Patientenrechte im Datenschutz: Praxisleitfaden für Einrichtungen

Patientenrechte im Datenschutz: Praxisleitfaden für Einrichtungen

Einleitung: Warum Patientenrechte im Datenschutz 2025 wichtiger sind denn je

Das Vertrauen zwischen Arzt und Patient ist die Grundlage jeder erfolgreichen Behandlung. In einer zunehmend digitalisierten Welt geht dieses Vertrauen weit über die medizinische Kompetenz hinaus und umfasst maßgeblich den Schutz sensibler Gesundheitsdaten. Die Patientenrechte im Datenschutz sind daher keine bürokratische Hürde, sondern ein zentraler Baustein für eine moderne und vertrauensvolle Gesundheitsversorgung. Für Ärztinnen und Ärzte, Praxispersonal und Datenschutzbeauftragte ist ein fundiertes Verständnis dieser Rechte unerlässlich, um rechtssicher zu handeln, das Vertrauen der Patienten zu stärken und empfindliche Sanktionen zu vermeiden. Dieser Leitfaden bietet Ihnen praxisnahe Einblicke, konkrete Handlungsanweisungen und Checklisten, um die komplexen Anforderungen im Praxisalltag souverän zu meistern.

Rechtsgrundlagen verständlich erklärt

DSGVO, DDG und die besondere Rolle von Gesundheitsdaten

Die rechtliche Basis für den Schutz von Patientendaten in Deutschland und der EU ist vielschichtig. Die drei wichtigsten Säulen sind:

  • Die Datenschutz-Grundverordnung (DSGVO, auf English General Data Protection Regulation oder GDPR): Als europäische Verordnung setzt sie den Standard für den Datenschutz. Sie regelt die Verarbeitung personenbezogener Daten und stärkt die Rechte der betroffenen Personen, also auch Ihrer Patientinnen und Patienten.
  • Artikel 9 DSGVO – Besondere Kategorien personenbezogener Daten: Dieser Artikel stellt klar, dass Gesundheitsdaten zu den besonders schützenswerten Informationen gehören. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine explizite Rechtsgrundlage vor, wie z.B. die Notwendigkeit für die medizinische Behandlung oder eine ausdrückliche Einwilligung des Patienten.
  • Das Digitale-Dienste-Gesetz (DDG): Das DDG, das aus dem Telemediengesetz (TMG) hervorgegangen ist, ergänzt die DSGVO und regelt spezifische Aspekte digitaler Dienste. Für Arztpraxen ist es relevant, wenn es um die Webseite, Online-Terminbuchungstools oder Patientenportale geht. Es stellt unter anderem Anforderungen an das Impressum und den Umgang mit Cookies.

Zusätzlich sind die ärztliche Schweigepflicht nach § 203 Strafgesetzbuch (StGB) und die landesspezifischen Krankenhaus- und Gesundheitsgesetze von zentraler Bedeutung für die Patientenrechte im Datenschutz.

Wer gilt als besonders schutzbedürftig?

Der Begriff “Patient” ist im Kontext des Datenschutzes weit auszulegen. Schutzbedürftig sind nicht nur Personen, die sich aktuell in Behandlung befinden. Die Schutzpflichten Ihrer Praxis erstrecken sich auf einen weitaus größeren Personenkreis:

  • Aktuelle Patientinnen und Patienten: Der offensichtlichste Fall, von der Anamnese bis zur Abrechnung.
  • Ehemalige Patientinnen und Patienten: Auch nach Abschluss der Behandlung müssen deren Daten gemäß den gesetzlichen Aufbewahrungsfristen sicher gespeichert und danach gelöscht werden.
  • Potenzielle Patientinnen und Patienten: Bereits bei der ersten Kontaktaufnahme, beispielsweise über ein Kontaktformular auf der Webseite oder bei einer telefonischen Terminanfrage, werden schutzwürdige Daten verarbeitet.
  • Angehörige und Kontaktpersonen: Sofern Sie Daten von Angehörigen (z.B. als Notfallkontakt) erheben, unterliegen auch diese Informationen dem Datenschutz.
  • Verstorbene: Die ärztliche Schweigepflicht gilt über den Tod hinaus. Auch wenn die DSGVO primär die Daten lebender Personen schützt, bestehen nationale Regelungen und die postmortale Schweigepflicht fort, um das Andenken des Verstorbenen zu wahren.

Transparenzpflichten gegenüber Patientinnen und Patienten

Die Informationspflichten nach Art. 13 und 14 DSGVO

Transparenz ist ein Grundpfeiler der DSGVO. Patientinnen und Patienten haben das Recht zu erfahren, was mit ihren Daten geschieht. Sie müssen aktiv, verständlich und vollständig darüber informiert werden. Zu den Pflichtinformationen gehören unter anderem:

  • Name und Kontaktdaten des Verantwortlichen (also der Praxisinhaber/die Praxisinhaberin).
  • Kontaktdaten des Datenschutzbeauftragten, falls benannt.
  • Zwecke und Rechtsgrundlage der Datenverarbeitung (z.B. Behandlungsvertrag, Abrechnung).
  • Empfänger der Daten (z.B. Kassenärztliche Vereinigung, Abrechnungsdienstleister, Labore).
  • Informationen über eine mögliche Datenübermittlung in Drittländer (z.B. bei Nutzung von US-amerikanischer Software).
  • Die Dauer der Speicherung bzw. die Kriterien für die Festlegung der Dauer (gesetzliche Aufbewahrungsfristen).
  • Ein Hinweis auf die Betroffenenrechte (Auskunft, Berichtigung, Löschung etc.).
  • Ein Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde.

Praktische Umsetzung in der Arztpraxis

Diese Informationen müssen leicht zugänglich sein. Bewährte Methoden sind:

  • Ein gut sichtbarer Aushang im Wartezimmer.
  • Ein Informationsblatt, das neuen Patienten ausgehändigt wird.
  • Eine umfassende Datenschutzerklärung auf Ihrer Praxis-Webseite.

Die Einwilligung: Form, Umfang und Dokumentation

Nicht jede Datenverarbeitung in einer Arztpraxis basiert auf einer Einwilligung. Die primäre Rechtsgrundlage ist oft der Behandlungsvertrag (Art. 9 Abs. 2 lit. h DSGVO). Eine explizite Einwilligung ist jedoch immer dann erforderlich, wenn Daten für Zwecke verarbeitet werden, die nicht unmittelbar zur Behandlung oder Abrechnung gehören. Beispiele hierfür sind:

  • Die Weitergabe von Daten an Dritte, die nicht direkt an der Behandlung beteiligt sind (z.B. für wissenschaftliche Studien).
  • Die Nutzung von Patientenfotos für Veröffentlichungen oder auf der Webseite.
  • Die Kontaktaufnahme per unverschlüsselter E-Mail oder Messenger für sensible Inhalte.
  • Die Teilnahme an speziellen Gesundheitsprogrammen.

Eine wirksame Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich sein. Entscheidend ist die lückenlose Dokumentation der erteilten Einwilligung, um im Zweifel nachweisen zu können, dass sie rechtmäßig eingeholt wurde.

Die Kernrechte der Betroffenen im Praxisalltag

Die DSGVO stattet Patienten mit starken Rechten aus, die Sie in Ihrer Praxis umsetzen müssen. Die wichtigsten sind:

Auskunftsrecht (Art. 15 DSGVO)

Patienten können eine Kopie ihrer personenbezogenen Daten und detaillierte Informationen über deren Verarbeitung verlangen. Praxen müssen diesem Antrag in der Regel innerhalb eines Monats nachkommen. Das Recht auf eine Kopie der Patientenakte ist ein zentraler Aspekt der Patientenrechte im Datenschutz.

Recht auf Berichtigung (Art. 16 DSGVO)

Stellt ein Patient fest, dass seine bei Ihnen gespeicherten Daten (z.B. Adresse, Krankenkasse) falsch sind, hat er das Recht auf unverzügliche Korrektur.

Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)

Patienten können die Löschung ihrer Daten verlangen, wenn diese für den ursprünglichen Zweck nicht mehr notwendig sind. Im Gesundheitswesen wird dieses Recht jedoch stark durch gesetzliche Aufbewahrungsfristen (z.B. 10 Jahre für ärztliche Aufzeichnungen) eingeschränkt. Vor Ablauf dieser Fristen ist eine Löschung in der Regel nicht möglich und auch nicht zulässig.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

In bestimmten Fällen, z.B. wenn die Richtigkeit der Daten bestritten wird, kann ein Patient verlangen, dass seine Daten vorübergehend “gesperrt” und nicht weiter verarbeitet werden, außer zur Speicherung.

Die elektronische Patientenakte (ePA): Risiken und Schutzmaßnahmen

Die elektronische Patientenakte (ePA) ist ein zentrales Element der Digitalisierung im Gesundheitswesen. Sie bietet viele Vorteile, birgt aber auch Risiken. Die Hoheit über die ePA liegt allein beim Patienten. Er entscheidet, welche Ärztin oder welcher Arzt welche Dokumente einsehen, hinzufügen oder löschen darf. Für Praxen bedeutet das:

  • Technische Sicherheit: Die Praxis-IT muss absolut sicher sein, um unbefugte Zugriffe auf die Telematikinfrastruktur und damit auf die ePA zu verhindern.
  • Berechtigungsmanagement: Nur autorisiertes Personal darf auf die ePA zugreifen, und auch nur dann, wenn der Patient seine explizite Zustimmung erteilt hat.
  • Aufklärung der Patienten: Das Praxispersonal sollte in der Lage sein, grundlegende Fragen zur Funktionsweise und zu den Rechten der Patienten im Umgang mit ihrer ePA zu beantworten.

Moderne Kommunikation mit Patientinnen und Patienten

E-Mail, SMS oder Messenger-Dienste sind im privaten Alltag selbstverständlich, im Gesundheitswesen jedoch hochproblematisch. Die Übertragung sensibler Gesundheitsdaten über unverschlüsselte Kanäle stellt einen schweren Verstoß gegen den Datenschutz dar. Für die Praxis bedeutet das:

  • Standardmäßig sichere Kanäle nutzen: Bevorzugen Sie Telefon, Post oder sichere Patientenportale.
  • E-Mail nur mit Einwilligung: Eine unverschlüsselte E-Mail-Kommunikation ist nur für organisatorische Zwecke (z.B. Terminerinnerung ohne Nennung des Behandlungsgrundes) und nachweisbarer, schriftlicher Einwilligung des Patienten zulässig. Der Patient muss dabei über die Risiken (mangelnde Vertraulichkeit) aufgeklärt werden.
  • Keine Messenger-Dienste: Die Nutzung von Diensten wie WhatsApp zur Kommunikation von Patientendaten ist generell unzulässig.

Auftragsverarbeitung und Abrechnungsdienstleister: Praxisanforderungen

Immer wenn externe Dienstleister im Auftrag Ihrer Praxis personenbezogene Daten verarbeiten, liegt eine Auftragsverarbeitung vor. Dies erfordert den Abschluss eines Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO. Dieser Vertrag stellt sicher, dass der Dienstleister die Daten nur nach Ihren Weisungen und unter Einhaltung der Datenschutzstandards verarbeitet. Typische Auftragsverarbeiter für eine Arztpraxis sind:

  • Externe Abrechnungsstellen
  • IT-Dienstleister und Softwareanbieter (z.B. für das Praxisverwaltungssystem)
  • Labore (für den reinen Datentransport, nicht die medizinische Analyse)
  • Aktenvernichtungsdienste
  • Telefonservice-Anbieter

Ohne einen gültigen AVV ist die Weitergabe von Patientendaten an diese Dienstleister rechtswidrig.

Checkliste für den Praxisalltag: Sofortmaßnahmen für den Datenschutz

  • Datenschutzerklärung prüfen: Ist Ihre Datenschutzerklärung (Aushang und Webseite) aktuell und vollständig?
  • AV-Verträge kontrollieren: Haben Sie mit allen externen Dienstleistern gültige AV-Verträge abgeschlossen?
  • Mitarbeiter schulen: Sind alle Teammitglieder regelmäßig im Umgang mit Patientendaten und den Patientenrechten im Datenschutz geschult?
  • Zugriffsrechte überprüfen: Hat jeder Mitarbeiter nur Zugriff auf die Daten, die er für seine Tätigkeit benötigt (Need-to-know-Prinzip)?
  • Kommunikationswege festlegen: Gibt es klare Anweisungen, welche Kommunikationskanäle für welche Informationen genutzt werden dürfen?
  • Prozess für Betroffenenanfragen etablieren: Wissen alle Mitarbeiter, was zu tun ist, wenn ein Patient einen Auskunfts- oder Löschan-trag stellt?

Konkrete Fallbeispiele und Lösungsansätze

Fall 1: Die telefonische Auskunft an Angehörige

Problem: Ein Mann ruft in der Praxis an und möchte wissen, warum seine Frau heute einen Termin hatte und wie es ihr geht. Die Mitarbeiterin gibt bereitwillig Auskunft.

Analyse: Dies ist ein klarer Verstoß gegen die ärztliche Schweigepflicht und den Datenschutz, da keine Berechtigung zur Auskunft vorlag.

Lösung: Das Personal muss geschult sein, telefonisch grundsätzlich keine sensiblen Informationen preiszugeben. Eine Auskunft darf nur erfolgen, wenn eine schriftliche Schweigepflichtentbindung oder eine Vorsorgevollmacht vorliegt und die Identität des Anrufers zweifelsfrei geklärt wurde (z.B. durch eine vorher vereinbarte Kontrollfrage).

Fall 2: Der “verlorene” USB-Stick mit Patientendaten

Problem: Ein Arzt speichert eine Liste mit Patientennamen und Diagnosen auf einem unverschlüsselten USB-Stick, um von zu Hause aus zu arbeiten. Der Stick geht verloren.

Analyse: Dies ist eine schwerwiegende Datenpanne mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Patienten.

Lösung: Zuerst muss die Panne intern dokumentiert werden. Da ein hohes Risiko besteht, muss die Panne unverzüglich (innerhalb von 72 Stunden) der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden. Zudem müssen die betroffenen Patienten informiert werden. Präventiv gilt: Mobile Datenträger müssen immer vollständig verschlüsselt werden.

Häufige Fehlerquellen und wie Sie sie ab 2025 vermeiden

  • Mangelnde Mitarbeitersensibilisierung: Der “Faktor Mensch” ist das größte Risiko. Regelmäßige, praxisnahe Schulungen sind unerlässlich.
  • “Schatten-IT”: Die Nutzung privater Geräte oder nicht genehmigter Software zur Verarbeitung von Patientendaten ist strikt zu untersagen.
  • Unzureichendes Berechtigungskonzept: Jeder im Team sollte nur die Zugriffsrechte haben, die für die jeweilige Aufgabe zwingend erforderlich sind.
  • Offenliegende Unterlagen: Patientenakten oder Terminkalender dürfen niemals offen an der Rezeption oder in Behandlungsräumen liegen.
  • Vergessene AV-Verträge: Die Zusammenarbeit mit Dienstleistern ohne gültigen AVV ist ein häufiger und leicht vermeidbarer Formfehler mit potenziell hohen Strafen.

Die Rolle von MUNAS Consulting: Neutrale Orientierung im Datenschutzdschungel

Die Umsetzung der Patientenrechte im Datenschutz ist eine komplexe Daueraufgabe. Angesichts der Fülle an Vorschriften und technischen Anforderungen fühlen sich viele Praxisverantwortliche überfordert. Hier bietet MUNAS Consulting eine neutrale und praxisorientierte Unterstützung. Wir verstehen uns als Ihr Lotse im Datenschutz-Dschungel. Unser Ziel ist es nicht, Ihnen fertige Produkte zu verkaufen, sondern gemeinsam mit Ihnen pragmatische und rechtssichere Lösungen zu entwickeln, die zu Ihrem Praxisalltag passen. Wir helfen Ihnen, Risiken zu identifizieren, Prozesse zu optimieren und Ihr Team zu schulen, damit Sie sich auf das Wesentliche konzentrieren können: die bestmögliche Versorgung Ihrer Patientinnen und Patienten. Erfahren Sie mehr über unseren Ansatz und unseren Dienstleistungen auf unserer Webseite.

Zusammenfassung: Ihre Prioritäten für die nächsten 30 Tage

Der Schutz von Patientendaten ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Um sofort handlungsfähig zu werden, konzentrieren Sie sich in den nächsten 30 Tagen auf diese drei Prioritäten:

  1. Überprüfen Sie Ihre Informationsmaterialien: Stellen Sie sicher, dass Ihr Aushang im Wartezimmer und Ihre Online-Datenschutzerklärung aktuell und vollständig sind.
  2. Inventarisieren Sie Ihre Dienstleister: Erstellen Sie eine Liste aller externen Partner (IT, Labor, Abrechnung etc.) und prüfen Sie, ob für jeden ein gültiger Auftragsverarbeitungsvertrag vorliegt.
  3. Führen Sie eine Kurzschulung im Team durch: Sensibilisieren Sie Ihr gesamtes Team für die häufigsten Fehlerquellen wie die telefonische Auskunft an Dritte und die Nutzung unsicherer Kommunikationswege.

Ein proaktiver Umgang mit den Patientenrechten im Datenschutz schützt nicht nur vor Bußgeldern, sondern stärkt das wertvollste Gut Ihrer Praxis: das Vertrauen Ihrer Patienten.

Weiterführende Quellen und Links

Für eine vertiefte Auseinandersetzung mit dem Thema Datenschutz im Gesundheitswesen empfehlen wir die Webseiten der folgenden offiziellen Stellen und Verbände: