Datenschutz in der Arztpraxis: 10 Pflichten die Mediziner kennen müssen

Zuletzt aktualisiert am 2. April 2026

Von Marcel Kiesslich, TÜV-zertifizierter Datenschutzbeauftragter | Aktualisiert: März 2026

Arztpraxen verarbeiten täglich hochsensible Gesundheitsdaten — und gehören damit zu den Einrichtungen mit den strengsten Datenschutzanforderungen überhaupt. Die DSGVO, das Bundesdatenschutzgesetz (BDSG) und die ärztliche Schweigepflicht nach § 203 StGB bilden ein engmaschiges Regelwerk, das jede Praxis einhalten muss. Verstöße können empfindliche Bußgelder, berufsrechtliche Konsequenzen und den Verlust des Patientenvertrauens nach sich ziehen.

In diesem Leitfaden erfahren Sie die 10 wichtigsten Datenschutz-Pflichten für Arztpraxen — mit konkreten Handlungsempfehlungen und einer Checkliste für die sofortige Umsetzung. Darüber hinaus behandeln wir die DSGVO-Anforderungen für Arztpraxen, den Schutz von Patientendaten, Aufbewahrungsfristen und häufige Datenschutzverstöße. Als externer Datenschutzbeauftragter betreue ich zahlreiche Praxen in Dresden und ganz Sachsen bei der DSGVO-Umsetzung.

Warum Datenschutz in der Arztpraxis besonders wichtig ist

Gesundheitsdaten gehören nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich untersagt — es sei denn, eine der engen Ausnahmen greift. Für Arztpraxen gilt typischerweise die Ausnahme für die Gesundheitsversorgung (Art. 9 Abs. 2 lit. h DSGVO) in Verbindung mit dem Behandlungsvertrag.

Zusätzlich schützt die ärztliche Schweigepflicht (§ 203 StGB) alle Informationen, die dem Arzt im Rahmen der Behandlung anvertraut werden. Ein Verstoß ist nicht nur ein Datenschutzproblem — er kann strafrechtliche Folgen haben.

Gerade weil der Datenschutz in der Arztpraxis so viele Rechtsgebiete berührt — Datenschutzrecht, Berufsrecht, Strafrecht und Sozialrecht — ist eine systematische Herangehensweise wichtig. Patienten vertrauen darauf, dass ihre intimsten Gesundheitsinformationen vertraulich behandelt werden. Dieses Vertrauen ist die Grundlage jeder erfolgreichen Arzt-Patienten-Beziehung.

DSGVO-Pflichten für Arztpraxen im Detail

Die DSGVO Arztpraxis-Anforderungen gehen weit über die allgemeinen Datenschutzregeln hinaus. Drei zentrale Pflichtbereiche verdienen besondere Aufmerksamkeit:

Art. 9 DSGVO: Verarbeitung von Gesundheitsdaten

Art. 9 DSGVO regelt die Verarbeitung besonderer Kategorien personenbezogener Daten — darunter Gesundheitsdaten, genetische Daten und biometrische Daten. Für Arztpraxen ist diese Norm die zentrale Rechtsgrundlage. Die Verarbeitung ist nur zulässig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

• Gesundheitsversorgung (Art. 9 Abs. 2 lit. h): Die häufigste Rechtsgrundlage für Arztpraxen — die Verarbeitung ist für die medizinische Behandlung erforderlich
• Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a): Erforderlich bei Datenverarbeitungen, die über die Behandlung hinausgehen, etwa Forschung oder Marketing
• Öffentliches Interesse im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 lit. i): Relevant bei Meldepflichten nach dem Infektionsschutzgesetz

Wichtig: Der Behandlungsvertrag allein reicht als Rechtsgrundlage nicht aus. Die Verarbeitung von Gesundheitsdaten erfordert immer eine spezifische Ausnahme nach Art. 9 Abs. 2 DSGVO.

Verarbeitungsverzeichnis für Arztpraxen

Jede Arztpraxis muss ein Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO führen. Da Arztpraxen regelmäßig besondere Kategorien personenbezogener Daten verarbeiten, gibt es hier keine Ausnahme für kleine Unternehmen. Das VVT muss unter anderem folgende Verarbeitungstätigkeiten abbilden:

• Patientenverwaltung und Terminplanung
• Dokumentation von Behandlungen, Diagnosen und Therapien
• Abrechnung mit Krankenkassen (KV-Abrechnung) und Privatpatienten
• Labordaten-Übermittlung und Befundaustausch
• Kommunikation über die Telematikinfrastruktur (TI)
• Personalverwaltung der Praxismitarbeiter
• Online-Terminbuchung und Patientenportale
• Videoüberwachung (falls vorhanden)

Datenschutz-Folgenabschätzung (DSFA) in der Praxis

Eine DSFA nach Art. 35 DSGVO ist erforderlich, wenn die Datenverarbeitung ein hohes Risiko für Patientenrechte birgt. Die Sächsische Datenschutz- und Transparenzbeauftragte hat eine Positivliste veröffentlicht, nach der eine DSFA insbesondere bei folgenden Szenarien erforderlich ist:

• Einführung neuer Telemedizin-Lösungen und Videosprechstunden
• Nutzung von KI-gestützter Diagnostik oder Entscheidungsunterstützungssystemen
• Videoüberwachung in Praxisräumen
• Umfangreiche Gesundheitsdaten-Auswertungen (z.B. bei MVZ-Ketten)
• Einsatz von Gesundheits-Apps, die Patientendaten verarbeiten
• Migration zu Cloud-basierter Praxissoftware

Die DSFA muss vor Beginn der Verarbeitung durchgeführt und dokumentiert werden. Bei einem verbleibenden hohen Risiko ist die zuständige Aufsichtsbehörde vorab zu konsultieren (Art. 36 DSGVO).

Patientendaten schützen: Technische und organisatorische Maßnahmen

Der Schutz von Patientendaten erfordert sowohl technische als auch organisatorische Maßnahmen (TOM nach Art. 32 DSGVO). Die folgenden Bereiche sind für den Datenschutz Arzt-Alltag besonders relevant:

Elektronische Patientenakte (ePA) und Praxissoftware

Mit der Einführung der elektronischen Patientenakte (ePA) ergeben sich neue Datenschutzanforderungen für Arztpraxen. Seit 2025 wird die ePA für alle gesetzlich Versicherten bereitgestellt — Patienten können jedoch widersprechen. Für den Patientendaten Datenschutz bei der ePA gilt:

• Patienten entscheiden selbst, welche Dokumente in die ePA eingestellt werden
• Zugriffsberechtigungen müssen korrekt über das Praxisverwaltungssystem (PVS) gesteuert werden
• Die Identifikation des Patienten muss vor dem Zugriff auf die ePA sichergestellt sein (eGK-Prüfung)
• Protokollierung aller Zugriffe auf die ePA ist verpflichtend

Bei der Praxissoftware sollten Sie auf folgende Punkte achten:

• Rollenbasierte Zugriffsrechte: Nicht jede MFA benötigt Zugriff auf alle Patientendaten
• Automatische Bildschirmsperre nach maximal 5 Minuten Inaktivität
• Verschlüsselte Datenbanken: Die PVS-Datenbank sollte verschlüsselt gespeichert werden
• Regelmäßige Backups: Tägliche Sicherung, verschlüsselt und an einem sicheren Ort aufbewahrt
• Audit-Trail: Nachvollziehbarkeit aller Zugriffe und Änderungen an Patientendaten

E-Mail-Kommunikation mit Patienten

Die E-Mail-Kommunikation ist einer der häufigsten Schwachpunkte beim Datenschutz in der Arztpraxis. Unverschlüsselte E-Mails mit Befunden, Diagnosen oder Rezepten sind ein erhebliches Datenschutzrisiko. Sichere Alternativen sind:

• KIM (Kommunikation im Medizinwesen): Der offizielle sichere Kommunikationskanal innerhalb der Telematikinfrastruktur
• Ende-zu-Ende-verschlüsselte E-Mails: S/MIME oder PGP-Verschlüsselung
• Sichere Patientenportale: Mit Login-geschütztem Zugang zu Befunden und Dokumenten
• Transportverschlüsselung (TLS): Mindeststandard für die Übertragung, reicht bei Gesundheitsdaten aber oft nicht aus

Praxistipp: Informieren Sie Patienten aktiv darüber, dass unverschlüsselte E-Mails nicht für den Austausch von Gesundheitsdaten geeignet sind. Bieten Sie sichere Alternativen an.

Die 10 wichtigsten Datenschutz-Pflichten für Ihre Praxis

1. Datenschutzbeauftragten bestellen

Arztpraxen müssen einen Datenschutzbeauftragten (DSB) bestellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Unabhängig davon ist ein DSB Pflicht, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht (Art. 37 Abs. 1 lit. c DSGVO) — was bei Gemeinschaftspraxen und MVZ regelmäßig der Fall ist.

Praxistipp: Auch kleinere Praxen profitieren von einem externen Datenschutzbeauftragten für Arztpraxen, der die spezifischen Anforderungen im Gesundheitswesen kennt.

2. Verzeichnis der Verarbeitungstätigkeiten (VVT) führen

Jede Praxis muss ein VVT nach Art. 30 DSGVO führen. Wie bereits oben beschrieben, gibt es für Arztpraxen keine Ausnahme. Das Verarbeitungsverzeichnis muss alle Verarbeitungstätigkeiten systematisch erfassen und regelmäßig aktualisiert werden.

3. Auftragsverarbeitungsverträge (AV-Verträge) abschließen

Für alle externen Dienstleister, die Zugang zu Patientendaten haben, benötigen Sie einen AV-Vertrag nach Art. 28 DSGVO:

• Praxisverwaltungssoftware (PVS): Cloud-Anbieter wie medatixx, CGM, Dampsoft
• IT-Dienstleister: Wartung, Backup, Fernwartung
• Abrechnungsstellen: Privatrechnungen, KV-Abrechnungszentren
• Aktenvernichter: Datenschutzkonforme Entsorgung von Patientenakten
• Labordienstleister: Sofern als Auftragsverarbeiter tätig
• Online-Terminbuchungsdienste: Doctolib, Jameda und vergleichbare Plattformen

Achtung: Die Übermittlung an Labore ist häufig keine Auftragsverarbeitung, sondern eine eigenständige Verantwortlichkeit — hier gelten andere Regeln.

4. Patientenrechte gewährleisten

Patienten haben umfassende Rechte nach der DSGVO:

• Auskunftsrecht (Art. 15): Welche Daten werden über mich gespeichert?
• Recht auf Kopie der Patientenakte (auch § 630g BGB)
• Berichtigungsrecht (Art. 16): Falsche Einträge korrigieren
• Löschungsrecht (Art. 17): Eingeschränkt durch Aufbewahrungspflichten (10 Jahre nach § 630f BGB)
• Widerspruchsrecht (Art. 21): Gegen Datenverarbeitung zu Marketingzwecken
• Recht auf Datenübertragbarkeit (Art. 20): Patientendaten an einen anderen Arzt übertragen lassen

5. Datenschutzhinweise bereitstellen

Ihre Praxis muss Patienten transparent informieren (Art. 13/14 DSGVO):

• Datenschutzhinweise im Wartezimmer aushängen oder aushändigen
• Datenschutzerklärung auf der Praxis-Website
• Information bei Erstbehandlung (idealerweise mit Unterschrift)
• Hinweis auf den Datenschutzbeauftragten mit Kontaktdaten

6. IT-Sicherheit und Praxisnetzwerk absichern

Die KBV-Richtlinie zur IT-Sicherheit (§ 75b SGB V) verpflichtet alle vertragsärztlichen Praxen zu konkreten technischen Maßnahmen. Zusammen mit den technischen und organisatorischen Maßnahmen (TOM) ergibt sich ein umfassender Anforderungskatalog:

• Firewall und Virenschutz auf allen Praxisrechnern
• Verschlüsseltes WLAN (WPA3 empfohlen)
• Getrenntes Patienten-WLAN vom Praxisnetzwerk
• Regelmäßige Updates für PVS, Betriebssystem und Software
• Zugriffsrechte: Jeder Mitarbeiter nur mit eigenem Login und nur auf die Daten, die er benötigt
• Bildschirmsperre bei Abwesenheit (automatisch nach 5 Minuten)
• Festplattenverschlüsselung auf mobilen Geräten (Laptops, Tablets)
• Sichere Passwörter: Mindestens 12 Zeichen, keine Wiederverwendung

7. Mitarbeiter schulen und verpflichten

Alle Praxismitarbeiter — von der MFA bis zur Reinigungskraft — müssen:

• Auf Vertraulichkeit verpflichtet werden (schriftlich)
• Eine Datenschutzschulung erhalten (mindestens jährlich)
• Die ärztliche Schweigepflicht kennen und einhalten
• Wissen, wie sie mit Datenpannen umgehen müssen

Praxistipp: Dokumentieren Sie jede Schulung mit Datum, Inhalt und Teilnehmerliste — das ist Ihre Nachweispflicht gegenüber der Aufsichtsbehörde.

8. Datenpannen-Prozess einrichten

Datenpannen in Arztpraxen müssen innerhalb von 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden (Art. 33 DSGVO). Typische Datenpannen in Praxen:

• E-Mail mit Patientendaten an falschen Empfänger
• Verlust eines unverschlüsselten USB-Sticks
• Ransomware-Angriff auf das Praxissystem
• Fax an falsche Nummer mit Befunden
• Patientenakten im Altpapier statt im Aktenvernichter

Bei hohem Risiko für die Betroffenen müssen auch die Patienten direkt informiert werden (Art. 34 DSGVO).

9. Aufbewahrungsfristen einhalten

Patientenunterlagen unterliegen verschiedenen Aufbewahrungspflichten:

• 10 Jahre: Allgemeine ärztliche Dokumentation (§ 630f BGB)
• 30 Jahre: Röntgenaufnahmen (§ 28 RöV — bis zur Aufhebung)
• 10 Jahre: Abrechnungsunterlagen (steuerrechtlich)
• 30 Jahre: Dokumentation bei Körperverletzungen (Verjährungsfrist)

Nach Ablauf der Fristen müssen die Daten datenschutzkonform gelöscht oder vernichtet werden.

10. Datenschutz-Folgenabschätzung prüfen

Wie bereits oben im Abschnitt zur DSFA beschrieben, müssen Arztpraxen bei risikoreichen Verarbeitungen eine Datenschutz-Folgenabschätzung durchführen. Dies betrifft insbesondere die Einführung neuer digitaler Technologien in der Praxis.

Aufbewahrungsfristen für Patientenunterlagen — Übersicht

Die Einhaltung der korrekten Aufbewahrungsfristen ist ein wesentlicher Bestandteil des Datenschutz Arztpraxis-Konzepts. Sowohl eine zu frühe Löschung als auch eine zu lange Aufbewahrung kann problematisch sein:

Dokumentenart	Aufbewahrungsfrist	Rechtsgrundlage
Allgemeine Patientendokumentation	10 Jahre	§ 630f Abs. 3 BGB
Röntgenaufnahmen und -befunde	10 Jahre (Aufnahmen: 30 Jahre bei unter 18-Jährigen)	§ 28 RöV / StrlSchV
Abrechnungsunterlagen	10 Jahre	§ 147 AO, § 257 HGB
Arbeitsmedizinische Unterlagen	Bis 40 Jahre	ArbMedVV, GenDG
Dokumentation bei Körperverletzungen	30 Jahre	§ 197 Abs. 1 Nr. 1 BGB
Betäubungsmittel-Dokumentation	3 Jahre	§ 13 BtMVV
Transfusionsunterlagen	30 Jahre	§ 14 TFG
Impfdokumentation	10 Jahre (empfohlen: dauerhaft)	§ 630f BGB

Wichtig: Die Frist beginnt in der Regel erst nach Abschluss der Behandlung. Bei Minderjährigen empfiehlt es sich, die Fristen erst ab Erreichen der Volljährigkeit zu berechnen, um Haftungsrisiken zu minimieren.

Datenschutzbeauftragter in der Arztpraxis — Ab wann Pflicht?

Die Frage, ob eine Arztpraxis einen Datenschutzbeauftragten bestellen muss, hängt von zwei unabhängigen Kriterien ab. Erfüllt die Praxis eines davon, besteht Benennungspflicht:

Kriterium 1: Mitarbeiterzahl (§ 38 BDSG)

Ein DSB ist zu bestellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dabei zählen:

• Ärzte und Zahnärzte
• Medizinische Fachangestellte (MFA)
• Auszubildende
• Teilzeitkräfte und Minijobber (jede Person zählt als 1, unabhängig von der Stundenzahl)
• Abrechnungskräfte mit Zugriff auf Patientendaten

Kriterium 2: Umfangreiche Verarbeitung besonderer Kategorien (Art. 37 Abs. 1 lit. c DSGVO)

Unabhängig von der Mitarbeiterzahl ist ein DSB Pflicht, wenn die Kerntätigkeit der Praxis in der umfangreichen Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO besteht. Dies trifft regelmäßig zu auf:

• Gemeinschaftspraxen mit mehreren Ärzten
• Medizinische Versorgungszentren (MVZ)
• Fachpraxen mit hohem Patientenaufkommen (z.B. Radiologie, Labor)
• Praxiskliniken und Tageskliniken

Einzelpraxen mit weniger als 20 Mitarbeitern sind nach herrschender Meinung häufig nicht zur Bestellung eines DSB verpflichtet. Die Datenschutzkonferenz (DSK) hat jedoch klargestellt, dass auch hier eine Einzelfallprüfung erforderlich ist. Unabhängig von der Pflicht empfiehlt sich die Benennung eines externen Datenschutzbeauftragten, um die komplexen Anforderungen im Gesundheitswesen professionell umzusetzen.

Häufige Datenschutzverstöße in Arztpraxen

In der Praxis begegnen uns als Datenschutz-Berater immer wieder dieselben Schwachstellen. Die folgenden Verstöße sind besonders häufig — und besonders riskant:

Bildschirm am Empfang einsehbar

Einer der häufigsten Verstöße: Der Monitor am Empfangstresen ist so aufgestellt, dass wartende Patienten Patientennamen, Termine und Diagnosen mitlesen können. Lösung: Blickschutzfolie auf allen Monitoren im Empfangsbereich, Bildschirm mit dem Rücken zur Wartezone positionieren.

Fax-Versand von Rezepten und Befunden

Viele Praxen nutzen noch immer das Fax für den Versand sensibler Patientendaten. Fax-Übertragungen sind jedoch nicht verschlüsselt und landen häufig an unsicheren Empfangsgeräten. Die Datenschutzkonferenz hat das Fax für die Übermittlung von Gesundheitsdaten als nicht mehr zeitgemäß eingestuft. Alternative: KIM über die Telematikinfrastruktur.

WhatsApp und Messenger-Dienste

Die Nutzung von WhatsApp oder anderen US-amerikanischen Messenger-Diensten für die Kommunikation über Patienten — sei es zwischen Ärzten oder mit Patienten — ist datenschutzrechtlich nicht zulässig. Die Metadaten-Erfassung durch Meta und die Datenübermittlung in die USA verstoßen gegen die DSGVO. Sichere Alternativen für die ärztliche Kommunikation sind KIM, Siilo oder andere DSGVO-konforme Messenger.

Offene Patientenakten und ungesicherte Ablagen

Papierbasierte Patientenakten, die offen auf dem Tresen liegen, im unverschlossenen Aktenschrank stehen oder auf dem Schreibtisch des Arztes für den nächsten Patienten sichtbar sind, stellen einen Datenschutzverstoß dar. Alle Unterlagen müssen in verschlossenen Schränken aufbewahrt und nach dem Need-to-know-Prinzip zugänglich gemacht werden.

Namentlicher Aufruf im Wartezimmer

Der Aufruf von Patienten mit vollem Namen im vollen Wartezimmer ist datenschutzrechtlich umstritten. Besser: Nummern-System, Aufruf nur mit Nachnamen oder digitale Aufrufsysteme.

Fehlende Verpflichtungserklärungen

Praxismitarbeiter — insbesondere neue MFAs, Auszubildende und Reinigungskräfte — werden häufig nicht schriftlich auf die Vertraulichkeit und das Datengeheimnis verpflichtet. Diese Verpflichtung ist jedoch zwingend erforderlich und muss dokumentiert werden.

Checkliste: Datenschutz in der Arztpraxis — 10 Punkte

Nr.	Maßnahme	Erledigt?	Priorität
1	Datenschutzbeauftragten bestellt (intern oder extern)	☐	Hoch
2	Verzeichnis der Verarbeitungstätigkeiten angelegt und aktuell	☐	Hoch
3	AV-Verträge mit allen Dienstleistern geschlossen (PVS, IT, Labor, Abrechnung)	☐	Hoch
4	Datenschutzhinweise für Patienten bereitgestellt (Praxis + Website)	☐	Hoch
5	IT-Sicherheit nach KBV-Richtlinie umgesetzt (TOM dokumentiert)	☐	Hoch
6	Mitarbeiter geschult und schriftlich auf Vertraulichkeit verpflichtet	☐	Hoch
7	Datenpannen-Prozess dokumentiert und allen Mitarbeitern bekannt	☐	Hoch
8	Aufbewahrungsfristen geprüft und Löschkonzept erstellt	☐	Mittel
9	E-Mail-Kommunikation verschlüsselt (KIM/S-MIME) oder sichere Alternativen im Einsatz	☐	Mittel
10	DSFA-Prüfung durchgeführt (bei Telemedizin, KI-Diagnostik, Videoüberwachung)	☐	Mittel

Häufig gestellte Fragen zum Datenschutz in der Arztpraxis

Braucht meine Arztpraxis einen Datenschutzbeauftragten?

Gemeinschaftspraxen und MVZ benötigen in der Regel einen Datenschutzbeauftragten, da ihre Kerntätigkeit in der umfangreichen Verarbeitung von Gesundheitsdaten besteht (Art. 37 DSGVO). Einzelpraxen mit weniger als 20 Mitarbeitern sind häufig nicht verpflichtet, profitieren aber erheblich von der fachkundigen Datenschutz-Beratung eines externen DSB für Arztpraxen. Mehr dazu erfahren Sie auf unserer Seite zur Datenschutzbeauftragter-Pflicht.

Wie lange müssen Patientenakten aufbewahrt werden?

Die allgemeine Aufbewahrungsfrist für ärztliche Dokumentation beträgt 10 Jahre nach Abschluss der Behandlung (§ 630f BGB). Für Röntgenbilder gelten Fristen von bis zu 30 Jahren (insbesondere bei Minderjährigen). Arbeitsmedizinische Unterlagen müssen teilweise bis zu 40 Jahre aufbewahrt werden. Nach Ablauf müssen die Daten datenschutzkonform vernichtet werden — idealerweise nach DIN 66399.

Was passiert bei einem Datenschutzverstoß in der Arztpraxis?

Verstöße gegen den Datenschutz in der Arztpraxis können mehrere Konsequenzen haben: Bußgelder der Datenschutzbehörde (bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes), berufsrechtliche Maßnahmen der Ärztekammer, strafrechtliche Verfolgung bei Verstoß gegen die Schweigepflicht (§ 203 StGB) und Schadensersatzansprüche betroffener Patienten. In der Praxis liegen Bußgelder für Arztpraxen häufig im Bereich von 5.000 bis 50.000 Euro.

Darf ich Patientendaten per E-Mail versenden?

Der unverschlüsselte Versand von Patientendaten per E-Mail ist datenschutzrechtlich nicht zulässig. Gesundheitsdaten erfordern ein hohes Schutzniveau. Verwenden Sie für den Austausch von Befunden und Arztbriefen entweder die Telematikinfrastruktur (TI) mit KIM (Kommunikation im Medizinwesen), verschlüsselte E-Mail-Lösungen (S/MIME oder PGP) oder sichere Patientenportale. Eine Einwilligung des Patienten in den unverschlüsselten Versand wird von vielen Aufsichtsbehörden nicht als ausreichend angesehen.

Welche besonderen Anforderungen gelten für die Praxis-Website?

Die Praxis-Website muss eine vollständige DSGVO-konforme Datenschutzerklärung enthalten, ein Cookie-Consent-Banner mit Opt-in für nicht-essentielle Cookies zeigen, die Online-Terminbuchung datenschutzkonform gestalten (HTTPS-Verschlüsselung, AV-Vertrag mit dem Anbieter) und Kontaktformulare verschlüsselt übertragen. Darüber hinaus sollte bei eingebundenen Google Fonts, Maps oder Social-Media-Plugins besondere Vorsicht gelten — diese dürfen nur mit Einwilligung geladen werden.

Dürfen Arztpraxen Videoüberwachung einsetzen?

Videoüberwachung in Arztpraxen ist grundsätzlich möglich, aber an strenge Voraussetzungen geknüpft. Sie ist nur zulässig, wenn ein berechtigtes Interesse besteht (z.B. Einbruchschutz), keine milderen Mittel verfügbar sind und die Bereiche klar gekennzeichnet sind. Behandlungsräume und Wartezimmer dürfen in der Regel nicht überwacht werden. Eine DSFA ist bei Videoüberwachung regelmäßig erforderlich.

Was muss ich beim Einsatz von Telemedizin beachten?

Telemedizin-Lösungen und Videosprechstunden müssen Ende-zu-Ende-verschlüsselt sein und von einem zertifizierten Anbieter bereitgestellt werden. Es ist ein AV-Vertrag mit dem Plattformanbieter erforderlich. Patienten müssen vorab über die Datenverarbeitung informiert werden, und die Nutzung muss im Verarbeitungsverzeichnis dokumentiert sein. Zudem sollte eine DSFA durchgeführt werden.

Fazit: Datenschutz als Vertrauensfaktor in der Arztpraxis

Datenschutz in der Arztpraxis ist weit mehr als eine bürokratische Pflicht — er ist die Grundlage für das Vertrauensverhältnis zwischen Arzt und Patient. Eine systematische Umsetzung der DSGVO-Anforderungen schützt nicht nur vor Bußgeldern, sondern stärkt auch die Reputation Ihrer Praxis. Gerade im Gesundheitswesen erwarten Patienten, dass ihre sensiblen Daten mit höchster Sorgfalt behandelt werden.

Die Digitalisierung im Gesundheitswesen — von der elektronischen Patientenakte über Telemedizin bis hin zu KI-gestützter Diagnostik — bringt neue Herausforderungen mit sich. Umso wichtiger ist es, den Datenschutz Arzt-seitig als kontinuierlichen Prozess zu verstehen und nicht als einmalige Aufgabe.

Als externer Datenschutzbeauftragter mit langjähriger Erfahrung im Gesundheitswesen unterstütze ich Arztpraxen in Dresden und ganz Sachsen bei der vollständigen DSGVO-Umsetzung — von der Erstanalyse über die Schulung Ihres Teams bis zur laufenden Betreuung. Vereinbaren Sie ein kostenloses Erstgespräch.

Quellen: DSGVO Art. 9, 13, 28, 30, 33, 35, 37; BDSG § 38; § 203 StGB; § 630f, 630g BGB; KBV-Richtlinie IT-Sicherheit (§ 75b SGB V); Orientierungshilfe Gesundheitsdatenschutz der DSK; Strahlenschutzverordnung (StrlSchV)

Datenschutz in der Arztpraxis umsetzen

Professionelle Datenschutz-Unterstützung für Ihre Praxis:

• Datenschutz-Beratung – Speziell für Gesundheitswesen
• Verarbeitungsverzeichnis – Pflichtdokumentation
• TOM Datenschutz – Technische Maßnahmen
• DSB-Pflicht prüfen – Ab wann erforderlich?

Jetzt kostenlose Erstberatung anfragen