EnglishGerman

Datenschutz für Heilberufe

Jetzt Beratung anfragen

Warum ist Datenschutz für Heilberufe so relevant?

Gerade im Gesundheitswesen ist Datenschutz von höchster Relevanz. Neben typischen personenbezogenen Daten, wie z.B.

  • Name & Kontaktdaten des Patienten
  • Sozialversicherungsnummer
  • Krankenkasse, 

wird auch eine Vielzahl an Daten über den gesundheitlichen Zustand des Patienten benötigt, damit eine gute Behandlung möglich ist. Laut Art. 9 DSGVO zählen diese Informationen zu den besonderen Kategorien personenbezogener Daten, was sie besonders schützenswert macht. 


Worauf man besonders achten muss

Ärzte, Pflegeeinrichtungen etc. unterliegen der Schweigepflicht, d.h. sie dürfen keine Informationen über den gesundheitlichen Zustand an Angehörige oder andere weitergeben. Nach Art. 15 DSGVO steht dieses Auskunftsrecht nur dem Patienten selbst zu. 

Daraus entsteht die Herausforderung, dass sämtliche Patientenakten unzugänglich für Dritte Personen gemacht werden müssen. Bei einem Verstoß gegen die Schweigepflicht kann es auch zu strafrechtlichen Folgen nach §203 Strafgesetzbuch kommen.


Aus diesen Gründen kann es leicht zu einer datenschutzrechtlichen Verletzung kommen, was neben teuren Strafzahlungen auch einen Vertrauensbruch mit sich bringt, welcher gerade im Gesundheitswesen gravierende Folgen haben kann. Deswegen ist es sehr wichtig einen Datenschutzbeauftragten anzustellen, damit diese Herausforderungen leichter gemeistert werden können.

Entscheiden Sie sich für heyData und profitieren Sie von Ihrem persönlichen und fachlichen Ansprechpartner, der die Datenschutzkonformität auf allen Ebenen und auf höchstem Niveau sicherstellt.

Häufige Fragen

Brauche ich einen Datenschutzbeauftragten?
Was sind personenbezogene Daten?
Wie läuft die Beauftragung von heyData ab?
Wie lang ist die Vertragslaufzeit?
Was wird in der Datenschutz-Audit gemacht?
Brauche ich einen Datenschutzbeauftragten?

Wenn eines oder mehrere der folgenden Kriterien auf Sie und Ihr Unternehmen zutreffen, dann JA:
- Ihr Unternehmen beschäftigt mehr als 20 Mitarbeiter
- Die Angestellten verarbeiten regelmäßig automatisierte Daten
- Es werden besondere Kategorien von personenbezogenen Daten im Unternehmen verarbeitet wie z.B. ethnische Herkunft, politische Meinung, religiöse Überzeugung, Gesundheit, Sexualleben der Person
- Es werden geschäftsmäßig personenbezogene Daten übermittelt, erhoben, verarbeitet oder genutzt und dies stellt eine Kerntätigkeit des Unternehmens dar (dies ist bei fast allen Unternehmen die einen Bezug zu Personal haben, z.B. Software, Recruting, Headhunting, Consulting etc.) 

Was sind personenbezogene Daten?

Laut DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierbare oder identifizierte, natürliche Person beziehen. Die Betroffenen sind identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einem Standort oder anderen Merkmalen identifiziert werden können. In der Praxis fallen darunter sämtliche Daten, die auf jedwede Weise einer Person zugeordnet werden können. Beispiele hierfür sind Telefonnummern, Ausweisnummern, Kontodaten, Kfz-Kennzeichen, Kundennummern, Mailadressen oder Anschriften.

Wie läuft die Beauftragung von heyData ab?

Sobald Sie sich für die Zusammenarbeit mit heyData entschieden haben, werden wir nach anfänglicher Bedürfnisanalyse einen Datenschutzaudit mit Ihrem Unternehmen durchführen, um die Prozesse Ihres Unternehmens ganzheitlich zu verstehen - dieser Prozess wird digital begleitet und durch den Datenschutzberater betreut. Daraufhin werden wir gemeinsam mit Ihnen die notwendigen Dokumentationen anfertigen und bei Bedarf den Webauftritt Ihres Unternehmens nach unserer Anweisung anpassen, falls es Änderungsbedarf geben sollte um die Konformität zu erreichen. Je nach Paket sind wir dann noch bei verschiedensten Prozessen Ihres Unternehmens involviert, die die Fachkenntnis eines Datenschutzbeauftragten benötigen, um Sie in allen Belangen zu schützen, dies erstreckt sich meist über HR-, Marketing -, Product - aber auch Business Development Prozesse.

Wie lang ist die Vertragslaufzeit?

Die reguläre Vertragslaufzeit beträgt 24 Monate.

Was wird in der Datenschutz-Audit gemacht?

Der Datenschutz-Audit ist dazu gedacht die Prozesse Ihres Unternehmens zu durchleuchten und die wesentlichen Stellen der Datenverarbeitung zu identifizieren. Hiervon erhalten Sie anschließend eine Dokumentation, um die Stellen, die Art der verarbeiteten Daten und die Verantwortlichen ebenfalls als Schaubild jederzeit zur Verfügung zu haben.

Datenschutz für Heilberufe und Ärzte

Besonders im Gesundheitswesen nimmt der Umgang mit Patientendaten und den verbundenen personenbezogenen Daten einen sehr hohen Stellenwert ein. Die erforderlichen Patientendaten stellen im Gesundheitswesen Informationen dar, die als besonders schützenswert gelten und somit innerhalb der beruflichen Ausübung auch sensibel zu behandeln sind. Ein weiter und wichtiger Aspekt ist die ärztliche Schweigepflicht, die auch die Mitarbeiter betrifft.

Der Datenschutz innerhalb der Praxis

Datenschutz an der Praxisanmeldung

Kontrollpunkte einer datenschutzkonformen Praxis

Die Datenschutzerklärung auf der Homepage

Patientendatenweitergabe an die Krankenkassen

Der Datenschutz muss innerhalb einer Praxis gelebt werden und somit bei der Praxisleitung und auch bei den Mitarbeitern einen besonderen Stellenwert einnehmen. Ein Grundpfeiler der Tätigkeitsausübung ist die Datenerhebung der Patienten. Hier muss der Fokus auf die benötigten Informationen gelegt werden. Im Patientenkontakt dürfen in der Regel nur solche Daten erhoben werden, die auch für die Arztbehandlung und dessen Diagnose von Nöten sind.


In der Arztpraxis kommt es in der Praxis auch oft zu Datenweitergaben. Ein wichtiger Aspekt ist hierbei, dass die Patientenakten mit den personenbezogenen Daten nicht ohne weiteres an Versicherungen oder Dritte weitergegeben dürfen. Bei der Datenweitergabe sind spezifische Vorgaben zu beachten, die den gewünschten Adressat betreffen. Um die personenbezogenen Daten weiterzugeben und dabei rechtskonform zu bleiben, ist in den meisten Fällen eine Einverständniserklärung der betroffenen Person einzuholen.

Auch in der Arztpraxis muss die Datensicherung gewährleistet und somit vor dem Zugriff von Dritten ausreichend geschützt sein. Dies betrifft sowohl analoge Datensätze (Formulare, Bilder, Notizen…), aber auch die gespeicherten Patientendaten innerhalb der IT und Praxissoftware.


Im Falle einer Gemeinschaftspraxis oder in einem Krankenhaus dürfen nur die betreuenden Ärzte untereinander Patientendaten weitergeben. Allerdings dürfen nur notwendige Informationen ausgetauscht werden, die für die Behandlung des Patienten notwendig sind. Ein weiterer Datenaustausch gilt nicht als rechtskonform.


Ohne einen Praxisempfang kommt in der Regel keine Arztpraxis aus. Hier werden die Patienten in Empfang genommen und das Anliegen des Besuches abgeklärt. Schon ab diesem Zeitpunkt muss der Mitarbeiter die datenschutzrechtlichen Vorgaben beachten und einhalten.


Diese datenschutzrechtliche Hürde birgt die ersten Probleme:


- mehrere Personen stehen am Empfangstresen und können die Gespräche verfolgen


- Diagnosen werden ungeschützt am Empfang übermittelt und können mitgehört werden


- Der Empfang bleibt unbeaufsichtigt und der Zugang zu Schränken, Akten und PC´s ist ungesichert


- Ärzte und Mitarbeiter kommunizieren über Patientendaten – diese Informationen können mitgehört werden


- das Wartezimmer ist nicht ausreichend schallisoliert und Gespräche können verfolgt werden


Das Gespräch mit den Patienten gehört zum Praxisalltag. Viele Daten und Informationen werden telefonisch oder per E-Mail ausgetauscht. Hierbei werden sensible Daten, wie Therapien, Diagnosen und Testergebnisse übermittelt. Oftmals sind diese Kontakte aber nicht verifiziert und somit besteht immer eine Gefahr, dass personenbezogene Daten auf diesem Weg in die Hände von nichtberechtigten Personen gelangen.


Personenbezogene Daten spielen auch bei einem Erstbesuch in einer Praxis eine wichtige Rolle. Hier werden im ersten Schritt diese Informationen abgefragt. Im allgemeinen Praxisalltag wird hier oft ein fertiges Informationsschreiben zum Thema Datenschutz nach Art. 13 der DSGVO vorgelegt, welches vom Patienten gelesen werden und dann mündlich akzeptiert werden muss. Dieser Vorgang entspricht nicht dem Datenschutz und ist somit nicht rechtskonform! Mit einer mündlichen Zustimmung ist die Praxis nicht in der Lage, einen Nachweis über die Zustimmung zu liefern. Dies kann und wird vom Patienten und von Behörden als Datenschutzverstoß bewertet und wird mit entsprechenden Bußgeldern geahndet.


Um hier rechtssicher zu agieren und Bußgelder zu vermeiden, sollte die Praxis grundsätzlich eine schriftliche Patientenerklärung einfordern. Diese Absicherung kann auch digital erfolgen. Somit ist es auch möglich z. B. die Informationen über ein mobiles Endgerät bereitzustellen und digital unterzeichnen zu lassen.



- Gibt es eine revisionssichere Einwilligung zur Datenverarbeitung vor?


- Ist die Datenschutzerklärung auf der Webpage rechtskonform erstellt?


- Bleibt der Empfang stets besetzt?


- Ist die Arztpraxis gesichert (z. B. verschlossener Eingang)?


- Können Daten auf PC´s oder der Telefonanlage von Dritten gesichtet werden?


- Werden am Empfang Informationen diskret ausgetauscht?


- können Akten und Notizen von Dritten eingesehen werden?


- Gibt es eine Sicherung der Personalakten?


- Sind Wartezimmer und Behandlungszimmer schallisoliert?


- Wird der telefonische Austausch verifiziert?


- Gibt es Auftragsverarbeitungsverträge mit externen Dienstleistern?


- Ist der Serverraum abgesichert?


- Ist die Praxis gegen Einbruch abgesichert?


- Gibt es eine externe Stromversorgung?


- Werden Passwörter sicher vergeben und gewechselt?


- Ist die IT-Sicherheit gewährleistet?


- Gibt es Mitarbeiterschulungen zum Thema Datenschutz?


Diese Fragen sollten in einer datenschutzkonformen Praxis alle mit „Ja“ beantwortet werden können. Ist dies nicht der Fall, sprechen Sie gerne mit den Experten von heyData! Wie führen Sie sicher durch den Datenschutzdschungel!


Die Datenschutzerklärung muss auf der Webpage präzise, transparent und leicht zugänglich zur Verfügung gestellt werden. Hierbei ist über alle Vorgänge aufzuklären, bei denen personenbezogene Daten verarbeitet werden. Der Name und die Kontaktdaten des Betreibers und des Verantwortlichen müssen aufgeführt werden. Werden entsprechende Tools verwendet, die personenbezogene Daten verarbeiten, müssen diese auch aufgeführt werden (Social Media, Webformulare, Cookies…) Zu diesen Verarbeitungen gehören Angaben zum Zweck der Datenübermittlung und der Rechtsgrundlage der Datenverarbeitung.


Zusätzlich sollten folgende Informationen immer aufgeführt werden:


- Dauer der Datenspeicherung


- Recht auf Auskunft, Berichtigung, Löschung, Widerrufsrecht, Einschränkung der Verarbeitung


- Beschwerderecht bezüglich der Aufsichtsbehörde


- automatisierte Entscheidungsfindung


- Vorschriften der gesetzlichen oder vertraglichen Bereitstellung der Daten


Versicherer sind auf die Patienteninformationen angewiesen und speichern diese. Diese Informationen, in Form von Sozialdaten, Adressdaten, Diagnosen und Abrechnungen sind für die medizinische Versorgung notwendig, da sonst die medizinische Versorgung nicht sichergestellt werden kann. Eine Datenspeicherung ist aus diesen Gründen rechtlich zulässig.


Krankenkassen sind aber nicht aus dem Datenschutzrecht ausgenommen. Die Krankenkassen dürfen nur so viele Daten speichern, die sie für ihre Tätigkeit benötigen. Grundsätzlich müssen Patientendaten aber gelöscht werden, wenn diese nicht mehr notwendig sind und kein Grund für eine weitere Speicherung vorliegt.


Haben Sie weitere Fragen zum Thema Datenschutz bei Heilberufen oder innerhalb von Arztpraxen? heyData bietet sich gerne als Ihr Partner an. Kontaktieren Sie uns – wir helfen Ihnen weiter!