Patientenkommunikation und DSGVO: Kanäle, Einwilligungen, Praxis

Patientenkommunikation und DSGVO: Kanäle, Einwilligungen, Praxis

Inhaltsverzeichnis

1. Einleitung: Warum sichere Patientenkommunikation und DSGVO Hand in Hand gehen

In der modernen Zahnarztpraxis ist eine schnelle und effiziente Kommunikation mit Patienten unerlässlich. Terminerinnerungen per SMS, Befundbesprechungen per E-Mail oder die Nutzung von Messenger-Diensten scheinen den Praxisalltag zu erleichtern. Doch hier treffen Serviceorientierung und strenge rechtliche Vorgaben aufeinander. Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten nach Artikel 9 der Datenschutz-Grundverordnung (DSGVO (GDPR auf Englisch)) und genießen daher höchsten Schutz. Eine professionelle Patientenkommunikation und DSGVO-Konformität sind somit keine optionalen Extras, sondern eine zwingende Voraussetzung für den rechtssicheren Praxisbetrieb. Dieser Leitfaden bietet Ihnen eine praxisnahe Anleitung, um Risiken zu minimieren, Vertrauen zu schaffen und die Kommunikation datenschutzkonform zu gestalten.

2. Kurzcheck 2025: Sofortmaßnahmen für die datenschutzkonforme Praxis

Überprüfen Sie schnell und einfach den Status Quo Ihrer Praxis. Wo stehen Sie bei der Umsetzung der DSGVO in der Patientenkommunikation? Haken Sie die folgenden Punkte ab:

  • Einwilligungen prüfen: Liegen für alle Kommunikationskanäle (E-Mail, SMS, Messenger) separate und informierte Einwilligungen Ihrer Patienten vor?
  • Verschlüsselung aktiv: Nutzen Sie standardmäßig eine Transport- und Ende-zu-Ende-Verschlüsselung für den digitalen Versand von Gesundheitsdaten?
  • Dienstleister-Check (AVV): Haben Sie mit allen externen Dienstleistern (PVS-Anbieter, Cloud-Dienste, Online-Terminkalender) einen gültigen Auftragsverarbeitungsvertrag (AVV) abgeschlossen?
  • Verarbeitungsverzeichnis aktuell: Ist Ihre gesamte Patientenkommunikation im Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentiert?
  • Mitarbeiterschulung: Sind alle Mitarbeiter im Umgang mit sensiblen Daten und den internen Datenschutzrichtlinien geschult?
  • Zugriffsrechte definiert: Hat jeder Mitarbeiter nur Zugriff auf die Daten, die er für seine Aufgabe benötigt (Need-to-know-Prinzip)?
  • Datenpannen-Prozess bekannt: Kennt Ihr Team den Notfallplan für den Fall einer Datenpanne und die 72-Stunden-Meldefrist?
  • WhatsApp und Co. gestoppt: Ist die Nutzung unsicherer, privater Messenger-Dienste für die dienstliche Kommunikation klar untersagt und technisch unterbunden?
  • Sichere Passwörter: Werden komplexe Passwörter verwendet und regelmäßig geändert?
  • Datensparsamkeit gelebt: Erheben und kommunizieren Sie nur die absolut notwendigen Patientendaten für den jeweiligen Zweck?

3. Kanalbewertung und Risiko-Matrix für die Patientenkommunikation

Nicht jeder Kommunikationskanal ist für jeden Zweck geeignet. Die folgende Matrix hilft Ihnen, die Risiken der gängigsten Kanäle einzuschätzen und die richtige Wahl für eine DSGVO-konforme Patientenkommunikation zu treffen.

Kommunikationskanal Geeignet für organisatorische Infos (z.B. Terminerinnerung ohne medizinische Details) Geeignet für Gesundheitsdaten (z.B. Befunde, Rechnungen mit Leistungsziffern) Typisches Risiko Empfohlene Maßnahme
Telefon Ja Ja (mit Identitätsprüfung) Mithören durch Dritte, falscher Gesprächspartner Identitätsprüfung durch Kontrollfragen (z.B. Geburtsdatum)
Unverschlüsselte E-Mail Nur mit expliziter Einwilligung und Risikoaufklärung Nein Keine Vertraulichkeit, wie eine Postkarte lesbar Grundsätzlich vermeiden; für organisatorisches nur nach nachgewiesener Einwilligung
Verschlüsselte E-Mail (Ende-zu-Ende) Ja Ja Komplexität für den Patienten (Schlüsselmanagement) Lösungen wie KIM (Kommunikation im Medizinwesen) oder gesicherte E-Mail-Provider nutzen
SMS Ja (ohne sensible Details) Nein Unverschlüsselt, keine garantierte Zustellung an den Empfänger Nur für allgemeine Terminerinnerungen (“Ihr Termin morgen um 10:00 Uhr”) nutzen
WhatsApp / Standard-Messenger Nein Nein Datenübermittlung in die USA, Metadatenanalyse, Zugriff auf Adressbuch Nutzung für dienstliche Zwecke strikt untersagen
Sichere Messenger (für Gesundheitswesen) Ja Ja Anbieterabhängig, Akzeptanz beim Patienten AVV mit dem Anbieter abschließen, Zertifizierungen prüfen
Patientenportal Ja Ja Sicherheit der Plattform, Zugangsdatenmanagement Renommierten Anbieter mit Serverstandort in der EU/EWR wählen, AVV abschließen

4. Rechtliche Grundlagen kompakt: DSGVO in der Zahnarztpraxis

Die Verarbeitung von Gesundheitsdaten ist grundsätzlich verboten. Ausnahmen regelt die DSGVO präzise. Für die Praxis sind vor allem zwei Rechtsgrundlagen entscheidend:

  • Art. 9 Abs. 2 lit. h) DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 b) BDSG: Diese Rechtsgrundlage deckt die Verarbeitung von Gesundheitsdaten ab, die für die medizinische Behandlung (Diagnose, Versorgung, Verwaltung von Diensten im Gesundheitssektor) erforderlich ist. Dies betrifft die Kommunikation zwischen Arzt und Patient im Rahmen des Behandlungsvertrags.
  • Art. 9 Abs. 2 lit. a) DSGVO (Einwilligung): Für jede Datenverarbeitung, die über den reinen Behandlungszweck hinausgeht, benötigen Sie eine separate, freiwillige und informierte Einwilligung des Patienten. Beispiele hierfür sind Terminerinnerungen per SMS/E-Mail, der Versand von Informationen per unverschlüsselter E-Mail oder die Teilnahme an Bonusprogrammen.

Die Herausforderung für eine moderne Patientenkommunikation und DSGVO-Konformität liegt darin, klar zu trennen, welche Kommunikation vom Behandlungsvertrag gedeckt ist und wofür eine explizite Einwilligung erforderlich ist.

5. Einwilligungen praktisch: Formulierung, Aufbau und Mustertexte

Eine rechtsgültige Einwilligung ist das zentrale Instrument für eine flexible und dennoch sichere Patientenkommunikation. Sie muss folgende Kriterien erfüllen: freiwillig, informiert, spezifisch, unmissverständlich und jederzeit widerrufbar.

Aufbau einer wirksamen Einwilligung

  • Klarer Titel: z.B. “Einwilligung in die digitale Kommunikation”
  • Freiwilligkeit betonen: Stellen Sie klar, dass die Behandlung nicht von der Einwilligung abhängt.
  • Zweckbindung: Beschreiben Sie exakt, wofür Sie die Einwilligung einholen (z.B. “für Terminerinnerungen”, “für den Rechnungsversand”).
  • Kanal-Granularität: Holen Sie die Einwilligung für jeden Kanal (E-Mail, SMS etc.) separat ein. Ankreuzfelder sind hier ideal.
  • Risikoaufklärung: Weisen Sie bei unsicheren Kanälen (z.B. unverschlüsselte E-Mail) explizit auf die Risiken hin (z.B. “Ich wurde darüber aufgeklärt, dass bei einer unverschlüsselten E-Mail-Kommunikation die Daten von Dritten eingesehen werden können.”).
  • Widerrufsrecht: Informieren Sie über das Recht, die Einwilligung jederzeit und ohne Angabe von Gründen zu widerrufen.
  • Datenschutzerklärung: Verweisen Sie auf Ihre allgemeine Datenschutzerklärung.
  • Datum und Unterschrift: Sorgen Sie für eine saubere Dokumentation.

Mustertext: Granulare Einwilligung (Auszug)

“Ich willige freiwillig ein, dass die Praxis Dr. Mustermann mich für die unten angekreuzten Zwecke über die ebenfalls angekreuzten Kanäle kontaktiert. Mir ist bekannt, dass meine Behandlung nicht von dieser Einwilligung abhängt und ich sie jederzeit ganz oder teilweise widerrufen kann.”

Zweck: Terminerinnerungen und -verschiebungen
☐ per SMS an die Nummer: _______________
☐ per E-Mail an die Adresse: _______________

Zweck: Versand von Rechnungen und Kostenvoranschlägen
☐ per E-Mail an die Adresse: _______________
(☐ Ich wurde darüber aufgeklärt, dass bei unverschlüsselter Übertragung ein Mitlesen durch Dritte nicht ausgeschlossen werden kann und stimme diesem Risiko zu.)

6. Dokumentation und Protokollierung: Das A und O der Nachweispflicht

Nach der DSGVO müssen Sie nachweisen können, dass Sie datenschutzkonform handeln (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Zwei Instrumente sind dafür zentral:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Hier müssen Sie alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, detailliert beschreiben. Für die Patientenkommunikation bedeutet das: Welcher Kanal wird für welchen Zweck genutzt? Welche Datenkategorien werden übertragen? Welche Rechtsgrundlage gibt es dafür? Welche technischen und organisatorischen Maßnahmen (TOMs) schützen die Daten?
  • Protokollierung von Einwilligungen: Führen Sie ein “Einwilligungslog”. Dokumentieren Sie, wer wann wofür eine Einwilligung erteilt hat und wie der Text der Einwilligung lautete. Dies ist entscheidend, um im Zweifelsfall die Rechtsgrundlage Ihrer Kommunikation nachweisen zu können.

7. Datenträger und Übertragung: Verschlüsselung als Mindeststandard

Der Schutz von Gesundheitsdaten erfordert robuste technische Maßnahmen. Der Grundsatz lautet: Wo Gesundheitsdaten sind, muss Verschlüsselung sein.

  • Transportverschlüsselung (TLS): Dies ist der Mindeststandard für jede Online-Kommunikation (z.B. E-Mail-Versand, Zugriff auf Patientenportale). Sie schützt die Daten auf dem Weg vom Sender zum Empfänger.
  • Ende-zu-Ende-Verschlüsselung (E2EE): Dies ist der Goldstandard. Nur Sender und Empfänger können die Daten im Klartext lesen, nicht einmal der Anbieter des Dienstes. Dies ist bei der Wahl von Messengern oder E-Mail-Diensten das entscheidende Kriterium.
  • Datenträgerverschlüsselung: Alle Geräte, auf denen Patientendaten gespeichert sind (Server, Laptops, USB-Sticks), müssen vollständig verschlüsselt sein.

8. Externe Dienstleister und PVS: Auswahlkriterien und AVV-Checkliste

Kaum eine Praxis kommt ohne externe Dienstleister aus. Ob Praxisverwaltungssoftware (PVS) in der Cloud, Online-Terminbuchung oder Newsletter-Tool – sobald ein Dritter in Ihrem Auftrag Patientendaten verarbeitet, benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Sie als Praxis bleiben dabei immer der Verantwortliche für die Daten.

AVV-Checkliste für die Anbieterauswahl

  • ✅ Bietet der Dienstleister einen DSGVO-konformen AVV an?
  • ✅ Befindet sich der Serverstandort des Dienstleisters innerhalb der EU oder des EWR?
  • ✅ Gibt es anerkannte Zertifizierungen (z.B. nach ISO 27001)?
  • ✅ Beschreibt der Anbieter seine technischen und organisatorischen Maßnahmen (TOMs) transparent?
  • ✅ Garantiert der Anbieter, dass er Ihre Daten nicht für eigene Zwecke nutzt?
  • ✅ Gibt es klare Regelungen zur Unterstützung bei Datenpannen und Betroffenenanfragen?

9. Sonderfälle: Minderjährige und gesetzliche Vertreter

Besondere Sorgfalt ist bei der Kommunikation mit und über Minderjährige geboten. Bis zu einem bestimmten Alter (die DSGVO nennt hier 16 Jahre, im nationalen Gesundheitsrecht können andere Grenzen gelten) ist die Einwilligung der Sorgeberechtigten erforderlich. Stellen Sie sicher, dass Ihre Prozesse klar definieren, wann die Einwilligung der Eltern und wann (ggf. zusätzlich) die des Jugendlichen erforderlich ist. Die Kommunikation sollte grundsätzlich an die gesetzlichen Vertreter gerichtet werden, es sei denn, der reife Minderjährige wünscht explizit eine direkte Kommunikation und ist dazu in der Lage.

10. Notfallablauf bei Datenpannen: Richtig handeln unter Zeitdruck

Trotz aller Vorsicht kann es zu einer Datenpanne kommen – etwa durch eine falsch adressierte E-Mail oder einen Hackerangriff. Dann ist schnelles und systematisches Handeln gefragt.

  1. Erkennen und sofort melden: Jeder Mitarbeiter muss eine potenzielle Panne unverzüglich an den Praxisinhaber oder den Datenschutzbeauftragten melden.
  2. Bewerten: Klären Sie schnell: Welche Daten sind betroffen? Wie viele Patienten? Welches Risiko besteht für die Betroffenen (z.B. Diskriminierung, finanzieller Verlust, Identitätsdiebstahl)?
  3. Melden an die Aufsichtsbehörde: Besteht ein Risiko für die Rechte und Freiheiten der Betroffenen, müssen Sie die Panne innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Landesdatenschutzbehörde melden.
  4. Benachrichtigung der Betroffenen: Besteht ein hohes Risiko, müssen Sie auch die betroffenen Patienten unverzüglich informieren.
  5. Dokumentieren: Alle Datenpannen, die getroffenen Maßnahmen und die Entscheidungen müssen intern lückenlos dokumentiert werden.

11. Technische Integration: KIM, sichere Messenger und Praxissoftware

Für die Zukunft der digitalen Kommunikation im Gesundheitswesen spielen sichere, integrierte Lösungen eine Schlüsselrolle. Ab 2025 wird die technische Landschaft klarer:

  • KIM (Kommunikation im Medizinwesen): Als Teil der Telematikinfrastruktur (TI) ist KIM der offizielle, sichere E-Mail-Dienst für den Austausch zwischen Leistungserbringern im Gesundheitswesen. Er bietet höchste Sicherheit für die Kommunikation mit Kollegen, Laboren oder Kassen.
  • Sichere Messenger und Patientenportale: Für die direkte Patientenkommunikation und DSGVO-Konformität eignen sich spezialisierte Lösungen, die Ende-zu-Ende-verschlüsselt sind, einen AVV anbieten und sich idealerweise in Ihre Praxissoftware integrieren lassen. Sie sind oft nutzerfreundlicher als KIM für den Patienten.

Die Entscheidung hängt von Ihren Praxisabläufen ab: KIM ist für die B2B-Kommunikation gesetzt. Für die Patientenkommunikation ist ein sicheres Portal oder ein dedizierter Messenger oft die flexiblere und effizientere Wahl.

12. 30/60/90-Tage Implementierungsplan für Ihre Praxis

Nutzen Sie diesen Plan, um die DSGVO-Konformität Ihrer Patientenkommunikation strukturiert umzusetzen.

  • Tage 1-30: Analyse und Planung
    • Verantwortlich: Praxisleitung
    • Aktion: IST-Analyse aller Kommunikationskanäle durchführen. VVT aktualisieren. Einwilligungen prüfen und ggf. neue Formulare entwerfen. AVVs mit allen Dienstleistern sammeln und prüfen.
  • Tage 31-60: Implementierung und Schulung
    • Verantwortlich: Praxismanagement, Team
    • Aktion: Neue Einwilligungserklärungen bei allen Patienten einholen. Unsichere Kanäle (z.B. WhatsApp) technisch und organisatorisch blockieren. Team im Umgang mit den neuen Prozessen und Formularen schulen. Notfallplan für Datenpannen kommunizieren.
  • Tage 61-90: Überprüfung und Optimierung
    • Verantwortlich: Praxisleitung, Datenschutzbeauftragter
    • Aktion: Wirksamkeit der Maßnahmen überprüfen (Stichproben). Feedback vom Team und von Patienten einholen. Prozesse bei Bedarf anpassen. Regelmäßige Datenschutz-Auffrischungsschulung im Kalender für das nächste Jahr einplanen.

13. Vorlagen im Überblick

Dieser Leitfaden liefert die Bausteine für Ihre praxisinternen Dokumente:

  • Mustertext für eine granulare Einwilligung: Nutzen Sie die Struktur aus Abschnitt 5 als Basis für Ihr eigenes Formular.
  • AVV-Fragenkatalog: Verwenden Sie die Checkliste aus Abschnitt 8 als Leitfaden für Gespräche mit Dienstleistern.
  • Muster für eine Benachrichtigung bei Datenpannen: Halten Sie einen Text bereit, der klar und verständlich über den Vorfall, mögliche Konsequenzen und die von Ihnen ergriffenen Maßnahmen informiert.
  • Vorlage für ein Einwilligungslog: Eine einfache Tabelle mit den Spalten (Patient, Datum, Zweck/Kanal, Widerruf am) genügt zur Dokumentation.

14. Kurz-FAQ und Dos and Don’ts für das Praxisteam

Häufig gestellte Fragen

Darf ich einem Patienten eine unverschlüsselte E-Mail mit einem Befund senden, wenn er das wünscht?
Ja, aber nur, wenn Sie eine explizite, schriftliche Einwilligung haben, in der Sie den Patienten nachweislich über das Risiko (mögliches Mitlesen durch Dritte) aufgeklärt haben und er diesem Risiko zugestimmt hat.

Reicht eine mündliche Einwilligung am Telefon?
Nein. Eine mündliche Einwilligung ist schwer nachweisbar. Für eine rechtssichere Dokumentation ist die Schriftform (oder ein nachweisbares digitales Verfahren) unerlässlich.

Ist eine Terminerinnerung per SMS ohne Einwilligung erlaubt?
Nein. Auch eine einfache Terminerinnerung ist eine Datenverarbeitung, die über den reinen Behandlungsvertrag hinausgeht und eine Einwilligung erfordert. Die Tatsache, dass ein Patient bei Ihnen einen Termin hat, ist bereits eine schützenswerte Information.

Dos and Don’ts

  • Do: Holen Sie für jeden Kommunikationskanal eine separate Einwilligung ein.
  • Don’t: Nutzen Sie niemals Ihren privaten Messenger für die dienstliche Kommunikation.
  • Do: Prüfen Sie die Identität des Anrufers durch Kontrollfragen.
  • Don’t: Versenden Sie niemals Gesundheitsdaten über ungesicherte Kanäle ohne explizite Einwilligung und Risikoaufklärung.
  • Do: Dokumentieren Sie jede Einwilligung und jede Datenpanne lückenlos.

15. Weiterführende Behördenressourcen und Links

Für vertiefende Informationen und offizielle Leitlinien wenden Sie sich an die zuständigen Behörden: