DE

Arztpraxis und Datenschutz – Patientendaten richtig schützen

Zuletzt aktualisiert: 27.02.2026 | Lesezeit: 7 Minuten

Dieser Beitrag dient der allgemeinen Information. Zugunsten der Verständlichkeit orientiert er sich inhaltlich vereinfacht am Regelfall. Er stellt keine Rechtsberatung dar und ersetzt keine individuelle anwaltliche Beratung. Durch die Nutzung der Inhalte kommt kein Mandatsverhältnis zustande. Beiträge geben die Rechtslage zum Aktualisierungsdatum wieder. Spätere Gesetzesänderungen, Rechtsprechung oder Einzelfallumstände können Inhalte überholen. Eine fortlaufende Aktualisierung erfolgt nicht. Maßgeblich ist der Rechtsstand des Aktualisierungsdatums. Haftung für Richtigkeit, Vollständigkeit und Aktualität ist ausgeschlossen, ausgenommen Vorsatz und grobe Fahrlässigkeit.

Sie führen eine Arztpraxis, eine Zahnarztpraxis oder eine therapeutische Einrichtung – und irgendwann merken Sie: Datenschutz ist nicht einfach nur ein Thema für die Praxis-Website. Patientendaten gehören zu den sensibelsten Informationen überhaupt. Und die Anforderungen, die an deren Schutz gestellt werden, gehen weit über das hinaus, was ein gut gemeinter Cookie-Banner leisten kann.

Typische Ausgangslage

  • Sie haben eine Einzelpraxis oder eine Gemeinschaftspraxis gegründet und sind unsicher, welche Datenschutzpflichten konkret für Sie gelten – jenseits der allgemeinen DSGVO-Hinweise.
  • Ein Patient verlangt Auskunft über alle gespeicherten Daten, und Sie wissen nicht, wie weit diese Pflicht reicht und was Sie herausgeben müssen.
  • Sie arbeiten mit einer Praxissoftware, einem externen Abrechnungsdienstleister oder einem IT-Support – und fragen sich, ob die vertraglichen Grundlagen datenschutzrechtlich ausreichen.
  • Die Aufsichtsbehörde hat sich gemeldet – vielleicht nach einer Beschwerde eines Patienten – und Sie sollen Stellung nehmen.
  • Sie planen, Videosprechstunden anzubieten oder patientenbezogene Daten in eine Cloud-Lösung zu verlagern, und möchten wissen, was dabei zu beachten ist.
  • Ein Mitarbeiter hat versehentlich Patientendaten an die falsche Adresse geschickt, und Sie sind unsicher, ob eine Meldepflicht besteht.

Warum Datenschutz in der Arztpraxis oft komplizierter ist als gedacht

Gesundheitsdaten genießen besonderen Schutz

Patientendaten sind keine gewöhnlichen personenbezogenen Daten. Es handelt sich um Gesundheitsdaten – eine Kategorie, die das Datenschutzrecht als besonders schützenswert einstuft. Für die Verarbeitung solcher Daten gelten strengere Voraussetzungen als für Namen, Adressen oder Bankverbindungen. Die DSGVO stellt für Gesundheitsdaten eigene Erlaubnistatbestände auf, die sich nicht einfach aus den allgemeinen Regelungen ableiten lassen. Hinzu kommt die ärztliche Schweigepflicht, die strafrechtlich abgesichert ist und eigenständig neben dem Datenschutzrecht steht. Beide Regelungsbereiche – Datenschutz und Schweigepflicht – überschneiden sich, sind aber nicht deckungsgleich. Was datenschutzrechtlich zulässig sein mag, kann gleichzeitig die Schweigepflicht verletzen, und umgekehrt. Dieses Zusammenspiel ist für Laien kaum durchschaubar.

Zahlreiche Pflichten laufen parallel

In einer Arztpraxis verarbeiten Sie ständig hochsensible Daten – bei der Terminvergabe, in der Dokumentation, bei der Abrechnung, in der Kommunikation mit Laboren, Überweisern oder Krankenkassen. Für jede dieser Verarbeitungen müssen die datenschutzrechtlichen Grundlagen stimmen. Das betrifft unter anderem die Frage, ob und wann Einwilligungen erforderlich sind, welche Informationspflichten bestehen und wie lange Daten aufbewahrt werden dürfen oder müssen. Gleichzeitig gelten berufsrechtliche Aufbewahrungspflichten, die von den datenschutzrechtlichen Löschpflichten abweichen können. Dieses Geflecht aus verschiedenen Rechtsquellen – DSGVO, Bundesdatenschutzgesetz, Landesdatenschutzgesetze, ärztliches Berufsrecht, Sozialgesetzbuch – erzeugt eine Komplexität, die sich nicht mit einer Muster-Datenschutzerklärung lösen lässt.

Externe Dienstleister als Risikofaktor

Kaum eine Praxis kommt ohne externe Unterstützung aus: IT-Wartung, Abrechnungsdienstleister, Cloud-Speicher, Praxissoftware-Anbieter, Reinigungsdienste mit Zugang zu Patientenunterlagen. Jede dieser Verbindungen kann datenschutzrechtlich eine sogenannte Auftragsverarbeitung darstellen, für die ein eigener Vertrag mit spezifischen Inhalten erforderlich ist. Fehlt dieser Vertrag oder ist er inhaltlich unzureichend, liegt bereits ein Datenschutzverstoß vor – unabhängig davon, ob tatsächlich etwas schiefgeht. Und bei Gesundheitsdaten wiegt ein solcher Verstoß besonders schwer.

Datenpanne in der Praxis – keine Bagatelle

Wenn Patientendaten in falsche Hände geraten – sei es durch eine fehlgeleitete E-Mail, einen gestohlenen Laptop oder einen Hackerangriff – bestehen unter bestimmten Voraussetzungen Meldepflichten gegenüber der Aufsichtsbehörde und gegenüber den betroffenen Patienten. Die Fristen dafür sind kurz. Wer eine meldepflichtige Datenpanne nicht rechtzeitig meldet, riskiert eigenständige Sanktionen – zusätzlich zu den Folgen der Panne selbst.

Persönliche Haftung des Praxisinhabers

Als Praxisinhaber sind Sie datenschutzrechtlich verantwortlich – unabhängig davon, ob Sie eine Einzelpraxis oder eine Berufsausübungsgemeinschaft führen. Die finanziellen Konsequenzen bei Verstößen können erheblich sein: Bußgelder nach der DSGVO richten sich nicht allein nach dem Umsatz, sondern nach einer Vielzahl von Faktoren. Hinzu kommen mögliche Schadensersatzansprüche betroffener Patienten und berufsrechtliche Konsequenzen. Bei Gemeinschaftspraxen oder Medizinischen Versorgungszentren in GmbH-Form stellt sich zusätzlich die Frage nach der Geschäftsführerhaftung bei Datenschutzverstößen.

Digitalisierung verschärft die Anforderungen

Elektronische Patientenakte, Videosprechstunde, Online-Terminbuchung, digitale Befundübermittlung – die Digitalisierung im Gesundheitswesen schreitet voran. Jede neue digitale Anwendung erzeugt neue Datenflüsse und damit neue datenschutzrechtliche Fragen. Ob ein bestimmtes Tool in einer Arztpraxis überhaupt eingesetzt werden darf, hängt von einer ganzen Reihe von Voraussetzungen ab, die sich nicht pauschal beantworten lassen. Was für ein Unternehmen im E-Commerce unproblematisch sein mag, kann in einer Arztpraxis aufgrund der besonderen Sensibilität der Daten unzulässig sein.

Datenschutzbeauftragter – nicht immer freiwillig

Ob eine Arztpraxis einen Datenschutzbeauftragten bestellen muss, hängt von gesetzlich definierten Kriterien ab. Die Schwelle liegt niedriger, als viele Praxisinhaber vermuten – gerade weil in der Arztpraxis regelmäßig Gesundheitsdaten in großem Umfang verarbeitet werden. Eine fehlerhafte Einschätzung dieser Frage kann selbst einen bußgeldbewehrten Verstoß darstellen.

Was für Praxisinhaber auf dem Spiel steht

Mehr als nur ein Bußgeld

Datenschutzverstöße in einer Arztpraxis haben Auswirkungen, die weit über das Finanzielle hinausgehen. Das Vertrauen von Patienten in die Vertraulichkeit ihrer Gesundheitsdaten ist ein Kernbestandteil des Arzt-Patienten-Verhältnisses. Eine bekanntgewordene Datenpanne oder ein behördliches Verfahren kann dieses Vertrauen nachhaltig beschädigen. Gleichzeitig sind die Aufsichtsbehörden im Gesundheitsbereich erfahrungsgemäß besonders aufmerksam, weil hier die Risiken für die Betroffenen besonders hoch sind.

  • Bußgelder, deren Höhe von zahlreichen Umständen abhängt und die auch bei kleineren Praxen empfindlich ausfallen können
  • Schadensersatzansprüche betroffener Patienten, die sich auf den immateriellen Schaden stützen können
  • Berufsrechtliche Konsequenzen durch die zuständige Ärztekammer
  • Reputationsverlust, der sich unmittelbar auf die Patientenbindung auswirken kann
  • Strafrechtliche Relevanz, wenn die ärztliche Schweigepflicht verletzt wird

Besondere Fallstricke in Gemeinschaftspraxen und MVZ

Wenn mehrere Ärzte gemeinsam eine Praxis betreiben – ob als Gesellschaft bürgerlichen Rechts, als Partnerschaftsgesellschaft oder als GmbH – verkompliziert sich die Verantwortlichkeit erheblich. Wer ist datenschutzrechtlich verantwortlich? Handelt es sich um gemeinsame Verantwortlichkeit? Welche internen Regelungen sind erforderlich? Diese Fragen haben unmittelbare praktische Konsequenzen, etwa wenn ein Patient seine Rechte geltend macht oder die Aufsichtsbehörde einen konkreten Ansprechpartner verlangt.

Wie die Kanzlei Sie unterstützt

Datenschutz in der Arztpraxis berührt ein Rechtsgebiet, in dem sich allgemeines Datenschutzrecht, ärztliches Berufsrecht und Sozialrecht überlagern. Eine belastbare Lösung setzt voraus, dass alle diese Bereiche zusammen betrachtet werden. Die Kanzlei ist im Raum Kiel ansässig und berät Praxisinhaber, Gründer von Gemeinschaftspraxen und MVZ-Geschäftsführer bundesweit – nach Mandatierung auch per Videoberatung. Schildern Sie Ihren Fall über die Kontaktseite: Sie erhalten eine kostenlose Ersteinschätzung, ob und wie anwaltliche Unterstützung in Ihrer Situation sinnvoll ist.

  • Prüfung der bestehenden Datenschutzorganisation auf Schwachstellen
  • Begleitung bei Anfragen der Datenschutz-Aufsichtsbehörde
  • Unterstützung bei der Umsetzung von Betroffenenrechten – insbesondere bei Auskunfts- und Löschungsverlangen
  • Beratung zu Verträgen mit IT-Dienstleistern, Abrechnungsstellen und Softwareanbietern
  • Einschätzung der datenschutzrechtlichen Zulässigkeit digitaler Praxisanwendungen

Weiterführende Themen

  • Datenschutz & DSGVO – Überblick für Unternehmen
  • Betroffenenrechte: Auskunft, Löschung, Widerspruch
  • Datenschutz-Folgenabschätzung – wann ist sie Pflicht?
  • Beschäftigtendatenschutz
  • Haftung bei Datenschutzverstößen

Datenschutz in Ihrer Praxis klären – bevor es die Aufsichtsbehörde tut

Ob Einzelpraxis, Gemeinschaftspraxis oder MVZ: Schildern Sie Ihre Situation über die Kontaktseite und erhalten Sie eine kostenlose Ersteinschätzung, ob anwaltliche Unterstützung in Ihrem Fall sinnvoll ist. Die Kanzlei ist bundesweit tätig.