Flächendeckend stark für Ihre Gesundheit

Foto KVBB-Gebäude

Datenschutz in der Arztpraxis

Aktualisiert am: 09.12.2022, 11:39 Uhr

Seit 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung der Europäischen Union auch in Deutschland unmittelbar.


Für Praxen geht es insbesondere um den Schutz der:

  • Patientendaten (Gesundheitsdaten), die sie für die Behandlung der Patienten – ob gesetzlich oder privat versichert – benötigen.
  • Personaldaten, die sie als Arbeitgeber von ihren Mitarbeitern benötigen.

Personenbezogene Daten dürfen nur übermittelt werden, wenn eine Rechtsgrundlage es erlaubt. Dies kann eine Einwilligung des Patienten sein, mit der er einer Schweigepflichtentbindung zustimmt. Das Erfassen, Bearbeiten, Speichern etc. von Patientendaten ist gesetzlich gestattet. Im Rahmen der routinemäßigen Behandlung von Patienten beruht die Datenverarbeitung meist auf einer gesetzlichen Grundlage, so dass eine Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen ist. Nur in besonderen Fällen kann es erforderlich sein, dass Patienten zustimmen müssen, zum Beispiel bei der Einbeziehung einer privatärztlichen Verrechnungsstelle.

Spätestens seit dem 25. Mai 2018 müssen die Einwilligungserklärungen einen Hinweis darauf enthalten, dass Patienten ihr Einverständnis jederzeit widerrufen können.

Anfragen von Krankenkassen auf einem vertragsärztlichen Formular beruhen auf einer Rechtsnorm, deshalb müssen Praxen solche Anfragen beantworten. Anders bei formlosen Anfragen: Bei diesen muss die Krankenkasse angeben, aufgrund welcher Rechtsgrundlage sie Auskunft haben will. Ansonsten sind Praxen nicht verpflichtet, zu antworten.

Auch Anfragen anderer Stellen, etwa von Berufsgenossenschaften, Sozialgerichten oder Gesundheitsämtern, müssen eine Rechtsgrundlage haben.

Zahlreiche Praxen haben eine Internet- und/oder Facebook-Seite. Terminerinnerungen per SMS oder Patienten-Newsletter gehören zunehmend zum Serviceangebot. Prüfen Sie, ob auf Ihrer Internet- oder Facebook-Seite eine Datenschutzerklärung eingestellt ist. Außerdem können Sie die Patienteninformation zum Datenschutz in der Praxis auf Ihre Internetseite stellen.

Die Übermittlung von Patientendaten per Fax wird grundsätzlich als zulässig erachtet. Ein Fax an andere Ärzte und öffentliche Stellen ist erlaubt. Der absendende Arzt darf davon ausgehen, dass diese Empfänger die notwendigen Maßnahmen getroffen haben, um nur befugten Personen Zugang zu eingehenden Faxen zu verschaffen.

Grundsätzlich sind personenbezogene Daten dann zu löschen, wenn diese zur Erfüllung des Behandlungsvertrages nicht mehr erforderlich sind und andere Rechtsvorschriften einer Löschung nicht entgegenstehen. Eine andere Rechtsvorschrift in diesem Sinne ist zunächst die ärztliche Berufsordnung, nach der die Patientenakte 10 Jahre (nach dem Tag der letzten Behandlung) aufzubewahren ist. Eine Aushändigung der Originalakte an den Patienten darf vor Ablauf der berufsrechtlichen Aufbewahrungsfrist nicht erfolgen. Bei einem Arztwechsel ist die Weitergabe an den neuen Arzt mit Einverständnis des Patienten jedoch möglich.

Zur Aushändigung von Rezepten an Angehörige oder Übermittlung direkt an Apotheken bedarf es der Einwilligung des Patienten, die nachgewiesen sein muss. Auch Mitarbeitern von Altenheimen darf nur mit Einwilligung des Patienten die Verordnung ausgehändigt werden. Für die Nachweisbarkeit der Einwilligungserklärung ist die Schriftform nicht vorgeschrieben, jedoch zu empfehlen. Im datenschutzrechtlichen Sinne ist ein „Scan“ der Einwilligung ausreichend.

Jede Arztpraxis, in der mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, muss einen betrieblichen Datenschutzbeauftragten bestellen. 

Entscheidend ist die Anzahl der Personen und nicht ob in Voll- oder Teilzeit beschäftigt oder als Auszubildender.