Patientenkommunikation und DSGVO: Praxisleitfaden für Zahnarztpraxen

Patientenkommunikation und DSGVO: Praxisleitfaden für Zahnarztpraxen

Inhaltsverzeichnis

Einleitung: Moderne Patientenkommunikation und DSGVO in der Zahnarztpraxis

Die digitale Transformation hat die Zahnarztpraxis erreicht. Patienten erwarten heute eine schnelle, unkomplizierte und digitale Kommunikation – sei es für Terminerinnerungen, die Übermittlung von Kostenvoranschlägen oder für Rückfragen zur Behandlung. Doch gerade hier liegt die Herausforderung: Die Balance zwischen einer serviceorientierten Patientenkommunikation und DSGVO-Konformität zu finden, ist für Praxisinhaber und Praxismanager essenziell. Gesundheitsdaten gehören zu den besonders sensiblen Daten nach Artikel 9 der Datenschutz-Grundverordnung (DSGVO). Ein Verstoß kann nicht nur zu empfindlichen Bußgeldern führen, sondern auch das wertvolle Vertrauensverhältnis zum Patienten nachhaltig schädigen.

Dieser Leitfaden bietet Ihnen eine praxisnahe Anleitung, um Ihre Patientenkommunikation und DSGVO-Anforderungen in Einklang zu bringen. Sie erhalten konkrete, sofort einsetzbare Vorlagen, Checklisten und Handlungsempfehlungen, um die Kommunikation mit Ihren Patienten rechtssicher und effizient zu gestalten.

Kurzüberblick rechtlicher Grundlagen

Die rechtlichen Rahmenbedingungen für die Kommunikation von Gesundheitsdaten sind vielschichtig. Für Ihre Praxis sind vor allem folgende Regelwerke relevant:

  • Datenschutz-Grundverordnung (DSGVO): Sie bildet den Kern des europäischen Datenschutzrechts und regelt den Umgang mit personenbezogenen Daten, insbesondere mit Gesundheitsdaten (Art. 9 DSGVO). Grundsätze wie Zweckbindung, Datenminimierung und die Notwendigkeit einer Rechtsgrundlage (z.B. Einwilligung) sind hier verankert.
  • Bundesdatenschutzgesetz (BDSG): Das BDSG konkretisiert und ergänzt die DSGVO auf nationaler Ebene in Deutschland.
  • Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG): Relevant wird das TDDDG, sobald Sie Kommunikationsdienste wie E-Mail, Messenger oder Ihre Praxis-Webseite nutzen. Es schützt die Vertraulichkeit der Kommunikation und regelt den Einsatz von Cookies.
  • Strafgesetzbuch (StGB): § 203 StGB stellt die Verletzung von Privatgeheimnissen unter Strafe. Als Zahnärztin oder Zahnarzt unterliegen Sie der Schweigepflicht, deren Bruch strafrechtliche Konsequenzen haben kann. Eine datenschutzkonforme Kommunikation ist daher auch strafrechtlich geboten.

Kanal-Risikomatrix: Gängige Kommunikationswege im Praxis-Check

Nicht jeder Kommunikationskanal ist für jeden Zweck geeignet. Die folgende Matrix bewertet gängige Kanäle hinsichtlich ihres Risikos bei der Übermittlung von Gesundheitsdaten und gibt konkrete Empfehlungen.

Telefon

  • Risiko: Gering bis mittel. Das Hauptrisiko besteht in der Identitätsprüfung des Anrufers.
  • Empfehlung: Für Terminvereinbarungen und allgemeine organisatorische Absprachen gut geeignet.
  • Do: Identität des Patienten durch Kontrollfragen sicherstellen (z.B. Geburtsdatum, Adresse). Gesprächsinhalte im PVS dokumentieren.
  • Don’t: Sensible Befunde oder Diagnosen am Telefon an Dritte (z.B. Familienangehörige) ohne verifizierte Vollmacht weitergeben.

E-Mail (unverschlüsselt)

  • Risiko: Hoch. Eine unverschlüsselte E-Mail ist mit einer Postkarte vergleichbar – Inhalte können von Dritten mitgelesen werden.
  • Empfehlung: Nur für allgemeine, nicht-medizinische Informationen (z.B. Praxisflyer, allgemeine Hinweise zur Anfahrt) verwenden.
  • Do: Eine explizite, dokumentierte Einwilligung des Patienten einholen, wenn dieser ausdrücklich die unverschlüsselte Kommunikation für spezifische Inhalte wünscht (nach Aufklärung über die Risiken).
  • Don’t: Niemals unaufgefordert Heil- und Kostenpläne, Rechnungen, Befunde oder Röntgenbilder unverschlüsselt versenden.

E-Mail (verschlüsselt)

  • Risiko: Gering. Bei korrekter Umsetzung (Ende-zu-Ende-Verschlüsselung) ist der Inhalt geschützt.
  • Empfehlung: Der Standard für den sicheren Versand jeglicher Patientendokumente.
  • Do: Etablierte Verfahren wie S/MIME oder PGP nutzen oder auf sichere Kommunikationsportale von PVS-Anbietern zurückgreifen. Patienten eine einfache Anleitung zur Entschlüsselung geben.
  • Don’t: Den Schlüssel oder das Passwort für die Entschlüsselung im selben Medium (z.B. in der gleichen E-Mail) versenden.

SMS / Messenger (z.B. WhatsApp)

  • Risiko: Sehr hoch. Insbesondere bei US-Anbietern ist unklar, wo und wie Daten verarbeitet werden (Stichwort: Drittlandtransfer). Metadaten (wer kommuniziert wann mit wem) fallen immer an.
  • Empfehlung: Dringend abzuraten für den Versand von Gesundheitsdaten. Für reine Terminerinnerungen ohne medizinischen Bezug nur nach expliziter Einwilligung und Risikoaufklärung denkbar.
  • Do: Sichere, für den medizinischen Bereich zertifizierte Messenger-Alternativen prüfen. Jede Nutzung muss auf einer informierten Einwilligung basieren.
  • Don’t: WhatsApp oder ähnliche Standard-Messenger für den Austausch von Patientendaten nutzen – weder mit Patienten noch im Praxisteam.

Post

  • Risiko: Gering. Der Postweg gilt als verhältnismäßig sicher, solange der Brief korrekt adressiert ist.
  • Empfehlung: Standard für den Versand von Rechnungen, Arztbriefen und anderen sensiblen Dokumenten, wenn kein sicherer digitaler Weg etabliert ist.
  • Do: Auf korrekte und vollständige Adressierung achten. Bei besonders kritischen Inhalten ein Einschreiben in Erwägung ziehen.
  • Don’t: Briefumschläge ohne Absender verwenden oder sensible Informationen auf der Außenseite vermerken.

Wann ist eine Einwilligung erforderlich?

Die Verarbeitung von Gesundheitsdaten benötigt eine Rechtsgrundlage. Die Wichtigsten in der Praxis sind:

  • Behandlungsvertrag (Art. 9 Abs. 2 lit. h DSGVO): Die Verarbeitung von Daten, die für die zahnärztliche Behandlung notwendig sind (Anamnese, Befundung, Abrechnung), ist durch den Behandlungsvertrag gedeckt. Hierfür benötigen Sie keine separate Einwilligung.
  • Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO): Eine Einwilligung ist immer dann erforderlich, wenn die Datenverarbeitung über die eigentliche Behandlung hinausgeht. Beispiele:
    • Versand von Terminerinnerungen per SMS.
    • Kommunikation über unsichere Kanäle wie unverschlüsselte E-Mail auf Wunsch des Patienten.
    • Einbindung in einen Praxis-Newsletter.

    Eine Einwilligung muss freiwillig, informiert, spezifisch und widerrufbar sein.

  • Auftragsverarbeitung (Art. 28 DSGVO): Wenn ein externer Dienstleister (z.B. PVS-Anbieter, Rechenzentrum, externes zahntechnisches Labor) in Ihrem Auftrag Patientendaten verarbeitet, benötigen Sie einen Auftragsverarbeitungsvertrag (AVV). Dies ist keine Einwilligung des Patienten, sondern ein Vertrag zwischen Ihnen und dem Dienstleister.

Muster-Einwilligungen für die Praxis

Nutzen Sie die folgenden editierbaren Vorlagen als Basis für Ihre Praxisdokumentation.

Muster 1: Kurzform für die Patientenakte (z.B. im Anamnesebogen)

Einwilligung zur digitalen Kommunikation (optional)

Ich bin damit einverstanden, dass die Zahnarztpraxis [Praxisname] mich zu folgenden Zwecken über die nachstehend angekreuzten Kanäle kontaktiert. Mir ist bewusst, dass die Kommunikation per [ ] unverschlüsselter E-Mail und [ ] SMS/Messenger Risiken birgt und Dritte unter Umständen unbefugt Kenntnis vom Inhalt erlangen können.

  • [ ] Terminerinnerungen per: [ ] E-Mail an: ______________________ [ ] SMS an: ______________________
  • [ ] Zusendung von Organisationsdokumenten (z.B. Kostenvoranschläge) per unverschlüsselter E-Mail.

Diese Einwilligung ist freiwillig und kann jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen werden. Der Widerruf kann schriftlich, per E-Mail an [Praxis-E-Mail] oder persönlich in der Praxis erfolgen. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt.

_________________________

Datum, Unterschrift Patient/in

Muster 2: Ausführliche Variante für die interne Dokumentation

Diese Vorlage dient der Dokumentation, falls ein Patient explizit eine unsichere Kommunikation wünscht und Sie dies zur Erfüllung Ihrer Rechenschaftspflicht festhalten müssen.

Aktenvermerk zur Kommunikation über unsichere Kanäle

  • Patient/in: [Name, Geburtsdatum]
  • Datum des Gesprächs: [Datum]
  • Anwesende Praxismitarbeiter/in: [Name]
  • Sachverhalt: Patient/in wünscht die Zusendung von [konkretes Dokument, z.B. Heil- und Kostenplan vom TT.MM.JJJJ] per unverschlüsselter E-Mail an die Adresse [E-Mail-Adresse des Patienten].
  • Erfolgte Aufklärung: Patient/in wurde ausdrücklich und verständlich darauf hingewiesen, dass eine unverschlüsselte E-Mail nicht vor dem Zugriff Dritter geschützt ist und sensible Gesundheits- und Finanzdaten von Unbefugten mitgelesen werden könnten. Alternative, sichere Übertragungswege (persönliche Abholung, Postversand, verschlüsselte E-Mail) wurden angeboten.
  • Entscheidung des Patienten: Trotz der Aufklärung über die Risiken besteht der/die Patient/in auf dem Versand per unverschlüsselter E-Mail.

_________________________

Unterschrift Praxismitarbeiter/in

Patienten-One-Pager: Datenschutz verständlich erklärt

Legen Sie diesen Aushang im Wartezimmer aus oder geben Sie ihn neuen Patienten mit, um Transparenz zu schaffen.

Kurzinfo zum Datenschutz in unserer Praxis

Liebe Patientin, lieber Patient,

der Schutz Ihrer persönlichen Daten ist uns sehr wichtig. Hier die wichtigsten Punkte zur Patientenkommunikation und DSGVO in unserer Praxis:

  • Ihre Daten sind sicher: Alle Daten zu Ihrer Behandlung werden streng vertraulich behandelt und nach den Vorgaben der DSGVO in unserem Praxisverwaltungssystem gespeichert.
  • Sichere Kommunikation: Für den Versand sensibler Unterlagen wie Befunde oder Rechnungen nutzen wir standardmäßig sichere Wege wie den Postversand oder die persönliche Übergabe.
  • Kommunikation auf Ihren Wunsch: Wenn Sie eine Kontaktaufnahme per E-Mail oder eine Terminerinnerung per SMS wünschen, benötigen wir hierfür Ihre separate Einwilligung. Wir weisen Sie dabei stets auf mögliche Risiken (z.B. bei unverschlüsselten E-Mails) hin.
  • Ihre Rechte: Sie haben jederzeit das Recht auf Auskunft über Ihre Daten, auf Berichtigung oder Löschung. Eine erteilte Einwilligung können Sie jederzeit und ohne Nachteile für die Zukunft widerrufen.

Bei Fragen sprechen Sie uns gerne an! Ihr Praxisteam [Praxisname]. Unseren Datenschutzbeauftragten erreichen Sie unter: [Kontaktdaten].

Checkliste: Neue Kommunikationswege sicher einführen

Folgen Sie diesen Schritten, bevor Sie einen neuen Kanal für die Patientenkommunikation nutzen:

  1. Bedarfsanalyse: Welchen Zweck soll der neue Kanal erfüllen (z.B. Recall, Terminmanagement)?
  2. Risikoanalyse: Bewerten Sie den Kanal anhand der Kanal-Risikomatrix. Welche Art von Daten soll übertragen werden?
  3. Rechtsgrundlage prüfen: Ist die Verarbeitung vom Behandlungsvertrag gedeckt oder benötigen Sie eine Einwilligung?
  4. Dienstleister-Prüfung: Wenn ein externer Anbieter involviert ist: Wo hat der Anbieter seinen Sitz? Gibt es einen AVV nach Art. 28 DSGVO?
  5. Technische und organisatorische Maßnahmen (TOMs): Definieren Sie, wer im Team den Kanal nutzen darf, wie der Zugriff geschützt wird und wie die Daten dokumentiert werden.
  6. Datenschutzerklärung anpassen: Informieren Sie in Ihrer Datenschutzerklärung auf der Praxis-Webseite über den neuen Kommunikationsweg.
  7. Einwilligungsprozess definieren: Erstellen Sie eine Vorlage (siehe Muster) und legen Sie fest, wie und wo die Einwilligung eingeholt und dokumentiert wird.
  8. Team schulen: Alle Mitarbeiter, die den neuen Kanal nutzen, müssen über die Risiken und die festgelegten Prozesse informiert sein.
  9. Dokumentation: Fügen Sie den Prozess Ihrem Verzeichnis von Verarbeitungstätigkeiten (VVT) hinzu.

Technische und Organisatorische Maßnahmen (TOMs) praktisch umgesetzt

TOMs sind konkrete Schutzmaßnahmen in Ihrer Praxis. Hier einige praxisnahe Beispiele:

  • Passwortpolitik: Erzwingen Sie komplexe Passwörter (Länge, Sonderzeichen) für den Zugang zum PVS und zu E-Mail-Konten. Richten Sie, wo möglich, eine Zwei-Faktor-Authentifizierung (2FA) ein.
  • Rollen- und Rechtekonzept: Definieren Sie im PVS genau, welcher Mitarbeiter welche Daten einsehen und bearbeiten darf (z.B. Auszubildende sehen keine Finanzdaten).
  • Backup-Strategie: Erstellen Sie tägliche, verschlüsselte Backups Ihrer Praxisdaten. Lagern Sie mindestens eine Kopie räumlich getrennt (z.B. Bankschließfach oder sicheres Cloud-Backup mit Sitz in der EU). Testen Sie die Wiederherstellung regelmäßig.
  • Verschlüsselung: Sorgen Sie dafür, dass die Festplatten Ihrer Praxis-Computer verschlüsselt sind. Nutzen Sie für den E-Mail-Versand sensibler Daten eine Transport- oder Inhaltsverschlüsselung.

AVV-Prüfliste: Auswahl von Cloud- und PVS-Anbietern

Bevor Sie einen Dienstleister beauftragen, prüfen Sie dessen Umgang mit der Thematik Patientenkommunikation und DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) ist zwingend erforderlich. Achten Sie auf folgende Punkte:

  • Sitz des Unternehmens: Der Anbieter und seine Server sollten ihren Sitz idealerweise in der EU oder dem EWR haben, um komplexe Drittlandtransfer-Prüfungen zu vermeiden.
  • Zertifizierungen: Prüfen Sie, ob der Anbieter anerkannte Zertifikate vorweisen kann (z.B. ISO 27001).
  • Inhalt des AVV: Der Vertrag muss die Weisungsrechte der Praxis, die Pflichten des Auftragnehmers (z.B. Meldung von Datenpannen), die genehmigten Subunternehmer und die technischen und organisatorischen Maßnahmen detailliert beschreiben.
  • Kontrollrechte: Stellen Sie sicher, dass Sie als Auftraggeber das Recht haben, die Einhaltung der Datenschutzpflichten beim Dienstleister zu überprüfen.

DSFA-Kurzvorlage: Datenschutz-Folgenabschätzung für Gesundheitsdaten

Eine Datenschutz-Folgenabschätzung (DSFA) ist erforderlich, wenn eine neue Verarbeitungstechnologie voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Verarbeitung von Gesundheitsdaten in großem Umfang kann dies auslösen. Eine Kurz-Prüfung hilft bei der Entscheidung.

DSFA-Kurz-Check

  • Beschreibung der Verarbeitung: [z.B. Einführung eines cloudbasierten PVS zur Verwaltung aller Patientendaten]
  • Systematische Beschreibung: Welche Daten werden verarbeitet? Wer hat Zugriff? Wie lange werden sie gespeichert?
  • Notwendigkeit und Verhältnismäßigkeit: Warum wird die neue Technologie eingeführt? [z.B. Effizienzsteigerung, verbesserte Datensicherheit]
  • Risikobewertung: Welche Risiken bestehen für Patienten? [z.B. unbefugter Zugriff, Datenverlust, Diskriminierung durch Datenleck]
    • Eintrittswahrscheinlichkeit: [Gering / Mittel / Hoch]
    • Mögliche Schadenshöhe: [Gering / Mittel / Hoch]
  • Geplante Abhilfemaßnahmen: Welche TOMs werden ergriffen, um die Risiken zu minimieren? [z.B. sicherer AVV mit EU-Anbieter, Verschlüsselung, strenges Rechtemanagement, regelmäßige Schulungen]
  • Ergebnis: Nach Umsetzung der Maßnahmen verbleibt ein [Geringes / Akzeptables] Restrisiko. Eine formale DSFA ist [nicht] erforderlich.

Dokumentations-Vorlage: Einwilligungen und Entscheidungen protokollieren

Führen Sie eine einfache Liste, um Ihrer Rechenschaftspflicht nachzukommen.

Patient/in (Initialen/ID) Datum Einwilligung erteilt für Kanal/Zweck Aufklärung erfolgt Dokumentiert durch (Kürzel) Widerrufen am
M.M. / 12345 01.03.2025 Ja Terminerinnerung per SMS Ja (Info im Anamnesebogen) AZ
P.S. / 67890 05.03.2025 Ja HKP per unverschlüsselter E-Mail Ja (mündlich + Aktenvermerk) MA

Anonymisierte Fallbeispiele aus dem Praxisalltag

Fall 1: Der schnelle Befund via WhatsApp: Ein Patient bittet nach einer Behandlung per WhatsApp um die schnelle Zusendung eines Röntgenbildes. Eine ZFA fotografiert den Bildschirm ab und sendet das Bild. Fehler: Hier liegt ein schwerwiegender Datenschutzverstoß vor. Es wurde ein unsicherer Kanal genutzt, und es lag keine dokumentierte Einwilligung nach Risikoaufklärung vor. Die Datenübertragung an Server in den USA ist hochproblematisch. Bessere Lösung: Dem Patienten freundlich erklären, dass dieser Kanal aus Datenschutzgründen nicht möglich ist und ihm sichere Alternativen anbieten (Abholung, Post, verschlüsseltes Portal).

Fall 2: Die Recall-Liste per E-Mail: Eine Praxismanagerin möchte die Recall-Liste für das nächste Quartal im Homeoffice bearbeiten und sendet sich die Excel-Tabelle mit Namen, Geburtsdaten und letztem Behandlungsdatum an ihre private, unverschlüsselte E-Mail-Adresse. Fehler: Verarbeitung von Gesundheitsdaten auf privater, ungesicherter Infrastruktur. Dies stellt eine Datenpanne dar. Bessere Lösung: Nutzung eines gesicherten Fernzugriffs (VPN) auf das Praxisnetzwerk oder Verwendung eines von der Praxis bereitgestellten, verschlüsselten Laptops.

Patienten-FAQ: Häufige Fragen zum Datenschutz

Frage: Warum erhalte ich keine Terminerinnerung mehr per SMS? Antwort: Wir dürfen Sie für Services wie Terminerinnerungen nur kontaktieren, wenn Sie uns dafür eine ausdrückliche Einwilligung gegeben haben. Gerne können Sie diese bei uns am Empfang jederzeit erteilen oder erneuern.

Frage: Können Sie mir meinen Kostenvoranschlag schnell per E-Mail schicken? Antwort: Sehr gerne. Standardmäßig versenden wir Dokumente verschlüsselt oder per Post. Wenn Sie den Versand per unverschlüsselter E-Mail wünschen, müssen wir Sie auf die damit verbundenen Risiken hinweisen und Ihre Entscheidung dokumentieren.

Frage: Wer hat alles Zugriff auf meine Daten? Antwort: Zugriff auf Ihre Behandlungsdaten hat nur das behandelnde Personal unserer Praxis. Externe Dienstleister, wie unser zahntechnisches Labor oder unser Abrechnungszentrum, erhalten nur die Daten, die zur Erfüllung ihrer Aufgaben zwingend notwendig sind. Mit allen Dienstleistern haben wir strenge Datenschutzverträge geschlossen.

Ressourcen und weiterführende Links

Für vertiefende Informationen und offizielle Leitlinien empfehlen wir die Webseiten folgender Institutionen: