Datenschutzbeauftragter Krankenhaus

Spezialisierte DSGVO-Compliance für Unternehmen in Dresden & Sachsen.

Kostenlose Erstberatung anfragen

Spezialisierte Fachkenntnis für Krankenhäuser in Dresden & Sachsen.

Krankenhäuser gehören zu den größten Verarbeitern personenbezogener Daten im Gesundheitswesen. Täglich werden tausende Datensätze erzeugt: Aufnahmedaten, Diagnosen, OP-Berichte, Laborbefunde, Radiologiebilder, Pflegedokumentationen und Abrechnungsinformationen. All diese Daten fallen unter den besonderen Schutz von Art. 9 DSGVO als Gesundheitsdaten und unterliegen gleichzeitig dem Sächsischen Krankenhausgesetz (SächsKHG), das zusätzliche landesrechtliche Anforderungen an die Datenverarbeitung stellt.

Die Digitalisierung im Krankenhaus schreitet durch das Krankenhauszukunftsgesetz (KHZG) rasant voran: Krankenhausinformationssysteme (KIS), digitale Patientenportale, telemedizinische Angebote und die Anbindung an die Telematikinfrastruktur erzeugen immer komplexere Datenflüsse. Jede neue digitale Lösung bringt neue datenschutzrechtliche Fragestellungen mit sich – von der Auftragsverarbeitung mit Cloud-Anbietern bis zur Datenschutz-Folgenabschätzung für KI-gestützte Diagnosetools.

DATUREX bietet sächsischen Krankenhäusern einen externen Datenschutzbeauftragten, der die Schnittmenge aus DSGVO, SächsKHG, KHZG und Telematikinfrastruktur beherrscht. Unsere Berater kennen die Abläufe in Kliniken – von der Notaufnahme bis zur Entlassung – und entwickeln Datenschutzlösungen, die den klinischen Betrieb nicht behindern.

Warum braucht ein Krankenhaus einen Datenschutzbeauftragten?

Die DSB-Pflicht für Krankenhäuser ergibt sich aus Art. 37 Abs. 1 lit. c DSGVO: Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten. Kliniken verarbeiten Gesundheitsdaten in einem Umfang, der weit über andere Einrichtungen hinausgeht – systematisch, kontinuierlich und in großem Maßstab. Zusätzlich greift Art. 35 DSGVO: Die systematische und umfangreiche Verarbeitung von Patientendaten löst die Pflicht zur Datenschutz-Folgenabschätzung aus.

Für sächsische Krankenhäuser in öffentlicher Trägerschaft gilt zudem Art. 37 Abs. 1 lit. a DSGVO (öffentliche Stelle) und das Sächsische Datenschutzgesetz. Die DSB-Pflicht besteht hier aus mehreren, sich überlagernden Rechtsgrundlagen.

Typische Datenschutz-Herausforderungen in Krankenhäusern

  • Krankenhausinformationssystem (KIS): Zentrale Plattform mit Zugriffsrechten für hunderte Nutzer aus verschiedenen Abteilungen – Berechtigungskonzept und Protokollierung müssen lückenlos sein
  • KHZG-Digitalisierungsprojekte: Neue digitale Lösungen (Patientenportal, digitale Dokumentation, Medikationsmanagement) erfordern jeweils eigene Datenschutzprüfungen und häufig eine DSFA
  • Forschung und Lehre: Universitätskliniken und Lehrhäuser müssen die sekundäre Nutzung von Patientendaten für Forschungszwecke datenschutzkonform regeln – Pseudonymisierung, Broad Consent, Ethikkommission
  • Auftragsverarbeitungsnetzwerk: Krankenhäuser arbeiten mit dutzenden externen Dienstleistern (Labor, Wäscherei, Catering, IT, Abrechnung) – jeder benötigt einen geprüften AVV
  • Besucherregelungen und Auskunftsersuchen: Regelmäßige Anfragen von Angehörigen, Polizei und Versicherungen erfordern klare Prozesse zur datenschutzkonformen Auskunftserteilung

DSGVO-Checkliste für Krankenhäuser

Diese Checkliste hilft Krankenhäusern, die zentralen DSGVO-Anforderungen systematisch zu erfüllen. DATUREX unterstützt Sie bei der Umsetzung jedes einzelnen Punktes.

  1. Verarbeitungsverzeichnis (Art. 30 DSGVO) abteilungsübergreifend erstellen – alle Fachkliniken, Funktionsbereiche und Verwaltungseinheiten erfassen
  2. Berechtigungskonzept im KIS nach dem Need-to-know-Prinzip implementieren und vierteljährlich auditieren
  3. Auftragsverarbeitungsverträge mit allen externen Dienstleistern abschließen und jährlich überprüfen
  4. Datenschutz-Folgenabschätzungen für alle Hochrisiko-Verarbeitungen durchführen (KIS, Patientenportal, Forschungsdatenbanken)
  5. Patienteninformationen und Einwilligungserklärungen nach DSGVO und SächsKHG gestalten
  6. Meldeprozess für Datenschutzverletzungen (Art. 33/34 DSGVO) mit 72-Stunden-Frist klinikweit etablieren
  7. Löschkonzept unter Berücksichtigung der krankenhausspezifischen Aufbewahrungsfristen (§ 630f BGB: 10 Jahre, Röntgenbilder: 30 Jahre) erstellen
  8. Regelmäßige Datenschutzschulungen für alle Berufsgruppen durchführen (Pflege, Ärzte, Verwaltung, Technik)
  9. Videoüberwachung in öffentlich zugänglichen Bereichen datenschutzkonform ausgestalten (Beschilderung, Speicherdauer, Zugriffsregelung)
  10. KHZG-Digitalisierungsprojekte vor Inbetriebnahme auf Datenschutzkonformität prüfen (Privacy by Design, Art. 25 DSGVO)

Was kostet ein externer Datenschutzbeauftragter für Krankenhäuser?

Die Kosten für einen externen DSB hängen bei Krankenhäusern von der Bettenzahl, der Anzahl der Fachkliniken, dem Digitalisierungsgrad und der Trägerstruktur ab. Ein Haus der Grundversorgung mit 150 Betten hat andere Anforderungen als ein Universitätsklinikum mit über 1.000 Betten und angeschlossenen Forschungseinrichtungen.

Der externe DSB bietet gegenüber einer internen Lösung gerade für Krankenhäuser wichtige Vorteile: Er bringt branchenspezifisches Wissen zu KIS-Systemen, KHZG-Anforderungen und klinischen Abläufen mit, ohne Interessenkonflikte mit der Krankenhausleitung. DATUREX skaliert den Betreuungsumfang auf Ihre Hausgröße.

Fordern Sie jetzt Ihr individuelles Angebot für Ihr Krankenhaus an.

Paragraph 38 BDSG und die Auswirkung auf Krankenhäuser

Die laufende Diskussion um eine Änderung oder Streichung von Paragraph 38 BDSG hat für Krankenhäuser keine praktische Relevanz. Die DSB-Pflicht ergibt sich für Kliniken aus Art. 37 Abs. 1 lit. c DSGVO (umfangreiche Verarbeitung besonderer Datenkategorien) und bei öffentlichen Trägern zusätzlich aus Art. 37 Abs. 1 lit. a (öffentliche Stelle).

Für Krankenhäuser hat eine mögliche Streichung von Paragraph 38 BDSG daher KEINE Auswirkung auf die DSB-Pflicht. Kliniken verarbeiten Gesundheitsdaten in einem Umfang und einer Systematik, die die europäische DSB-Pflicht unmittelbar und unzweifelhaft auslösen – unabhängig von nationalen Schwellenwerten.

Stand: März 2026

Datenschutz-Folgenabschätzung (DSFA) für Krankenhäuser

Krankenhäuser sind die Einrichtungen, für die Art. 35 DSGVO nahezu zwingend eine DSFA vorschreibt. Die systematische, umfangreiche Verarbeitung von Gesundheitsdaten in Kombination mit der großen Anzahl betroffener Personen erfüllt praktisch alle Kriterien der DSFA-Pflicht. Die Datenschutzkonferenz (DSK) hat Krankenhausinformationssysteme explizit in ihre Positivliste DSFA-pflichtiger Verarbeitungen aufgenommen.

  • KIS/KAS-Systeme: Das zentrale Krankenhaus-Informationssystem verarbeitet sämtliche Patientendaten über alle Abteilungen hinweg – die DSFA muss Zugriffskonzept, Protokollierung und Datensicherung bewerten.
  • Digitales Patientenportal: KHZG-geförderte Portale, über die Patienten Befunde einsehen und Termine buchen, erfordern eine eigene DSFA hinsichtlich Authentifizierung und Datenzugriff.
  • Intensivmedizinische Überwachung: Monitoringsysteme auf Intensivstationen verarbeiten kontinuierlich Vitaldaten – eine DSFA für die Speicherung und den Zugriff auf diese Echtzeitdaten ist erforderlich.
  • Telemedizin und Fernkonsile: Die Übertragung von Patientendaten und Bilddaten für telemedizinische Konsultationen muss hinsichtlich Verschlüsselung und Zugriffsschutz bewertet werden.

DATUREX unterstützt Krankenhäuser bei der systematischen Identifikation DSFA-pflichtiger Verarbeitungen und begleitet den gesamten DSFA-Prozess von der Risikoanalyse bis zur Maßnahmenplanung.

Häufige Fragen: Datenschutzbeauftragter für Krankenhäuser

Kann ein Krankenhaus den IT-Leiter als internen DSB benennen?

Nein. Der IT-Leiter entscheidet über die eingesetzten Systeme und ist damit direkt an der Datenverarbeitung beteiligt. Diese Doppelrolle würde einen Interessenkonflikt nach Art. 38 Abs. 6 DSGVO begründen. Gleiches gilt für den kaufmännischen Direktor, den ärztlichen Direktor und die Pflegedienstleitung.

Welche Rolle spielt das Sächsische Krankenhausgesetz für den Datenschutz?

Das SächsKHG enthält zusätzliche landesrechtliche Regelungen zur Patientendatenverarbeitung, insbesondere zu Sozialdaten, zur Forschungsnutzung und zur Zusammenarbeit mit dem Medizinischen Dienst. Diese Regelungen ergänzen die DSGVO und müssen vom DSB bei der Datenschutzberatung berücksichtigt werden.

Wie häufig muss ein Krankenhaus Datenschutzschulungen durchführen?

Mindestens jährlich für alle Mitarbeiter mit Zugang zu Patientendaten. Neue Mitarbeiter müssen vor dem ersten Zugriff auf das KIS geschult werden. DATUREX empfiehlt zusätzlich abteilungsspezifische Schulungen, da die Datenschutzanforderungen in der Notaufnahme andere sind als in der Verwaltung.

Was passiert, wenn ein Patient sein Recht auf Löschung geltend macht?

Das Recht auf Löschung (Art. 17 DSGVO) wird im Krankenhaus durch gesetzliche Aufbewahrungspflichten eingeschränkt: Behandlungsdokumentation muss mindestens 10 Jahre aufbewahrt werden (§ 630f BGB), Röntgenbilder 30 Jahre (RöV). Der Patient kann jedoch die Löschung von Daten verlangen, die nicht unter diese Pflichten fallen.

Muss für KHZG-geförderte Digitalisierungsprojekte eine DSFA durchgeführt werden?

In der Regel ja. Die meisten KHZG-Fördertatbestände betreffen Systeme, die Patientendaten verarbeiten – Patientenportale, digitale Medikation, Telemedizin. Art. 25 DSGVO (Privacy by Design) verlangt zudem, dass Datenschutz bereits bei der Systemplanung berücksichtigt wird.

Kostenlose Erstberatung für Krankenhäuser

Als Krankenhaus navigieren Sie durch ein Dickicht aus DSGVO, SächsKHG, KHZG-Anforderungen und Telematikinfrastruktur. DATUREX bringt die klinische Datenschutzexpertise mit, die Sie brauchen – TÜV-, BSI- und IHK-zertifiziert. Vereinbaren Sie jetzt Ihre kostenlose Erstberatung.

Jetzt kostenlose Erstberatung für Krankenhäuser anfragen »

Unsere Datenschutz-Leistungen für Krankenhäuser

Verwandte Branchen

Auch für niedergelassene Aerzte bieten wir Datenschutz für Arztpraxen. In der Pflege gelten aehnliche Anforderungen — informieren Sie sich über Datenschutz für Pflegedienste. Alle Branchen finden Sie in unserer Branchenübersicht.

Jetzt individuelle Beratung anfragen

KRITIS-Anforderungen für Krankenhäuser

Krankenhäuser mit mehr als 30.000 vollstationären Behandlungsfällen pro Jahr gelten als Kritische Infrastruktur (KRITIS) gemäß BSI-Gesetz und der BSI-Kritisverordnung. Diese Einstufung bringt erhebliche zusätzliche Pflichten mit sich, die weit über die allgemeinen DSGVO-Anforderungen hinausgehen.

Als KRITIS-Betreiber müssen Krankenhäuser dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre nachweisen, dass sie angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen getroffen haben. Dies umfasst unter anderem:

  • Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 oder dem branchenspezifischen Sicherheitsstandard B3S
  • Meldepflicht bei IT-Sicherheitsvorfällen an das BSI innerhalb von 72 Stunden
  • Benennung einer Kontaktstelle für das BSI, die rund um die Uhr erreichbar ist
  • Regelmäßige Penetrationstests und Schwachstellenanalysen der IT-Infrastruktur
  • Absicherung medizinischer Geräte wie Infusionspumpen, Beatmungsgeräte und bildgebende Systeme gegen Cyberangriffe

Seit dem IT-Sicherheitsgesetz 2.0 gelten verschärfte Anforderungen: Krankenhäuser müssen Systeme zur Angriffserkennung einsetzen und dem BSI regelmäßig über deren Wirksamkeit berichten. Verstöße können mit Bußgeldern von bis zu 2 Millionen Euro geahndet werden.

Unser Team unterstützt Krankenhäuser in Sachsen bei der Umsetzung aller KRITIS-Anforderungen und begleitet Sie durch den gesamten Nachweisprozess gegenüber dem BSI. Dabei arbeiten wir eng mit Ihrem IT-Sicherheitsbeauftragten zusammen, um Datenschutz und Informationssicherheit optimal zu verzahnen.

Elektronische Patientenakte und Datenschutz

Mit der Einführung der elektronischen Patientenakte (ePA) stehen Krankenhäuser vor neuen datenschutzrechtlichen Herausforderungen. Seit Januar 2025 wird die ePA für alle gesetzlich Versicherten bereitgestellt — als Opt-out-Modell, bei dem Patienten aktiv widersprechen müssen.

Für Krankenhäuser ergeben sich daraus konkrete Pflichten:

  • Technische Anbindung an die Telematikinfrastruktur (TI): Alle Krankenhäuser müssen über Konnektoren oder TI-Gateways an die zentrale Infrastruktur angeschlossen sein
  • Zugriffsprotokollierung: Jeder Zugriff auf die ePA muss lückenlos dokumentiert werden. Patienten können jederzeit einsehen, wer auf ihre Daten zugegriffen hat
  • Berechtigungsmanagement: Nur autorisiertes medizinisches Personal darf auf die ePA zugreifen. Das Krankenhaus muss ein granulares Rollenkonzept implementieren
  • Widerspruchsmanagement: Patienten können einzelne Dokumente oder den gesamten Zugriff für bestimmte Leistungserbringer sperren. Diese Einschränkungen müssen zuverlässig umgesetzt werden

Besonders sensibel ist der Umgang mit psychiatrischen Diagnosen, HIV-Befunden und genetischen Daten. Diese unterliegen einem erweiterten Schutz und dürfen nur unter strengen Voraussetzungen in die ePA eingestellt werden. Der Datenschutzbeauftragte muss sicherstellen, dass die internen Prozesse diese besonderen Schutzkategorien berücksichtigen.

Außerdem müssen Krankenhäuser ihre Mitarbeiter regelmäßig zum datenschutzkonformen Umgang mit der ePA schulen. Häufige Fehlerquellen sind unbefugte Zugriffe durch neugierige Mitarbeiter, fehlende Löschungen nach Ablauf der Aufbewahrungsfristen und mangelnde Dokumentation der Einwilligungen.

Häufig gestellte Fragen zum Datenschutz im Krankenhaus

Braucht jedes Krankenhaus einen Datenschutzbeauftragten?

Ja, ausnahmslos. Krankenhäuser verarbeiten umfangreich besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (Gesundheitsdaten). Nach § 38 BDSG und Art. 37 DSGVO ist die Benennung eines Datenschutzbeauftragten zwingend erforderlich. Dies gilt unabhängig von der Größe des Krankenhauses oder der Mitarbeiterzahl. Ein externer Datenschutzbeauftragter bietet dabei den Vorteil der Unabhängigkeit und spezialisierten Fachkenntnis.

Welche Strafen drohen bei Datenschutzverstößen im Krankenhaus?

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. In der Praxis wurden bereits empfindliche Strafen verhängt: Ein deutsches Krankenhaus musste 105.000 Euro zahlen, weil Patientendaten durch mangelhafte Zugangskontrollen zugänglich waren. Neben Bußgeldern drohen Schadensersatzforderungen betroffener Patienten und erhebliche Reputationsschäden.

Dürfen Krankenhäuser Patientendaten in der Cloud speichern?

Grundsätzlich ja, allerdings unter strengen Voraussetzungen. Der Cloud-Anbieter muss als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden werden. Die Server müssen sich in der EU befinden oder es muss ein angemessenes Datenschutzniveau gewährleistet sein. Für Gesundheitsdaten empfehlen wir ausschließlich zertifizierte Anbieter mit C5-Testat des BSI oder vergleichbaren Nachweisen. Zusätzlich ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen.

Wie oft müssen Mitarbeiter im Krankenhaus zum Datenschutz geschult werden?

Eine gesetzlich vorgeschriebene Frequenz gibt es nicht, jedoch empfehlen die Aufsichtsbehörden mindestens jährliche Schulungen. Neue Mitarbeiter sollten vor dem ersten Patientenkontakt geschult werden. Bei wesentlichen Änderungen — etwa der Einführung der ePA oder neuer IT-Systeme — sind zusätzliche Schulungen erforderlich. Wir bieten unseren Mandanten individuelle Schulungskonzepte, die sowohl Präsenzveranstaltungen als auch E-Learning-Module umfassen.

Jetzt Datenschutz im Krankenhaus professionell absichern

Als externer Datenschutzbeauftragter mit langjähriger Erfahrung im Gesundheitswesen unterstützen wir Krankenhäuser und Kliniken in ganz Sachsen. Von der KRITIS-Umsetzung über die ePA-Integration bis zur laufenden Betreuung — wir sorgen dafür, dass Ihr Krankenhaus alle datenschutzrechtlichen Anforderungen zuverlässig erfüllt. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.