Datenschutz in Gesundheitsdiensten: Einwilligung, TOMs, Vorlagen

Datenschutz in Gesundheitsdiensten: Einwilligung, TOMs, Vorlagen

Datenschutz in Gesundheitsdienstleistungen: Der Praxisleitfaden 2025 für Praxen und Kliniken

Ein effektiver Datenschutz in Gesundheitsdienstleistungen ist keine bürokratische Hürde, sondern das Fundament des Vertrauensverhältnisses zwischen Behandelnden und Patienten. Gesundheitsdaten gehören laut der Datenschutz-Grundverordnung (DSGVO) zu den „besonderen Kategorien personenbezogener Daten“ und unterliegen daher den strengsten Schutzanforderungen. Dieser praxisorientierte Leitfaden bietet Ihnen als Gesundheitsanbieter, Datenschutzbeauftragter oder IT-Verantwortlicher klare Handlungsanweisungen, Mustertexte und Checklisten für das Jahr 2025 und darüber hinaus, um die komplexen Anforderungen der DSGVO sicher zu meistern.

Inhaltsverzeichnis

Kurzüberblick: Wann gelten Angaben als Gesundheitsdaten?

Nicht jede Information im Gesundheitswesen ist automatisch ein Gesundheitsdatum. Die Abgrenzung ist jedoch entscheidend, da sie den Schutzbedarf bestimmt. Gemäß Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“

Entscheidungsflow: Ist eine Verarbeitung als besondere Kategorie einzustufen?

Nutzen Sie die folgenden Fragen, um Daten schnell zu klassifizieren:

  • Schritt 1: Handelt es sich um ein personenbezogenes Datum?
    • Bezieht sich die Information auf eine identifizierte oder identifizierbare Person (z.B. Name, Patientennummer)?
    • Nein: Die DSGVO ist nicht anwendbar.
    • Ja: Fahren Sie mit Schritt 2 fort.
  • Schritt 2: Offenbart das Datum direkt den Gesundheitszustand?
    • Beispiele: Diagnosen, Symptombeschreibungen, Laborwerte, genetische Daten, Medikationspläne, Röntgenbilder.
    • Ja: Es handelt sich um ein Gesundheitsdatum. Die strengen Regeln des Art. 9 DSGVO gelten.
    • Nein: Fahren Sie mit Schritt 3 fort.
  • Schritt 3: Geht aus dem Kontext der Datenerhebung eine Information über den Gesundheitszustand hervor?
    • Beispiele: Die Tatsache, dass eine Person einen Termin bei einem Onkologen hat; Abrechnungsdaten mit spezifischen Leistungskennziffern; die Anforderung eines Rollstuhls.
    • Ja: Es handelt sich um ein Gesundheitsdatum. Die strengen Regeln des Art. 9 DSGVO gelten.
    • Nein: Es handelt sich um ein „normales“ personenbezogenes Datum (z.B. Name, Adresse, Kontaktdaten ohne Krankheitsbezug), für das die allgemeinen Regeln der DSGVO (Art. 6) gelten.

Rechtsgrundlagen kompakt: DSGVO und Anwendungsfälle

Die Verarbeitung von Gesundheitsdaten ist nach Art. 9 Abs. 1 DSGVO grundsätzlich untersagt. Dieses Verbot wird jedoch durch eine Reihe von Ausnahmen in Art. 9 Abs. 2 DSGVO durchbrochen. Für den Sektor der Gesundheitsdienstleistungen ist insbesondere die folgende Rechtsgrundlage entscheidend:

  • Art. 9 Abs. 2 lit. h) DSGVO: Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, zur Beurteilung der Arbeitsfähigkeit, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich.

Wichtig: Diese Verarbeitung muss auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erfolgen und unterliegt der ärztlichen Schweigepflicht oder anderen Geheimhaltungspflichten. Für die Kernprozesse einer Arztpraxis oder Klinik (Behandlung, Dokumentation, Abrechnung) ist dies die primäre Rechtsgrundlage. Eine separate Einwilligung des Patienten ist hierfür nicht erforderlich.

Einwilligungen richtig formulieren: Muster und Prüfparameter

Eine Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO wird immer dann benötigt, wenn keine andere Rechtsgrundlage die Verarbeitung von Gesundheitsdaten legitimiert. Typische Anwendungsfälle sind:

  • Weitergabe von Daten an Dritte, die nicht direkt an der Behandlung beteiligt sind (z.B. für Forschungszwecke, Zweitmeinungen bei nicht direkt involvierten Ärzten).
  • Nutzung von Patientenfotos für Veröffentlichungen oder auf der Praxis-Webseite.
  • Versand von Newslettern mit Gesundheitsinformationen.
  • Übermittlung von Befunden an private E-Mail-Adressen, sofern dies als unsicherer Übertragungsweg eingestuft wird.

Mustertext für eine Einwilligung

Einwilligung in die Datenverarbeitung
Ich, [Vorname, Nachname des Patienten], geboren am [Geburtsdatum], willige hiermit freiwillig ein, dass die [Name der Praxis/Klinik] meine folgenden Gesundheitsdaten: [Konkrete Daten auflisten, z.B. Befundbericht vom TT.MM.JJJJ, Röntgenbild der Lunge] an [Name und Anschrift des Empfängers] zum Zweck der [Genauen Zweck beschreiben, z.B. Einholung einer ärztlichen Zweitmeinung] übermittelt.
Mir ist bekannt, dass die Übermittlung [ggf. Übertragungsweg beschreiben, z.B. per unverschlüsselter E-Mail] erfolgt und damit Risiken verbunden sind. Ich wurde darüber aufgeklärt, dass ich diese Einwilligung jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen kann. Der Widerruf kann schriftlich an [Kontaktdaten der Praxis] oder mündlich vor Ort erfolgen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt. Die Verweigerung der Einwilligung hat keine negativen Auswirkungen auf meine Behandlung.
[Ort, Datum]
[Unterschrift des Patienten]“

Prüfparameter für eine gültige Einwilligung

  • Freiwilligkeit: Der Patient darf keinen Druck verspüren und keine Nachteile bei Nichterteilung erleiden.
  • Informiertheit: Zweck, Datenkategorien, Empfänger und Widerrufsrecht müssen klar benannt sein.
  • Bestimmtheit: Die Einwilligung muss sich auf einen konkret festgelegten Zweck beziehen.
  • Nachweisbarkeit: Die Einwilligung muss dokumentiert werden (schriftlich oder protokolliert).

Datenschutz-Folgenabschätzung Schritt für Schritt

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei der umfangreichen Verarbeitung von Gesundheitsdaten ist dies oft der Fall, insbesondere bei der Einführung neuer Technologien (z.B. eine neue Praxissoftware mit Cloud-Anbindung, Telemedizin-Plattformen).

Vorlage für eine vereinfachte DSFA

  1. Beschreibung der Verarbeitung: Was soll getan werden? Welche Daten werden verarbeitet? Wer ist beteiligt?
  2. Notwendigkeit und Verhältnismäßigkeit: Warum ist die Verarbeitung für den Zweck notwendig? Gibt es datensparsamere Alternativen?
  3. Risikobewertung: Welche Risiken bestehen für Patienten (z.B. unbefugter Zugriff, Datenverlust, Diskriminierung)? Wie hoch ist die Eintrittswahrscheinlichkeit und der mögliche Schaden?
  4. Abhilfemaßnahmen: Welche technischen und organisatorischen Maßnahmen (TOMs) werden geplant, um die identifizierten Risiken zu minimieren (z.B. Verschlüsselung, Zugriffskonzepte, Schulungen)?
  5. Bewertung des Restrisikos: Ist das verbleibende Risiko nach Umsetzung der Maßnahmen akzeptabel?

Technische und organisatorische Maßnahmen (TOMs) konkret

Ein guter Datenschutz in Gesundheitsdienstleistungen steht und fällt mit wirksamen TOMs nach Art. 32 DSGVO. Hier sind praxisnahe Beispiele:

Verschlüsselung

  • Daten in Bewegung (Data in Transit): Die Kommunikation mit Patienten per E-Mail sollte standardmäßig Ende-zu-Ende-verschlüsselt erfolgen. Für den Austausch mit anderen Leistungserbringern sind sichere Netze wie die Telematikinfrastruktur zu nutzen.
  • Daten im Ruhezustand (Data at Rest): Alle Datenträger auf Servern, PCs, Laptops und mobilen Geräten, die Patientendaten enthalten, müssen vollständig verschlüsselt sein (z.B. mittels BitLocker oder FileVault).

Zugriffskontrollen

  • Implementieren Sie ein rollenbasiertes Berechtigungskonzept in Ihrer Praxissoftware. Nicht jeder Mitarbeiter benötigt Zugriff auf alle Patientendaten. Eine Empfangskraft benötigt andere Rechte als ein behandelnder Arzt.
  • Verwenden Sie starke, individuelle Passwörter und, wo immer möglich, eine Zwei-Faktor-Authentifizierung (2FA), insbesondere für Fernzugriffe.

Protokollierung

  • Aktivieren und überprüfen Sie regelmäßig die Protokollierungsfunktionen Ihrer IT-Systeme. Es muss nachvollziehbar sein, wer wann auf welche Patientendaten zugegriffen hat. Dies ist entscheidend für die Aufklärung von Datenschutzvorfällen.

Datenminimierung und Aufbewahrungsfristen: Praktische Regeln

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO) verlangt, nur die für den Behandlungszweck absolut notwendigen Daten zu erheben. Gleichzeitig stehen dem gesetzliche Aufbewahrungsfristen gegenüber, die eine vorzeitige Löschung verbieten. Ein klares Löschkonzept ist daher unerlässlich.

Dokumentenart Gesetzliche Grundlage (Beispiele) Mindestaufbewahrungsfrist
Patientenakte (allgemein) § 630f Abs. 3 BGB, § 10 Abs. 3 MBO-Ä 10 Jahre nach Abschluss der Behandlung
Röntgenaufnahmen und -behandlungen § 85 Abs. 3 StrlSchV 10, 15 oder 30 Jahre je nach Art und Anwendung
Einwilligungserklärungen Nachweisbarkeit, oft analog zur Patientenakte Mindestens 10 Jahre

Spezialfälle: ePA, Telemedizin und Auftragsverarbeitung

Der moderne Datenschutz in Gesundheitsdienstleistungen muss sich neuen Herausforderungen stellen.

Elektronische Patientenakte (ePA) und Telemedizin

Bei der Nutzung der ePA und telemedizinischer Angebote liegt die Datenhoheit beim Patienten. Sie als Leistungserbringer benötigen explizite Freigaben, um auf Daten zugreifen oder diese einstellen zu können. Stellen Sie sicher, dass die genutzten Telemedizin-Plattformen datenschutzkonform sind und eine sichere, verschlüsselte Verbindung gewährleisten.

Drittparteien und Auftragsverarbeitung

Sobald ein externer Dienstleister (z.B. IT-Wartung, Cloud-Anbieter, externes Labor, Abrechnungsstelle) im Auftrag Ihrer Praxis personenbezogene Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich. Dieser Vertrag regelt die Rechte und Pflichten beider Seiten und stellt sicher, dass der Dienstleister die Daten nur nach Ihrer Weisung und gemäß den Datenschutzstandards verarbeitet.

‘ToDo’-Liste für Administratoren und DSB

Diese einseitige Checkliste fasst die wichtigsten Sofortmaßnahmen für einen robusten Datenschutz zusammen:

  • AV-Verträge prüfen: Überprüfen Sie, ob mit allen externen Dienstleistern (IT, Software, Labor etc.) gültige Auftragsverarbeitungsverträge bestehen.
  • Berechtigungskonzept auditieren: Wer hat Zugriff auf welche Daten? Beschränken Sie Zugriffe nach dem „Need-to-know“-Prinzip. Entfernen Sie alte oder ungenutzte Benutzerkonten.
  • Verschlüsselungsstatus checken: Sind alle Laptops, Server-Festplatten und mobilen Datenträger verschlüsselt? Ist die E-Mail-Verschlüsselung für die Kommunikation mit Patienten eingerichtet?
  • Backup- und Wiederherstellungstest: Führen Sie mindestens quartalsweise einen Test zur Wiederherstellung von Daten aus dem Backup durch. Sind die Backups ebenfalls verschlüsselt?
  • Mitarbeiterschulung planen: Sensibilisieren Sie Ihr Team für Phishing-Gefahren und die Bedeutung der Schweigepflicht. Die letzte Schulung sollte nicht länger als 12 Monate zurückliegen.
  • Protokolldateien sichten: Überprüfen Sie die Zugriffsprotokolle Ihrer Praxissoftware stichprobenartig auf unklare oder unbefugte Zugriffe.
  • Löschkonzept umsetzen: Definieren Sie einen Prozess zur fristgerechten Löschung oder Anonymisierung von Patientendaten nach Ablauf der gesetzlichen Aufbewahrungsfristen.
  • Datenschutzerklärung der Webseite prüfen: Ist sie aktuell und informiert sie über alle Datenverarbeitungen (z.B. Online-Terminbuchung)?
  • Notfallplan aktualisieren: Existiert ein dokumentierter Prozess für den Fall einer Datenpanne (Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden)?

FAQ: Häufige Praxisfragen und knappe Antworten

Darf ich Befunde per E-Mail an Patienten senden?

Nur mit ausdrücklicher, informierter Einwilligung des Patienten und idealerweise über eine Ende-zu-Ende-verschlüsselte Verbindung. Der Patient muss über das Risiko einer unverschlüsselten Übertragung aufgeklärt werden.

Was ist bei der Nutzung von WhatsApp zur Terminvereinbarung zu beachten?

Von der Nutzung von Standard-Messengern wie WhatsApp zur Kommunikation von Gesundheitsdaten oder auch nur zur Terminvereinbarung wird dringend abgeraten. Diese Dienste erfüllen oft nicht die Anforderungen der DSGVO (z.B. Datenübermittlung in die USA, fehlender AV-Vertrag). Nutzen Sie stattdessen sichere, für den Gesundheitsbereich zertifizierte Messenger oder Buchungstools.

Wie lange muss ich eine Einwilligungserklärung aufbewahren?

Mindestens so lange, wie die Datenverarbeitung andauert. Aus Nachweisgründen empfiehlt es sich, die Einwilligung so lange aufzubewahren wie die zugehörige Patientenakte, also in der Regel 10 Jahre nach Abschluss der Behandlung.

Für weiterführende Informationen und offizielle Richtlinien können Sie die Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) konsultieren: BfDI Webseite.