Die Lehre daraus ist unbequem und entscheidend zugleich: Im Datenschutz ist nicht nur der ursprüngliche Fehler das Problem. Es ist der Umgang damit. Wer nach einem Vorfall den Kopf in den Sand steckt, wählt die teuerste aller Optionen. Und genau diese Souveränität im Ernstfall fehlt den meisten Praxen — weil niemand sie vorbereitet hat.
Dieser Beitrag zeigt, worauf es in der Zahnarztpraxis ankommt: bei den Daten, bei der Technik, bei den Dienstleistern — und im Ernstfall.
Zwei Gesetze, ein Patient
Wie jede Arztpraxis bewegt sich auch die Zahnarztpraxis in einem doppelten Schutzraum. Behandlungs-, Röntgen- und Befunddaten sind Gesundheitsdaten und damit besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO — ihre Verarbeitung ist nur unter engen Voraussetzungen zulässig, im Behandlungskontext über Art. 9 Abs. 2 lit. h DSGVO. Darüber liegt die strafbewehrte Schweigepflicht aus § 203 StGB.
Das bedeutet konkret: Was in der Zahnarztpraxis an Daten entsteht, ist doppelt geschützt — durch das Datenschutzrecht und durch das Strafrecht. Ein unbedachter Umgang ist deshalb nicht nur ein Verwaltungsproblem, sondern kann strafrechtliche Relevanz haben. Diese Verzahnung übersehen viele Praxen, weil sie Datenschutz und Schweigepflicht als zwei getrennte Welten behandeln. Sie sind es nicht.
Die digitale Praxis erzeugt Daten an jeder Ecke
Die moderne Zahnarztpraxis ist ein digitaler Betrieb. Digitales Röntgen, Intraoralkameras, 3D-Aufnahmen, Praxis- und Terminsoftware, Heil- und Kostenpläne — jedes dieser Systeme ist ein eigener Datenspeicher mit eigenen Risiken. Und je mehr Systeme im Einsatz sind, desto häufiger lautet die Frage in meinen Audits: Wer hat hier eigentlich worauf Zugriff, und warum?
Die typischen Schwachstellen in der digitalen Zahnarztpraxis:
- Bildarchive ohne Berechtigungskonzept. Röntgen- und Bilddaten sind hochsensibel und oft über Jahre gespeichert. Wer darauf zugreifen kann, muss klar geregelt sein — nach dem Need-to-Know-Prinzip, nicht nach Bequemlichkeit.
- Praxissoftware ohne Auftragsverarbeitungsvertrag. Der Softwareanbieter, der Fernwartung leistet oder Daten in der Cloud hält, ist Auftragsverarbeiter. Ohne Vertrag nach Art. 28 DSGVO fehlt die rechtliche Grundlage.
- Backups, an die niemand denkt. Eine Datensicherung, die unverschlüsselt oder ungeschützt liegt, ist ein Datenleck im Wartezustand.
- Terminerinnerungen mit zu viel Inhalt. Eine SMS oder E-Mail darf an einen Termin erinnern — sie sollte keine Behandlungsdetails enthalten. Das klingt banal, ist aber ein häufiger Fehler.
Die Verrechnungsstelle: ein Sonderfall, der oft falsch gehandhabt wird
Viele Zahnarztpraxen rechnen über zahnärztliche Verrechnungsstellen ab. Datenschutzrechtlich ist das heikel, weil hier Patientendaten — und damit Daten, die der Schweigepflicht unterliegen — die Praxis verlassen. Die zentrale Frage lautet: Liegt eine Auftragsverarbeitung vor, oder eine Übermittlung an einen eigenständig Verantwortlichen?
Die Antwort entscheidet über die rechtliche Konstruktion. Und in fast allen Fällen ist zusätzlich eine Einwilligung der Patienten erforderlich, weil die Weitergabe an die Verrechnungsstelle die ärztliche Schweigepflicht berührt — diese Einwilligung muss eingeholt und nachweisbar dokumentiert sein. In der Prüfungspraxis sehe ich hier zwei Fehler immer wieder: Entweder fehlt die Einwilligung ganz, oder sie ist so allgemein formuliert, dass sie im Zweifel nicht trägt.
Was Aufsichtsbehörden im Gesundheitsbereich sanktionieren
Die Bußgeldpraxis im Gesundheitswesen hat sich verschärft — Strafen sind längst kein Ausnahmefall mehr, sondern ein regelmäßig eingesetztes Instrument. Und auffällig ist: Die meisten Verstöße entstehen nicht durch fehlende Technologie, sondern durch organisatorische Schwächen. Typische Auslöser, die sich auf jede Zahnarztpraxis übertragen lassen:
- Zu viele Zugriffsberechtigte auf Patientendaten — der Klassiker, der schon mehrfach hohe Bußgelder ausgelöst hat.
- Unvollständige Information der Patienten über die Verarbeitung ihrer Daten — ein Verstoß gegen die Transparenz- und Informationspflichten.
- Fehlende Übersicht über Dienstleister und die zugehörigen Auftragsverarbeitungsverträge.
- Mangelnde Kooperation mit der Aufsicht nach einem Vorfall — wie der eingangs geschilderte Fall der Zahnklinik zeigt.
Der gemeinsame Nenner: vermeidbare Organisationsfehler. Genau hier liegt die gute Nachricht — was vermeidbar ist, lässt sich mit einer sauberen Aufstellung tatsächlich vermeiden.
E-Mail und Kommunikation: verschlüsseln oder lassen
Ein Thema, das in jeder zweiten Praxis unterschätzt wird. Bei der Versendung von Patientendaten per E-Mail muss sichergestellt sein, dass unbefugte Dritte keinen Zugriff erhalten und die Übermittlung verschlüsselt erfolgt. Der unverschlüsselte Befund per Klartext-Mail an den Patienten oder den Kollegen ist ein Risiko, das die Aufsicht ernst nimmt. Die Botschaft lautet schlicht: sensible Inhalte gehören gesichert übermittelt — oder über einen anderen, sicheren Weg.
Aufbewahrung: nicht zu kurz, nicht zu lang
Patientenunterlagen sind in der Regel zehn Jahre aufzubewahren, in bestimmten Fällen länger. Erst nach Ablauf greift die Löschpflicht nach Art. 17 DSGVO. Beide Richtungen bergen ein Risiko: Wer zu früh löscht, verstößt gegen Aufbewahrungspflichten; wer alles unbegrenzt „für alle Fälle" behält, verstößt gegen den Grundsatz der Speicherbegrenzung. Ein dokumentiertes Löschkonzept, das die Fristen je Datenart festhält — Behandlungsdaten, Röntgenbilder, Abrechnungsunterlagen —, schafft hier Klarheit und ist im Prüfungsfall ein starkes Argument.
Braucht die Zahnarztpraxis eine/n Datenschutzbeauftragte/n?
Häufig ja. Die nationale 20-Personen-Schwelle (§ 38 BDSG) erreichen die wenigsten Praxen, aber darauf kommt es oft gar nicht an: Sobald die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht — und das ist bei einer Praxis, deren Geschäft die Behandlung ist, regelmäßig zu prüfen —, kann die Pflicht nach Art. 37 DSGVO unabhängig von der Mitarbeiterzahl bestehen. Es kommt auf den konkreten Umfang an. Diese Einschätzung ist genau der Punkt, an dem eine fundierte Bewertung Geld und Ärger spart.
Wichtig dabei: Das Gesetz verlangt einen geeigneten DSB. Eine intern „nebenbei" benannte Person mit Interessenkonflikt erfüllt die Pflicht im Zweifel nicht. Bei Gesundheitsdaten ist die Anforderung an die Eignung besonders hoch.
Was Sie konkret mitnehmen sollten
Drei Dinge: Erstens, klären Sie Ihre Zugriffsrechte — sieht wirklich nur, wer sehen muss, und gilt das auch für die Bildarchive? Zweitens, prüfen Sie die Konstruktion mit Ihrer Verrechnungsstelle und ob die Einwilligungen Ihrer Patienten tragen. Drittens, bereiten Sie einen Ablauf für den Pannenfall vor — inklusive der Frage, wer wann mit der Aufsicht kommuniziert. Denn wie der Fall der Zahnklinik zeigt: Souveränität im Ernstfall ist die billigste Versicherung, die Sie haben.
Über den Autor
Dr. Sait Yalazay ist TÜV-zertifizierter Datenschutzbeauftragter, international anerkannter Datenschutzbeauftragter (CIPP).
Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Anbieter: CyberWerkSuite.
Stand: Mai 2026. Die genannten Bußgeld-Beispiele stammen aus veröffentlichten Entscheidungen und Berichten der Aufsichtsbehörden.
