffenen in der Patientenversorgung

Patienten haben als „Betroffene“ im Sinne der DSGVO umfassende Rechte. Ihre Praxis muss in der Lage sein, diese Anfragen fristgerecht (in der Regel innerhalb eines Monats) zu bearbeiten.

  • Auskunftsrecht (Art. 15 DSGVO): Patienten können Auskunft darüber verlangen, welche Daten über sie gespeichert sind, zu welchem Zweck und an wen diese weitergegeben wurden.
  • Recht auf Berichtigung (Art. 16 DSGVO): Fehlerhafte Daten (z. B. eine falsche Adresse) müssen unverzüglich korrigiert werden. Subjektive ärztliche Einschätzungen fallen in der Regel nicht hierunter.
  • Recht auf Löschung (Art. 17 DSGVO): Ein Patient kann die Löschung seiner Daten verlangen. Dieses Recht ist jedoch stark durch die gesetzlichen Aufbewahrungsfristen (z. B. 10 Jahre für Behandlungsunterlagen) eingeschränkt.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): In bestimmten Fällen können Patienten verlangen, dass ihre Daten zwar gespeichert, aber nicht weiterverarbeitet werden.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Patienten haben das Recht, eine Kopie ihrer Daten in einem strukturierten, maschinenlesbaren Format zu erhalten, um sie beispielsweise einem anderen Arzt zu übergeben.
  • Widerspruchsrecht (Art. 21 DSGVO): Gegen Verarbeitungen, die auf einem berechtigten Interesse beruhen, kann Widerspruch eingelegt werden. Dies ist im medizinischen Bereich jedoch selten relevant.

5. Praktische Dokumente: Art. 13 Informationspflichten und Mustertexte

Sie sind verpflichtet, Ihre Patienten transparent über die Datenverarbeitung zu informieren. Dies geschieht am besten durch ein Informationsschreiben, das Sie im Wartezimmer aushängen und Neupatienten zur Verfügung stellen.

Inhalte der Patienteninformation nach Art. 13 DSGVO

Ihr Informationsschreiben muss mindestens folgende Punkte enthalten:

  • Name und Kontaktdaten des Verantwortlichen: Name und Adresse Ihrer Praxis.
  • Kontaktdaten des Datenschutzbeauftragten: Falls bestellt, dessen Kontaktdaten.
  • Zwecke und Rechtsgrundlagen der Verarbeitung: Z. B. „Durchführung des Behandlungsvertrages (Art. 9 Abs. 2 lit. h i.V.m. Art. 6 Abs. 1 lit. b DSGVO)“ oder „Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO)“.
  • Empfänger oder Kategorien von Empfängern der Daten: Z. B. Kassenärztliche Vereinigung, Krankenkassen, Labore, mitbehandelnde Ärzte.
  • Dauer der Speicherung: Hinweis auf die gesetzlichen Aufbewahrungsfristen (z. B. 10 Jahre nach § 630f BGB).
  • Hinweis auf die Betroffenenrechte: Eine kurze Erläuterung der Rechte auf Auskunft, Berichtigung, Löschung etc.
  • Hinweis auf das Beschwerderecht: Die Kontaktdaten der zuständigen Datenschutz-Aufsichtsbehörde.

6. Einwilligungen vs. Behandlungsvertrag: Wann welche Rechtsgrundlage?

Ein häufiges Missverständnis betrifft die Notwendigkeit von Einwilligungen. Für die Standardbehandlung ist keine gesonderte datenschutzrechtliche Einwilligung erforderlich, da die Verarbeitung auf dem Behandlungsvertrag beruht. Eine Einwilligung wird erst dann relevant, wenn Daten für Zwecke verarbeitet werden, die darüber hinausgehen.

Faustregel für den Praxisalltag:

  • Keine Einwilligung nötig für: Anamnese, Diagnostik, Therapie, Dokumentation, Abrechnung mit der GKV/PKV, Überweisung an Fachärzte, Kommunikation mit Laboren.
  • Einwilligung erforderlich für: Versand von Newslettern, Teilnahme an Marketingaktionen, Weitergabe von Daten an private Abrechnungsstellen (falls nicht im Behandlungsvertrag geregelt), Nutzung von Patientenfotos für Veröffentlichungen, Datenübermittlung an Versicherungen für Gutachten.

7. Technische Mindestmaßnahmen (TOMs): Verschlüsselung, Authentifizierung, Logging

Der Schutz von Gesundheitsdaten erfordert robuste technische und organisatorische Maßnahmen (TOMs). Hier sind die unverzichtbaren Mindestanforderungen für eine Arztpraxis ab 2025.

Verschlüsselung

  • Festplattenverschlüsselung: Alle Computer und Server, auf denen Patientendaten gespeichert sind, müssen über eine vollständige Festplattenverschlüsselung (z. B. BitLocker für Windows, FileVault für macOS) verfügen.
  • E-Mail-Verschlüsselung: Der Versand von Gesundheitsdaten per E-Mail darf nur über eine Ende-zu-Ende- oder Transportverschlüsselung erfolgen. Kommunizieren Sie mit Patienten nur über gesicherte Portale oder verschlüsselte E-Mails.
  • Datenbankverschlüsselung: Moderne Praxisverwaltungssysteme (PVS) sollten die Patientendatenbank verschlüsselt ablegen.

Authentifizierung

  • Starke Passwörter: Erzwingen Sie komplexe Passwörter (Länge, Sonderzeichen) für den Zugang zum PVS und zu den Arbeitsplatzrechnern.
  • Zwei-Faktor-Authentifizierung (2FA): Wo immer möglich, sollte der Zugriff auf das PVS, insbesondere aus der Ferne, durch einen zweiten Faktor (z. B. App, SMS-Code) abgesichert werden.

Logging (Protokollierung)

Zugriffe auf Patientendaten müssen nachvollziehbar sein. Das PVS sollte protokollieren, wer, wann, auf welche Patientendaten zugegriffen hat. Diese Protokolle sind regelmäßig zu überprüfen, um unberechtigte Zugriffe zu erkennen.

8. Organisatorische Maßnahmen: Rollen, Zugangskonzepte und Schulungsplan

Technik allein reicht nicht aus. Der Patienten-Datenschutz muss im Praxisalltag gelebt werden.

  • Rollen- und Berechtigungskonzept: Definieren Sie genau, welche Mitarbeitergruppe (z. B. Ärzte, MFA, Azubis) welche Zugriffsrechte im PVS hat. Eine Empfangskraft benötigt beispielsweise keinen Zugriff auf detaillierte Befunde.
  • Schulungsplan: Planen Sie mindestens einmal jährlich eine verbindliche Datenschutzschulung für das gesamte Praxisteam. Neue Mitarbeiter müssen bei Eintritt geschult werden. Dokumentieren Sie die Teilnahme.
  • Richtlinien und Arbeitsanweisungen: Erstellen Sie klare Anweisungen zum Umgang mit Patientendaten, z. B. zur Nutzung von mobilen Geräten, zum Verhalten am Telefon oder zur Entsorgung von Dokumenten.

9. DSFA-Entscheidungshilfe für Behandlungsprozesse und ePA

Eine Datenschutz-Folgenabschätzung (DSFA) ist eine Risikobewertung für besonders risikoreiche Datenverarbeitungen. Ob Sie eine DSFA durchführen müssen, können Sie anhand dieser Fragen prüfen:

  • Führen Sie eine neue Technologie ein (z. B. eine KI-basierte Diagnosesoftware oder eine neue Gesundheits-App)?
  • Verarbeiten Sie in großem Umfang besonders sensible Daten (was in vielen Facharztpraxen der Fall ist)?
  • Planen Sie eine systematische Überwachung von Patienten (z. B. durch Telemedizin-Anwendungen)?
  • Führen Sie die elektronische Patientenakte (ePA) neu ein oder ändern Sie wesentliche Prozesse daran?

Wenn Sie eine dieser Fragen mit „Ja“ beantworten, ist die Wahrscheinlichkeit hoch, dass eine DSFA erforderlich ist. Ziehen Sie im Zweifel Ihren Datenschutzbeauftragten hinzu.

10. Checkliste für Auftragsverarbeitungsverträge (AVV)

Wenn ein externer Dienstleister (z. B. IT-Wartung, Software-Anbieter, Labor) in Ihrem Auftrag Patientendaten verarbeitet, ist ein AVV nach Art. 28 DSGVO zwingend erforderlich. Prüfen Sie Verträge anhand dieser Checkliste:

  • Gegenstand und Dauer der Verarbeitung: Ist klar beschrieben, welche Daten zu welchem Zweck wie lange verarbeitet werden?
  • Weisungsgebundenheit: Ist festgelegt, dass der Dienstleister nur auf Ihre dokumentierte Weisung hin handelt?
  • Vertraulichkeit: Sind die Mitarbeiter des Dienstleisters zur Vertraulichkeit verpflichtet?
  • Technische und organisatorische Maßnahmen: Beschreibt der Vertrag, welche konkreten Sicherheitsmaßnahmen (z. B. Verschlüsselung) der Dienstleister ergreift?
  • Unterauftragnehmer: Ist geregelt, ob und wie der Dienstleister weitere Subunternehmer einsetzen darf (nur mit Ihrer Genehmigung)?
  • Unterstützung bei Betroffenenrechten: Verpflichtet sich der Dienstleister, Sie bei der Beantwortung von Patientenauskünften zu unterstützen?
  • Meldung von Datenschutzverletzungen: Gibt es eine Klausel, die den Dienstleister zur unverzüglichen Meldung von Datenpannen an Sie verpflichtet?
  • Kontrollrechte: Haben Sie das Recht, die Einhaltung des Datenschutzes beim Dienstleister zu überprüfen (z. B. durch Zertifikate oder Audits)?
  • Rückgabe und Löschung der Daten: Ist geregelt, was mit den Daten nach Vertragsende geschieht?

11. Kommunikation mit Patienten: E-Mail, SMS und Messenger sicher einsetzen

Die Kommunikation mit Patienten über digitale Kanäle ist praktisch, aber riskant. Für den Versand sensibler Gesundheitsdaten sind Standard-Dienste wie unverschlüsselte E-Mail, SMS oder WhatsApp ungeeignet und ein Verstoß gegen den Patienten-Datenschutz.

  • E-Mail: Verwenden Sie E-Mails nur für organisatorische Zwecke (z. B. Terminerinnerungen) und holen Sie dafür die Einwilligung des Patienten ein. Für den Versand von Befunden oder Arztbriefen ist eine Ende-zu-Ende-Verschlüsselung oder ein sicheres Patientenportal zwingend erforderlich.
  • Messenger-Dienste: Verzichten Sie auf die Nutzung von Diensten wie WhatsApp oder Signal für die berufliche Kommunikation, da hierbei oft Metadaten an Dritte (insb. in den USA) übermittelt werden. Nutzen Sie stattdessen zertifizierte und für den Gesundheitssektor zugelassene Messenger.

12. Datensparsamkeit, Aufbewahrungsfristen und sichere Entsorgung

Verarbeiten Sie nur die Daten, die für die Behandlung und Abrechnung wirklich notwendig sind (Grundsatz der Datensparsamkeit). Nach Ablauf der gesetzlichen Aufbewahrungsfristen (meist 10 Jahre, bei bestimmten Erkrankungen oder Behandlungen auch länger) müssen die Daten sicher entsorgt werden.

  • Papierakten: Müssen in einem verschlossenen Behälter gesammelt und von einem zertifizierten Dienstleister nach DIN 66399 (Schutzklasse 3, Sicherheitsstufe 4 oder höher) vernichtet werden.
  • Digitale Daten: Müssen sicher gelöscht werden, sodass sie nicht wiederhergestellt werden können. Ein einfaches Verschieben in den Papierkorb genügt nicht.

13. Vorfallmanagement: Interne Abläufe und Meldefristen

Trotz aller Vorsicht kann es zu einer Datenschutzverletzung (Datenpanne) kommen. Wichtig ist, vorbereitet zu sein.

Ablauf bei einer Datenpanne:

  1. Sofortige interne Meldung: Jeder Mitarbeiter muss verpflichtet sein, jeden Vorfall (z. B. verlorener USB-Stick, fehlgeleitete E-Mail) unverzüglich an die Praxisleitung oder den Datenschutzbeauftragten zu melden.
  2. Bewertung des Risikos: Prüfen Sie, ob ein Risiko für die Rechte und Freiheiten der betroffenen Patienten besteht. Ein hohes Risiko liegt z. B. vor, wenn sensible Diagnosen an Unbefugte gelangen.
  3. Meldung an die Aufsichtsbehörde: Besteht ein Risiko, muss die Panne innerhalb von 72 Stunden an die zuständige Landesdatenschutzbehörde gemeldet werden.
  4. Benachrichtigung der Betroffenen: Besteht ein hohes Risiko, müssen auch die betroffenen Patienten unverzüglich informiert werden.
  5. Dokumentation: Jeder Vorfall, auch wenn er nicht meldepflichtig ist, muss intern dokumentiert werden.

14. Besonderheiten bei Kindern, Jugendlichen und schutzbedürftigen Gruppen

Beim Patienten-Datenschutz für Minderjährige ist die Einwilligungsfähigkeit entscheidend. Ab welchem Alter ein Jugendlicher selbst über seine Gesundheitsdaten entscheiden kann, hängt von seiner individuellen Einsichtsfähigkeit ab. In der Regel wird dies ab 14-16 Jahren angenommen. Bis dahin ist die Einwilligung der Sorgeberechtigten erforderlich. Bei Auskunftsersuchen von getrenntlebenden Elternteilen ist besondere Sorgfalt geboten, um das Kindeswohl zu wahren.

15. Auditvorlagen und Dokumentationspflichten für Praxisprüfungen

Die DSGVO verlangt eine umfassende Dokumentation (Rechenschaftspflicht). Sie müssen jederzeit nachweisen können, dass Sie die Datenschutzvorschriften einhalten. Halten Sie folgende Dokumente für eine mögliche Prüfung durch die Aufsichtsbehörde bereit:

  • Verzeichnis von Verarbeitungstätigkeiten
  • Übersicht der technischen und organisatorischen Maßnahmen (TOMs)
  • Alle geschlossenen Auftragsverarbeitungsverträge (AVV)
  • Dokumentation der Mitarbeiterschulungen und Verpflichtungserklärungen
  • Einwilligungserklärungen von Patienten (falls zutreffend)
  • Dokumentation von Datenschutzvorfällen
  • Gegebenenfalls Datenschutz-Folgenabschätzungen (DSFA)

16. Kurz-FAQ: Häufige Fragen von Praxisleitungen

Wer ist in der Praxis für den Patienten-Datenschutz verantwortlich?

Verantwortlich ist immer die Praxisleitung (der „Verantwortliche“ im Sinne der DSGVO), auch wenn Aufgaben delegiert oder ein Datenschutzbeauftragter bestellt wurde.

Muss meine Praxis einen Datenschutzbeauftragten bestellen?

Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht in der Regel dann, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Da in Arztpraxen umfangreich Gesundheitsdaten verarbeitet werden, kann die zuständige Aufsichtsbehörde eine Benennung auch bei weniger Mitarbeitern als sinnvoll erachten. Eine freiwillige Benennung ist immer möglich.

Darf ich Terminerinnerungen per SMS oder E-Mail versenden?

Ja, aber nur mit der ausdrücklichen und vorherigen Einwilligung des Patienten. Die Einwilligung sollte dokumentiert werden. Die Nachricht selbst sollte keine sensiblen Gesundheitsdaten enthalten (z. B. nicht „Erinnerung an Ihren Termin in der Onkologie“).

17. Anhang: Vorlagenverzeichnis und weiterführende Links

Dieser Leitfaden hat die Grundlagen für die Erstellung wichtiger Dokumente wie der Patienteninformation nach Art. 13 DSGVO, Einwilligungstexten und Checklisten für AVVs skizziert. Für detaillierte Muster und aktuelle Informationen empfehlen wir die Webseiten der Datenschutz-Aufsichtsbehörden der Länder:

18. Glossar wichtiger Begriffe

  • DSGVO (Datenschutz-Grundverordnung): Die europäische Verordnung, die den Schutz personenbezogener Daten EU-weit einheitlich regelt.
  • Gesundheitsdaten: Alle Daten, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen und als besonders schutzwürdig gelten (Art. 9 DSGVO).
  • Verantwortlicher: Die natürliche oder juristische Person (hier: die Praxisleitung), die über die Zwecke und Mittel der Datenverarbeitung entscheidet.
  • Auftragsverarbeitung (AV): Die Verarbeitung von Daten durch einen externen Dienstleister im Auftrag und auf Weisung des Verantwortlichen. Erfordert einen Auftragsverarbeitungsvertrag (AVV).
  • TOMs (Technische und Organisatorische Maßnahmen): Alle Sicherheitsvorkehrungen, die zum Schutz der Daten getroffen werden (z. B. Verschlüsselung, Zugangskontrollen).