Datenschutz in der Arztpraxis — DSGVO-Leitfaden

Q: Brauche ich als Arztpraxis einen Datenschutzbeauftragten?

Ob eine Arztpraxis einen DSB bestellen muss, haengt von einer individuellen Bewertung ab. Sobald mindestens 20 Personen staendig mit personenbezogenen Daten arbeiten, ist ein DSB nach BDSG Pflicht. Auch wenn die Kerntaetigkeit in der umfangreichen Verarbeitung besonderer Kategorien (Gesundheitsdaten) liegt, kann eine Bestellpflicht bestehen. Eine individuelle Pruefung ist empfehlenswert.

Q: Welche DSGVO-Pflichten gelten speziell für Arztpraxen?

Arztpraxen müssen unter anderem ein Verarbeitungsverzeichnis (VVT) führen, Auftragsverarbeitungsverträge (AVV) mit Dienstleistern abschließen, Patienten über die Datenverarbeitung informieren, ein Löschkonzept umsetzen und Mitarbeiter regelmäßig schulen. Zusätzlich gelten die Schweigepflicht nach §203 StGB und die KBV IT-Sicherheitsrichtlinie.

Q: Wie schütze ich Patientendaten in der Praxis?

Technische Maßnahmen: verschlüsselte PVS-Datenbank, Bildschirmsperre, sichere Passwörter, Firewall, regelmäßige Backups. Organisatorische Maßnahmen: Sichtschutz am Empfang, verschlossene Aktenschränke, Clean-Desk-Policy, Schweigepflicht-Verpflichtung aller Mitarbeiter, regelmäßige Datenschutzschulungen.

Q: Was passiert bei einer KBV-Prüfung oder Datenschutz-Kontrolle?

Bei einer Prüfung werden VVT, AVV-Verträge, Datenschutzhinweise, TOM-Dokumentation und Schulungsnachweise angefordert. Fehlende Dokumente führen zu Beanstandungen, im schlimmsten Fall zu Bußgeldern bis 20 Mio. Euro. Mit einer vollständigen Dokumentation und gelebtem Datenschutz verbessert sich die Nachweisfaehigkeit bei Pruefungen erheblich.

Gesundheitsdaten, Schweigepflicht, Digitalisierung: Welche Datenschutz-Pflichten Arztpraxen erfüllen müssen und wie Sie Datenschutzprozesse strukturiert organisieren. Mit Checkliste.

Besondere Anforderungen an Arztpraxen

Arztpraxen verarbeiten Gesundheitsdaten nach Art. 9 DSGVO — eine besondere Kategorie personenbezogener Daten, die dem höchsten Schutzniveau unterliegt. Diagnosen, Befunde, Laborwerte und Therapiepläne dürfen nur unter strengen Voraussetzungen verarbeitet werden.

Zusätzlich zur DSGVO gilt die ärztliche Schweigepflicht nach §203 StGB. Ein Verstoß ist nicht nur ein Datenschutzproblem, sondern eine Straftat mit bis zu einem Jahr Freiheitsstrafe. Diese doppelte Absicherung macht den Datenschutz in der Arztpraxis besonders anspruchsvoll — aber auch besonders wichtig für das Vertrauen Ihrer Patienten.

DSGVO-Pflichten für Arztpraxen

Folgende Datenschutz-Pflichten müssen niedergelassene Ärzte konkret umsetzen:

Pflicht	Rechtsgrundlage	Umsetzung
Verarbeitungsverzeichnis (VVT)	Art. 30 DSGVO	Alle Verarbeitungen dokumentieren: Patientenverwaltung, Abrechnung, Labor, ePA
Auftragsverarbeitungsvertrag (AVV)	Art. 28 DSGVO	Mit PVS-Anbieter, IT-Dienstleister, Abrechnungsstelle, Cloudanbieter
Patienteninformation	Art. 13/14 DSGVO	Aushang in der Praxis, Übergabe bei Erstbesuch, Website-Datenschutzerklärung
Löschkonzept	Art. 17 DSGVO	Aufbewahrungsfristen definieren (10 Jahre BGB, 30 Jahre Haftung), danach sicher löschen
Mitarbeiterschulung	Art. 39 DSGVO	Jährliche Schulung zu Datenschutz und Schweigepflicht, dokumentiert
TOM-Dokumentation	Art. 32 DSGVO	Technisch-organisatorische Maßnahmen verschriftlichen und prüfen

Datenschutzbeauftragter — wann Pflicht?

Ob Ihre Praxis einen Datenschutzbeauftragten (DSB) benoetigt, haengt von Groesse, Organisation und Verarbeitungstaetigkeiten ab. Die DSGVO verlangt einen DSB, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien liegt — dies kann bei Arztpraxen je nach Umfang und Verarbeitungstaetigkeiten relevant sein.

Auch das BDSG greift: Ab 20 Personen, die ständig mit personenbezogener Datenverarbeitung beschäftigt sind (Ärzte, MFA, Abrechnungskräfte), ist ein DSB Pflicht. Selbst kleine Praxen mit zwei Ärzten und mehreren MFA erreichen diese Schwelle schnell.

Der DSB kann intern bestellt oder als externer Datenschutzbeauftragter beauftragt werden. Für Arztpraxen empfiehlt sich oft ein externer DSB, da die internen Ressourcen begrenzt sind.

ePA und Digitalisierung

Die elektronische Patientenakte (ePA), das E-Rezept und die Telematikinfrastruktur stellen neue Anforderungen an den Datenschutz in der Arztpraxis. Gesundheitsdaten werden zunehmend digital verarbeitet, übermittelt und gespeichert.

Daraus ergeben sich zusätzliche Pflichten: Zugriffsprotokollierung, verschlüsselte Übertragung, Einwilligungsmanagement und regelmäßige Sicherheitsupdates. Jede Arztpraxis muss sicherstellen, dass PVS-System, Konnektoren und Arbeitsplätze aktuell und sicher konfiguriert sind.

KBV IT-Sicherheitsrichtlinie

Die KBV IT-Sicherheitsrichtlinie nach §75b SGB V ist seit 2021 für alle vertragsärztlichen Praxen verbindlich. Sie definiert konkrete Anforderungen an IT-Sicherheit — von der Firewall über Mobile-Device-Management bis zum Virenschutz. Die Richtlinie ergänzt die DSGVO-Anforderungen und sollte gemeinsam umgesetzt werden.

Typische Datenschutz-Fehler in Arztpraxen

Offene Patientenakten am Empfang — Einsicht für Unbefugte, Verstoß gegen Vertraulichkeit
Fehlende AVV mit IT-Dienstleister — Der häufigste Mangel bei Prüfungen
Kein Löschkonzept — Daten werden unbegrenzt gespeichert, ohne Rechtsgrundlage
Private Geräte ohne Regelung — WhatsApp, private Handys mit Patientenfotos
Fehlende Schulungsnachweise — Mitarbeiter nie oder nur mündlich geschult
Veraltete Praxis-Software — Kein Sicherheitsupdate seit Jahren, offene Schwachstellen
Kein Sichtschutz am Monitor — Patientendaten für Wartende einsehbar

Checkliste: Datenschutz in der Arztpraxis

Datenschutzbeauftragten bestellen — intern oder extern, Bestellung dokumentieren
Verarbeitungsverzeichnis erstellen — alle Verarbeitungen mit VVT-Vorlage erfassen
AVV-Verträge abschließen — mit jedem Dienstleister, der Patientendaten verarbeitet (AVV-Vorlage)
Patienteninformation aushängen — Art. 13 DSGVO-konforme Informationspflicht
Datenschutzerklärung für Praxis-Website — mit dem DSE-Generator erstellen
TOM dokumentieren — Verschlüsselung, Zugriffsrechte, Backup, Firewall, Virenschutz
Mitarbeiter schulen — jährlich zu DSGVO und Schweigepflicht, Teilnahme dokumentieren
Löschkonzept umsetzen — Aufbewahrungsfristen definieren, regelmäßig alte Daten löschen

Datenschutz in Ihrer Arztpraxis professionell umsetzen

Mit Custodio verwalten Sie VVT, AVV, TOM und Schulungen an einem Ort — mit Vorlagen speziell für Arztpraxen, automatischen Fristen und Prüfungs-Export.

Kostenlos beraten lassen Kostenlos DSE erstellen

Häufige Fragen zum Datenschutz in der Arztpraxis

Brauche ich als Arztpraxis einen Datenschutzbeauftragten?

Ob eine Arztpraxis einen Datenschutzbeauftragten bestellen muss, haengt von Praxisgroesse, Organisation und konkreten Verarbeitungstaetigkeiten ab. Die Pflicht sollte im Einzelfall geprueft und dokumentiert werden.

Welche DSGVO-Pflichten gelten speziell für Arztpraxen?

Verarbeitungsverzeichnis führen, AVV mit Dienstleistern abschließen, Patienten informieren, Löschkonzept umsetzen, Mitarbeiter schulen. Zusätzlich gelten die Schweigepflicht nach §203 StGB und die KBV IT-Sicherheitsrichtlinie.

Wie schütze ich Patientendaten in der Praxis?

Technisch: verschlüsselte PVS-Datenbank, Bildschirmsperre, Firewall, Backups. Organisatorisch: Sichtschutz am Empfang, verschlossene Aktenschränke, Clean-Desk-Policy, Schweigepflicht-Verpflichtung und regelmäßige Schulungen.

Was passiert bei einer KBV-Prüfung oder Datenschutz-Kontrolle?

VVT, AVV-Verträge, Datenschutzhinweise, TOM-Dokumentation und Schulungsnachweise werden angefordert. Fehlende Dokumente führen zu Beanstandungen und Bußgeldern. Mit vollständiger Dokumentation verbessert sich die Nachweisfaehigkeit bei Pruefungen erheblich.