Zum Inhalt springen

Datenschutz in der Arztpraxis: die 5 Alltagsfallen und wann Sie einen Datenschutzbeauftragten brauchen

Provimedia Redaktion 5 Min. Lesezeit 15. Juli 2026 5 Aufrufe
Datenschutz & DSGVO
Datenschutz in der Arztpraxis: die 5 Alltagsfallen und wann Sie einen Datenschutzbeauftragten brauchen
Symbolbild · mit KI erstellt

Nach diesem Beitrag wissen Sie, ob Ihre Praxis einen Datenschutzbeauftragten braucht, welche Alltagssituationen am häufigsten schiefgehen und wie Sie Ihr Team nachweisbar schulen. Grundlage ist Art. 9 Abs. 1 DSGVO: Gesundheitsdaten sind eine besondere Kategorie personenbezogener Daten und dürfen nur unter strengen Voraussetzungen verarbeitet werden, unabhängig von der Praxisgröße.

Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung.

Warum gelten in der Arztpraxis besondere Regeln?

Zwei Dinge sind entscheidend. Erstens: Art. 9 Abs. 1 DSGVO verbietet die Verarbeitung von Gesundheitsdaten grundsätzlich. Eine Ausnahme gilt nur für die Gesundheitsversorgung, über Art. 9 Abs. 2 Buchstabe h in Verbindung mit Art. 9 Abs. 3 DSGVO: Verarbeiten darf dann nur Personal mit beruflicher oder gleichwertiger Verschwiegenheitspflicht.

Zweitens gilt parallel die strafbewehrte ärztliche Schweigepflicht nach § 203 StGB. Wer ein fremdes Geheimnis unbefugt offenbart, riskiert Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Schweigepflicht und Datenschutz sind keine Synonyme: Beide Pflichtenkreise gelten parallel und müssen gleichzeitig eingehalten werden.

Was das für Sie heißt: Prüfen Sie, ob alle Mitarbeitenden schriftlich zur Verschwiegenheit verpflichtet sind.

Welche Alltagssituationen sind heikel?

Die größten Risiken entstehen selten durch komplexe IT-Angriffe, sondern durch alltägliche Routinen. Die folgende Tabelle zeigt die häufigsten Situationen und die richtige Praxis dazu.

SituationRisikoRichtige Praxis
Anmeldung im WartebereichMithörende Patienten erfahren Name, Diagnose oder BesuchsgrundSichtschutz, gedämpfte Lautstärke, sensible Themen ins Sprechzimmer verlagern
Telefonische Auskunft an AngehörigeWeitergabe von Befunden ohne geprüfte BerechtigungIdentität und Auskunftsrecht vor jeder Auskunft prüfen, im Zweifel zurückrufen
Terminerinnerung per SMS oder E-MailUnverschlüsselter Versand, falsche EmpfängerEinwilligung einholen, keine Diagnosen im Text, geprüfte Versandsysteme nutzen
Entsorgung von PatientenunterlagenLesbare Akten landen im normalen PapiermüllAktenvernichter nutzen oder zertifizierten Entsorgungsdienstleister mit AVV beauftragen
Praxissoftware und IT-DienstleisterDatenverarbeitung ohne vertragliche GrundlageAuftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen und regelmäßig prüfen

Auch die Praxissoftware selbst ist relevant, denn hier kommt es auf die vertragliche Einordnung an:

  • Läuft die Software über einen externen Rechenzentrums- oder Cloud-Anbieter, verarbeitet dieser die Daten meist als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Dafür braucht es einen wirksamen AVV (Auftragsverarbeitungsvertrag).
  • Bei externen Laboren oder Fachärzten, an die Befunde weitergegeben werden, liegt dagegen häufig kein Auftragsverarbeitungsverhältnis vor: Diese Stellen nutzen die Daten für eigene Behandlungszwecke in eigener Verantwortung. Hier braucht es eine tragfähige Rechtsgrundlage für die Übermittlung, keinen AVV.

Technisch verlangt Art. 32 DSGVO angemessene Maßnahmen wie Passwortschutz, automatische Bildschirmsperren, verschlüsselte Übertragungswege und ein geregeltes Vorgehen bei Datenpannen. Organisatorisch bedeutet Diskretion vor allem Sichtschutz am Empfang, verschlossene Aktenschränke und einen durchdachten Umgang mit Fax, E-Mail und Botendiensten.

Braucht eine Praxis einen Datenschutzbeauftragten?

Nach § 38 Abs. 1 BDSG müssen Verantwortliche eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Viele kleine und mittlere Arztpraxen erreichen diese 20-Personen-Schwelle nicht und sind deshalb nicht zur Benennung verpflichtet.

Unabhängig von der Personenzahl kann eine Benennungspflicht dennoch entstehen, etwa wenn eine Verarbeitung eine Datenschutz-Folgenabschätzung erfordert.

Wichtig: Fehlt die Benennungspflicht, entfallen nicht die inhaltlichen Pflichten aus der DSGVO. Auch ohne Datenschutzbeauftragten muss jede Praxis:

  • ein Verzeichnis von Verarbeitungstätigkeiten führen,
  • Patientinnen und Patienten über die Datenverarbeitung informieren,
  • ihre Rechenschaftspflicht nach DSGVO erfüllen, also die Einhaltung der Grundsätze dokumentieren und nachweisen können.

Wie werden Praxismitarbeiter geschult?

Die Kassenärztliche Bundesvereinigung weist ausdrücklich darauf hin, dass Mitarbeitende in der Praxis über Schweigepflicht und Datenschutz informiert werden müssen. Medizinische Fachangestellte haben täglich Kontakt mit besonders sensiblen Daten, an der Anmeldung, am Telefon und in der Abrechnung.

Deshalb sollten sie die rechtlichen Grundlagen kennen:

  • was besondere Kategorien personenbezogener Daten sind,
  • welche Rechte Patientinnen und Patienten haben,
  • und wie ein Verdacht auf eine Datenpanne zu melden ist.

Eine branchenübergreifende DSGVO-Grundlagenschulung vermittelt genau dieses Fundament für das gesamte Praxisteam, inklusive eines datierten Teilnahmezertifikats je Mitarbeiterin und Mitarbeiter. Sie ersetzt jedoch keine praxisinterne Einweisung in die konkreten Abläufe vor Ort, etwa den Umgang mit der jeweiligen Praxisverwaltungssoftware, das praxiseigene Berechtigungskonzept oder die Meldewege bei einem Vorfall. Diese Feinjustierung bleibt Aufgabe der Praxisleitung.

Häufige Fragen (FAQ)

Dürfen Patientennamen im Wartezimmer aufgerufen werden?

Das ist datenschutzrechtlich heikel. Eine ausdrückliche Verbotsnorm gibt es nicht, doch der Grundsatz der Datenminimierung spricht klar gegen das laute Aufrufen von Namen und Diagnosen im Wartebereich. Aufsichtsbehörden empfehlen deshalb Alternativen wie Aufrufnummern, ein diskretes Zeichen am Empfang oder das direkte Abholen im Wartezimmer.

Muss jede Arztpraxis einen Datenschutzbeauftragten bestellen?

Nein. Die Pflicht nach § 38 Abs. 1 BDSG greift in der Regel erst ab mindestens 20 Personen, die ständig mit automatisierter Datenverarbeitung befasst sind. Diese Schwelle erreichen viele Einzel- und Gemeinschaftspraxen nicht. Unabhängig davon kann eine Pflicht auch unterhalb dieser Schwelle entstehen, etwa bei bestimmten Verarbeitungen; eine freiwillige Benennung kann trotzdem sinnvoll sein.

Wie lange müssen Patientenakten aufbewahrt werden?

Nach § 630f Abs. 3 BGB muss die Behandlungsakte grundsätzlich zehn Jahre nach Abschluss der Behandlung aufbewahrt werden. Andere Vorschriften können abweichende, teils längere Fristen vorsehen, etwa für Röntgenaufnahmen. Im Zweifel gilt dann die längere Frist.

Was passiert bei einem Datenschutzverstoß in der Praxis?

Verstöße können von der zuständigen Aufsichtsbehörde geprüft und nach Art. 83 DSGVO mit einem Bußgeld geahndet werden, dessen Höhe sich am Einzelfall bemisst. Bei Verletzungen der Schweigepflicht drohen zusätzlich strafrechtliche Konsequenzen nach § 203 StGB sowie zivilrechtliche Ansprüche der betroffenen Patientinnen und Patienten.

Die DSGVO-Grundlagenschulung von Provimedia schafft für Ihr gesamtes Praxisteam ein gemeinsames, dokumentiertes Fundament, verständlich aufbereitet und online absolvierbar.

Quellen

Beitrag teilen

Bleiben Sie auf dem Laufenden

Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.

Abmeldung jederzeit möglich. Es gilt unsere Datenschutzerklärung.

Bereit für den dokumentierten Schulungsnachweis?

Die DSGVO-Grundlagenschulung für Ihr Team – online, in rund 90 Minuten, mit datiertem Teilnahmezertifikat je Person.