Datenschutz in Kliniken und Praxen: Praxisleitfaden Patientendaten

Datenschutz in Gesundheitsinstitutionen 2025: Ein praxisnaher Leitfaden

Inhaltsverzeichnis

• Einleitung: Relevanz und Anwendungsbereich im Gesundheitswesen
• Rechtliche Grundlagen kurz erklärt: DSGVO und BDSG
• Welche Gesundheitsdaten sind besonders schutzbedürftig?
• Elektronische Patientenakte und lokale Systeme: Zugriff und Protokollierung
• Abrechnungsprozesse und externe Dienstleister: Der Auftragsverarbeitungsvertrag (AVV)
• Kommunikation mit Patientinnen und Patienten: Risiken und Maßnahmen
• DPIA-Entscheidungshilfe: Wann ist eine Folgenabschätzung nötig?
• Technische und organisatorische Maßnahmen (TOMs) für Kliniken und Praxen
• Datenminimierung und Speicherfristen in der Praxis
• Fotos und Videoaufnahmen bei Veranstaltungen
• Besonderer Schutz von Kinder- und Jugenddaten
• Checklisten für den schnellen Einsatz
• Vorlagen-Skizzen für die Praxis
• Glossar: Wichtige Begriffe verständlich erklärt
• Weiterführende Quellen und offizielle Anlaufstellen

Einleitung: Relevanz und Anwendungsbereich im Gesundheitswesen

Der Datenschutz in Gesundheitsinstitutionen ist mehr als eine gesetzliche Pflicht – er ist die Grundlage für das Vertrauensverhältnis zwischen medizinischem Personal und Patientinnen und Patienten. In einer digitalisierten Welt, in der Gesundheitsdaten zunehmend elektronisch verarbeitet werden, steigt die Verantwortung für Klinikleitungen, Praxisinhaber und IT-Verantwortliche exponentiell. Ein Verstoß kann nicht nur empfindliche Bußgelder nach sich ziehen, sondern auch den Ruf einer Einrichtung nachhaltig schädigen.

Dieser Leitfaden richtet sich an alle Verantwortlichen im Gesundheitssektor und bietet eine praxisnahe Anleitung zur operativen Umsetzung der datenschutzrechtlichen Anforderungen. Er deckt den gesamten Bereich von Arztpraxen über Kliniken und Labore bis hin zu Pflegeeinrichtungen und therapeutischen Praxen ab und fokussiert auf konkrete, umsetzbare Maßnahmen für das Jahr 2025 und darüber hinaus.

Rechtliche Grundlagen kurz erklärt: DSGVO und BDSG

Die zentralen rechtlichen Rahmenbedingungen für den Datenschutz in Gesundheitsinstitutionen sind die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Sie definieren, wie personenbezogene Daten, insbesondere Gesundheitsdaten, verarbeitet werden dürfen.

Art. 6 DSGVO: Die Rechtmäßigkeit der Verarbeitung

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage. Im Gesundheitswesen sind dies typischerweise:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für Verarbeitungen, die nicht direkt zur Behandlung gehören (z. B. Newsletter, Teilnahme an Studien).
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Der Behandlungsvertrag zwischen Praxis/Klinik und Patient.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Gesetzliche Dokumentations- und Aufbewahrungspflichten.

Art. 9 DSGVO: Der Schutz besonderer Datenkategorien

Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO). Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, eine der strengen Ausnahmen des Art. 9 Abs. 2 DSGVO greift. Für das Gesundheitswesen ist insbesondere lit. h relevant: Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik oder der Behandlung erforderlich. Das deutsche Recht konkretisiert dies weiter, beispielsweise in § 22 Abs. 1 Nr. 1 b) BDSG.

Welche Gesundheitsdaten sind besonders schutzbedürftig?

Der Begriff “Gesundheitsdaten” ist weit gefasst. In der Praxis fallen darunter alle Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person beziehen. Dazu gehören unter anderem:

• Anamnesebögen und Diagnosen
• Laborwerte und Untersuchungsergebnisse
• Verschriebene Medikamente und Behandlungspläne
• Therapieberichte und Pflegedokumentationen
• Genetische und biometrische Daten
• Abrechnungsdaten mit Leistungsziffern, die Rückschlüsse auf Behandlungen zulassen
• Patientenfotos für die Dokumentation

Elektronische Patientenakte und lokale Systeme: Zugriff und Protokollierung

Die Sicherheit von Praxisverwaltungssoftware (PVS) und Krankenhausinformationssystemen (KIS) ist entscheidend. Zwei Prinzipien sind hierbei zentral.

Zugriffskonzepte: Das Need-to-Know-Prinzip

Mitarbeitende dürfen nur auf die Daten zugreifen, die sie für ihre spezifische Aufgabe benötigen. Ein Mitarbeitender an der Rezeption benötigt keinen Zugriff auf detaillierte Laborbefunde, während eine Ärztin diesen für die Behandlung braucht. Ein detailliertes Rollen- und Berechtigungskonzept ist unerlässlich, um den Grundsatz der Datenminimierung umzusetzen.

Protokollierungspflichten

Jeder Zugriff auf Patientendaten muss lückenlos protokolliert werden. Die Protokolle müssen mindestens folgende Informationen enthalten: Wer hat wann auf welche Daten warum zugegriffen? Diese Protokolle sind für die Aufklärung von Datenschutzvorfällen und zur Rechenschaftslegung gegenüber Aufsichtsbehörden essenziell.

Abrechnungsprozesse und externe Dienstleister: Der Auftragsverarbeitungsvertrag (AVV)

Wenn externe Dienstleister wie Abrechnungsstellen, IT-Wartungsfirmen oder Laboratorien Gesundheitsdaten im Auftrag verarbeiten, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich. Dieser Vertrag stellt sicher, dass der Dienstleister die Daten nur nach Weisung und unter Einhaltung derselben Datenschutzstandards verarbeitet.

Typische Klauseln in einem AVV

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Die technischen und organisatorischen Maßnahmen (TOMs) des Dienstleisters
• Regelungen zur Einschaltung von Subunternehmern
• Weisungsrechte des Auftraggebers
• Unterstützungspflichten bei Betroffenenrechten und Meldepflichten
• Regelungen zur Löschung oder Rückgabe der Daten nach Vertragsende

Kommunikation mit Patientinnen und Patienten: Risiken und Maßnahmen

Die Kommunikation über digitale Kanäle ist praktisch, birgt jedoch erhebliche Risiken für den Datenschutz in Gesundheitsinstitutionen. Eine sorgfältige Risikoanalyse ist Pflicht.

Risikoanalyse für Kommunikationskanäle

• E-Mail (unverschlüsselt): Hohes Risiko. E-Mails sind wie Postkarten lesbar. Die Übermittlung von Gesundheitsdaten ist nur mit Ende-zu-Ende-Verschlüsselung oder nach ausdrücklicher, informierter Einwilligung des Patienten für den unverschlüsselten Versand im Einzelfall zulässig.
• SMS: Hohes Risiko. Keine Verschlüsselung, Metadaten fallen an. Nur für organisatorische, nicht-sensible Informationen wie Terminerinnerungen ohne Behandlungsbezug geeignet.
• Messaging-Apps (z. B. WhatsApp): Extrem hohes Risiko. Die Verarbeitung durch den Anbieter (Meta) in den USA und der Abgleich von Kontaktdaten sind datenschutzrechtlich inakzeptabel für die Übermittlung von Gesundheitsdaten.

Maßnahmen für eine sichere Kommunikation

Die sicherste Methode ist die Nutzung von gesicherten Patientenportalen. Falls E-Mail genutzt werden muss, sind Transport- und Inhaltsverschlüsselung (z. B. S/MIME oder PGP) zu implementieren. Für jede unsichere Übermittlung muss eine dokumentierte Einwilligung der Patientin oder des Patienten vorliegen, die über die Risiken aufklärt.

DPIA-Entscheidungshilfe: Wann ist eine Folgenabschätzung nötig?

Eine Datenschutz-Folgenabschätzung (DSFA), auf Englisch Data Protection Impact Assessment (DPIA), ist nach Art. 35 DSGVO immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Im Gesundheitswesen ist dies häufig der Fall.

Schritt-für-Schritt zur Entscheidung

Prüfen Sie, ob Ihr Vorhaben mindestens zwei der folgenden Kriterien erfüllt (Liste der Aufsichtsbehörden):

1. Umfangreiche Verarbeitung besonderer Datenkategorien (trifft auf Kliniken und große Praxen fast immer zu).
2. Einsatz neuer Technologien (z. B. KI-gestützte Diagnosetools, neue KIS-Module).
3. Systematische und umfangreiche Bewertung persönlicher Aspekte (z. B. Scoring-Verfahren).
4. Zusammenführung oder Abgleich von Datensätzen.
5. Verarbeitung von Daten schutzbedürftiger Personen (Patienten).

Bei der Einführung einer zentralen elektronischen Patientenakte oder eines neuen Systems zur Fernüberwachung von Patientendaten ist eine DSFA für 2025 und danach unumgänglich.

Technische und organisatorische Maßnahmen (TOMs) für Kliniken und Praxen

TOMs sind das Rückgrat für den Schutz von Gesundheitsdaten. Sie müssen dem Stand der Technik entsprechen und das Risiko angemessen absichern.

Praxistaugliche TOM-Checkliste

• Zutrittskontrolle: Gesicherte Serverräume, abschließbare Büros und Aktenschränke.
• Zugangskontrolle: Sichere Passwörter mit erzwungener Komplexität, Zwei-Faktor-Authentifizierung (2FA) für den Fernzugriff.
• Zugriffskontrolle: Implementierung des oben genannten Rollen- und Berechtigungskonzepts.
• Weitergabekontrolle: Verschlüsselung von Laptops und USB-Sticks, Einsatz von verschlüsselten Verbindungen (z. B. VPN, TLS) für die Datenübertragung.
• Eingabekontrolle: Lückenlose Protokollierung der Dateneingaben, -änderungen und -löschungen in den Kernsystemen.
• Auftragskontrolle: Strenge Auswahl und vertragliche Bindung (AVV) von Dienstleistern.

Datenminimierung und Speicherfristen in der Praxis

Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Im Gesundheitswesen ergeben sich die Fristen oft aus gesetzlichen Vorgaben.

• Behandlungsdokumentation: Nach § 630f BGB besteht eine Aufbewahrungspflicht von 10 Jahren nach Abschluss der Behandlung.
• Abrechnungsunterlagen: Steuerrechtliche Aufbewahrungspflichten (i.d.R. 10 Jahre) sind zu beachten.
• Röntgenbilder: Je nach Art der Aufnahmen gelten spezielle Fristen (z. B. 10 oder 30 Jahre nach der letzten Untersuchung).

Nach Ablauf der Fristen müssen die Daten sicher und unwiederbringlich gelöscht werden. Ein Löschkonzept ist dafür unerlässlich.

Fotos und Videoaufnahmen bei Veranstaltungen

Für Fotos oder Videos bei Klinikfesten oder Informationsveranstaltungen, auf denen Patientinnen, Patienten oder Mitarbeitende erkennbar sind, ist eine informierte, freiwillige und separate Einwilligung erforderlich. Pauschale Hinweise reichen nicht aus. Als Alternative können Fotos gemacht werden, die keine Personen identifizierbar zeigen (z. B. Aufnahmen von hinten, Detailaufnahmen).

Besonderer Schutz von Kinder- und Jugenddaten

Die Daten von Kindern und Jugendlichen genießen einen noch höheren Schutz. Bei Einwilligungen (z. B. für die Teilnahme an einer Studie) müssen in der Regel die Erziehungsberechtigten zustimmen. Die Informationen und Einwilligungserklärungen müssen altersgerecht und verständlich formuliert sein.

Checklisten für den schnellen Einsatz

Checkliste Auftragsverarbeitung

• Ist der Dienstleister vertrauenswürdig und kann er die Sicherheit der Daten garantieren?
• Liegt ein gültiger AVV nach Art. 28 DSGVO vor?
• Sind die TOMs des Dienstleisters im AVV konkret beschrieben?
• Gibt es eine Regelung zur Kontrolle des Dienstleisters (z. B. durch Zertifikate oder Audits)?

Checkliste Kommunikation

• Wird ein sicherer Kommunikationskanal (Portal, verschlüsselte E-Mail) als Standard angeboten?
• Liegt für jede unverschlüsselte Übermittlung sensibler Daten eine separate, informierte Einwilligung vor?
• Sind die Mitarbeitenden geschult, welche Informationen über welchen Kanal kommuniziert werden dürfen?

Vorlagen-Skizzen für die Praxis

Musterformulierung: AVV-Klausel zur Weisungsbindung

“Der Auftragnehmer darf die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers verarbeiten. Dies gilt auch für die Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation, sofern der Auftragnehmer nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zu einer solchen Verarbeitung verpflichtet ist.”

Muster: Protokollanforderungen für Systemzugriffe

“Alle Lese- und Schreibzugriffe auf Patientendaten im System [Name des Systems] müssen protokolliert werden. Das Protokoll muss mindestens folgende Datenpunkte manipulationssicher erfassen: Benutzer-ID, Zeitstempel des Zugriffs, Patienten-ID, Art des Zugriffs (Lesen/Schreiben/Löschen), Begründung des Zugriffs (sofern technisch möglich).”

Glossar: Wichtige Begriffe verständlich erklärt

• Verantwortlicher (Controller): Die Klinik, Praxis oder Einrichtung, die über die Zwecke und Mittel der Datenverarbeitung entscheidet.
• Auftragsverarbeiter (Processor): Ein externer Dienstleister (z. B. Abrechnungsstelle), der Daten im Auftrag des Verantwortlichen verarbeitet.
• Besondere Kategorien personenbezogener Daten: Dazu zählen u. a. Gesundheitsdaten, genetische und biometrische Daten. Sie unterliegen einem besonders hohen Schutzniveau.
• Pseudonymisierung: Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

Weiterführende Quellen und offizielle Anlaufstellen

Für vertiefende Informationen und rechtlich aktuelle Entwicklungen zum Datenschutz in Gesundheitsinstitutionen empfehlen wir die Webseiten offizieller Stellen:

• Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
• Bundesdatenschutzgesetz (BDSG) im Volltext
• Bundesministerium für Gesundheit (BMG)
• Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.
• Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.