Der Datenschutz im Gesundheitswesen ist kein statisches Konstrukt, sondern eine dynamische Pflicht, die jede moderne Praxis für Physiotherapie, Ergotherapie & Logopädie betrifft. Da sich Gesetze, Urteile und Anpassungen im medizinischen Bereich laufend ändern, herrscht bei vielen Therapeuten eine spürbare Rechtsunsicherheit. In dieser exklusiven Masterclass zeigt dir Rechtsexperte Markus Sobau, wie du die strengen behördlichen Auflagen der DSGVO und des BDSG effizient erfüllst und deine Praxis vor teuren Beschwerden schützt. Erfahre im Detail, wo die rechtlichen Pflichten liegen, wie du das gesamte Team einbindest und wie du durch strukturierte Prozesse maximale Rechtssicherheit für dich und deine Patienten erlangst.
Sich mit dem Thema Datenschutz auseinanderzusetzen ist in jeder Praxis Pflicht. Wie du richtig mit den wichtigsten Auflagen umgehst und dich nicht im Paragrafen-Dschungel verlierst, erklärt dir Markus Sobau in seiner Masterclass.
Der Datenschutz in der Praxis duldet keine Lücken, da Gesundheitsdaten laut Art. 9 DSGVO einer besonderen Kategorie unterliegen und deren Verarbeitung grundsätzlich untersagt ist, es sei denn, es liegt eine ausdrückliche, schriftliche Einwilligung des Patienten vor. Werden diese sensiblen Daten unbefugt an Dritte weitergegeben, drohen nicht nur zivilrechtliche Schadensersatzforderungen. Gemäß § 42 BDSG stellt die gewerbsmäßige, unberechtigte Weitergabe nicht allgemein zugänglicher Daten eine Straftat dar, die mit Geld- oder Freiheitsstrafen geahndet werden kann. Um sich rechtlich abzusichern, muss jede therapeutische Einrichtung zwingend über folgende Pflichtdokumente verfügen:
Ein moderner Datenschutz für Physiotherapie, Ergotherapie & Logopädie muss auch digitale Kommunikationswege abdecken. Seit dem EU-US Data Privacy Framework ist die Nutzung von Messenger-Diensten wie WhatsApp, Signal oder Telegram unter strengen Auflagen legal, sofern die Anbieter zertifiziert sind und der Patient vorab eine spezifische, schriftliche Einverständniserklärung unterzeichnet hat. Für den unverschlüsselten E-Mail-Versand sensibler Therapieberichte gilt Ähnliches: Grundsätzlich müssen Dokumente per Passwort-PDF oder S/MIME verschlüsselt werden, es sei denn, es liegt eine explizite Einwilligung des Patienten vor (analog zum OLG Düsseldorf Urteil).
Auch bei der Durchführung einer Online-Videotherapie gelten strikte Regeln. Für eine erfolgreiche und anerkannte Behandlung müssen folgende Voraussetzungen erfüllt sein:
Der Datenschutz im Gesundheitswesen räumt Patienten umfassende Kontrollrechte ein, die im Praxisalltag hochprofessionell bedient werden müssen. Nach Art. 15 DSGVO hat jeder Patient ein Auskunftsrecht über seine gespeicherten Daten, die Verarbeitungszwecke und die Speicherdauer. Bei einer solchen Anfrage sollten Praxisinhaber die Akte niemals sofort unvorbereitet aushändigen, sondern Kopien anfertigen und gegebenenfalls kritische Fremddaten schwärzen. Das in Art. 17 DSGVO verankerte "Recht auf Vergessenwerden" (Löschung von Daten) greift im Gesundheitswesen zudem nur teilweise: Gesetzliche Aufbewahrungsfristen (z. B. 10 Jahre für steuerlich relevante Belege) stehen einer vollständigen Löschung der Behandlungsdokumentation entgegen – rein kommunikative Daten wie E-Mail-Adressen oder Telefonnummern müssen hingegen auf Wunsch entfernt werden.
Besondere Vorsicht gilt bei spezifischen Patientengruppen:
Ein lückenloser Datenschutz auf der Website ist für jede Praxis essenziell, da die Homepage die digitale Visitenkarte im Netz darstellt und im Fokus von Abmahnanwälten, Mitbewerbern und Behörden steht. Acht von zehn Webseiten weisen gravierende Mängel auf, für die der Praxisbetreiber uneingeschränkt haftet. Zu den häufigsten Fehlern gehören unzulässige Cookie-Banner, die durch manipulative Farbgebungen (Dark Patterns) keine echte, aktive Einwilligung einholen. Auch die Einbindung von Social-Media-Plugins wie den Facebook- "Like & Share"-Buttons verstößt gegen deutsches Recht, da diese bereits beim Betreten der Seite unbemerkt Daten übertragen.
Achte bei der Optimierung deiner Website penibel auf die Einhaltung der gesetzlichen Vorgaben, um Abmahnungen und Bußgelder effektiv zu vermeiden:
Das Impressum muss mit maximal einem Klick erreichbar sein, separat von der Datenschutzerklärung stehen und den ausgeschriebenen Klarnamen, die exakte Berufsbezeichnung, zwei Kontaktwege sowie Pflichtangaben zur Berufshaftpflichtversicherung enthalten. Zudem muss das Impressum an aktuelle Gesetzesänderungen angepasst werden: Das alte Telemediengesetz (TMG) wurde durch das Digitale-Dienste-Gesetz (DDG) ersetzt.
Die Datenschutzerklärung muss als "Master-Dokument" fungieren, auf das du auch aus Social-Media-Profilen oder Bewerber-E-Mails verlinken kannst. Sie muss detaillierte Informationen über Cookie-Laufzeiten, Löschfristen, die Verarbeitung von Bewerberdaten (Sperrfrist maximal 6 Monate), den Umgang mit Daten Minderjähriger sowie eine gesetzlich vorgeschriebene Beschwerdeinformation inklusive Kontaktdaten der zuständigen Datenschutzbehörde enthalten.
Markus Sobau ist ein erfahrener Geschäftsführer sowie Fachberater im Bereich Datenschutz, Arbeitssicherheit und Hygienezertifizierung bei der Consularis GmbH. Mit seiner Expertise als DEKRA-zertifizierter Berater unterstützt er Therapiepraxen und medizinische Einrichtungen dabei, gesetzliche Anforderungen zu erfüllen und gleichzeitig von staatlichen Förderungen zu profitieren.
Ja, da Praxen bspw. im Bereich der Physiotherapie, Ergotherapie und Logopädie täglich mit Gesundheitsdaten arbeiten, fallen diese unter die "besonderen Kategorien personenbezogener Daten" nach Art. 9 DSGVO. Die Verarbeitung dieser hochsensiblen Daten ist gesetzlich strenger geschützt und grundsätzlich untersagt, es sei denn, es liegt eine explizite gesetzliche Grundlage (wie der Behandlungsvertrag) oder eine schriftliche Einwilligung des Patienten vor. Das Fehlerrisiko und die Bußgelder sind hier deutlich höher als in Nicht-Medizinberufen.
Nicht zwingend. Ein Datenschutzbeauftragter (egal ob intern oder extern) ist nach dem BDSG erst dann gesetzlich vorgeschrieben, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Aber Achtung: Auch ohne offiziellen Beauftragten bist du als Praxisinhaber zu 100 % dafür verantwortlich, dass alle DSGVO-Vorgaben lückenlos eingehalten werden. Die Haftung bleibt gleich.
Für die Patientendokumentation gilt nach dem Bürgerlichen Gesetzbuch (BGB) eine gesetzliche Aufbewahrungsfrist von 10 Jahren nach Abschluss der Behandlung. Das in der DSGVO verankerte "Recht auf Vergessenwerden" (Löschung) greift hier also nicht vorzeitig, da die gesetzliche Pflicht zur Dokumentation Vorrang hat. Reine Marketingdaten (z. B. für einen Praxis-Newsletter) müssen dagegen sofort gelöscht werden, wenn der Patient seine Einwilligung widerruft.
Ein AVV ist immer dann gesetzlich vorgeschrieben, wenn externe Dienstleister in deinem Auftrag Zugriff auf personenbezogene Patientendaten haben oder diese verarbeiten. Das gilt als rechtliche "Brandschutzwand" für deine Praxis. Ohne diesen Vertrag haftest du uneingeschränkt für Datenschutzfehler der Drittanbieter.
Um eine Videotherapie rechtssicher und abrechnungsfähig durchzuführen, müssen drei Bedingungen erfüllt sein: Erstens benötigst du die ausdrückliche Einwilligung des Patienten (bei Minderjährigen von den Erziehungsberechtigten). Zweitens muss die Therapie in einem ruhigen, geschützten Raum stattfinden. Drittens darfst du keine Consumer-Tools wie Skype oder FaceTime nutzen, sondern ausschließlich zertifizierte Videodienstanbieter laut der offiziellen KBV-Liste.
Auf der Praxis Homepage lauern oft teure Fallen: Das Impressum muss laut Gesetz mit maximal einem Klick erreichbar sein und darf nicht mit der Datenschutzerklärung vermischt werden. Zudem muss es an das aktuelle Digitale-Dienste-Gesetz (DDG) angepasst sein (das alte TMG ist veraltet). Beim Cookie-Banner sind sogenannte Dark Patterns (manipulative Farbgebungen, die den "Akzeptieren"-Button hervorheben) unzulässig – der Patient muss eine echte, freie und gleichwertige Wahlmöglichkeit zur Ablehnung haben.
Der Einsatz von WhatsApp im Praxisalltag ist datenschutzrechtlich schwierig, da das Tool standardmäßig Adressbücher ausliest. Es ist nur dann erlaubt, wenn du eine nachweisbare, schriftliche und spezifische Einwilligung des Patienten eingeholt hast, in der er über die Risiken des US-Datentransfers aufgeklärt wurde. Für maximale Sicherheit im Praxisalltag empfiehlt sich stattdessen die Nutzung DSGVO-konformer Messenger-Alternativen oder spezieller Praxissoftware.
Als Praxisinhaber haftest du im Außenverhältnis (gegenüber Behörden und Patienten) grundsätzlich für Datenschutzverstöße deines Teams, da du die organisatorische Verantwortung trägst. Um dieses Haftungsrisiko zu minimieren, bist du verpflichtet, deine Mitarbeiter regelmäßig (mindestens einmal jährlich) nachweislich zum Datenschutz zu schulen.
In unserer Masterclass zeigen wir dir, wie du diese Schulungsnachweise rechtssicher dokumentierst, um im Ernstfall den Entlastungsbeweis erbringen zu können.