Sichere Patientenkommunikation und DSGVO: Praxisleitfaden

Sichere Patientenkommunikation und DSGVO: Praxisleitfaden

Kommunikation mit Patienten und DSGVO: Der praxisnahe Leitfaden für 2025

Inhaltsverzeichnis

Einleitung: Sichere Kommunikation als Grundpfeiler der modernen Arztpraxis

Die Digitalisierung hat die Kommunikation mit Patienten nachhaltig verändert. Digitale Kanäle bieten Effizienz und Komfort, bergen jedoch erhebliche datenschutzrechtliche Risiken. Für Arztpraxen ist die Einhaltung der Datenschutz-Grundverordnung (DSGVO – GDPR auf Englisch) nicht nur eine gesetzliche Pflicht, sondern auch ein zentraler Baustein des Vertrauensverhältnisses. Dieser Leitfaden bietet Ärztinnen, Ärzten und Praxisverantwortlichen einen praxisnahen Überblick über die rechtlichen Anforderungen und technischen Lösungen für eine sichere und DSGVO-konforme Patientenkommunikation im Jahr 2025.

Der Rechtsrahmen: Gesundheitsdaten als besonders schützenswerte Daten nach Art. 9 DSGVO

Die rechtliche Grundlage für den Umgang mit Patientendaten ist die DSGVO. Der entscheidende Punkt für den medizinischen Sektor ist Artikel 9 DSGVO, der die Verarbeitung „besonderer Kategorien personenbezogener Daten“ regelt. Gesundheitsdaten fallen explizit unter diese Kategorie und genießen daher den höchsten Schutzstatus. Die Verarbeitung solcher Daten ist grundsätzlich untersagt, es sei denn, eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen greift. Für die Arztpraxis sind vor allem relevant:

  • Einwilligung: Die ausdrückliche Einwilligung des Patienten (Art. 9 Abs. 2 lit. a DSGVO).
  • Behandlungsvertrag: Die Notwendigkeit der Verarbeitung für Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik oder der Behandlung (Art. 9 Abs. 2 lit. h DSGVO).

Wichtig ist, dass selbst bei Vorliegen einer Rechtsgrundlage aus Art. 9 DSGVO die Grundsätze aus Art. 5 DSGVO stets eingehalten werden müssen. Dazu gehören Zweckbindung, Datenminimierung, Richtigkeit sowie Integrität und Vertraulichkeit. Letzteres erfordert angemessene technische und organisatorische Maßnahmen (TOMs), um die Daten vor unbefugtem Zugriff zu schützen.

Einwilligungen versus andere Rechtsgrundlagen im Arzt-Patienten-Verhältnis

Für die reine Behandlung und die damit direkt verbundene Kommunikation (z. B. telefonische Rücksprache zur Medikation) ist der Behandlungsvertrag oft eine ausreichende Rechtsgrundlage. Sobald jedoch Kommunikationskanäle genutzt werden, die per se unsicher sind oder deren Nutzung nicht zwingend für die Behandlung erforderlich ist (z. B. Terminerinnerung per SMS, Befundversand per unverschlüsselter E-Mail), wird eine ausdrückliche, informierte und freiwillige Einwilligung des Patienten unerlässlich.

Anforderungen an eine wirksame Einwilligung

  • Freiwilligkeit: Dem Patienten dürfen keine Nachteile entstehen, wenn er die Einwilligung verweigert.
  • Informiertheit: Der Patient muss genau wissen, wofür er einwilligt. Das umfasst den Kommunikationskanal (z. B. „E-Mail“), die Art der Daten (z. B. „Termindaten“, „Befunddaten“), die damit verbundenen Risiken (z. B. „Risiko des Mitlesens durch Dritte bei unverschlüsselter Übertragung“) und die jederzeitige Widerrufsmöglichkeit.
  • Bestimmtheit: Die Einwilligung muss sich auf einen konkreten Zweck beziehen.
  • Nachweisbarkeit: Die Praxis muss die erteilte Einwilligung dokumentieren und nachweisen können.

Technische Schutzmaßnahmen: TLS, S/MIME, PGP und echte Ende-zu-Ende-Verschlüsselung

Der Schutz der Vertraulichkeit bei der digitalen Kommunikation wird durch Verschlüsselung gewährleistet. Hierbei sind verschiedene Standards zu unterscheiden:

Transportverschlüsselung (TLS)

Die Transport Layer Security (TLS) sichert den Übertragungsweg zwischen zwei Punkten, z. B. zwischen Ihrem E-Mail-Programm und Ihrem E-Mail-Provider. Die Nachricht selbst liegt jedoch auf den Servern des Providers unverschlüsselt vor und kann dort eingesehen werden. Für Gesundheitsdaten ist dies in der Regel kein ausreichender Schutz.

Ende-zu-Ende-Verschlüsselung (E2E)

Bei der Ende-zu-Ende-Verschlüsselung (E2E) wird die Nachricht direkt auf dem Gerät des Absenders ver- und erst auf dem Gerät des Empfängers wieder entschlüsselt. Weder der Provider noch andere Dritte können auf dem Übertragungsweg den Inhalt mitlesen. Dies ist der Goldstandard für die Kommunikation von Gesundheitsdaten.

  • S/MIME und PGP: Dies sind etablierte, zertifikatsbasierte Verfahren zur E2E-Verschlüsselung von E-Mails. Sie erfordern jedoch auf beiden Seiten eine gewisse technische Einrichtung, was die Anwendung in der breiten Kommunikation mit Patienten und DSGVO-Konformität erschwert.
  • Moderne Messenger und KIM: Bieten oft eine integrierte und nutzerfreundlichere E2E-Verschlüsselung.

Vergleich von Kommunikationskanälen: E-Mail, SMS, Messenger-Dienste und KIM

Die Wahl des richtigen Kanals ist entscheidend für die DSGVO-Konformität.

Kanal Vorteile Risiken und Nachteile DSGVO-Eignung
Unverschlüsselte E-Mail Weit verbreitet, einfach Keine Vertraulichkeit (wie eine Postkarte), Phishing-Gefahr Ungenügend für Gesundheitsdaten. Nur für organisatorische Informationen nach expliziter, informierter Einwilligung.
E2E-verschlüsselte E-Mail Hohe Sicherheit Technische Hürden für Patienten, aufwendige Einrichtung Geeignet, aber in der Praxis oft schwer umsetzbar.
SMS Schnell, hohe Erreichbarkeit Standardmäßig unverschlüsselt, keine sichere Identifizierung Ungenügend für sensible Daten. Allenfalls für anonymisierte Terminerinnerungen nach Einwilligung.
Consumer-Messenger (z.B. WhatsApp) Sehr hohe Nutzerakzeptanz Datenübermittlung in die USA, Metadatenanalyse durch Anbieter, fehlender Auftragsverarbeitungsvertrag (AVV) Hochproblematisch und nicht empfohlen. Die rechtlichen Hürden sind für eine Praxis kaum zu überwinden.
KIM (Kommunikation im Medizinwesen) E2E-verschlüsselt, Teil der sicheren Telematikinfrastruktur, sichere Identitäten Setzt Anschluss an die TI auf beiden Seiten voraus (noch nicht für alle Patienten verfügbar) Goldstandard für die Kommunikation zwischen Leistungserbringern. Zukünftig auch für die Patientenkommunikation relevant.

Kriterien zur Risikoabschätzung und Schwellen für eine DSFA

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Einführung eines neuen digitalen Kommunikationskanals für Gesundheitsdaten erfüllt diese Bedingung in der Regel.

Wann ist eine DSFA notwendig?

  • Bei der Einführung eines neuen Messenger-Dienstes zur Patientenkommunikation.
  • Bei der systematischen Übermittlung von Befunden über ein neues digitales Portal.
  • Bei der Verarbeitung von Gesundheitsdaten in großem Umfang über digitale Kanäle.

Die DSFA dient dazu, das Risiko zu bewerten und Maßnahmen zu dessen Minimierung festzulegen. Sie ist ein entscheidendes Instrument, um die Kommunikation mit Patienten und DSGVO in Einklang zu bringen.

Musterinhalte für Auftragsverarbeitungsverträge bei externen Dienstleistern

Sobald Sie einen externen Dienstleister für die Kommunikation nutzen (z. B. Anbieter von Praxissoftware mit E-Mail-Funktion, spezialisierte Messenger), müssen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abschließen. Dieser stellt sicher, dass der Dienstleister die Daten nur auf Ihre Weisung und ebenfalls DSGVO-konform verarbeitet.

Wesentliche Inhalte eines AVV:

  • Gegenstand und Dauer der Verarbeitung: Was wird wie lange verarbeitet?
  • Art und Zweck der Verarbeitung: Z. B. „Versand von Terminerinnerungen“.
  • Art der personenbezogenen Daten: Z. B. „Name, Geburtsdatum, Termindaten“.
  • Kategorien betroffener Personen: „Patientinnen und Patienten“.
  • Pflichten des Auftragsverarbeiters: Insbesondere die Gewährleistung technischer und organisatorischer Maßnahmen, Unterstützung bei Betroffenenrechten, Meldung von Datenschutzverletzungen.
  • Weisungsgebundenheit: Der Dienstleister darf die Daten nur nach Ihrer Weisung verarbeiten.
  • Regelungen zu Unterauftragsverarbeitern: Einsatz weiterer Dienstleister durch Ihren Auftragsverarbeiter.

Prozessvorlage: Sichere Kommunikation beim Terminmanagement und Befundversand

SOP: Versand von Terminerinnerungen per E-Mail

  1. Einwilligung einholen: Patient unterzeichnet bei der Aufnahme ein separates Formular zur Einwilligung in die Kommunikation per E-Mail, inklusive Aufklärung über Risiken.
  2. Dokumentation: Die Einwilligung wird in der Patientenakte gescannt und vermerkt.
  3. Datenminimierung: Die Erinnerungs-E-Mail enthält nur das Datum, die Uhrzeit und den Ort des Termins. Es werden keine medizinischen Details oder der vollständige Name genannt (z. B. „Erinnerung an Ihren Termin am TT.MM.JJJJ um HH:MM Uhr“).
  4. Widerrufsmöglichkeit: Jede E-Mail enthält einen Hinweis auf die Möglichkeit, die Einwilligung jederzeit zu widerrufen.

SOP: Digitaler Befundversand

  1. Kanal definieren: Befunde werden ausschließlich über einen E2E-verschlüsselten Kanal versendet (z. B. KIM oder ein sicheres Patientenportal).
  2. Identitätsprüfung: Vor der erstmaligen Nutzung muss die Identität des Patienten sichergestellt werden (z. B. durch persönliche Registrierung in der Praxis).
  3. Einwilligung einholen: Der Patient willigt explizit in den digitalen Befundversand über diesen spezifischen Kanal ein.
  4. Protokollierung: Der Versand des Befundes wird manipulationssicher in der Patientenakte protokolliert.

Checkliste und Musterformular: Informierte Einwilligung für digitale Kommunikation

Checkliste für eine wirksame Einwilligung

  • [ ] Separates Dokument, nicht im allgemeinen Behandlungsvertrag versteckt.
  • [ ] Klare und einfache Sprache.
  • [ ] Genaue Benennung des Kommunikationskanals (z. B. „unverschlüsselte E-Mail“).
  • [ ] Konkrete Benennung der Datenarten (z. B. „Termindaten“, „organisatorische Informationen“).
  • [ ] Transparente Aufklärung über die Risiken (z. B. „Kein Schutz vor dem Mitlesen durch Dritte“).
  • [ ] Hinweis auf die Freiwilligkeit und die Folgen der Nichteinwilligung (keine).
  • [ ] Deutlicher Hinweis auf das jederzeitige Widerrufsrecht.
  • [ ] Feld für Datum und Unterschrift des Patienten.

Musterformulierung (Auszug): „Ich willige ein, dass die Praxis [Name der Praxis] mich zur Vereinbarung und Erinnerung von Terminen per unverschlüsselter E-Mail an die Adresse [E-Mail-Adresse des Patienten] kontaktieren darf. Mir ist bekannt, dass unverschlüsselte E-Mails von Dritten mitgelesen werden können und somit kein Schutz meiner Daten gewährleistet ist. Diese Einwilligung ist freiwillig und kann von mir jederzeit ohne Angabe von Gründen für die Zukunft widerrufen werden.“

Verfahren bei Datenschutzvorfällen in der Kommunikation und Meldepflichten

Ein Datenschutzvorfall liegt vor, wenn z. B. ein Befund an den falschen E-Mail-Empfänger gesendet wird. In einem solchen Fall muss ein klar definierter Prozess greifen:

  1. Sofortige Maßnahmen: Versuch, die E-Mail zurückzurufen oder den falschen Empfänger zur Löschung aufzufordern.
  2. Interne Meldung: Information an den Praxisinhaber und den (externen) Datenschutzbeauftragten.
  3. Risikobewertung: Einschätzung, ob ein Risiko für die Rechte und Freiheiten der betroffenen Person besteht.
  4. Meldung an die Aufsichtsbehörde: Wenn ein Risiko besteht, muss der Vorfall innerhalb von 72 Stunden an die zuständige Landesdatenschutzbehörde gemeldet werden.
  5. Benachrichtigung des Betroffenen: Wenn ein hohes Risiko besteht, muss auch der Patient unverzüglich informiert werden.
  6. Dokumentation: Jeder Vorfall, auch wenn er nicht meldepflichtig ist, muss intern dokumentiert werden.

Dokumentation, Protokollierung und Aufbewahrungspflichten

Nach dem Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) müssen Sie die Einhaltung des Datenschutzes nachweisen können. Für die Kommunikation mit Patienten und DSGVO bedeutet das:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Hier müssen Sie die Prozesse der Patientenkommunikation (z. B. „Versand von Terminerinnerungen per E-Mail“) detailliert beschreiben.
  • Einwilligungen: Alle Einwilligungen müssen sicher aufbewahrt und verwaltet werden.
  • Protokolldaten: Kommunikationsvorgänge, insbesondere der Versand sensibler Daten, sollten protokolliert werden (wer hat was wann an wen gesendet?).
  • Löschkonzept: Definieren Sie, wann Kommunikationsdaten, die nicht Teil der Patientenakte sind, wieder gelöscht werden müssen.

Schulungsbedarf und Rollenverteilung in der Praxis

Die beste Technik ist nutzlos, wenn das Personal nicht geschult ist. Datenschutz ist eine Teamaufgabe.

  • Regelmäßige Schulungen: Alle Mitarbeiter, die mit Patientendaten arbeiten, müssen mindestens einmal jährlich zum Thema Datenschutz und Datensicherheit geschult werden.
  • Klare Verantwortlichkeiten: Wer ist für die Einholung der Einwilligungen zuständig? Wer betreut das sichere Kommunikationssystem? Wer ist Ansprechpartner für Datenschutzfragen?
  • Verpflichtung auf das Datengeheimnis: Alle Mitarbeiter müssen auf das Datengeheimnis nach § 203 StGB (ärztliche Schweigepflicht) und die Vertraulichkeit nach DSGVO verpflichtet werden.

Praxisbeispiele mit kurzen Vorlagen und SOPs

Kurz-SOP: Umgang mit Kommunikationsanfragen von Patienten

  • Schritt 1: Patient fragt per E-Mail einen Befund an.
  • Schritt 2: Praxismitarbeiter prüft, ob eine gültige Einwilligung für den E-Mail-Versand von Befunden vorliegt.
  • Schritt 3 (Fall A – Einwilligung liegt nicht vor): Antwort per E-Mail mit dem Hinweis, dass aus Datenschutzgründen keine Befunde per E-Mail versendet werden können. Anbieten alternativer, sicherer Wege (persönliche Abholung, sicheres Portal, KIM).
  • Schritt 3 (Fall B – Einwilligung liegt vor, aber Kanal ist unsicher): Rückfrage beim Patienten, ob er trotz der bekannten Risiken den Versand über den unsicheren Kanal wünscht und Dokumentation dieser erneuten Bestätigung.
  • Schritt 3 (Fall C – Sicherer Kanal etabliert): Versand über den vereinbarten, sicheren Kanal und Dokumentation in der Akte.

Anhang: Mustertexte, DSFA-Fragenkatalog und weiterführende Links

Fragenkatalog für eine Mini-DSFA vor Einführung eines neuen Kanals

  1. Welcher Kommunikationskanal soll eingeführt werden?
  2. Welche Arten von Daten sollen darüber übermittelt werden (organisatorisch, medizinisch)?
  3. Welche Verschlüsselungstechnologie wird verwendet (keine, Transport, E2E)?
  4. Wird ein Auftragsverarbeiter eingeschaltet? Liegt ein gültiger AVV vor?
  5. Werden Daten außerhalb der EU/des EWR verarbeitet?
  6. Welche Risiken bestehen für die Patienten (z. B. Verlust der Vertraulichkeit)?
  7. Welche Maßnahmen werden ergriffen, um diese Risiken zu minimieren (z. B. Einwilligung, Datenminimierung, Schulung)?

Weiterführende offizielle Links

Vertiefende Informationen