Datenschutz
Hier finden Sie Informationen zu den Anforderungen, zur Umsetzung sowie allgemeine Hinweise bezüglich Datenschutz in der Arztpraxis
Mit der EU-Datenschutz-Grundverordnung (DSGVO) sind Arztpraxen verpflichtet, sorgfältig mit Patientendaten umzugehen und sicherzustellen, dass die Verarbeitung rechtmäßig, transparent und sicher erfolgt. Hier finden Sie praxisnahe Informationen und praktische Hinweise zur Umsetzung der DSGVO.
Datenschutzbeauftragter (DSB)
In den meisten Arztpraxen ist die Benennung eines Datenschutzbeauftragten nicht verpflichtend. Eine Verpflichtung besteht nur, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
- Ständig beschäftigt: z. B. Sprechstundenhilfen, Verwaltungspersonal
- Nicht ständig beschäftigt: z. B. Reinigungskräfte, die theoretisch Zugang zu Daten haben
Patienteninformation
Jede Praxis muss Patientinnen und Patienten bereits bei der Datenerhebung über die Verarbeitung ihrer Daten informieren.
- Mindestanforderung: Hinweis, wo die Informationen leicht zugänglich sind (z. B. Flyer, Aushang, Homepage)
- Empfehlung: Aushang im Wartezimmer, Informationsblatt oder Veröffentlichung auf der Praxis-Homepage
- Persönliche Information bei Telefonkontakt ist nicht zwingend erforderlich
Patientinnen und Patienten haben ein Auskunftsrecht über ihre gespeicherten Daten
Verzeichnis der Verarbeitungstätigkeiten
Da Gesundheitsdaten besonders sensibel sind, müssen Arztpraxen ein Verzeichnis ihrer Verarbeitungstätigkeiten führen:
- Dokumentiert werden alle Vorgänge, bei denen personenbezogene Daten verarbeitet werden
- Das Verzeichnis muss auf Verlangen der Aufsichtsbehörde bereitgestellt werden
- Fehlendes Verzeichnis kann Geldbußen nach sich ziehen
Auftragsverarbeitung – Anpassung der bestehenden Verträge
Wenn externe Dienstleister Zugriff auf Patienten- oder Mitarbeiterdaten haben (z. B. IT-Dienstleister, Laborsoftware), ist ein Vertrag zur Auftragsverarbeitung (AVV) notwendig.
- Dieser Vertrag ist als Anlage zum Hauptvertrag zu führen
- Sichert die Einhaltung der DSGVO durch den Dienstleister
Datenschutz-Folgeabschätzung – Telemedizin
Eine Datenschutz-Folgeabschätzung (DSFA) ist nur in Ausnahmefällen erforderlich:
- Besonders bei neuen telemedizinischen Verfahren, Online-Sprechstunden oder digitalen Diagnoseverfahren
- Entscheidend ist nicht nur die Menge der Daten, sondern Informationsgehalt und Kontext (z. B. Profiling, Scoring, Tracking)
- Ziel: Risiken für Patientinnen und Patienten frühzeitig erkennen und minimieren
Ergänzende Hinweise für Arztpraxen
Zusätzlich sollten Arztpraxen folgende Punkte beachten:
- Technische und organisatorische Maßnahmen (TOMs): Schutz von Patientendaten durch Zugriffsbeschränkungen, sichere Passwörter, Verschlüsselung und regelmäßige Backups.
- Schulung des Praxispersonals: Regelmäßige Datenschutzschulungen dokumentieren
- Löschkonzept: Festlegung von Fristen für die Aufbewahrung und Löschung von Patientendaten
- Meldung von Datenschutzverletzungen: Innerhalb von 72 Stunden an die Aufsichtsbehörde melden
Auf dieser Seite
FAQ Datenschutz & Schweigepflicht
Häufige Fragen und Antworten für Ärztinnen und Ärzte.
Benötige ich seit Inkrafttreten der DSGVO eine Einwilligung meiner Patientinnen und Patienten zur Verarbeitung ihrer Gesundheitsdaten?
Nein.
Nach Art. 9 Abs. 2 Buchst. h DSGVO ist die Verarbeitung von Gesundheitsdaten u. a. dann zulässig, wenn diese für Zwecke der Gesundheitsvorsorge, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheitsbereich oder aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufes erforderlich ist.
Zusätzlich besteht zwischen Arzt und Patient ein Behandlungsvertrag; die Dokumentation der Behandlung ist nach § 630f BGB gesetzlich vorgeschrieben. Eine gesonderte Einwilligung ist hierfür nicht erforderlich.