Patientenkommunikation und DSGVO – Praxisleitfaden für Praxen

Patientenkommunikation und DSGVO – Praxisleitfaden für Praxen

Patientenkommunikation und DSGVO: Der Praxisleitfaden

Inhaltsverzeichnis

Einleitung: Warum die Patientenkommunikation eine DSGVO-Sonderstellung hat

Eine serviceorientierte und effiziente Patientenkommunikation ist das Herzstück jeder erfolgreichen Arzt- oder Zahnarztpraxis. Gleichzeitig stellt der Umgang mit hochsensiblen Gesundheitsdaten eine besondere Herausforderung dar. Die Verknüpfung von Patientenkommunikation und DSGVO ist mehr als nur eine rechtliche Pflicht; sie ist ein entscheidender Faktor für das Vertrauen Ihrer Patienten und den Schutz Ihrer Praxis vor empfindlichen Bußgeldern. Gesundheitsdaten unterliegen nach Artikel 9 der Datenschutz-Grundverordnung (DSGVO) einem besonders strengen Schutz. Jede E-Mail, jeder Anruf und jede SMS kann potenziell eine Datenverarbeitung darstellen, die exakte Regeln erfordert. Dieser Leitfaden bietet Ihnen praxisnahe Strategien, Checklisten und Textbausteine, um Ihre Kommunikationsprozesse für 2025 und darüber hinaus rechtssicher und patientenfreundlich zu gestalten.

Sofortmaßnahmen: Ihre Prioritätenliste für die Praxis

Bevor Sie tief in die Optimierung Ihrer Prozesse einsteigen, gibt es einige grundlegende Maßnahmen, die Sie umgehend prüfen und umsetzen sollten. Diese Schritte bilden die Basis für eine sichere Patientenkommunikation und DSGVO-Konformität.

  • Einwilligungen prüfen: Überprüfen Sie alle bestehenden Einwilligungserklärungen. Sind sie granular, d.h. erlauben sie die gezielte Auswahl von Kommunikationskanälen (z.B. E-Mail für Terminerinnerung, SMS für kurzfristige Absagen)?
  • Mitarbeiter sensibilisieren: Führen Sie eine kurze Schulung durch. Das Kernthema: Keine Gesundheitsdaten unverschlüsselt per E-Mail versenden und am Telefon immer die Identität des Anrufers verifizieren.
  • Standard-E-Mail-Verschlüsselung aktivieren: Stellen Sie sicher, dass für den E-Mail-Verkehr mindestens eine Transportverschlüsselung (TLS) aktiv ist. Besser ist eine Ende-zu-Ende-Verschlüsselung für den Versand sensibler Dokumente.
  • Verzeichnis von Verarbeitungstätigkeiten (VVT) aktualisieren: Dokumentieren Sie alle Kommunikationswege (Telefon, E-Mail, PVS-Nachrichten) und deren Zweck im VVT.
  • Datenschutzerklärung anpassen: Erwähnt Ihre Datenschutzerklärung auf der Webseite explizit, welche Daten Sie für welche Kommunikationszwecke (z.B. Terminerinnerung) nutzen?

Kanalbewertung: Telefon, E-Mail, SMS, Messenger und Post im DSGVO-Check

Nicht jeder Kanal ist für jede Information geeignet. Eine bewusste Auswahl minimiert Risiken und optimiert den Service. Die folgende Matrix hilft bei der Entscheidung.

Telefon

  • Vorteile: Direkter, persönlicher Kontakt. Schnelle Klärung von Rückfragen möglich.
  • Nachteile: Keine schriftliche Dokumentation des Gesprächsinhalts. Risiko von Mithörern in der Praxis oder beim Patienten.
  • DSGVO-Tipp: Schulen Sie Ihr Team darin, die Identität des Anrufers durch Kontrollfragen (z.B. Geburtsdatum) zu verifizieren, bevor sensible Informationen preisgegeben werden. Dokumentieren Sie wichtige Absprachen im Praxisverwaltungssystem (PVS).

E-Mail (unverschlüsselt)

  • Vorteile: Weit verbreitet, kostengünstig, dokumentierbar.
  • Nachteile: Hohes Sicherheitsrisiko bei unverschlüsseltem Versand. Vergleichbar mit einer Postkarte.
  • DSGVO-Tipp: Nur für organisatorische Absprachen ohne sensible Daten (z.B. „Ihre Versichertenkarte ist bereit zur Abholung“) verwenden. Für alles andere ist eine explizite Einwilligung und der Hinweis auf die Risiken oder eine Ende-zu-Ende-Verschlüsselung zwingend erforderlich.

E-Mail (verschlüsselt über KIM)

  • Vorteile: Sehr hohe Sicherheit innerhalb der Telematikinfrastruktur. DSGVO-konform für den Versand von Befunden, Arztbriefen etc.
  • Nachteile: Funktioniert nur zwischen Teilnehmern der Telematikinfrastruktur (Ärzte, Krankenkassen), nicht für die direkte Kommunikation mit dem Patienten.
  • DSGVO-Tipp: Nutzen Sie KIM (Kommunikation im Medizinwesen) als Standard für die Kommunikation mit anderen Leistungserbringern.

SMS

  • Vorteile: Hohe Öffnungsrate, ideal für kurze, dringende Informationen.
  • Nachteile: Unverschlüsselt, Zeichenbegrenzung.
  • DSGVO-Tipp: Perfekt für Terminerinnerungen oder sehr kurze, nicht-sensible Benachrichtigungen (“Ihre Praxis ist heute ab 14 Uhr geschlossen”). Holen Sie sich eine separate Einwilligung für diesen Kanal.

Messenger (z.B. Signal, Threema)

  • Vorteile: Ende-zu-Ende-verschlüsselt, hohe Akzeptanz bei Patienten.
  • Nachteile: Nutzung von US-Diensten (wie WhatsApp) ist wegen Metadaten-Übermittlung und Adressbuch-Abgleich hochproblematisch. Organisatorischer Aufwand (Diensthandy, klare Regeln).
  • DSGVO-Tipp: Wenn Sie Messenger einsetzen, dann nur Dienste, die ohne Adressbuch-Abgleich funktionieren und deren Server in der EU stehen. Eine Datenschutz-Folgenabschätzung (DSFA) ist oft notwendig.

Post

  • Vorteile: Gilt als sicherer Zustellweg, bewährt für offizielle Dokumente (Rechnungen, Arztbriefe).
  • Nachteile: Langsam, kostenintensiv.
  • DSGVO-Tipp: Der klassische Brief ist weiterhin der Goldstandard für den Versand hochsensibler Dokumente an Patienten, wenn digitale, verschlüsselte Wege nicht möglich sind.

Rechtliche Grundlagen kompakt: DSGVO, BDSG und Berufsrecht

Die datenschutzkonforme Patientenkommunikation stützt sich auf mehrere Säulen:

  • Datenschutz-Grundverordnung (DSGVO): Sie bildet den europaweiten Rahmen. Besonders relevant sind Art. 6 (Rechtmäßigkeit der Verarbeitung) und Art. 9 (Verarbeitung besonderer Kategorien personenbezogener Daten). Gesundheitsdaten dürfen nur unter strengen Bedingungen verarbeitet werden, z.B. zur Behandlung (Behandlungsvertrag) oder mit ausdrücklicher Einwilligung des Patienten.
  • Bundesdatenschutzgesetz (BDSG): Es ergänzt und konkretisiert die DSGVO für Deutschland.
  • Ärztliche Schweigepflicht (§ 203 StGB): Diese berufsrechtliche Pflicht geht Hand in Hand mit dem Datenschutz. Eine Verletzung der Schweigepflicht kann nicht nur datenschutzrechtliche, sondern auch strafrechtliche Konsequenzen haben.

Die zentrale Frage bei der Patientenkommunikation und DSGVO ist immer: Auf welcher Rechtsgrundlage kommuniziere ich? Für die direkte Behandlung ist es der Behandlungsvertrag. Für zusätzliche Services wie einen E-Mail-Newsletter oder eine SMS-Terminerinnerung benötigen Sie eine freiwillige, informierte und separate Einwilligung.

Mustertexte und Formulare für den Praxisalltag

Klare und verständliche Formulare schaffen Transparenz und Rechtssicherheit. Nutzen Sie diese Bausteine als Vorlage und passen Sie sie an Ihre Praxis an.

Muster für eine granulare Einwilligungserklärung

„Ich bin damit einverstanden, dass die Praxis Dr. Mustermann mich für die folgenden Zwecke über die von mir gewählten Kanäle kontaktiert. Diese Einwilligung ist freiwillig und kann jederzeit ohne Angabe von Gründen widerrufen werden.“

  • Terminerinnerungen: [ ] per E-Mail an [E-Mail-Adresse] / [ ] per SMS an [Mobilfunknummer]
  • Informationen zu Vorsorgeuntersuchungen (Recall): [ ] per E-Mail / [ ] per Post
  • Zusendung von organisatorischen Informationen (z.B. Praxisurlaub): [ ] per E-Mail

„Mir ist bekannt, dass die Kommunikation per unverschlüsselter E-Mail oder SMS Sicherheitsrisiken birgt, da die Nachrichten von Dritten eingesehen werden könnten. Für den Versand von Befunden oder Rechnungen wird die Praxis einen sicheren Übertragungsweg wählen oder mich gesondert kontaktieren.“

Kurztext für eine Opt-out-Möglichkeit (z.B. in E-Mail-Signatur)

„Sie erhalten diese Nachricht im Rahmen Ihrer Behandlung oder weil Sie eingewilligt haben. Wenn Sie zukünftig keine Terminerinnerungen per E-Mail mehr erhalten möchten, antworten Sie bitte kurz auf diese Nachricht oder informieren Sie uns bei Ihrem nächsten Besuch.“

DSFA-Entscheidungshilfe: Wann wird eine Folgenabschätzung nötig?

Eine Datenschutz-Folgenabschätzung (DSFA) ist eine Risikoanalyse, die vor der Einführung neuer Technologien oder Verarbeitungsprozesse erforderlich sein kann. Für die Patientenkommunikation wird sie relevant, wenn ein hohes Risiko für die Rechte und Freiheiten der Patienten entsteht.

Stellen Sie sich folgende Fragen:

  • Führen wir eine neue Technologie ein (z.B. eine Praxis-App mit Messenger-Funktion)?
  • Verarbeiten wir Gesundheitsdaten in großem Umfang über diesen neuen Kanal? (Eine Einzelpraxis erreicht diesen Schwellenwert selten, ein Medizinisches Versorgungszentrum (MVZ) eher).
  • Werden Patientendaten systematisch überwacht oder bewertet (z.B. durch eine App zur Symptom-Erfassung)?

Kurz-Checkliste: Trifft mindestens einer der folgenden Punkte zu, sollten Sie die Notwendigkeit einer DSFA mit Ihrem Datenschutzbeauftragten prüfen:

  • Einführung einer neuen Praxis-Software, die Patientendaten in einer Cloud außerhalb der EU speichert.
  • Einführung eines öffentlichen Messenger-Dienstes (z.B. WhatsApp) für die Patientenkommunikation.
  • Einführung einer Online-Videosprechstunde mit einem nicht zertifizierten Anbieter.

Technische Integration: PVS, KIM und die Telematikinfrastruktur

Moderne Praxisverwaltungssysteme (PVS) und die Telematikinfrastruktur (TI) sind entscheidende Werkzeuge für eine sichere Patientenkommunikation und DSGVO-Konformität.

  • Praxisverwaltungssystem (PVS): Viele PVS bieten integrierte Kommunikationsmodule an, z.B. für den sicheren Versand von Nachrichten über ein Patientenportal. Prüfen Sie, welche Funktionen Ihr System bietet und ob diese datenschutzkonform sind (z.B. durch Auftragsverarbeitungsvertrag mit dem PVS-Hersteller).
  • Kommunikation im Medizinwesen (KIM): KIM ist der E-Mail-Dienst innerhalb der TI. Er ermöglicht den sicheren, verschlüsselten Austausch von E-Arztbriefen, Befunden und anderen Dokumenten zwischen Praxen, Krankenhäusern und anderen Akteuren des Gesundheitswesens. Nutzen Sie KIM als Standard für die professionelle Kommunikation.
  • Checkliste für Ihre Technik:
    • Ist Ihr PVS auf dem neuesten Stand?
    • Haben Sie einen Auftragsverarbeitungsvertrag (AVV) mit Ihrem PVS-Anbieter?
    • Nutzen Sie bereits KIM für die Kommunikation mit Kollegen?
    • Sind alle Arbeitsplatzrechner durch sichere Passwörter und aktuelle Antivirensoftware geschützt?

Messenger Dienste sicher auswählen und nutzen

Der Wunsch von Patienten, über Messenger zu kommunizieren, ist verständlich, aber rechtlich heikel. Standard-Messenger wie WhatsApp sind für die Arzt-Patienten-Kommunikation ungeeignet, da sie in der Regel auf Adressbücher zugreifen und Metadaten in die USA übermitteln.

Sicherheitsanforderungen für einen Praxis-Messenger:

  • Ende-zu-Ende-Verschlüsselung: Dies ist der technische Mindeststandard.
  • EU-Serverstandort: Der Anbieter sollte seine Server ausschließlich in der EU betreiben.
  • Kein Adressbuch-Scan: Die App darf nicht automatisch die Kontakte des Diensthandys auslesen.
  • AV-Vertrag: Der Anbieter muss einen DSGVO-konformen Auftragsverarbeitungsvertrag anbieten.
  • Klare Trennung: Nutzen Sie für die Kommunikation ausschließlich dedizierte Dienstgeräte, niemals private Smartphones.

Anbieter, die diese Kriterien erfüllen, sind z.B. spezialisierte Gesundheits-Messenger. Eine sorgfältige Prüfung und idealerweise eine DSFA sind vor der Einführung unerlässlich.

Vorfalls- und Meldeablauf bei Datenschutzpannen

Trotz aller Vorsicht kann es zu einer Panne kommen, z.B. wird ein Befund an den falschen E-Mail-Empfänger gesendet. Dann ist schnelles und strukturiertes Handeln gefragt.

  1. Intern melden und dokumentieren: Jeder Vorfall muss unverzüglich an den Praxisinhaber oder den Datenschutzbeauftragten gemeldet werden. Dokumentieren Sie den Vorfall in einem internen Verzeichnis (Was ist passiert? Wer ist betroffen? Welche Daten?).
  2. Risiko bewerten: Schätzen Sie das Risiko für die betroffenen Patienten ein. Ein vertippter Termin ist weniger kritisch als ein versendeter Laborbefund mit einer schweren Diagnose.
  3. An die Aufsichtsbehörde melden (72-Stunden-Frist): Besteht ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Person, müssen Sie den Vorfall innerhalb von 72 Stunden an die zuständige Landesdatenschutzbehörde melden.
  4. Betroffene benachrichtigen: Besteht ein hohes Risiko, müssen Sie auch den betroffenen Patienten unverzüglich informieren.

Prozess- und Rollenverteilung im Praxisteam

Eine klare Zuordnung von Verantwortlichkeiten verhindert Fehler. Definieren Sie, wer was darf.

  • Empfang / Praxismanagement: Verantwortlich für die organisatorische Kommunikation (Termine, allgemeine Anfragen), die Einholung und Dokumentation von Einwilligungen.
  • Medizinisches Fachpersonal / Assistenz: Darf nach ärztlicher Anweisung und über definierte, sichere Kanäle medizinische Informationen (z.B. Erinnerung an Medikamenteneinnahme) übermitteln, sofern eine Einwilligung vorliegt.
  • Ärzte / Zahnärzte: Treffen die finale Entscheidung über die Übermittlung von Diagnosen, Befunden und Therapieplänen und wählen den dafür geeigneten Kanal.
  • Datenschutzbeauftragte/r (falls benannt): Berät das Team, prüft neue Prozesse (z.B. die Einführung eines Messengers) und ist Ansprechpartner bei Datenschutzvorfällen.

Schulungskonzept: Mitarbeiterfit für den Datenschutz machen

Regelmäßige Schulungen sind eine gesetzliche Pflicht und die beste Prävention. Ein gutes Schulungskonzept sichert das Fundament Ihrer Strategie für Patientenkommunikation und DSGVO.

  • Inhalte: Grundlagen der DSGVO (Was sind Gesundheitsdaten?), die Kommunikationskanäle der Praxis und ihre Regeln, richtiges Verhalten am Telefon, Erkennen von Phishing-Mails, Ablauf bei einer Datenpanne.
  • Häufigkeit: Mindestens einmal jährlich für das gesamte Team sowie eine Erstschulung für neue Mitarbeiter.
  • Prüfcheck: Dokumentieren Sie die Teilnahme und die Inhalte der Schulungen. Dies dient als wichtiger Nachweis gegenüber den Aufsichtsbehörden.

Audit- und Dokumentationscheckliste für die jährliche Kontrolle

Überprüfen Sie mindestens einmal pro Jahr den Status Ihrer Datenschutzmaßnahmen. Diese Checkliste hilft dabei:

  • [ ] Sind alle Auftragsverarbeitungsverträge (PVS, IT-Dienstleister, Labor) aktuell und vorhanden?
  • [ ] Ist das Verzeichnis von Verarbeitungstätigkeiten auf dem neuesten Stand?
  • [ ] Wurden die Mitarbeiter im letzten Jahr nachweislich geschult?
  • [ ] Entsprechen die Einwilligungserklärungen noch dem aktuellen Stand?
  • [ ] Wurden die technischen und organisatorischen Maßnahmen (TOMs), z.B. Passwortrichtlinien oder Virenschutz, überprüft?
  • [ ] Gab es Datenschutzvorfälle und wurden diese korrekt dokumentiert und ggf. gemeldet?

Praxisbeispiele: Typische Szenarien und Lösungen

Szenario 1: Patient bittet am Telefon um Zusendung des Laborbefunds per E-Mail.

  • Falsch: Befund direkt als PDF an die genannte E-Mail-Adresse senden.
  • Richtig: „Gerne, aber aus Datenschutzgründen dürfen wir Befunde nicht per unverschlüsselter E-Mail versenden. Wir können Ihnen den Befund per Post zuschicken oder Sie können ihn bei uns in der Praxis abholen. Alternativ, wenn Sie bei uns ein Patientenportal nutzen, können wir ihn dort sicher für Sie hinterlegen.“

Szenario 2: Sie möchten Terminerinnerungen per SMS versenden.

  • Vorgehen: Lassen Sie den Patienten bei der Anmeldung das Formular zur granularen Einwilligung (siehe Mustertext oben) ausfüllen. Dokumentieren Sie die Einwilligung im PVS.
  • Textbaustein SMS: „Erinnerung an Ihren Termin in der Praxis Dr. Mustermann am [Datum] um [Uhrzeit]. Bitte sagen Sie Termine, die Sie nicht wahrnehmen können, 24h vorher ab. Ihr Praxisteam.“

Weiterführende Quellen und Links

Für vertiefende Informationen und offizielle Stellungnahmen empfehlen wir die Webseiten der folgenden Institutionen: