Datenschutz in der Arztpraxis: die 5 Alltagsfallen und wann Sie einen Datenschutzbeauftragten brauchen

Nach diesem Beitrag wissen Sie, ob Ihre Praxis einen Datenschutzbeauftragten braucht, welche Alltagssituationen am häufigsten schiefgehen und wie Sie Ihr Team nachweisbar schulen. Grundlage ist Art. 9 Abs. 1 DSGVO: Gesundheitsdaten sind eine besondere Kategorie personenbezogener Daten und dürfen nur unter strengen Voraussetzungen verarbeitet werden, unabhängig von der Praxisgröße.
Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung.
Warum gelten in der Arztpraxis besondere Regeln?
Zwei Dinge sind entscheidend. Erstens: Art. 9 Abs. 1 DSGVO verbietet die Verarbeitung von Gesundheitsdaten grundsätzlich. Eine Ausnahme gilt nur für die Gesundheitsversorgung, über Art. 9 Abs. 2 Buchstabe h in Verbindung mit Art. 9 Abs. 3 DSGVO: Verarbeiten darf dann nur Personal mit beruflicher oder gleichwertiger Verschwiegenheitspflicht.
Zweitens gilt parallel die strafbewehrte ärztliche Schweigepflicht nach § 203 StGB. Wer ein fremdes Geheimnis unbefugt offenbart, riskiert Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Schweigepflicht und Datenschutz sind keine Synonyme: Beide Pflichtenkreise gelten parallel und müssen gleichzeitig eingehalten werden.
Was das für Sie heißt: Prüfen Sie, ob alle Mitarbeitenden schriftlich zur Verschwiegenheit verpflichtet sind.
Welche Alltagssituationen sind heikel?
Die größten Risiken entstehen selten durch komplexe IT-Angriffe, sondern durch alltägliche Routinen. Die folgende Tabelle zeigt die häufigsten Situationen und die richtige Praxis dazu.
| Situation | Risiko | Richtige Praxis |
|---|---|---|
| Anmeldung im Wartebereich | Mithörende Patienten erfahren Name, Diagnose oder Besuchsgrund | Sichtschutz, gedämpfte Lautstärke, sensible Themen ins Sprechzimmer verlagern |
| Telefonische Auskunft an Angehörige | Weitergabe von Befunden ohne geprüfte Berechtigung | Identität und Auskunftsrecht vor jeder Auskunft prüfen, im Zweifel zurückrufen |
| Terminerinnerung per SMS oder E-Mail | Unverschlüsselter Versand, falsche Empfänger | Einwilligung einholen, keine Diagnosen im Text, geprüfte Versandsysteme nutzen |
| Entsorgung von Patientenunterlagen | Lesbare Akten landen im normalen Papiermüll | Aktenvernichter nutzen oder zertifizierten Entsorgungsdienstleister mit AVV beauftragen |
| Praxissoftware und IT-Dienstleister | Datenverarbeitung ohne vertragliche Grundlage | Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen und regelmäßig prüfen |
Auch die Praxissoftware selbst ist relevant, denn hier kommt es auf die vertragliche Einordnung an:
- Läuft die Software über einen externen Rechenzentrums- oder Cloud-Anbieter, verarbeitet dieser die Daten meist als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Dafür braucht es einen wirksamen AVV (Auftragsverarbeitungsvertrag).
- Bei externen Laboren oder Fachärzten, an die Befunde weitergegeben werden, liegt dagegen häufig kein Auftragsverarbeitungsverhältnis vor: Diese Stellen nutzen die Daten für eigene Behandlungszwecke in eigener Verantwortung. Hier braucht es eine tragfähige Rechtsgrundlage für die Übermittlung, keinen AVV.
Technisch verlangt Art. 32 DSGVO angemessene Maßnahmen wie Passwortschutz, automatische Bildschirmsperren, verschlüsselte Übertragungswege und ein geregeltes Vorgehen bei Datenpannen. Organisatorisch bedeutet Diskretion vor allem Sichtschutz am Empfang, verschlossene Aktenschränke und einen durchdachten Umgang mit Fax, E-Mail und Botendiensten.
Braucht eine Praxis einen Datenschutzbeauftragten?
Nach § 38 Abs. 1 BDSG müssen Verantwortliche eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Viele kleine und mittlere Arztpraxen erreichen diese 20-Personen-Schwelle nicht und sind deshalb nicht zur Benennung verpflichtet.
Unabhängig von der Personenzahl kann eine Benennungspflicht dennoch entstehen, etwa wenn eine Verarbeitung eine Datenschutz-Folgenabschätzung erfordert.
Wichtig: Fehlt die Benennungspflicht, entfallen nicht die inhaltlichen Pflichten aus der DSGVO. Auch ohne Datenschutzbeauftragten muss jede Praxis:
- ein Verzeichnis von Verarbeitungstätigkeiten führen,
- Patientinnen und Patienten über die Datenverarbeitung informieren,
- ihre Rechenschaftspflicht nach DSGVO erfüllen, also die Einhaltung der Grundsätze dokumentieren und nachweisen können.
Wie werden Praxismitarbeiter geschult?
Die Kassenärztliche Bundesvereinigung weist ausdrücklich darauf hin, dass Mitarbeitende in der Praxis über Schweigepflicht und Datenschutz informiert werden müssen. Medizinische Fachangestellte haben täglich Kontakt mit besonders sensiblen Daten, an der Anmeldung, am Telefon und in der Abrechnung.
Deshalb sollten sie die rechtlichen Grundlagen kennen:
- was besondere Kategorien personenbezogener Daten sind,
- welche Rechte Patientinnen und Patienten haben,
- und wie ein Verdacht auf eine Datenpanne zu melden ist.
Eine branchenübergreifende DSGVO-Grundlagenschulung vermittelt genau dieses Fundament für das gesamte Praxisteam, inklusive eines datierten Teilnahmezertifikats je Mitarbeiterin und Mitarbeiter. Sie ersetzt jedoch keine praxisinterne Einweisung in die konkreten Abläufe vor Ort, etwa den Umgang mit der jeweiligen Praxisverwaltungssoftware, das praxiseigene Berechtigungskonzept oder die Meldewege bei einem Vorfall. Diese Feinjustierung bleibt Aufgabe der Praxisleitung.
Häufige Fragen (FAQ)
Dürfen Patientennamen im Wartezimmer aufgerufen werden?
Das ist datenschutzrechtlich heikel. Eine ausdrückliche Verbotsnorm gibt es nicht, doch der Grundsatz der Datenminimierung spricht klar gegen das laute Aufrufen von Namen und Diagnosen im Wartebereich. Aufsichtsbehörden empfehlen deshalb Alternativen wie Aufrufnummern, ein diskretes Zeichen am Empfang oder das direkte Abholen im Wartezimmer.
Muss jede Arztpraxis einen Datenschutzbeauftragten bestellen?
Nein. Die Pflicht nach § 38 Abs. 1 BDSG greift in der Regel erst ab mindestens 20 Personen, die ständig mit automatisierter Datenverarbeitung befasst sind. Diese Schwelle erreichen viele Einzel- und Gemeinschaftspraxen nicht. Unabhängig davon kann eine Pflicht auch unterhalb dieser Schwelle entstehen, etwa bei bestimmten Verarbeitungen; eine freiwillige Benennung kann trotzdem sinnvoll sein.
Wie lange müssen Patientenakten aufbewahrt werden?
Nach § 630f Abs. 3 BGB muss die Behandlungsakte grundsätzlich zehn Jahre nach Abschluss der Behandlung aufbewahrt werden. Andere Vorschriften können abweichende, teils längere Fristen vorsehen, etwa für Röntgenaufnahmen. Im Zweifel gilt dann die längere Frist.
Was passiert bei einem Datenschutzverstoß in der Praxis?
Verstöße können von der zuständigen Aufsichtsbehörde geprüft und nach Art. 83 DSGVO mit einem Bußgeld geahndet werden, dessen Höhe sich am Einzelfall bemisst. Bei Verletzungen der Schweigepflicht drohen zusätzlich strafrechtliche Konsequenzen nach § 203 StGB sowie zivilrechtliche Ansprüche der betroffenen Patientinnen und Patienten.
Die DSGVO-Grundlagenschulung von Provimedia schafft für Ihr gesamtes Praxisteam ein gemeinsames, dokumentiertes Fundament, verständlich aufbereitet und online absolvierbar.
Quellen
- EUR-Lex: Verordnung (EU) 2016/679 (DSGVO), insbesondere Art. 9, 28 und 32
- gesetze-im-internet.de: § 38 BDSG – Datenschutzbeauftragte nichtöffentlicher Stellen
- gesetze-im-internet.de: § 203 StGB – Verletzung von Privatgeheimnissen
- gesetze-im-internet.de: § 630f BGB – Dokumentation der Behandlung
- Kassenärztliche Bundesvereinigung (KBV): Datenschutz in der Praxis
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
Phishing und Social Engineering: Woran Ihre Mitarbeiter Angriffe erkennen
Phishing, Spear-Phishing, CEO-Fraud und Smishing zielen nicht auf Systeme, sondern auf Menschen. Welche Warnsignale eine Phishing-Mitarbeiter-Schulung vermitteln sollte und warum ein erfolgreicher Angriff schnell zur meldepflichtigen Datenschutzverletzung wird.
DSGVO-Bußgelder: Reale Fälle aus Deutschland und was Unternehmen daraus lernen
Vier reale DSGVO-Bußgeldfälle aus Deutschland zeigen, wie Behörden die Höhe bemessen – und dass Gerichte sie im Nachhinein auch wieder deutlich reduzieren können.
Informationssicherheits-Schulung vs. Datenschutzschulung: Was Unternehmen brauchen
Informationssicherheit schützt Systeme und Informationen, Datenschutz schützt Personen und ihre Daten. Der Unterschied, die Überschneidung nach Art. 32 DSGVO und was die neue NIS2-Schulungspflicht für Geschäftsleitungen bedeutet.
Bereit für den dokumentierten Schulungsnachweis?
Die DSGVO-Grundlagenschulung für Ihr Team – online, in rund 90 Minuten, mit datiertem Teilnahmezertifikat je Person.