Zum Inhalt

DSGVO in der Arztpraxis

DSGVO in der Arztpraxis – Datenschutz neben der Schweigepflicht

Die DSGVO gilt zusätzlich zu § 203 StGB, nicht statt dessen. Was das bedeutet, und wo die praktischen Anforderungen für Ihre Praxis liegen.

DSGVO und § 203 StGB sind unterschiedlich – aber nicht gegensätzlich

Hier ist eine Quelle der Verwirrung: Viele meinen, wenn sie die DSGVO erfüllen, erfüllen sie automatisch auch die Schweigepflicht. Das stimmt nicht ganz.

Die DSGVO regelt, wie personenbezogene Daten verarbeitet werden – wer sie erheben darf, zu welchem Zweck, wie lange sie gespeichert werden dürfen.

§ 203 StGB regelt, ob Geheimnisse offenbart werden dürfen – gar nicht, wenn nicht mit Einwilligung.

Beide Systeme verlangen also Schutzmaßnahmen. Praktisch verlangen sie oft die gleichen Maßnahmen. Aber die rechtliche Grundlage ist unterschiedlich.

Merksatz: DSGVO und § 203 StGB sind zwei separate Regelungssysteme. Sie konkurrieren nicht – sie ergänzen sich.

Warum Gesundheitsdaten in der DSGVO besonders sind

Die DSGVO unterscheidet zwischen normalen personenbezogenen Daten und "besonderen Kategorien" nach Art. 9 DSGVO. Gesundheitsdaten gehören zu den besonderen Kategorien.

Das heißt konkret: Die Verarbeitung von Gesundheitsdaten ist grundsätzlich verboten – es sei denn, es gibt einen Ausnahmegrund. Für Arztpraxen ist der Ausnahmegrund klar: Art. 9 Abs. 2 lit. h DSGVO erlaubt die Verarbeitung "zur Sicherstellung oder Verbesserung der Gesundheitsversorgung durch einen Angehörigen eines medizinischen Berufs."

Das heißt: Sie dürfen Gesundheitsdaten verarbeiten – aber nur für Patienten, die Sie behandeln, und nur zu dem Zweck der Behandlung.

Art. 32 DSGVO: Technische und organisatorische Maßnahmen (TOMs)

Art. 32 DSGVO verpflichtet Sie, angemessene technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Das klingt juristisch kompliziert. Praktisch bedeutet es: Ihre IT-Sicherheitsmaßnahmen müssen dem Risiko entsprechen, das von der Verarbeitung Ihrer Daten ausgeht.

Für eine Arztpraxis sind Gesundheitsdaten hochrisikant. Das heißt: Der Schutzbedarf ist hoch. Art. 32 konkretisiert:

  • Vertraulichkeit – Verschlüsselung, Passwörter, Zugangsschutz
  • Integrität – Backups, Prüfsummen
  • Verfügbarkeit – Redundante Systeme, Notfallpläne
  • Fähigkeit zur raschen Wiederherstellung – Backup-Strategien, Disaster Recovery

Das ist nicht alles theoretisch abstrakt. Es bedeutet konkret für Ihre Praxis: Sie brauchen Verschlüsselung, sichere Passwörter, Backups, regelmäßige Updates.

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) – Art. 30 DSGVO

Art. 30 DSGVO verpflichtet Sie, ein Verzeichnis zu führen, in dem dokumentiert ist, welche personenbezogenen Daten Sie verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage.

Das klingt nach Bürokratie. Es ist aber praktisch wertvoll. Denn wenn Sie wissen, welche Daten Sie haben und wo sie liegen, können Sie im Schadensfall schnell reagieren, der Behörde nachweisen, dass Sie Ihre Pflichten erfüllen, und beurteilen, welche Sicherheitsmaßnahmen notwendig sind.

Das VVT muss für Arztpraxen folgende Punkte dokumentieren:

  • Verarbeitungstätigkeiten: Patientenverwaltung, Rechnungsstellung, Abrechnung
  • Zweck: Behandlung, Abrechnung, Buchhaltung
  • Betroffene: Patienten, Rechnungsempfänger
  • Datenkategorien: Name, Adresse, Gesundheitsdaten, Abrechnungsdaten
  • Speicherdauer: 10 Jahre für Medikationen und Befunde (nach § 630g BGB)
  • Empfänger: Krankenkassen, Steuerberater, Buchhaltungssoftware-Anbieter
  • Technische Maßnahmen: Verschlüsselung, Zugangsschutz, Backup

Das VVT kann eine einfache Tabelle sein – muss nicht in juristischem Deutsch verfasst sein. Es muss aber vollständig und aktuell sein.

Datenpannen – Art. 33 und 34 DSGVO

Das ist der Punkt, an dem Theorie und Praxis zusammentreffen. Wenn bei Ihnen eine Datenpanne vorkommt – Ransomware, Diebstahl eines Laptops, gehacktes Praxis-System – müssen Sie reagieren.

Art. 33: Meldung an die Behörde (72-Stunden-Frist)

Wenn eine Datenpanne voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen birgt, müssen Sie sie der zuständigen Datenschutzbehörde melden – innerhalb von 72 Stunden nach Kenntnis der Panne.

72 Stunden sind nicht viel. Sie müssen wissen, welche Daten betroffen sind, wie viele betroffene Personen es gibt, was die möglichen Folgen sind, welche Maßnahmen Sie ergriffen haben.

Art. 34: Benachrichtigung betroffener Personen

Wenn eine Datenpanne ein hohes Risiko für betroffene Personen birgt – etwa wenn unverschlüsselte Patientendaten gestohlen wurden – müssen Sie diese Personen benachrichtigen.

Wichtig: Wenn die Daten verschlüsselt waren und der Schlüssel nicht kompromittiert wurde, ist die Benachrichtigungspflicht entfallen. Das ist ein konkretes Argument für Verschlüsselung.

Checkliste: DSGVO in der Arztpraxis

  • Ich habe ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellt oder überprüft.
  • Das VVT dokumentiert alle wesentlichen Verarbeitungen: Patientenverwaltung, Rechnungsstellung, Abrechnung.
  • Für jede Verarbeitung ist eine Rechtsgrundlage benannt.
  • Aufbewahrungsfristen sind dokumentiert – besonders die 10-Jahres-Frist für medizinische Dokumentation.
  • Mit allen Dienstleistern liegt ein AVV vor, der TOMs konkretisiert.
  • Falls Website vorhanden: Aktuelle Datenschutzerklärung ist vorhanden.
  • Ich weiß, wie ich im Fall einer Datenpanne reagiere – insbesondere die 72-Stunden-Frist.
  • Ich kenne die Kontaktdaten meiner zuständigen Landesdatenschutzbehörde.