Datenschutz Arztpraxis – DSGVO-Pflichten im Gesundheitswesen

Inhalt in Kürze

• Gesundheitsdaten gehören zu den besonders geschützten Datenkategorien nach Art. 9 DSGVO. Für Arztpraxen gelten strengere Anforderungen als für die meisten anderen Unternehmen.
• Jede Arztpraxis verarbeitet täglich sensible Patientendaten – von der Anamnese über Laborbefunde bis zur Abrechnung. Die DSGVO verlangt dafür besondere technische und organisatorische Maßnahmen.
• Ab 20 Personen, die regelmäßig mit Daten arbeiten, muss ein Datenschutzbeauftragter benannt werden. Aber auch kleinere Praxen können betroffen sein.
• Dokumentationspflichten gelten unabhängig von der Praxisgröße. Verarbeitungsverzeichnis, Datenschutzerklärung und AVVs sind Pflicht – nicht Kür.

---

Patientenakte, Laborbefund, Überweisungsschein – in einer Arztpraxis fließen jeden Tag Daten, die zu den sensibelsten überhaupt gehören. Die DSGVO stuft Gesundheitsdaten als besondere Kategorie ein. Ein Verstoß wiegt hier schwerer als in anderen Branchen.

Trotzdem fehlen in vielen Praxen grundlegende Datenschutz-Strukturen. Es gibt keine dokumentierten Prozesse, keine aktuellen Verträge mit IT-Dienstleistern, keine Schulungen für das Praxisteam. Solange nichts passiert, fällt das nicht auf. Aber bei einer Beschwerde eines Patienten oder einer Anfrage der Datenschutzbehörde wird es schnell ernst.

Dieser Artikel zeigt, welche DSGVO-Pflichten für Arztpraxen gelten, wo die häufigsten Lücken liegen und wie Sie Ihren Datenschutz pragmatisch auf ein solides Niveau bringen.

Warum Datenschutz in der Arztpraxis besonders wichtig ist

Gesundheitsdaten verraten mehr über eine Person als fast jede andere Information. Diagnosen, Medikationspläne, psychotherapeutische Berichte – ein Datenleck in einer Arztpraxis kann für Patienten existenzielle Folgen haben. Von der Diskriminierung durch Arbeitgeber bis zum Verlust des Versicherungsschutzes.

Die DSGVO trägt dem Rechnung. Art. 9 DSGVO stuft Gesundheitsdaten als “besondere Kategorie personenbezogener Daten” ein. Die Verarbeitung ist grundsätzlich verboten – mit eng definierten Ausnahmen. Für Arztpraxen greift die Ausnahme nach Art. 9 Abs. 2 lit. h: Die Verarbeitung ist zulässig, wenn sie für die medizinische Behandlung erforderlich ist und durch Fachpersonal erfolgt, das der Schweigepflicht unterliegt.

Das bedeutet: Sie dürfen Patientendaten verarbeiten. Aber Sie müssen dabei höhere Standards einhalten als ein Handwerksbetrieb oder ein Online-Shop. Die KBV (Kassenärztliche Bundesvereinigung) und die Bundesärztekammer haben die Anforderungen zuletzt im Oktober 2025 aktualisiert.

Die wichtigsten DSGVO-Pflichten für Arztpraxen

1. Datenschutzbeauftragter – wann ist er Pflicht?

Seit November 2019 gilt: Ein Datenschutzbeauftragter muss ab 20 Personen bestellt werden, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dazu zählen alle Mitarbeitenden – von der Arzthelferin bis zum Praxisinhaber.

Aber Vorsicht: Auch kleinere Praxen können zur Benennung verpflichtet sein. Wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht (Art. 37 Abs. 1 lit. c DSGVO), gilt die Pflicht unabhängig von der Mitarbeiterzahl.

Eine Einzelpraxis verarbeitet laut Gesetzgeber keine Daten in “großem Umfang”. Bei einer Gemeinschaftspraxis mit mehreren Ärzten und Praxisteam sieht das anders aus. Ein externer Datenschutzbeauftragter ist für Praxen oft die pragmatischste Lösung – günstiger als eine interne Schulung und ohne die Interessenkonflikte, die bei internen Beauftragten entstehen können.

2. Verarbeitungsverzeichnis

Art. 30 DSGVO verpflichtet jede Praxis, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Dort dokumentieren Sie unter anderem:

• Patientenverwaltung und Terminplanung
• Medizinische Dokumentation und Befunde
• Abrechnung mit Krankenkassen (KV-Abrechnung)
• Kommunikation mit Laboren und Fachärzten
• Personalverwaltung der Praxismitarbeitenden

Dieses Verzeichnis müssen Sie der Aufsichtsbehörde auf Anfrage vorlegen können. Ausführliche Hinweise dazu finden Sie in unserer Anleitung zum Datenschutzkonzept erstellen.

3. Technische und organisatorische Maßnahmen (TOM)

Art. 32 DSGVO verlangt ein “dem Risiko angemessenes Schutzniveau”. Bei Gesundheitsdaten liegt die Messlatte höher als bei allgemeinen Geschäftsdaten. Konkret heißt das für Ihre Praxis:

• Verschlüsselung von Patientendaten auf allen Geräten und bei der Übertragung
• Zugriffskontrolle – rollenbasierte Berechtigungen im Praxisverwaltungssystem (PVS)
• Bildschirmsperre an Empfang und Behandlungsräumen
• Sichere Entsorgung von Papierdokumenten (Aktenvernichter, mindestens Sicherheitsstufe P-4)
• Backup-Konzept mit regelmäßigen Tests der Wiederherstellung

Mehr dazu mit konkreten Beispielen: Datenschutzkonzept erstellen — Anleitung.

4. Informationspflichten gegenüber Patienten

Patienten müssen bei der ersten Behandlung über die Datenverarbeitung informiert werden (Art. 13 DSGVO). Das kann erfolgen durch:

• Aushang im Wartebereich
• Informationsblatt bei der Erstaufnahme
• Verweis auf die Datenschutzerklärung der Praxis-Website

5. Auftragsverarbeitungsverträge (AVVs)

Für jeden externen Dienstleister, der Zugang zu Patientendaten hat, brauchen Sie einen AVV nach Art. 28 DSGVO. Die häufigsten Fälle in Arztpraxen:

• IT-Dienstleister und Praxis-EDV-Betreuer
• Cloud-Anbieter für Praxissoftware
• Externe Labore (sofern sie als Auftragsverarbeiter agieren)
• Abrechnungsdienstleister
• Aktenvernichtungsunternehmen

Pflicht-Dokumente für Arztpraxen

Dokument	DSGVO-Grundlage	Zweck
Verarbeitungsverzeichnis	Art. 30	Alle Datenverarbeitungen der Praxis dokumentieren
Datenschutzerklärung	Art. 13/14	Patienten über die Verarbeitung informieren
Auftragsverarbeitungsverträge (AVVs)	Art. 28	Verträge mit IT-Dienstleistern, Laboren, Cloud-Anbietern
TOM-Dokumentation	Art. 32	Technische und organisatorische Schutzmaßnahmen nachweisen
Einwilligungserklärungen	Art. 7	Für Datenverarbeitungen ohne gesetzliche Grundlage
Löschkonzept	Art. 17 / § 630f BGB	Aufbewahrungsfristen und Löschprozesse definieren
Datenpannen-Prozess	Art. 33/34	Meldung an Behörde innerhalb von 72 Stunden sicherstellen
Schweigepflicht-Verpflichtung	§ 203 StGB / Art. 32	Alle Mitarbeitenden schriftlich verpflichten

Checkliste: DSGVO-Pflichten für Arztpraxen

Grundlagen

• Datenschutzbeauftragten benennen – ab 20 Personen Pflicht, bei kleineren Praxen prüfen
• Verarbeitungsverzeichnis erstellen – alle Datenflüsse der Praxis dokumentieren
• TOM dokumentieren – Verschlüsselung, Zugriffskontrolle, Backup, Aktenvernichtung
• Datenschutzerklärung auf Website und als Aushang in der Praxis aktuell halten

Verträge und Verpflichtungen

• AVVs abschließen – mit IT-Dienstleister, Cloud-Anbieter, Labor, Abrechnungsstelle
• Mitarbeitende auf Schweigepflicht und Datenschutz verpflichten – schriftlich, bei Einstellung
• Einwilligungserklärungen – für Datenverarbeitungen ohne gesetzliche Grundlage (z. B. Weitergabe an Angehörige)

Prozesse

• Datenpannen-Prozess – Meldung an Aufsichtsbehörde innerhalb von 72 Stunden vorbereiten
• Löschkonzept – Aufbewahrungsfristen definieren (Patientenakten: 10 Jahre nach Behandlungsende)
• Betroffenenanfragen – Prozess für Auskunft, Löschung und Datenübertragbarkeit einrichten
• Jährliche Datenschutz-Schulung – für alle Mitarbeitenden, dokumentiert

Praxis-Alltag

• Bildschirme am Empfang – Blickschutzfolie oder Positionierung, automatische Sperre
• Telefonate mit Patientendaten – nicht im Wartebereich führen
• Faxgerät – nicht frei zugänglich aufstellen, Empfangsbestätigung prüfen
• Elektronische Patientenakte (ePA) – Patienten über Widerspruchsrecht informieren

Testen Sie Ihren aktuellen Stand mit unserem kostenlosen Datenschutz-Check.

Die häufigsten Datenschutz-Fehler in Arztpraxen

Patientendaten per unverschlüsselter E-Mail versenden. Befunde, Arztbriefe und Laborergebnisse gehören nicht in eine normale E-Mail. Nutzen Sie verschlüsselte Kommunikationswege oder das sichere Netz der KVen (KV-Connect).

Kein Berechtigungskonzept im Praxisverwaltungssystem. Wenn jede MFA auf alle Patientendaten zugreifen kann, fehlt die Zugriffskontrolle nach Art. 32 DSGVO. Richten Sie rollenbasierte Zugriffsrechte ein.

Faxgerät im offenen Bereich. Eingehende Faxe mit Befunden liegen für jeden sichtbar. Stellen Sie das Faxgerät in einen geschützten Bereich – oder steigen Sie auf sichere digitale Alternativen um.

Alte Patientenakten nicht datenschutzkonform entsorgt. Papierakten gehören in den Aktenvernichter (Sicherheitsstufe P-4 oder höher), nicht in den Papiermüll. Festplatten ausgemusterter Praxis-PCs müssen professionell gelöscht werden.

Keine Vertretungsregelung für den Datenschutz. Wenn die einzige Person, die sich um den Datenschutz kümmert, krank oder im Urlaub ist, liegt alles brach. Definieren Sie eine Vertretung.

Datenschutz in der Arztpraxis umsetzen – so gehen Sie vor

Der pragmatischste Ansatz: Starten Sie mit einer Bestandsaufnahme. Welche Daten fließen wo? Welche Verträge fehlen? Welche Prozesse sind nicht dokumentiert?

In der Praxis sehen wir drei typische Ausgangssituationen:

1. Praxis ohne Datenschutz-Struktur – Hier beginnen wir mit dem Verarbeitungsverzeichnis, den TOM und den wichtigsten AVVs. In vier bis sechs Wochen steht ein solides Fundament.
2. Praxis mit Grundlagen, aber Lücken – Die Datenschutzerklärung existiert, aber AVVs fehlen oder das Löschkonzept ist veraltet. Ein gezieltes Audit deckt die Lücken auf.
3. Praxis vor einer Prüfung oder nach einer Beschwerde – Hier zählt Geschwindigkeit. Ein erfahrener Datenschutzbeauftragter kann die Kommunikation mit der Behörde übernehmen und parallel die Dokumentation aufbauen.

Datenschutz für Arztpraxen in Hamburg

Hamburg zählt über 8.000 niedergelassene Ärzte und Psychotherapeuten. Die Ärztekammer Hamburg weist regelmäßig auf die Datenschutzpflichten im Gesundheitswesen hin – und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) prüft Praxen bei Beschwerden erfahrungsgemäß gründlich. Gerade in einer Stadt mit vielen Gemeinschaftspraxen und MVZ überschreiten Praxen schnell die 20-Personen-Schwelle für die DSB-Pflicht. Als externer Datenschutzbeauftragter in Hamburg unterstützen wir Praxen vor Ort – von der Erstaufnahme bis zur laufenden Betreuung.

Häufige Fragen zum Datenschutz in der Arztpraxis

Braucht jede Arztpraxis einen Datenschutzbeauftragten?

Nicht zwingend. Die Pflicht greift ab 20 Personen, die ständig mit personenbezogenen Daten arbeiten. Eine Einzelpraxis mit zwei MFA fällt in der Regel nicht darunter. Gemeinschaftspraxen und MVZ dagegen fast immer. Im Zweifel lohnt sich eine kurze Prüfung – die Konsequenzen bei einem Verstoß sind teurer als die Beauftragung.

Darf ich Patientendaten per E-Mail versenden?

Nur verschlüsselt. Unverschlüsselte E-Mails sind für Gesundheitsdaten nicht zulässig. Nutzen Sie Ende-zu-Ende-Verschlüsselung, KV-Connect oder sichere Messenger-Dienste, die für den Gesundheitsbereich zugelassen sind.

Was passiert bei einer Datenpanne in der Praxis?

Sie müssen die zuständige Datenschutz-Aufsichtsbehörde innerhalb von 72 Stunden informieren (Art. 33 DSGVO). Bei hohem Risiko für die betroffenen Patienten müssen Sie auch diese direkt benachrichtigen (Art. 34 DSGVO). Dokumentieren Sie jeden Vorfall – auch wenn Sie entscheiden, dass keine Meldepflicht besteht.

Wie lange darf ich Patientenakten aufbewahren?

Die Aufbewahrungspflicht nach § 630f BGB beträgt 10 Jahre nach Abschluss der Behandlung. Für bestimmte Unterlagen (z. B. Röntgenbilder nach RöV: 10 Jahre, bei Minderjährigen bis zum 28. Lebensjahr) gelten abweichende Fristen. Nach Ablauf der Frist müssen Sie die Daten löschen.