QSM - Advanced Timer requires Quiz And Survey Master. Please install and activate the Quiz And Survey Master plugin.

Datenschutz und Arztpraxis - eDSB-Deutschland sorgt für Ihre Sicherheit
Zum Hauptinhalt springen

Datenschutz-Notfallkontakt: 0176-62 99 10 16 oder 030 – 51 63 50 30 / Kontaktformular

Datenschutz in der Arztpraxis – Patientendaten professionell schützen

FAQ: 5 wichtige Datenschutz-Fragen für Ärztinnen und Ärzte

1. Müssen wir als Arztpraxis einen Datenschutzbeauftragten benennen – auch wenn wir nur ein kleines Team sind?

Viele Praxen orientieren sich an der Zahl „20 Mitarbeitende“ und gehen davon aus, dass darunter keine Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Diese Schwelle (§ 38 BDSG) ist aber nur ein Teil der Wahrheit. Arztpraxen verarbeiten regelmäßig Gesundheitsdaten und damit besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO – und dies meist nicht in ganz geringem Umfang.

Die DSGVO sieht in Art. 37 Abs. 1 lit. c vor, dass ein Datenschutzbeauftragter zu benennen ist, wenn die Kerntätigkeit in der umfangreichen Verarbeitung solcher Daten besteht. In vielen Praxen ist genau das der Fall: Diagnose, Behandlung, Dokumentation und Abrechnung basieren auf Gesundheitsdaten. Hinzu kommt die ärztliche Schweigepflicht nach § 203 StGB.

Auch wenn die Aufsichtsbehörden im Einzelfall Spielräume haben, sollten Praxen die Frage der Benennung nicht nur formal nach der 20‑Personen-Schwelle beurteilen, sondern auch nach Art und Umfang der Datenverarbeitung. Oft ist ein externer Datenschutzbeauftragter schon aus Gründen der Entlastung und Haftungsminimierung sinnvoll – unabhängig von der Frage, ob man „knapp unter“ oder „knapp über“ einer formalen Grenze liegt.

2. Warum ist die Verarbeitung von Patientendaten datenschutzrechtlich besonders sensibel?

Patientendaten sind nicht einfach „normale personenbezogene Daten“, sondern fallen in der Regel unter die besonderen Kategorien nach Art. 9 DSGVO – insbesondere Gesundheitsdaten. Sie sagen etwas über den körperlichen und psychischen Zustand eines Menschen aus und sind deshalb besonders schützenswert.

Für die Verarbeitung solcher Daten gelten strengere Voraussetzungen: Es braucht eine klare Rechtsgrundlage (z. B. Art. 9 Abs. 2 lit. h DSGVO i. V. m. Art. 6 DSGVO, § 22 BDSG), und es sind höhere Anforderungen an technische und organisatorische Maßnahmen zu erfüllen (Art. 32 DSGVO). Hinzu kommt die ärztliche Schweigepflicht nach § 203 StGB, die auch unabhängig von der DSGVO strafrechtlich sanktioniert ist.

Praktisch bedeutet das für die Praxis: Patientendaten dürfen nur verarbeitet werden, soweit sie für Behandlung, Dokumentation, Abrechnung und gesetzliche Pflichten erforderlich sind. Sie dürfen nicht ohne Not kopiert, herumgereicht oder in Systeme übertragen werden, deren Datensicherheit und Zweckbindung unklar sind. Jede organisatorische und technische Entscheidung – vom Anmeldebereich bis zur EDV-Architektur – sollte deshalb den Schutz dieser Daten im Blick haben.

3. Was müssen wir bei Praxissoftware, Telematik-Infrastruktur und externen IT-Dienstleistern beachten?

Moderne Praxen arbeiten mit Praxisverwaltungssystemen, nutzen die Telematik-Infrastruktur, greifen auf Abrechnungsdienstleister, Labors, IT-Serviceunternehmen und manchmal auch Cloud-Lösungen zurück. Alle diese Stellen können Zugang zu Patientendaten haben.

Wichtig ist, zwischen unterschiedlichen Rollen zu unterscheiden: Viele IT-Dienstleister sind Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Mit ihnen ist ein Vertrag zur Auftragsverarbeitung zu schließen, der u. a. Vertraulichkeit, Zweckbindung, Sicherheitsmaßnahmen und Unterauftragsverhältnisse regelt. Anbieter von Praxissoftware und Hosting-Lösungen sollten nachweisbare Sicherheitskonzepte haben, und ihre Rechenzentren müssen ein angemessenes Schutzniveau gewährleisten – insbesondere, wenn Daten in andere Staaten (Drittstaaten) übertragen werden.

Die Telematik-Infrastruktur bringt zusätzliche, sektorspezifische Vorgaben mit sich, deren technische Umsetzung in der Regel durch zertifizierte Komponenten und Dienstleister erfolgt. Auch hier bleibt die Praxis aber Verantwortliche im Sinne der DSGVO (Art. 4 Nr. 7 DSGVO) und sollte dokumentieren, welche Systeme genutzt werden, wie Zugriffsrechte vergeben sind und wie Wartungszugriffe geregelt werden. Ein externer Datenschutzbeauftragter kann helfen, die verschiedenen Verträge, Rollen und technischen Maßnahmen zu ordnen und nachvollziehbar zu dokumentieren.

4. Wie gehen wir mit Auskunfts- und Löschersuchen von Patienten um – kollidiert das nicht mit Aufbewahrungspflichten?

Patienten haben nach der DSGVO das Recht, Auskunft darüber zu erhalten, welche Daten über sie gespeichert sind (Art. 15 DSGVO), unrichtige Daten berichtigen zu lassen (Art. 16 DSGVO) und unter bestimmten Voraussetzungen auch die Löschung zu verlangen (Art. 17 DSGVO). Gleichzeitig unterliegen ärztliche Dokumentationen berufsrechtlichen und gesetzlichen Aufbewahrungspflichten (z. B. aus Berufsordnungen, § 630f BGB, steuer- und sozialrechtlichen Vorgaben).

Für die Praxis bedeutet das: Bei einem Löschersuchen kann nicht einfach „alles gelöscht“ werden. Stattdessen muss geprüft werden, welche Daten weiterhin benötigt werden – etwa zur Erfüllung dokumentationsrechtlicher Pflichten oder zur Abwehr von Haftungsansprüchen – und welche Daten keiner Pflicht mehr unterliegen und deshalb gelöscht oder anonymisiert werden können.

Wichtig ist, dass die Praxis einen klaren Prozess für solche Anfragen hat: Wer nimmt sie entgegen, wer prüft sie, in welchen Systemen muss gesucht werden, und wie wird die Entscheidung dokumentiert? Auch eine transparente Kommunikation gegenüber dem Patienten ist entscheidend: Wird eine Löschung ganz oder teilweise abgelehnt, sollte der Grund nachvollziehbar erläutert werden. Ein geordnetes Lösch- und Aufbewahrungskonzept hilft, diese Abwägungen auf eine strukturierte Grundlage zu stellen.

5. Welche technischen und organisatorischen Maßnahmen sind für eine Praxis aus Sicht der Aufsichtsbehörden „mindestens“ zu erwarten?

Die DSGVO nennt in Art. 32 DSGVO keine festen Techniklisten, sondern fordert ein dem Risiko angemessenes Schutzniveau. Für Arztpraxen ist das Risiko durch den Umgang mit Gesundheitsdaten regelmäßig als erhöht einzustufen. Entsprechend ist ein gewisser Mindeststandard zu erwarten, der über einfache Passwortschutzmaßnahmen hinausgeht.

Dazu gehören u. a.:

  • organisatorische Maßnahmen im Empfangs- und Behandlungsbereich (Diskretion, Sicht- und Schallschutz, Clear-Desk-Prinzip),
  • strukturierte Zugriffsrechte auf EDV-Systeme, individuelle Benutzerkonten und sichere Passwörter,
  • Verschlüsselung sensibler Daten – insbesondere auf mobilen Geräten und bei Backups,
  • regelmäßige, getestete Datensicherungen und sichere Aufbewahrung der Sicherungsmedien,
  • abgesicherte Wartungsprozesse mit externen Technikern (Verträge nach Art. 28 DSGVO, kontrollierte Zugriffe),
  • aktuelle Virenschutz- und Firewall-Lösungen sowie regelmäßige Software-Updates,
  • ein einfach nachvollziehbarer Ablauf bei Verdacht auf Datenpannen (interne Meldung, Bewertung, ggf. Meldung nach Art. 33, 34 DSGVO).

Aufsichtsbehörden schauen nicht nur auf das „Papier“, sondern zunehmend auf die tatsächliche Umsetzung im Alltag. Ein durchdachtes Zusammenspiel aus organisatorischen Regeln, technischer Absicherung und gelebter Sensibilisierung im Team ist daher entscheidend. Ein externer Datenschutzbeauftragter kann hier helfen, die Anforderungen in der Praxis realistisch umzusetzen, Prioritäten zu setzen und die Maßnahmen in der Dokumentation festzuhalten.

Arztpraxen arbeiten täglich mit hochsensiblen Gesundheitsdaten. Neben der ärztlichen Schweigepflicht (§ 203 StGB) gelten die Vorgaben der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und – je nach Träger – kirchlicher Datenschutzregelungen (z. B. KDG, DSG‑EKD).

Seit vielen Jahren begleiten wir Arztpraxen in Berlin und im Bundesgebiet bei der Umsetzung von Datenschutz und IT‑Sicherheit. In dieser Zeit hat sich gezeigt: Gerade in Bestands- und Altpraxen bestehen oft organisatorische und technische Lücken – von unverschlossenen Karteischränken über ungeschützte PCs bis hin zu unkontrollierten Zugängen externer Techniker.

Ziel dieses Textes ist es, Arztpraxen praxisnah zu sensibilisieren und typische Schwachstellen aufzuzeigen – verbunden mit dem Angebot, diese gemeinsam strukturiert und DSGVO-konform zu beheben.

Benennung eines Datenschutzbeauftragten in der Arztpraxis

Viele Arztpraxen gehen davon aus, dass ein Datenschutzbeauftragter erst ab 20 Personen, die mit personenbezogenen Daten arbeiten, zwingend zu benennen ist. Diese Schwelle ergibt sich zwar aus § 38 BDSG, greift im medizinischen Bereich aber regelmäßig zu kurz.

Denn Arztpraxen verarbeiten in der Regel in erheblichem Umfang besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (Gesundheitsdaten). In solchen Fällen kann eine Benennungspflicht nach Art. 37 Abs. 1 lit. c DSGVO in Verbindung mit § 38 BDSG bestehen – unabhängig von der reinen Mitarbeiterzahl.

Auch Kleinpraxen mit wenigen Angestellten sind daher gut beraten, die Frage der Benennung sorgfältig zu prüfen und sich gegebenenfalls bewusst für einen (externen) Datenschutzbeauftragten zu entscheiden. Unabhängig von der formalen Bestellpflicht gilt: Alle Vorgaben der DSGVO sind auch in kleinen Praxen einzuhalten.

Eine strukturierte Datenschutzberatung, inklusive Mitarbeiterschulung, lohnt sich daher in jeder Praxisgröße.

Organisatorischer Datenschutz in Praxisräumen

Anmeldebereich und Empfang

Der Anmeldebereich ist meist der erste Eindruck, den ein Patient von der Praxis gewinnt. Er ist oft offen, freundlich und einsehbar gestaltet – was aus Datenschutz- und Diskretionssicht Herausforderungen mit sich bringt.

Wesentliche Punkte:

  • Türen zu Wartezimmer, Behandlungszimmern und Nebenräumen sollten grundsätzlich geschlossen gehalten werden, um Einblicke und Mithören zu vermeiden.
  • Der Tresen sollte so gestaltet sein, dass immer nur ein Patient unmittelbar bedient wird.
  • Mehrere Anmeldeplätze sollten räumlich so weit auseinander liegen, dass Gespräche nicht von allen Wartenden mitgehört werden können.

Praktische Maßnahmen:

  • Bodenmarkierungen mit Abstand zum Tresen (wie inzwischen in vielen Einrichtungen üblich).
  • Keine Stühle direkt im Anmeldebereich aufstellen.
  • Deutliche Hinweise an Patienten (schriftlich und mündlich), dass Diskretion gewahrt werden soll.

Terminvergabe und Aufnahme von Patientendaten

Häufig stehen mehrere Patienten gleichzeitig am Tresen – zur Anmeldung, zur weiteren Behandlung oder für Terminabsprachen. Um hier die Vertraulichkeit zu sichern:

  • Patientendaten sollten möglichst nicht laut mündlich am Tresen abgefragt werden.
  • Für die Ersterfassung empfiehlt sich ein auszufüllender Anamnesebogen, den der Patient in Ruhe ausfüllt.
  • Versichertenkarten und Kartenlesegeräte sollten so positioniert sein, dass Unbefugte keinen Zugriff haben und keine Daten einsehen können.
  • Patienten sollten nach Möglichkeit ins Wartezimmer gebeten und von dort zur Behandlung abgeholt werden, statt längere Gespräche direkt am Tresen zu führen.

Telefonate im Empfangsbereich

Im Anmeldebereich werden häufig Telefonate geführt – etwa zu Laborergebnissen oder zur Abstimmung mit anderen Praxen oder Kliniken. In Anwesenheit anderer Patienten kann dies zu Datenschutzproblemen führen.

Empfehlungen:

  • Möglichst auf die Nennung von vollständigen Namen und sensiblen Befunden verzichten, wenn weitere Patienten zuhören können.
  • Vertrauliche Telefonate möglichst in einem separaten Raum führen (z. B. per Mobilteil der Telefonanlage).
  • Keine detaillierte Krankengeschichte am Tresen besprechen.

Faxgeräte, Drucker und Bildschirme

Faxgeräte, Drucker und Bildschirme stehen häufig im Empfangsbereich und sind von Patienten einsehbar. Hier gilt:

  • Faxgeräte so platzieren, dass der Ausdruck nicht von Patienten eingesehen werden kann (z. B. Ablage mit Schriftbild nach unten).
  • Bildschirme so ausrichten oder mit Sichtschutz ausstatten, dass Patientendaten nicht „mitgelesen“ werden können.
  • Ausdrucke mit Patientendaten nicht offen liegen lassen, sondern zügig abnehmen und wegsortieren.

Patientenunterlagen, Karteikarten und Wartebereich

Papierunterlagen wie Karteikarten, Überweisungen oder Rezepte liegen in vielen Praxen auch heute noch offen am Tresen.

Grundsätze:

  • Patientenakten und Karteikarten gehören nicht auf den Tresen, sondern in geschützte Bereiche (z. B. darunterliegende Ablagen).
  • Nach Praxisschluss müssen alle Akten und Karteikarten in abschließbaren Schränken oder Räumen verwahrt werden („Clear-Desk/Clear-Desk-Prinzip“).
  • Wenn Wartebereich und Empfang offen ineinander übergehen, ist besonders auf optische und akustische Abschirmung zu achten, damit wartende Patienten nicht das Behandlungsgeschehen „mitverfolgen“.

Behandlungsräume

Im Behandlungszimmer ist der Patient häufig eine Zeitlang ohne Anwesenheit des Arztes oder Praxispersonals. Daher sollten dort:

  • keine unverschlossenen Aktenschränke mit Patientendaten stehen,
  • keine Karteikarten oder andere Unterlagen offen zugänglich sein,
  • PCs so gesichert sein, dass kein Unbefugter Zugriff hat (z. B. automatischer, passwortgeschützter Bildschirmschoner),
  • Türen verschlossen werden, solange ein Patient im Raum ist, und nicht als Durchgang zu anderen Räumen dienen,
  • Behandlungsräume akustisch so abgeschirmt sein, dass Gespräche nicht in Warte- oder Flurbereiche dringen.

Eine Abtrennung von Behandlungsbereichen lediglich mit Vorhängen ist aus Datenschutz- und Schweigepflichtperspektive in der Regel nicht ausreichend – Ausnahmen können reine Funktionsräume (z. B. Inhalationszimmer) sein.

Technischer Datenschutz und IT-Sicherheit in der Arztpraxis

EDV, Zugriffsrechte und Verschlüsselung

Die früher papiergebundenen Karteien werden zunehmend durch Praxissoftware und elektronische Patientenakten ersetzt. Das bringt Effizienz, erfordert aber hohe Standards bei Datensicherheit und Zugriffsschutz.

Wichtige Maßnahmen:

  • Alle Praxisrechner sollten mit einem passwortgeschützten Bildschirmschoner ausgestattet sein, der sich nach kurzer Inaktivität automatisch aktiviert.
  • Jede berechtigte Person sollte ein eigenes Benutzerkonto mit individuellem Passwort haben; Sammel- oder „Gemeinschaftspasswörter“ sind zu vermeiden.
  • Passwörter müssen ausreichend komplex sein und regelmäßig geändert werden.
  • Zugriffsrechte sollten so vergeben werden, dass Mitarbeitende nur die Daten sehen, die sie für ihre Tätigkeit benötigen („Need-to-know“).
  • Patientendaten sollten – soweit technisch möglich – verschlüsselt auf Datenträgern gespeichert werden, insbesondere bei Laptops oder mobilen Geräten.

Datensicherung

Elektronische Daten der Praxis müssen regelmäßig gesichert werden, um Verlusten durch Hardwaredefekte, Fehlbedienungen oder Angriffe vorzubeugen.

Empfehlungen:

  • Tägliche, automatisierte Backups der Praxisdaten auf geeignete Medien oder Systeme (lokal und/oder in gesicherten, zertifizierten Rechenzentren).
  • Aufbewahrung der Backup-Medien in einem verschlossenen, möglichst feuersicheren Schrank oder Tresor beziehungsweise in einer abgesicherten Backup-Infrastruktur.
  • Regelmäßige Überprüfung, ob Sicherungen im Notfall tatsächlich wiederhergestellt werden können („Restore-Tests“).
  • Sicherstellen, dass Backup-Prozesse selbst nicht zur Datenabflussquelle werden (z. B. ungesicherte USB-Platten ohne Zutrittskontrolle).

Wartung durch externe Techniker und Auftragsverarbeitung

EDV-Wartung und Support erfolgen in vielen Praxen durch externe IT-Dienstleister. Diese können im Rahmen ihrer Tätigkeit Zugriff auf Patientendaten erhalten. Das ist nur zulässig, wenn dies datenschutzrechtlich abgesichert ist.

Wesentliche Punkte:

  • Mit Dienstleistern, die Zugriff auf Patientendaten haben oder haben können, ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abzuschließen.
  • Der Vertrag muss u. a. die Vertraulichkeit, den Zweck der Datenverarbeitung, die getroffenen technischen und organisatorischen Maßnahmen und Regelungen zum Umgang mit Unterauftragsnehmern enthalten.
  • Wartungstätigkeiten sollten – soweit möglich – so organisiert werden, dass der Zugriff auf Echtdaten minimiert wird und nach Möglichkeit in Begleitung von Praxispersonal erfolgen kann.
  • Verschlüsselung von Patientendaten und Protokollierung von administrativen Zugriffen helfen, Missbrauch und unbeabsichtigte Einsichtnahmen zu verhindern.

Damit werden sowohl die Anforderungen der DSGVO als auch die ärztliche Schweigepflicht nach § 203 StGB besser abgesichert.

Internetzugang in der Praxis

Ein Internetzugang ist für die Praxisorganisation, für Recherchen und für die Telematik-Infrastruktur kaum verzichtbar. Gleichzeitig ist er ein potenzielles Einfallstor für Angriffe.

Empfehlungen:

  • Praxis-IT so segmentieren, dass Systeme mit Patientendaten bestmöglich abgeschirmt sind (z. B. durch Firewalls, Netzsegmentierung).
  • Wenn möglich, keine Patientendaten direkt auf PCs speichern, die primär für das Surfen im Internet genutzt werden – oder diese besonders absichern.
  • Regelmäßige Updates von Betriebssystemen, Praxissoftware und Sicherheitssoftware durchführen.
  • Kein unkontrollierter Einsatz privater Geräte (Laptops, Smartphones) im Praxisnetz, ohne klare Regeln und Schutzmaßnahmen.

Was wir für Ihre Arztpraxis tun

Als externe Datenschutzbeauftragte mit Erfahrung im medizinischen Umfeld unterstützen wir Arztpraxen dabei, die gesetzlichen Vorgaben und die ärztliche Schweigepflicht in praktische Abläufe zu übersetzen.

Unsere Leistungen umfassen unter anderem:

  • Bestandsaufnahme und Risikoanalyse der datenschutzrelevanten Prozesse in Ihrer Praxis (Organisation, IT, Kommunikation, Dokumentation).
  • Aufbau und Pflege eines Datenschutzmanagements, einschließlich Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO), Löschkonzept und TOM‑Dokumentation (Art. 32 DSGVO).
  • Prüfung und Gestaltung von Verträgen mit IT-Dienstleistern, Praxissoftware-Anbietern, Abrechnungsdienstleistern und anderen Auftragsverarbeitern (Art. 28 DSGVO).
  • Mitarbeiterschulungen für Ärztinnen, Ärzte und Medizinische Fachangestellte, zugeschnitten auf den Praxisalltag.
  • Unterstützung bei Betroffenenanfragen (z. B. Auskunfts- oder Löschersuchen) und im Umgang mit möglichen Datenschutzvorfällen.
  • Begleitung im Kontakt mit Aufsichtsbehörden, falls Rückfragen oder Prüfungen anstehen.

Ziel ist eine Praxisorganisation, in der Datenschutz und IT‑Sicherheit nicht als zusätzliche Belastung empfunden werden, sondern als selbstverständlicher Bestandteil professioneller Patientenversorgung.

Haben Sie noch Fragen Fragen?

Wenn Sie Ihre Praxis datenschutzrechtlich auf den aktuellen Stand bringen oder bestehende Maßnahmen überprüfen lassen möchten, unterstützen wir Sie gern.

Über die auf unserer Website vorhandenen Kontaktwege (Telefon, Kontaktformular, E‑Mail) können Sie eine unverbindliche Erstabstimmung vereinbaren. Gemeinsam klären wir, welche Schritte für Ihre Praxis in Bezug auf Datenschutz und IT‑Sicherheit sinnvoll sind – und wie wir Sie als externer Datenschutzbeauftragter konkret entlasten können.

Konataktformulare
Leistungspackete