Praxistipps zum Datenschutz

Seit Januar 2025 veröffentlicht die Initiative „Mit Sicherheit gut behandelt“ monatlich Praxistipps, um Psychotherapeut*innen und Ärzt*innen bei der Umsetzung des Datenschutzes in ihrem Praxisalltag bedarfsgerecht zu unterstützen. Die Praxistipps möchten den Behandelnden konkrete und aktuelle Hilfestellung geben, wie sie die gesetzlichen Vorgaben in ihren Arbeitsalltag integrieren können. Sie stellen jeweils eine im Praxisbetrieb relevante datenschutzrechtliche Frage mit dazugehöriger Antwort vor. Zusätzlich erhalten die Behandelnden Hinweise zu Rechtsgrundlagen und weiterführende Links. Das alles kompakt auf einer Seite und zum Herunterladen als druckbare PDF-Dateien.
Nr. 1: Auskunftsanspruch nach der DSGVO+x
Der erste Praxistipp widmet sich dem Thema „Auskunftsanspruch nach der DSGVO“: Patient*innen haben einen umfassenden Auskunftsanspruch über die zu ihrer Behandlung gespeicherten, sie betreffenden Daten. So haben sie das Recht, eine vollständige Kopie der Behandlungsdokumentation zu erhalten. Patient*innen können die Form der Auskunftserteilung – Papierform oder elektronisch – selbst bestimmen. Die erste Kopie ist kostenfrei auszuhändigen.
Den Praxistipp Nr. 1: Auskunftsanspruch nach der DSGVO finden Sie hier als PDF.
Nr. 2: Auskunftsanspruch und Praxiswechsel+x
Auch wenn Patient*innen aufgrund eines Praxiswechsels um Bereitstellung der sie betreffenden Behandlungsdokumentation bitten, stellt dies datenschutzrechtlich die Geltendmachung ihres Auskunftsanspruchs nach Art. 15 Abs. 1 und Abs. 3 DSGVO dar. Dieser ist im Bereich der Heilbehandlung umfassend zu erfüllen. Grundsätzliche Informationen zum Umgang mit dem datenschutzrechtlichen Auskunftsanspruch im Bereich der Heilbehandlung finden sich im Praxistipp Nr. 1.
Neben der datenschutzrechtlichen Relevanz hat die Bitte um Bereitstellung der gesamten Behandlungsdokumentation aufgrund eines Praxiswechsels auch eine berufsrechtliche Bedeutung...
Den Praxistipp Nr. 2: Auskunftsanspruch und Praxiswechsel finden Sie hier als PDF.
Nr. 3: Auskunftsanspruch bei Minderjährigen+x
Der getrennt von der Kindesmutter lebende Vater einer 10–jährigen Patientin verlangt Auskunft über deren bisherige Behandlung. Das Sorgerecht ist zwischen Mutter und Vater geteilt.
Wer kann den Auskunftsanspruch geltend machen und unter welchen Voraussetzungen?
Informationen zum Umgang mit dem datenschutzrechtlichen Auskunftsanspruch im Bereich der Heilbehandlung, unter anderem zu Umfang und Kosten, finden Sie im Praxistipp #1.
Sofern Auskünfte im Namen Minderjähriger erbeten werden, muss geklärt werden, ob die antragstellende Person zur Geltendmachung berechtigt und daher die Auskunft zu erteilen ist.
[...]
Den Praxis-Tipp Nr. 3 "Auskunftsanspruch bei Minderjährigen" finden Sie hier als PDF.
Nr. 4: Kommunikation per E-Mail+x
a) Darf ich als Heilberufspraxis mit Patient*innen per E-Mail kommunizieren?
Ja, unter bestimmten Voraussetzungen. Eine E-Mail-Kommunikation von Heilberufspraxen mit Patient*innen ist berufs- und datenschutzrechtlich nur unter Sicherstellung einer angemessenen Datensicherheit zulässig. [...]
b) Mein*e Patient*in will unverschlüsselt per E-Mail kommunizieren – geht das?
Ja, wenn Sie umfänglich aufklären und eine Alternative angeboten haben. Praxisinhaber*innen müssen sicherstellen, dass sich Patient*innen mit der Versendung unverschlüsselter E-Mails ausdrücklich und freiwillig einverstanden erklären. Zuvor müssen sie die Patient*innen über die damit einhergehenden Risiken informieren und alternative, sicherere Kommunikationsmöglichkeiten anbieten [...]
Den gesamten Praxis-Tipp Nr. 4 "Kommunikation per E-Mail" finden Sie hier als PDF.
Nr. 5: Einwilligung nach Art. 7 DS-GVO+x
Wofür ist die Einwilligung erforderlich?
Die Verarbeitung der Gesundheitsdaten von Patient*innen ist grundsätzlich verboten (Art. 9 DS-GVO). Ausnahmen bestehen beim Vorliegen gesetzlicher Regelungen oder wenn eine ordnungsgemäße Einwilligung in die Verarbeitung vorliegt. Regelmäßig wird die Einwilligung in die Behandlung und die dafür erforderliche Datenverarbeitung über den Behandlungsvertrag dokumentiert.
Welche Voraussetzungen muss eine ordnungsgemäße Einwilligung erfüllen?
Wichtig ist, dass die Einwilligung freiwillig, bestimmt und ausdrücklich ist, sich auf eine konkrete Verarbeitung bezieht und zuvor eine ausreichende Information der Patienten erfolgt, die klar und verständlich sein muss. Sogenannte Pauschal-Einwilligungen, die ein*e Patient*in nicht überblicken kann, sind unzulässig. Eine bestimmte Form der Einwilligung bedarf es nicht. [...]
Den gesamten Praxis-Tipp Nr. 5 "Einwilligung nach Art. 7 DS-GVO" finden Sie hier als PDF.
Nr. 6.: Informationspflicht nach Art. 13 DS-GVO+x
Muss ich Patient*innen datenschutzrechtlich informieren?
Patient*innen sind unmittelbar von der Verarbeitung personenbezogener und insbesondere Gesundheitsdaten durch Behandler*innen betroffen. Zur Stärkung der Betroffenenrechte von Patient*innen sind Praxisinhaber*innen als Verantwortliche verpflichtet, ihre Patient*innen über die Datenverarbeitung zu informieren. Soweit die Daten direkt bei den Patient*innen erhoben werden – sogenannte Direkterhebung – sind die Voraussetzungen des Art. 13 DS-GVO maßgeblich.
Wann müssen die Informationen den Patient*innen zur Verfügung gestellt werden?
Bereits zum Zeitpunkt der ersten Erhebung der Daten bei den Patient*innen. Konkret bedeutet dies bei Behandlungsbeginn.
Wie müssen den Patient*innen die Informationen zur Verfügung gestellt werden?
Die Informationen für die Patient*innen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache bereitzustellen.
Den gesamten Praxis-Tipp Nr. 5 "Einwilligung nach Art. 7 DS-GVO" finden Sie hier als PDF.
Nr. 7: Soziale Medien sicher nutzen+x
Dürfen Behandler*innen über ein Social-Media-Profil verfügen?
Ja, soweit datenschutz- und berufsrechtliche Aspekte berücksichtigt werden, ist es möglich Plattformen wie Instagram, LinkedIn usw. als Praxisinhaber*in oder auch Privatperson zu nutzen.Praxisinhaber*innen kommt für die Social-Media-Seite ihrer Praxis eine datenschutzrechtliche Verantwortung in Bezug auf den Betrieb der Seite und die damit einhergehende Verarbeitung von Nutzungsdaten zu. Die Nutzer*innen müssen beim Besuch der Social-Media-Seite über die Nutzung und den Verbleib ihrer Daten informiert werden. Aber auch bei einem persönlichen (privaten) Auftritt auf derartigen Plattformen ist besondere Achtsamkeit geboten.
Ein direkter Dialog mit Patient*innen über soziale Medien ist kritisch zu bewerten. [...]
Den gesamten Praxis-Tipp Nr. 7 "Soziale Medien sicher nutzen" finden Sie hier als PDF.