Datenschutz in der Telemedizin: Leitfaden für Patientinnen

Datenschutz in der Telemedizin: Leitfaden für Patientinnen

Datenschutz in der Telemedizin: Ihr umfassender Leitfaden für 2025

Die Telemedizin hat die Art und Weise, wie wir medizinische Versorgung erhalten, revolutioniert. Bequem von zu Hause aus mit einem Arzt oder einer Ärztin sprechen, Rezepte erhalten oder Befunde besprechen – die Vorteile sind unbestreitbar. Doch mit der digitalen Übertragung von hochsensiblen Informationen rückt ein zentrales Thema in den Fokus: der Datenschutz in der Telemedizin. Dieser Leitfaden klärt Sie als Patientin oder Patient umfassend auf, gibt Ihnen eine praktische Checkliste an die Hand und beleuchtet die wichtigsten Aspekte für einen sicheren Umgang mit Ihren Gesundheitsdaten.

Inhaltsverzeichnis

Kurzüberblick: Was ist Telemedizin und welche Daten fallen an?

Telemedizin bezeichnet die Bereitstellung von Gesundheitsdienstleistungen über eine räumliche Distanz hinweg, meist mithilfe digitaler Kommunikationsmittel. Dazu gehören Videosprechstunden, telemedizinisches Monitoring von chronischen Krankheiten oder die Nutzung von Gesundheits-Apps.

Dabei werden verschiedene Arten von Daten verarbeitet:

  • Stammdaten: Name, Adresse, Geburtsdatum, Versichertennummer.
  • Kommunikationsdaten: E-Mail-Adresse, Telefonnummer, IP-Adresse.
  • Gesundheitsdaten: Diagnosen, Symptome, Befunde, Medikationspläne, Laborwerte, Inhalte des Arztgesprächs.
  • Metadaten: Datum, Uhrzeit und Dauer der Konsultation.

Ein robuster Datenschutz in der Telemedizin ist essenziell, da es sich hierbei um die sensibelsten Informationen handelt, die es über eine Person gibt.

Rechtliche Grundlagen: DSGVO einfach erklärt

Die zentrale Rechtsgrundlage für den Datenschutz in Europa ist die Datenschutz-Grundverordnung (DSGVO, GDPR auf Englisch). Sie regelt, wie personenbezogene Daten verarbeitet werden dürfen. Für die Telemedizin sind vor allem zwei Artikel entscheidend:

  • Artikel 6 DSGVO (Rechtmäßigkeit der Verarbeitung): Jede Datenverarbeitung benötigt eine Rechtsgrundlage. Im medizinischen Kontext ist dies meist der Behandlungsvertrag oder eine explizite Einwilligung.
  • Artikel 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten): Gesundheitsdaten fallen unter diese “besonderen Kategorien”. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine Ausnahme vor. Die wichtigste Ausnahme im Gesundheitswesen ist die Verarbeitung zur medizinischen Diagnostik, Versorgung oder Behandlung auf Grundlage eines Vertrags mit einem Angehörigen eines Gesundheitsberufs.

Einfach gesagt: Ihre Gesundheitsdaten genießen durch die DSGVO einen besonders hohen Schutzstatus, und ihre Verarbeitung ist nur unter strengen Voraussetzungen erlaubt.

Wer ist verantwortlich? Arztpraxis versus Software-Anbieter

Im Datenschutzrecht gibt es klare Rollenverteilungen, die für Sie als Patient wichtig zu verstehen sind:

  • Der Verantwortliche: Das ist in der Regel Ihr Arzt, Ihre Ärztin oder die Klinik. Sie sind für die Einhaltung der Datenschutzvorschriften verantwortlich, entscheiden über Zweck und Mittel der Datenverarbeitung und sind Ihr erster Ansprechpartner.
  • Der Auftragsverarbeiter: Das ist oft der technische Dienstleister, der die Plattform für die Videosprechstunde bereitstellt. Er verarbeitet die Daten nur auf Weisung des Verantwortlichen (der Arztpraxis) und muss ebenfalls strenge Sicherheitsvorgaben erfüllen. Die Beziehung zwischen Arzt und Dienstleister muss in einem Auftragsverarbeitungsvertrag (AVV) geregelt sein.

Welche Gesundheitsdaten sind besonders schutzwürdig?

Gesundheitsdaten sind alle Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person beziehen. Dazu gehören nicht nur offensichtliche Diagnosen, sondern auch:

  • Informationen über Symptome, die Sie im Gespräch schildern.
  • Angaben zu Vorerkrankungen oder familiären Risiken.
  • Verschriebene Medikamente.
  • Psychische Befunde und Therapiegespräche.
  • Genetische oder biometrische Daten.

Ein unzureichender Datenschutz in der Telemedizin kann gravierende Folgen haben, von Diskriminierung bei Versicherungen oder Arbeitgebern bis hin zu Identitätsdiebstahl und sozialer Stigmatisierung.

Patienten-Checkliste für die sichere Telekonsultation

Prüfen Sie vor und während der Nutzung telemedizinischer Angebote die folgenden Punkte, um Ihre Daten bestmöglich zu schützen:

Vor der Konsultation

  • Transparente Informationen: Stellt Ihnen die Praxis oder die Plattform eine klare und verständliche Datenschutzerklärung zur Verfügung?
  • Zertifizierter Anbieter: Informieren Sie sich, ob der genutzte Videodienstanbieter für den Einsatz im Gesundheitswesen zertifiziert ist. Fragen Sie in der Praxis nach, welche Software genutzt wird.
  • Einwilligung: Werden Sie um eine separate, informierte Einwilligung gebeten, falls Daten für Zwecke verarbeitet werden, die nicht direkt zur Behandlung notwendig sind (z.B. Forschung)?
  • Sichere Einladung: Erhalten Sie einen individuellen und zeitlich begrenzten Zugangslink, anstatt eines allgemein zugänglichen Links?

Während der Konsultation

  • Sichere Umgebung: Befinden Sie sich in einem privaten Raum, in dem niemand mithören kann?
  • Sicheres Netzwerk: Nutzen Sie ein passwortgeschütztes WLAN (z.B. Ihr Heimnetzwerk) und vermeiden Sie öffentliche, ungesicherte Hotspots.
  • Verschlüsselungsanzeige: Zeigt Ihr Browser oder die App eine sichere Verbindung an (z.B. durch ein Schlosssymbol)?
  • Keine unaufgeforderten Aufzeichnungen: Eine Aufzeichnung des Gesprächs darf niemals ohne Ihre ausdrückliche Zustimmung erfolgen.

Konkrete Informationspflichten und Ihre Einwilligung

Ihre Arztpraxis muss Sie gemäß Artikel 13 DSGVO vor der Datenerhebung umfassend informieren. Dazu gehören:

  • Der Name und die Kontaktdaten der Praxis (des Verantwortlichen).
  • Die Kontaktdaten des Datenschutzbeauftragten, falls vorhanden.
  • Die Zwecke und die Rechtsgrundlage der Datenverarbeitung (z.B. Behandlungsvertrag).
  • Die Empfänger Ihrer Daten (z.B. der technische Dienstleister).
  • Die Dauer der Speicherung Ihrer Daten.
  • Ein Hinweis auf Ihre Rechte (Auskunft, Löschung etc.).

Eine explizite Einwilligung ist immer dann erforderlich, wenn die Datenverarbeitung über die reine Behandlung hinausgeht, beispielsweise für wissenschaftliche Studien oder die Weitergabe an Dritte, die nicht direkt an der Behandlung beteiligt sind.

Technische Schutzmaßnahmen verständlich erklärt

Der Schutz Ihrer Daten hängt maßgeblich von technischen Maßnahmen ab. Hier sind die drei wichtigsten Konzepte einfach erklärt:

  • Verschlüsselung: Stellen Sie sich die Datenübertragung wie das Versenden eines Briefes vor. Bei einer Ende-zu-Ende-Verschlüsselung wird der Brief direkt beim Absender (Ihnen) in einen versiegelten Umschlag gesteckt und erst beim Empfänger (der Arztpraxis) wieder geöffnet. Niemand auf dem Postweg – auch nicht der Postbote (der Plattform-Anbieter) – kann den Inhalt lesen.
  • Authentifizierung: Dies stellt sicher, dass nur berechtigte Personen am Gespräch teilnehmen. Ein individueller Zugangscode oder ein Login mit Passwort sind Beispiele für Authentifizierungsmethoden. So wird verhindert, dass sich Fremde in Ihre Konsultation einschalten.
  • Pseudonymisierung: Hierbei werden identifizierende Merkmale (wie Ihr Name) durch ein Pseudonym (z.B. eine zufällige Nummer) ersetzt. Dies wird oft bei der Nutzung von Daten für Statistiken oder Forschung angewendet, um Ihre Identität zu schützen.

Perspektive für Leistungserbringer: Pflichten im Überblick

Für Arztpraxen und Kliniken gelten strenge Vorgaben, um den Datenschutz in der Telemedizin zu gewährleisten. Zu den Kernpflichten gehören:

  • Dokumentation: Führen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT), das genau auflistet, welche Daten zu welchem Zweck verarbeitet werden.
  • Auftragsverarbeitungsverträge (AVV): Abschluss eines rechtssicheren Vertrags mit dem technischen Dienstleister der Telemedizin-Plattform.
  • Datenschutz-Folgenabschätzung (DSFA): Bei umfangreicher Verarbeitung sensibler Daten muss eine DSFA durchgeführt werden, um Risiken für die Patientenrechte zu bewerten und zu minimieren.
  • Technische und Organisatorische Maßnahmen (TOMs): Implementierung von Maßnahmen wie Verschlüsselung, Zugriffskontrollen und regelmäßigen Sicherheitsschulungen für das Personal.

Datenübertragungen ins Ausland: Was Sie wissen sollten

Innerhalb der EU und des EWR (Europäischer Wirtschaftsraum) gilt durch die DSGVO ein einheitlich hohes Datenschutzniveau. Werden Ihre Daten jedoch an einen Dienstleister mit Sitz in einem Drittland (z.B. den USA) übermittelt, müssen besondere Schutzmaßnahmen ergriffen werden. Fragen Sie im Zweifel nach, wo die Server des Anbieters stehen. Anbieter sollten für Übermittlungen in unsichere Drittländer zusätzliche Garantien wie die EU-Standardvertragsklauseln in Verbindung mit weiteren Schutzmaßnahmen vorsehen.

Datenverarbeitung durch Dritte

Neben dem Anbieter der Videoplattform können weitere Dritte an der Verarbeitung Ihrer Daten beteiligt sein. Dazu zählen:

  • Cloud-Anbieter: Zur Speicherung von Daten.
  • Analytik-Dienstleister: Zur anonymisierten Auswertung der Plattform-Nutzung (nicht der Gesprächsinhalte!).
  • Abrechnungsdienstleister: Zur Abwicklung der Bezahlung mit Ihnen oder Ihrer Krankenkasse.

Auch für diese Dienstleister muss die Arztpraxis sicherstellen, dass der Datenschutz durch entsprechende Verträge gewährleistet ist.

Meldepflichten bei Datenschutzvorfällen

Sollte es trotz aller Vorkehrungen zu einer Datenpanne kommen (z.B. einem Hackerangriff oder dem Verlust von Daten), ist der Verantwortliche (die Arztpraxis) verpflichtet, diesen Vorfall innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden. Besteht ein hohes Risiko für Ihre persönlichen Rechte und Freiheiten, müssen auch Sie als betroffene Person unverzüglich informiert werden.

Spezialthemen: Kinder, psychische Befunde und Protokolle

Bestimmte Bereiche der Telemedizin erfordern besondere Sorgfalt:

  • Kinder und Jugendliche: Bei Minderjährigen ist die Einwilligung der Erziehungsberechtigten für die Datenverarbeitung erforderlich.
  • Psychische Befunde: Daten aus der Psychotherapie oder Psychiatrie unterliegen einer noch strengeren ärztlichen Schweigepflicht und erfordern höchste Sicherheitsstandards.
  • Video- und Chatprotokolle: Eine Speicherung von Gesprächsaufzeichnungen oder Chatverläufen darf nur mit Ihrer ausdrücklichen Einwilligung und für einen klar definierten Zweck erfolgen. In der Regel sollten solche Daten nach der Konsultation nicht dauerhaft gespeichert werden.

Ihre Rechte als Patientin oder Patient

Die DSGVO stattet Sie mit starken Rechten aus. Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO): Sie können erfahren, welche Daten über Sie gespeichert sind.
  • Berichtigung (Art. 16 DSGVO): Sie können die Korrektur falscher Daten verlangen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten (z.B. aus der Patientenakte) entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Umständen verlangen, dass Ihre Daten nur noch gespeichert, aber nicht mehr anderweitig genutzt werden.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen.

Zur Ausübung dieser Rechte wenden Sie sich direkt an die verantwortliche Arztpraxis.

Kurzanleitung: So sichern Sie Ihre Telemedizin-Sitzung

  1. Sichere Umgebung schaffen: Wählen Sie einen privaten Raum ohne Zuhörer.
  2. Stabiles und privates WLAN nutzen: Vermeiden Sie öffentliche Netzwerke.
  3. Auf sichere Verbindung achten: Suchen Sie das Schlosssymbol in Ihrem Browser.
  4. Keine sensiblen Daten per E-Mail senden: Nutzen Sie nur die von der Praxis vorgesehenen, gesicherten Kanäle.

Praxisbeispiel: Typische Stolperfallen vermeiden

Die Stolperfalle: Ein Arzt möchte schnell und unkompliziert eine Videosprechstunde anbieten und nutzt dafür einen bekannten, kostenlosen Messenger-Dienst für private Kommunikation. Er lädt den Patienten per normaler Nachricht ein.

Das Problem: Solche Dienste bieten oft keine Ende-zu-Ende-Verschlüsselung nach medizinischen Standards, verarbeiten Metadaten für eigene Zwecke und erfüllen nicht die Anforderungen an einen Auftragsverarbeitungsvertrag. Der Datenschutz in der Telemedizin wird hier massiv verletzt.

Die Lösung: Die Arztpraxis muss einen spezialisierten und zertifizierten Videodienstanbieter nutzen, der einen AVV anbietet und dessen Sicherheitsarchitektur für den Umgang mit Gesundheitsdaten ausgelegt ist. Als Patient sollten Sie skeptisch werden, wenn eine Konsultation über einen alltäglichen Messenger stattfinden soll.

Häufig gestellte Fragen (FAQ)

Muss ich einer Aufzeichnung der Videosprechstunde zustimmen?

Nein. Eine Aufzeichnung darf nur mit Ihrer ausdrücklichen und freiwilligen Einwilligung erfolgen. Sie können diese jederzeit ablehnen, ohne dass Ihnen Nachteile entstehen.

Was kann ich tun, wenn ich ein Datenschutzproblem vermute?

Sprechen Sie zuerst die verantwortliche Arztpraxis an. Hilft dies nicht, können Sie sich an den Landesbeauftragten für den Datenschutz in Ihrem Bundesland oder den Bundesbeauftragten für den Datenschutz wenden.

Werden meine Daten an die Krankenkasse weitergegeben?

Nur die für die Abrechnung notwendigen Daten werden an die Krankenkasse übermittelt. Inhalte des Arztgespräches oder detaillierte Diagnosen werden nicht ohne rechtliche Grundlage weitergegeben.

Weiterführende Links und Glossar

Für vertiefende Informationen können Sie die Webseiten offizieller Stellen und anerkannter Verbände konsultieren:

Glossar

  • Auftragsverarbeiter: Ein Dienstleister (z.B. Software-Anbieter), der Daten im Auftrag des Verantwortlichen verarbeitet.
  • AVV: Auftragsverarbeitungsvertrag. Der rechtlich notwendige Vertrag zwischen Verantwortlichem und Auftragsverarbeiter.
  • DSGVO: Datenschutz-Grundverordnung. Der zentrale rechtliche Rahmen für den Datenschutz in der EU.
  • Verantwortlicher: Die Person oder Stelle (z.B. Arztpraxis), die über die Zwecke und Mittel der Datenverarbeitung entscheidet.

Weitere relevante Inhalte