Telemedizin und Datenschutz: Praxisleitfaden für Patientinnen und Anbieterinnen

Telemedizin und Datenschutz: Der ultimative Leitfaden für Patienten und Anbieter

Die Telemedizin hat sich als unverzichtbarer Bestandteil der modernen Gesundheitsversorgung etabliert. Videosprechstunden und digitale Gesundheitsanwendungen bieten Flexibilität und einen schnellen Zugang zu medizinischer Beratung. Doch mit den Chancen der Digitalisierung wachsen auch die Herausforderungen, insbesondere beim Schutz sensibler Gesundheitsdaten. Ein tiefgreifendes Verständnis für Telemedizin und Datenschutz ist daher nicht nur eine rechtliche Notwendigkeit, sondern die Grundlage für das Vertrauen zwischen Behandelnden und Patienten. Dieser Leitfaden bietet beiden Seiten praxisnahe Hilfestellungen und klare Checklisten für eine sichere und datenschutzkonforme Nutzung telemedizinischer Angebote.

Inhaltsverzeichnis

• Kurzüberblick: Relevante Rechtsgrundlagen
• Unterschiede: Patientenrechte versus Betreiberpflichten
• Technische Mindestanforderungen an Telemedizin-Plattformen
• Verarbeitung sensibler Gesundheitsdaten
• Checkliste für Anbieterinnen und Anbieter
• Checkliste für Patientinnen und Patienten
• Einwilligung richtig gestalten: Muster und Hinweise
• Datenflüsse und Aufbewahrung
• Drittparteien und Auftragsverarbeitung
• Praxisbeispiele: Typische Szenarien
• FAQ: Häufige Fragen
• Vorlagen und Kurzcheck
• Hinweis zur Expertise und Quellen

Kurzüberblick: Relevante Rechtsgrundlagen

Der rechtliche Rahmen für Telemedizin und Datenschutz ist klar definiert. Die zentralen Vorschriften finden sich in der Datenschutz-Grundverordnung (DSGVO) und im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Für Gesundheitsdaten ist insbesondere Artikel 9 der DSGVO relevant, der deren Verarbeitung grundsätzlich verbietet, aber Ausnahmen unter strengen Bedingungen zulässt, etwa bei einer ausdrücklichen Einwilligung oder wenn die Verarbeitung für die Gesundheitsvorsorge oder Behandlung erforderlich ist. Das TTDSG regelt zusätzlich den Schutz der Privatsphäre bei der Nutzung von Endgeräten wie Smartphones oder Laptops, was bei Videosprechstunden direkt zur Anwendung kommt.

Unterschiede: Patientenrechte versus Betreiberpflichten

Das Datenschutzrecht schafft eine klare Balance zwischen den Rechten der betroffenen Personen (Patienten) und den Pflichten der Verantwortlichen (Anbieter). Ein solides Verständnis dieser Trennung ist für den korrekten Umgang mit Telemedizin und Datenschutz entscheidend.

Patientenrechte verstehen und wahrnehmen

Als Patientin oder Patient haben Sie umfassende Rechte bezüglich Ihrer Gesundheitsdaten:

• Recht auf Information (Art. 13/14 DSGVO): Der Anbieter muss Sie transparent darüber informieren, welche Daten zu welchem Zweck verarbeitet werden.
• Recht auf Auskunft (Art. 15 DSGVO): Sie können jederzeit eine Kopie der über Sie gespeicherten Daten anfordern.
• Recht auf Berichtigung (Art. 16 DSGVO): Fehlerhafte Daten müssen korrigiert werden.
• Recht auf Löschung (Art. 17 DSGVO): Unter bestimmten Voraussetzungen können Sie die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Widerruf der Einwilligung (Art. 7 DSGVO): Eine erteilte Einwilligung zur Datenverarbeitung kann jederzeit und ohne Angabe von Gründen für die Zukunft widerrufen werden.

Betreiberpflichten kennen und umsetzen

Anbieterinnen und Anbieter von Telemedizin-Diensten tragen die Verantwortung für den Schutz der Daten. Zu ihren Kernpflichten gehören:

• Rechenschaftspflicht (Art. 5 DSGVO): Sie müssen nachweisen können, dass sie die Datenschutzgrundsätze einhalten.
• Datensicherheit (Art. 32 DSGVO): Es müssen geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten implementiert werden.
• Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO): Systeme müssen von Grund auf datensparsam und sicher konzipiert sein.
• Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO): Alle Datenverarbeitungsprozesse müssen dokumentiert werden.
• Meldepflicht bei Datenpannen (Art. 33/34 DSGVO): Datenschutzverletzungen müssen umgehend an die zuständige Aufsichtsbehörde und ggf. an die Betroffenen gemeldet werden.

Technische Mindestanforderungen an Telemedizin-Plattformen

Eine sichere technische Infrastruktur ist das Fundament für den Datenschutz in der Telemedizin. Anbieter müssen sicherstellen, dass ihre Plattformen mindestens die folgenden Standards erfüllen:

• Verschlüsselung: Die Kommunikation muss durchgängig geschützt sein. Als Goldstandard gilt die Ende-zu-Ende-Verschlüsselung (E2E), bei der nur die Kommunikationsteilnehmer die Inhalte entschlüsseln können. Eine reine Transportverschlüsselung (TLS) ist das absolute Minimum, bietet aber einen geringeren Schutz.
• Authentifizierung: Der Zugang zur Plattform muss sicher sein. Für medizinisches Personal ist eine Zwei-Faktor-Authentifizierung (2FA) dringend empfohlen. Patientinnen und Patienten sollten sich über sichere, individuelle Zugangsdaten anmelden.
• Serverstandort: Die Server, auf denen die Daten verarbeitet und gespeichert werden, müssen sich innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) befinden. Dies stellt sicher, dass das hohe Schutzniveau der DSGVO greift.

Verarbeitung sensibler Gesundheitsdaten

Gesundheitsdaten sind nach Art. 9 DSGVO besonders schützenswert. Ihre Verarbeitung ist nur auf einer klaren Rechtsgrundlage zulässig. In der Telemedizin sind dies meistens:

1. Die ausdrückliche Einwilligung der Patientin oder des Patienten (Art. 9 Abs. 2 lit. a DSGVO).
2. Die Erforderlichkeit für die medizinische Behandlung auf Basis eines Behandlungsvertrags (Art. 9 Abs. 2 lit. h DSGVO).

Unabhängig von der Rechtsgrundlage gelten die Grundsätze der Zweckbindung (Daten dürfen nur für den festgelegten Zweck verwendet werden) und der Datenminimierung (es dürfen nur so viele Daten wie nötig erhoben werden). Jede Verarbeitung muss sorgfältig dokumentiert werden.

Checkliste für Anbieterinnen und Anbieter

Stellen Sie vor der Einführung einer Telemedizin-Lösung sicher, dass Sie die folgenden Punkte geprüft haben:

Vertragliche und organisatorische Vorgaben

• Auftragsverarbeitungsvertrag (AVV): Liegt ein DSGVO-konformer AVV mit dem Plattformanbieter vor?
• Datenschutzerklärung: Ist die Datenschutzerklärung für Patientinnen und Patienten verständlich und vollständig?
• Einwilligungsmanagement: Existiert ein dokumentierter Prozess zur Einholung und Verwaltung von Einwilligungen?
• Mitarbeiterschulung: Sind alle Mitarbeitenden im Umgang mit der Plattform und den Datenschutzanforderungen geschult?
• Löschkonzept: Gibt es ein definiertes Konzept zur Löschung von Daten nach Ablauf der Aufbewahrungsfristen?

Technische Vorgaben

• Zertifizierung: Ist der Anbieter nach anerkannten Standards (z. B. KBV-Zertifizierung in Deutschland) zertifiziert?
• Verschlüsselung: Wird eine Ende-zu-Ende-Verschlüsselung für die Videosprechstunde verwendet?
• Serverstandort: Befinden sich alle Server nachweislich in der EU/EWR?
• Authentifizierung: Werden sichere Anmeldeverfahren für Personal und Patienten genutzt?

Checkliste für Patientinnen und Patienten

Bevor Sie eine Videosprechstunde nutzen, sollten Sie sich sicher fühlen. Stellen Sie Ihrem Anbieter oder Ihrer Praxis ruhig die folgenden Fragen:

• Welche Software wird für die Videosprechstunde verwendet?
• Wo werden meine Daten gespeichert und wer hat darauf Zugriff?
• Wird das Gespräch aufgezeichnet? (Dies sollte grundsätzlich nicht der Fall sein.)
• Wie erhalte ich die Datenschutzerklärung und wo kann ich meine Einwilligung geben?
• Ist die verwendete Plattform für den Einsatz im Gesundheitswesen zertifiziert?

Einwilligung richtig gestalten: Muster und Hinweise

Eine datenschutzkonforme Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich sein. Sie sollte schriftlich oder in elektronischer Form eingeholt werden.

Musterformulierung für eine Einwilligungserklärung:

„Ich, [Name des Patienten], willige hiermit freiwillig ein, dass [Name der Praxis/des Anbieters] meine personenbezogenen Daten, einschließlich meiner Gesundheitsdaten, im Rahmen der Videosprechstunde über die Plattform [Name der Plattform] verarbeitet. Mir ist bekannt, dass die Verarbeitung zum Zweck der medizinischen Diagnose und Behandlung erfolgt. Ich wurde über die Identität des Anbieters, die Datenflüsse und meine Rechte, insbesondere mein Recht auf jederzeitigen Widerruf dieser Einwilligung für die Zukunft, informiert. Die Datenschutzerklärung habe ich zur Kenntnis genommen.“

Wichtiger Hinweis: Eine Widerrufsbelehrung muss klar und verständlich sein und den Patienten darüber aufklären, dass der Widerruf die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt.

Datenflüsse und Aufbewahrung

Bei einer Videosprechstunde fließen Daten von Ihrem Endgerät über die Server des Plattformanbieters zum Endgerät des Behandelnden. Idealerweise werden die Video- und Audiodaten nur temporär zur Übertragung verarbeitet und nicht dauerhaft gespeichert. Metadaten (z. B. Dauer, Zeitpunkt des Gesprächs) sowie die ärztliche Dokumentation unterliegen den gesetzlichen Aufbewahrungsfristen, die im medizinischen Bereich in der Regel 10 Jahre betragen. Nach Ablauf dieser Fristen müssen die Daten sicher gelöscht werden.

Drittparteien und Auftragsverarbeitung

Selten betreiben Arztpraxen oder Kliniken ihre Telemedizin-Plattformen selbst. Meist wird ein externer Dienstleister genutzt. In diesem Fall handelt es sich um eine Auftragsverarbeitung nach Art. 28 DSGVO. Der Anbieter (z. B. die Arztpraxis) bleibt der Verantwortliche für die Daten und muss mit dem Dienstleister einen Auftragsverarbeitungsvertrag (AVV) abschließen. Dieser Vertrag regelt die Rechte und Pflichten beider Seiten und stellt sicher, dass der Dienstleister die Daten nur auf Weisung und nach den Standards des Verantwortlichen verarbeitet.

Praxisbeispiele: Typische Szenarien

Szenario 1: Die Patientin

Anna M. nutzt eine Videosprechstunde für eine Kontrolluntersuchung. Vor dem Termin erhält sie per E-Mail einen Link zur Datenschutzerklärung und eine separate Einwilligung. Während des Gesprächs werden Audio- und Videodaten verschlüsselt übertragen, aber nicht aufgezeichnet. Ihr Arzt macht sich Notizen in seinem Praxisverwaltungssystem. Diese Notizen unterliegen der 10-jährigen Aufbewahrungsfrist.

Szenario 2: Die Arztpraxis

Die Praxis von Dr. Schmidt entscheidet sich 2025 für die Einführung einer Telemedizin-Lösung. Sie wählt einen KBV-zertifizierten Anbieter mit Serverstandort in Deutschland. Vor der ersten Nutzung schließt sie einen AVV ab, passt ihre Datenschutzerklärung an und schult das gesamte Team im sicheren Umgang mit der neuen Software.

FAQ: Häufige Fragen

Fragen von Patientinnen und Patienten

Wird meine Videosprechstunde aufgezeichnet?
Nein, eine Videosprechstunde darf grundsätzlich nicht ohne Ihre ausdrückliche und gesonderte Einwilligung aufgezeichnet werden. Seriöse Anbieter tun dies nicht.

Wer kann meine Daten einsehen?
Zugriff auf Ihre medizinischen Daten haben nur Ihr behandelnder Arzt oder Ihre Ärztin und autorisiertes Praxispersonal. Der technische Anbieter der Plattform darf keinen Zugriff auf die Inhalte des Gesprächs haben, wenn eine Ende-zu-Ende-Verschlüsselung verwendet wird.

Fragen von Anbieterinnen und Anbietern

Benötige ich einen Datenschutzbeauftragten?
Wenn in Ihrer Praxis regelmäßig Gesundheitsdaten in größerem Umfang verarbeitet werden (was meist der Fall ist), ist die Benennung eines Datenschutzbeauftragten gesetzlich vorgeschrieben.

Was muss ich bei einer Datenpanne tun?
Eine Datenschutzverletzung, die ein Risiko für die Rechte und Freiheiten von Personen darstellt, muss innerhalb von 72 Stunden an die zuständige Datenschutz-Aufsichtsbehörde gemeldet werden. Bei einem hohen Risiko müssen auch die betroffenen Personen informiert werden.

Vorlagen und Kurzcheck

Dieser Leitfaden dient als Orientierung. Für die rechtskonforme Umsetzung sind individuelle Prüfungen unerlässlich.

Kurzcheck für den Datenschutz in der Telemedizin:

• DSGVO-konforme Rechtsgrundlage vorhanden (Einwilligung/Behandlungsvertrag)?
• Transparente Patienteninformation durch Datenschutzerklärung?
• AVV mit dem Plattform-Dienstleister geschlossen?
• Technische Sicherheit (E2E-Verschlüsselung, EU-Server) gewährleistet?
• Lösch- und Berechtigungskonzept implementiert?

Hinweis zur Expertise und Quellen

Die komplexen Anforderungen an Telemedizin und Datenschutz erfordern spezialisiertes Wissen. MUNAS Consulting bietet Expertise in der datenschutzkonformen Gestaltung digitaler Gesundheitsprozesse. Für weiterführende offizielle Informationen und Richtlinien empfehlen wir die Webseiten der folgenden Institutionen:

• Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
• Bundesamt für Sicherheit in der Informationstechnik (BSI)