DSB NRW LogoDatenschutzbeauftragterNRWTÜV-zertifiziert · Externer DSB
Ratgeber · Gesundheit

Datenschutz in der Arztpraxis: Wo es in der Praxis wirklich knirscht — und was es kostet

Wenn ich als Datenschutzauditor eine Arztpraxis betrete, schaue ich nicht zuerst auf die Datenschutzerklärung. Ich höre zu. Am Empfang, im Wartezimmer, am Telefon. Und fast immer dauert es keine zehn Minuten, bis ich Dinge mitbekomme, die niemand mitbekommen sollte: einen Namen, eine Diagnose, einen Termin beim Onkologen — laut ausgesprochen, während drei fremde Menschen danebenstehen. Kein Hackerangriff, keine kaputte Firewall. Einfach Alltag.

Genau das ist der Punkt, den die meisten Praxen unterschätzen. Datenschutz in der Arztpraxis ist selten ein IT-Problem. Es ist ein Organisations- und Verhaltensproblem — und es kostet echtes Geld, wenn es schiefgeht. Dieser Beitrag zeigt, wo es in der Realität knirscht, was Aufsichtsbehörden tatsächlich sanktioniert haben, und wie Sie Ihre Praxis so aufstellen, dass sie einer Prüfung standhält.

Warum die Arztpraxis ein doppelter Hochsicherheitsbereich ist

Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Ihre Verarbeitung ist im Grundsatz verboten und nur unter engen Ausnahmen erlaubt — bei der Behandlung etwa über Art. 9 Abs. 2 lit. h in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO. Solange Sie sich im Rahmen des Behandlungsvertrags bewegen, brauchen Sie dafür keine gesonderte Einwilligung Ihrer Patienten.

Aber die DSGVO ist nur die eine Hälfte. Darüber liegt die ärztliche Schweigepflicht, strafbewehrt durch § 203 StGB und berufsrechtlich verankert. Das ist der entscheidende Unterschied zu fast jeder anderen Branche: Ein Datenschutzverstoß in der Praxis kann gleichzeitig eine Straftat sein. Während ein Online-Händler bei einem Fehler „nur" ein Bußgeld riskiert, steht beim Arzt zusätzlich die strafbewehrte Verschwiegenheit im Raum. Und ergänzend verlangt § 22 BDSG für sensible Daten ausdrücklich besondere Schutzmaßnahmen — darunter die Beschränkung des Zugriffs innerhalb der Praxis. Vereinfacht: das Need-to-Know-Prinzip. Nur wer eine Information für seine Aufgabe braucht, darf sie sehen.

Das klingt selbstverständlich. In der Prüfungspraxis ist es der häufigste Schwachpunkt überhaupt.

Was Aufsichtsbehörden tatsächlich sanktioniert haben

Theorie überzeugt niemanden. Echte Fälle schon. Drei davon, die zeigen, wie unterschiedlich die Auslöser sind:

Der Klassiker — zu viele Augen auf den Daten. In einem Krankenhausfall wurde der überwiegende Teil eines Bußgeldes von mehreren hunderttausend Euro deshalb verhängt, weil schlicht zu viele Personen Zugriff auf Patientendaten hatten. Nicht weil etwas gestohlen wurde — allein die Möglichkeit des Zugriffs ohne Notwendigkeit war der Verstoß. Genau hier setzt das Need-to-Know-Prinzip an.

Der kleine Fehler mit großer Wirkung. Der Hessische Datenschutzbeauftragte verhängte ein Bußgeld gegen die Inhaberin einer Arztpraxis, weil ihr Praxismanager Patientenakten zur Abrechnung im Homeoffice aufbewahren durfte — und diese dort offen, in einem nicht dauerhaft gesicherten Bereich, lagen. Die Summe war mit wenigen tausend Euro überschaubar. Die Botschaft ist es nicht: Auch die kleine Praxis ist im Visier, und auch ein scheinbar harmloser organisatorischer Lapsus reicht.

Der Dauerbrenner — Fehlversand. Ein Gesundheitsunternehmen kassierte ein sechsstelliges Bußgeld unter anderem wegen mehrfachen Falschversands von Arztbriefen und weil Zugriffe nicht protokolliert wurden. Der falsch adressierte Befund, die an die alte Adresse geschickte Diagnose — das sind keine exotischen Szenarien, das passiert in jeder Praxis, die nicht aufpasst.

Was diese Fälle eint: Keiner davon war ein Cyberangriff. Es waren Organisationsfehler. Und genau die sind vermeidbar.

Die fünf Stellen, an denen es in der Praxis am häufigsten knirscht

Aus dem, was ich in Audits regelmäßig sehe, lassen sich fünf wiederkehrende Schwachstellen destillieren:

  • Der Empfang als offene Bühne. Namensaufrufe, Telefonate über Befunde, der Bildschirm mit der Patientenliste in Blickrichtung des Wartebereichs. Hier helfen oft simple organisatorische Maßnahmen — ein Diskretionsabstand, ein gedrehter Monitor, ein leiseres Verfahren beim Aufruf.
  • Zugriffsrechte nach Gießkanne. Jede Mitarbeiterin sieht alles. Das ist bequem und ein klarer Verstoß gegen das Need-to-Know-Prinzip. Ein Berechtigungskonzept, das Zugriffe an Rollen knüpft, ist Pflicht — nicht Kür.
  • Dienstleister ohne Vertrag. Labor, privatärztliche Verrechnungsstelle, IT-Wartung, Praxissoftware-Anbieter: Jeder, der Zugriff auf Patientendaten haben kann, braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO — und bei der Verrechnungsstelle zusätzlich eine saubere Einwilligung der Patienten, weil hier die Schweigepflicht berührt ist.
  • Unverschlüsselte Kommunikation. Befunde per Klartext-E-Mail, Diagnosen in der SMS-Terminerinnerung. Sensible Inhalte gehören verschlüsselt oder gar nicht in diese Kanäle. Eine Terminerinnerung darf an den Termin erinnern — nicht an die Behandlung.
  • Kein Plan für den Ernstfall. Wenn ein Laptop verschwindet oder ein Befund falsch rausgeht, läuft die 72-Stunden-Frist für die Meldung an die Aufsichtsbehörde (Art. 33 DSGVO). Wer dann erst anfängt zu überlegen, wer zu informieren ist, hat schon verloren. Ein einfacher, vorbereiteter Ablauf macht den Unterschied.

Neu und oft übersehen: ePA, E-Rezept und NIS-2

Die Praxislandschaft hat sich gerade stark verändert. Mit der elektronischen Patientenakte (ePA) und dem verpflichtenden E-Rezept fließen 2025 deutlich mehr Gesundheitsdaten durch digitale Systeme als noch vor zwei Jahren. Das erhöht den Komfort — und die Angriffsfläche. Parallel hat sich die Aufsichtspraxis spürbar verschärft; Bußgelder im Gesundheitswesen sind längst kein Ausnahmefall mehr, sondern ein regelmäßig eingesetztes Instrument.

Hinzu kommt ein Thema, das viele Praxen noch gar nicht auf dem Schirm haben: die seit November 2025 geltenden NIS-2-Anforderungen zur IT-Sicherheit. Ob und wie eine einzelne Praxis betroffen ist, hängt vom Einzelfall ab — aber die Richtung ist eindeutig: IT-Sicherheit und Datenschutz wachsen zusammen. Wer hier nur auf das eine schaut, übersieht das andere. In der Prüfungspraxis zeigt sich: Die Praxen, die beides zusammendenken, fahren am ruhigsten.

Wie lange Sie Patientendaten aufbewahren — und wann Sie löschen müssen

Eine Frage, die in fast jeder Praxis für Unsicherheit sorgt. Die Grundregel: Patientenakten sind in der Regel zehn Jahre aufzubewahren (§ 630f Abs. 3 BGB), bei bestimmten Konstellationen länger. Erst nach Ablauf der Frist greift die Löschpflicht nach Art. 17 DSGVO. Das heißt aber auch: Daten unbegrenzt „für alle Fälle" aufzuheben, ist genauso ein Verstoß wie zu frühes Löschen. Ein dokumentiertes Löschkonzept, das die Fristen je Datenart festhält, gibt Ihnen hier Sicherheit — und ist im Prüfungsfall Gold wert.

Braucht Ihre Praxis eine/n Datenschutzbeauftragte/n?

Das ist die Frage, die ich am häufigsten höre. Die ehrliche Antwort: häufig ja — aber nicht automatisch. Die nationale 20-Personen-Schwelle (§ 38 BDSG) erreichen die wenigsten Praxen. Entscheidend ist deshalb meist Art. 37 DSGVO: Sobald die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht, kann die Pflicht unabhängig von der Mitarbeiterzahl bestehen. Bei einer Praxis, deren Geschäft die Behandlung — und damit die Verarbeitung von Gesundheitsdaten — ist, liegt das oft nahe. Es kommt aber auf den konkreten Umfang an. Diese Bewertung ist genau der Punkt, an dem eine fundierte Einschätzung Geld und Ärger spart.

Und ein Hinweis, der über die reine Pflichtfrage hinausgeht: Das Gesetz verlangt nicht irgendeinen DSB, sondern einen geeigneten. Ein intern „nebenbei" ernannter Mitarbeiter mit Interessenkonflikt — etwa der IT-Verantwortliche, der seine eigene IT kontrollieren soll — erfüllt die Pflicht im Zweifel nicht. Bei Gesundheitsdaten ist die Messlatte besonders hoch.

Was Sie konkret tun sollten

Wenn Sie aus diesem Beitrag drei Dinge mitnehmen, dann diese: Erstens, prüfen Sie Ihre Zugriffsrechte — sieht wirklich nur, wer sehen muss? Zweitens, schauen Sie sich Ihren Empfang und Ihre Kommunikation mit den Augen eines fremden Patienten im Wartezimmer an. Drittens, sorgen Sie für einen vorbereiteten Ablauf für den Pannenfall, bevor er eintritt.

Datenschutz in der Praxis ist kein Hexenwerk — aber er verlangt, dass jemand ihn einmal sauber aufsetzt und im Blick behält.

Über den Autor

Dr. Sait Yalazay ist TÜV-zertifizierter Datenschutzbeauftragter, international anerkannter Datenschutzbeauftragter (CIPP).

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Anbieter: CyberWerkSuite.

Stand: Mai 2026. Die genannten Bußgeld-Beispiele stammen aus veröffentlichten Entscheidungen und Tätigkeitsberichten der Aufsichtsbehörden.

Externer DSB für NRW

Sie wollen das in Ihrem Unternehmen sauber umsetzen?

Wir betreuen KMU, Heilberufler und Kommunen in ganz NRW als externer Datenschutzbeauftragter. Erstgespräch ist kostenfrei und unverbindlich.

Kostenloses Erstgespräch Leistungen ansehen
Weiterlesen

Passende Ratgeber-Artikel

Sport

Datenschutz im Fitnessstudio

Mitgliederdaten, Gesundheitsangaben, Videoüberwachung und Apps — was Studios beim Datenschutz beachten müssen.

5 Min.Lesen
Handwerk

Datenschutz im Handwerksbetrieb

Auch Handwerksbetriebe müssen die DSGVO einhalten — Kundendaten, Mitarbeiterdaten und Baustellenfotos in der Praxis.

5 Min.Lesen
Immobilien

Datenschutz in der Hausverwaltung

Welche Daten darf eine Hausverwaltung verarbeiten? Selbstauskünfte, Nebenkosten und Dienstleister in der Praxis.

5 Min.Lesen