DE

Arztpraxis und Datenschutz – Patientendaten richtig schützen

Zuletzt aktualisiert: 27.02.2026 | Lesezeit: 6 Minuten

Dieser Beitrag dient der allgemeinen Information. Zugunsten der Verständlichkeit orientiert er sich inhaltlich vereinfacht am Regelfall. Er stellt keine Rechtsberatung dar und ersetzt keine individuelle anwaltliche Beratung. Durch die Nutzung der Inhalte kommt kein Mandatsverhältnis zustande. Beiträge geben die Rechtslage zum Aktualisierungsdatum wieder. Spätere Gesetzesänderungen, Rechtsprechung oder Einzelfallumstände können Inhalte überholen. Eine fortlaufende Aktualisierung erfolgt nicht. Maßgeblich ist der Rechtsstand des Aktualisierungsdatums. Haftung für Richtigkeit, Vollständigkeit und Aktualität ist ausgeschlossen, ausgenommen Vorsatz und grobe Fahrlässigkeit.

Sie führen eine Arztpraxis, eine Gemeinschaftspraxis oder ein MVZ – und haben das ungute Gefühl, dass der Datenschutz nicht so aufgestellt ist, wie er sein müsste. Vielleicht hat ein Patient Auskunft über seine gespeicherten Daten verlangt, vielleicht kam Post von der Datenschutzaufsicht, oder ein Mitarbeiter hat versehentlich Befunde an die falsche Adresse geschickt. Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt – und die Anforderungen an deren Schutz gehen weit über das hinaus, was viele Praxisinhaber vermuten.

Typische Ausgangslage

  • Ein Patient verlangt schriftlich Auskunft über alle gespeicherten Daten – und Sie sind unsicher, was genau Sie herausgeben müssen und was nicht
  • Ein Befund oder Arztbrief wurde versehentlich per E-Mail an den falschen Empfänger geschickt, und Sie fragen sich, ob das eine meldepflichtige Datenpanne ist
  • Die Kassenärztliche Vereinigung oder eine Datenschutzbehörde hat sich mit Fragen zum Umgang mit Patientendaten in Ihrer Praxis gemeldet
  • Sie nutzen eine Cloud-basierte Praxissoftware oder einen externen IT-Dienstleister und wissen nicht, ob die vertraglichen Grundlagen datenschutzrechtlich ausreichen
  • Eine Gemeinschaftspraxis oder ein MVZ soll gegründet werden, und die Frage steht im Raum, wie Patientendaten zwischen den beteiligten Ärzten geteilt werden dürfen
  • Ein ehemaliger Mitarbeiter hat möglicherweise Patientendaten mitgenommen oder auf privaten Geräten gespeichert

Warum Datenschutz in der Arztpraxis ernster ist als gedacht

Gesundheitsdaten sind keine gewöhnlichen Daten

Diagnosen, Befunde, Therapieverläufe, Medikationspläne – all das fällt unter eine besondere Kategorie personenbezogener Daten. Die DSGVO stellt an die Verarbeitung solcher Daten deutlich strengere Anforderungen als an andere personenbezogene Informationen. Was für einen Handwerksbetrieb oder einen Onlineshop ausreicht, reicht für eine Arztpraxis bei Weitem nicht. Die ärztliche Schweigepflicht kommt als eigenständige rechtliche Ebene hinzu – mit eigenen Konsequenzen, die über das Datenschutzrecht hinausgehen. Beide Regelungsbereiche greifen ineinander, aber nicht deckungsgleich. Was datenschutzrechtlich erlaubt sein mag, kann berufsrechtlich trotzdem problematisch sein – und umgekehrt.

Der Praxisalltag schafft ständig Risiken

Datenschutz in der Arztpraxis ist kein Projekt, das man einmal erledigt und dann abhakt. Jeder Praxisablauf erzeugt datenschutzrechtliche Berührungspunkte: die Terminvergabe am Kontakt, das Wartezimmer-Management, die elektronische Patientenakte, der Laborbefund per Fax, die Kommunikation mit Überweisern und Krankenhäusern, die Abrechnung über die KV. Schon alltägliche Vorgänge können rechtlich heikel sein, ohne dass es jemandem auffällt – bis ein Patient sich beschwert oder die Aufsichtsbehörde prüft.

  • Empfangsbereich und Wartezimmer, in denen andere Patienten mithören können
  • Praxis-E-Mail ohne Verschlüsselung für den Versand von Befunden
  • Mitarbeiter ohne ausreichende Schulung oder fehlende Verpflichtungserklärungen
  • Private Smartphones, die für dienstliche Kommunikation genutzt werden
  • Altakten in Papierform ohne gesichertes Vernichtungskonzept

Externe Dienstleister als unterschätzte Schwachstelle

Viele Praxen lagern IT-Wartung, Abrechnung, Schreibdienste oder Archivierung an externe Anbieter aus. Sobald ein Dienstleister Zugang zu Patientendaten hat – und sei es nur theoretisch –, entstehen rechtliche Pflichten, die weit über einen einfachen Servicevertrag hinausgehen. Ohne eine korrekt ausgestaltete Auftragsverarbeitungsvereinbarung bewegen Sie sich in einem rechtlichen Graubereich, der im Ernstfall teuer werden kann. Und „teuer" bedeutet hier nicht nur Bußgelder, sondern auch Reputationsschäden – für eine Arztpraxis besonders gravierend.

Behördliche Anfragen und Patientenanfragen eskalieren schnell

Wenn ein Patient ein Auskunftsrecht geltend macht, läuft eine Frist. Wird sie versäumt oder die Auskunft unvollständig erteilt, kann der nächste Schritt eine Beschwerde bei der Datenschutzaufsicht sein. Und Datenschutzbehörden nehmen den Gesundheitsbereich besonders genau unter die Lupe. Eine zunächst harmlos wirkende Patientenanfrage kann in ein förmliches Prüfverfahren münden, bei dem plötzlich nicht nur der eine Vorgang, sondern die gesamte Datenschutzorganisation der Praxis auf dem Prüfstand steht.

Datenpanne in der Praxis – nicht abwarten

Eine versehentliche Offenlegung von Patientendaten – sei es durch eine Fehlsendung, einen IT-Vorfall oder einen verlorenen Datenträger – kann eine meldepflichtige Datenpanne darstellen. Die Meldefrist ist kurz, und wer zu spät oder gar nicht meldet, riskiert ein eigenständiges Bußgeldverfahren. Bei Gesundheitsdaten gelten besonders strenge Maßstäbe. Bevor Sie selbst entscheiden, ob eine Meldung nötig ist, sollten Sie den Sachverhalt anwaltlich einordnen lassen.

Praxisinhaber haften persönlich

Als Praxisinhaber sind Sie datenschutzrechtlich verantwortlich – nicht Ihre Praxismanagerin, nicht Ihr IT-Dienstleister, nicht Ihre MFA. Verstöße können persönliche Haftungsfolgen haben, die über das Unternehmerische hinausgehen. Gerade bei einer Praxis, die als Einzelunternehmen oder in einer Berufsausübungsgemeinschaft geführt wird, gibt es keine haftungsbegrenzende Gesellschaftsstruktur, die Sie auffängt.

Was Praxisinhaber oft unterschätzen

Das Zusammenspiel von DSGVO, Berufsrecht und Strafrecht

Der Datenschutz in der Arztpraxis steht nicht allein. Die ärztliche Schweigepflicht ist strafrechtlich abgesichert. Gleichzeitig gelten berufsrechtliche Vorgaben der Ärztekammer, die DSGVO mit ihren eigenen Anforderungen und je nach Praxisform – zusätzliche gesellschaftsrechtliche Aspekte. Diese verschiedenen Rechtsebenen können sich widersprechen oder ergänzen. Ohne juristischen Überblick ist es kaum möglich, alle Anforderungen gleichzeitig zu erfüllen, ohne an einer Stelle Fehler zu machen.

Dokumentationspflichten sind umfangreicher als gedacht

Ein Verarbeitungsverzeichnis, technische und organisatorische Maßnahmen, Löschkonzepte, Schulungsnachweise, Einwilligungserklärungen – die Dokumentationspflichten sind zahlreich. Und sie müssen aktuell gehalten werden. Eine Praxis, die vor Jahren einmal eine Datenschutzerklärung erstellt hat und seitdem nichts mehr angepasst hat, ist mit hoher Wahrscheinlichkeit nicht mehr auf dem Stand der Anforderungen.

  • Technische und organisatorische Maßnahmen, die zum tatsächlichen Praxisablauf passen müssen
  • Dokumentierte Einwilligungen für Verarbeitungen, die nicht auf einer gesetzlichen Grundlage beruhen
  • Nachweisbare Schulung aller Mitarbeiter mit Zugang zu Patientendaten
  • Regelmäßige Überprüfung und Aktualisierung der gesamten Datenschutzorganisation

Wie die Kanzlei Sie unterstützt

Wenn Sie unsicher sind, ob der Datenschutz in Ihrer Praxis den Anforderungen genügt – oder wenn bereits ein konkreter Anlass besteht –, können Sie sich an die Kanzlei wenden. Über Kontakt schildern Sie kurz Ihre Situation. Sie erhalten dann eine erste Einschätzung, ob und wie anwaltliche Unterstützung in Ihrem Fall sinnvoll ist. Diese Ersteinschätzung ist kostenlos und unverbindlich – sie ersetzt keine Rechtsberatung, gibt Ihnen aber eine Orientierung für den nächsten Schritt. Die Kanzlei ist im Raum Kiel ansässig und bundesweit tätig. Nach einer Mandatierung stehen Videocall, eine umfassende Betreuung zur Verfügung – unabhängig davon, wo Ihre Praxis liegt.

Weiterführende Themen

  • Datenschutzrecht – Überblick für Unternehmen & DSGVO-Grundlagen
  • Datenschutzbeauftragter – Pflicht & Bestellung
  • Bußgeld & Sanktionen nach DSGVO
  • Beschäftigtendatenschutz
  • Haftung bei Datenschutzverstößen

Datenschutz in Ihrer Praxis auf dem Prüfstand?

Ob Patientenanfrage, Datenpanne oder grundsätzliche Unsicherheit über Ihre DSGVO-Konformität – schildern Sie Ihren Fall über Kontakt. Die kostenlose Ersteinschätzung zeigt Ihnen, ob anwaltliche Unterstützung in Ihrer Situation sinnvoll ist und welcher Weg sich anbietet. Bundesweit erreichbar, Kanzlei im Raum Kiel.