Datenschutz im Gesundheitswesen: So führst du deine Therapiepraxis rechtssicher

Der Datenschutz im Gesundheitswesen ist kein statisches Konstrukt, sondern eine dynamische Pflicht, die jede moderne Praxis für Physiotherapie, Ergotherapie & Logopädie betrifft. Da sich Gesetze, Urteile und Anpassungen im medizinischen Bereich laufend ändern, herrscht bei vielen Therapeuten eine spürbare Rechtsunsicherheit. In dieser exklusiven Masterclass zeigt dir Rechtsexperte Markus Sobau, wie du die strengen behördlichen Auflagen der DSGVO und des BDSG effizient erfüllst und deine Praxis vor teuren Beschwerden schützt. Erfahre im Detail, wo die rechtlichen Pflichten liegen, wie du das gesamte Team einbindest und wie du durch strukturierte Prozesse maximale Rechtssicherheit für dich und deine Patienten erlangst.

Gesamte Masterclass ansehen

Deine Masterclass im Überblick

  • Dauer: Ca. 20 Minuten
  • Umfang: 3 Lektionen 
  • Zielgruppe: Praxisinhaber:innen, Therapeut:innen, Empfangskräfte und fachliche Leitungen der Heilmittelbranche

Trailer

Sich mit dem Thema Datenschutz auseinanderzusetzen ist in jeder Praxis Pflicht. Wie du richtig mit den wichtigsten Auflagen umgehst und dich nicht im Paragrafen-Dschungel verlierst, erklärt dir Markus Sobau in seiner Masterclass.

Gesetzliche Pflichtdokumente und Haftungsrisiken für therapeutische Praxen

Der Datenschutz in der Praxis duldet keine Lücken, da Gesundheitsdaten laut Art. 9 DSGVO einer besonderen Kategorie unterliegen und deren Verarbeitung grundsätzlich untersagt ist, es sei denn, es liegt eine ausdrückliche, schriftliche Einwilligung des Patienten vor. Werden diese sensiblen Daten unbefugt an Dritte weitergegeben, drohen nicht nur zivilrechtliche Schadensersatzforderungen. Gemäß § 42 BDSG stellt die gewerbsmäßige, unberechtigte Weitergabe nicht allgemein zugänglicher Daten eine Straftat dar, die mit Geld- oder Freiheitsstrafen geahndet werden kann. Um sich rechtlich abzusichern, muss jede therapeutische Einrichtung zwingend über folgende Pflichtdokumente verfügen:

  • Verzeichnis der Verarbeitungstätigkeiten (VVT): Eine detaillierte Dokumentation aller Datenströme (beim Patienten in der Regel zwischen 50 und 70 Vorgänge wie Karteneinlesen, Terminvergabe oder Dokumentation).
  • Technische und organisatorische Maßnahmen (TOM): Nachweisbare Schutzvorkehrungen wie Passwortsperren, Bildschirmreinigung oder verschlossene Aktenschränke.
  • Auftragsverarbeitungsverträge (AVV): Die rechtliche "Brandschutzwand" zu externen Dienstleistern, um die Haftung bei Fehlern Dritter auszuschließen.
  • Patienteninformationen & Schulungsnachweise: Schriftliche Nachweise über die datenschutzkonforme Aufklärung der Patienten sowie Protokolle über die regelmäßige Unterweisung der eigenen Mitarbeiter.
Gesamte Masterclass ansehen

Whatsapp, E-Mails und Videotherapie: Digitale Kommunikation rechtssicher gestalten

Ein moderner Datenschutz für Physiotherapie, Ergotherapie & Logopädie muss auch digitale Kommunikationswege abdecken. Seit dem EU-US Data Privacy Framework ist die Nutzung von Messenger-Diensten wie WhatsApp, Signal oder Telegram unter strengen Auflagen legal, sofern die Anbieter zertifiziert sind und der Patient vorab eine spezifische, schriftliche Einverständniserklärung unterzeichnet hat. Für den unverschlüsselten E-Mail-Versand sensibler Therapieberichte gilt Ähnliches: Grundsätzlich müssen Dokumente per Passwort-PDF oder S/MIME verschlüsselt werden, es sei denn, es liegt eine explizite Einwilligung des Patienten vor (analog zum OLG Düsseldorf Urteil).

Auch bei der Durchführung einer Online-Videotherapie gelten strikte Regeln. Für eine erfolgreiche und anerkannte Behandlung müssen folgende Voraussetzungen erfüllt sein:

  1. Die ausdrückliche Einwilligung des Patienten (bei Minderjährigen zwingend durch die Erziehungsberechtigten).
  2. Ein angemessener, ruhiger Raum in der Praxis sowie das passende technische Equipment (Nutzung von Fördermitteln und Hardware-Zuschüssen von bis zu 950 €/Jahr möglich).
  3. Der exklusive Einsatz von zertifizierten und geprüften Videodienstanbietern laut der offiziellen KBV-Liste – die Nutzung privater Handys oder gängiger Consumer-Tools wie Skype oder FaceTime ist unzulässig und kann zum Verlust des Vergütungsanspruchs führen.
Gesamte Masterclass ansehen

Patientenrechte und der sensible Umgang mit Sonderfällen

Der Datenschutz im Gesundheitswesen räumt Patienten umfassende Kontrollrechte ein, die im Praxisalltag hochprofessionell bedient werden müssen. Nach Art. 15 DSGVO hat jeder Patient ein Auskunftsrecht über seine gespeicherten Daten, die Verarbeitungszwecke und die Speicherdauer. Bei einer solchen Anfrage sollten Praxisinhaber die Akte niemals sofort unvorbereitet aushändigen, sondern Kopien anfertigen und gegebenenfalls kritische Fremddaten schwärzen. Das in Art. 17 DSGVO verankerte "Recht auf Vergessenwerden" (Löschung von Daten) greift im Gesundheitswesen zudem nur teilweise: Gesetzliche Aufbewahrungsfristen (z. B. 10 Jahre für steuerlich relevante Belege) stehen einer vollständigen Löschung der Behandlungsdokumentation entgegen – rein kommunikative Daten wie E-Mail-Adressen oder Telefonnummern müssen hingegen auf Wunsch entfernt werden.

Besondere Vorsicht gilt bei spezifischen Patientengruppen:

  • Minderjährige: Datenschutz- und Behandlungsverträge müssen immer von den Erziehungsberechtigten unterschrieben werden. Bild- und Videoaufnahmen von Kindern zu Diagnosezwecken sind hochsensibel und bedürfen einer klaren schriftlichen Autorisierung.
  • Patienten unter Betreuung: Hier muss der Betreuer unter Vorlage der Betreuungsvollmacht (Kopie für die Akte) die separate Einwilligung unterzeichnen.
  • Heimbewohner: Bei der stationären Behandlung in Pflegeheimen ist die Praxis oft entlastet, da die datenschutzrechtliche Entbindung von der Schweigepflicht meist direkt über den Heim- und Pflegevertrag abgedeckt ist.

Datenschutz auf der Website: Die Top Fallen für Praxis Homepages vermeiden

Ein lückenloser Datenschutz auf der Website ist für jede Praxis essenziell, da die Homepage die digitale Visitenkarte im Netz darstellt und im Fokus von Abmahnanwälten, Mitbewerbern und Behörden steht. Acht von zehn Webseiten weisen gravierende Mängel auf, für die der Praxisbetreiber uneingeschränkt haftet. Zu den häufigsten Fehlern gehören unzulässige Cookie-Banner, die durch manipulative Farbgebungen (Dark Patterns) keine echte, aktive Einwilligung einholen. Auch die Einbindung von Social-Media-Plugins wie den Facebook- "Like & Share"-Buttons verstößt gegen deutsches Recht, da diese bereits beim Betreten der Seite unbemerkt Daten übertragen.

Achte bei der Optimierung deiner Website penibel auf die Einhaltung der gesetzlichen Vorgaben, um Abmahnungen und Bußgelder effektiv zu vermeiden:

Rechtssicheres Impressum und transparente Datenschutzerklärung

Das Impressum muss mit maximal einem Klick erreichbar sein, separat von der Datenschutzerklärung stehen und den ausgeschriebenen Klarnamen, die exakte Berufsbezeichnung, zwei Kontaktwege sowie Pflichtangaben zur Berufshaftpflichtversicherung enthalten. Zudem muss das Impressum an aktuelle Gesetzesänderungen angepasst werden: Das alte Telemediengesetz (TMG) wurde durch das Digitale-Dienste-Gesetz (DDG) ersetzt.

Die Datenschutzerklärung muss als "Master-Dokument" fungieren, auf das du auch aus Social-Media-Profilen oder Bewerber-E-Mails verlinken kannst. Sie muss detaillierte Informationen über Cookie-Laufzeiten, Löschfristen, die Verarbeitung von Bewerberdaten (Sperrfrist maximal 6 Monate), den Umgang mit Daten Minderjähriger sowie eine gesetzlich vorgeschriebene Beschwerdeinformation inklusive Kontaktdaten der zuständigen Datenschutzbehörde enthalten.

 

Markus Sobau ist ein erfahrener Geschäftsführer sowie Fachberater im Bereich Datenschutz, Arbeitssicherheit und Hygienezertifizierung bei der Consularis GmbH. Mit seiner Expertise als DEKRA-zertifizierter Berater unterstützt er Therapiepraxen und medizinische Einrichtungen dabei, gesetzliche Anforderungen zu erfüllen und gleichzeitig von staatlichen Förderungen zu profitieren.
 

Häufige Fragen zum Datenschutz für Therapeuten (FAQ)

Ja, da Praxen bspw. im Bereich der Physiotherapie, Ergotherapie und Logopädie täglich mit Gesundheitsdaten arbeiten, fallen diese unter die "besonderen Kategorien personenbezogener Daten" nach Art. 9 DSGVO. Die Verarbeitung dieser hochsensiblen Daten ist gesetzlich strenger geschützt und grundsätzlich untersagt, es sei denn, es liegt eine explizite gesetzliche Grundlage (wie der Behandlungsvertrag) oder eine schriftliche Einwilligung des Patienten vor. Das Fehlerrisiko und die Bußgelder sind hier deutlich höher als in Nicht-Medizinberufen.

Nicht zwingend. Ein Datenschutzbeauftragter (egal ob intern oder extern) ist nach dem BDSG erst dann gesetzlich vorgeschrieben, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Aber Achtung: Auch ohne offiziellen Beauftragten bist du als Praxisinhaber zu 100 % dafür verantwortlich, dass alle DSGVO-Vorgaben lückenlos eingehalten werden. Die Haftung bleibt gleich.

Für die Patientendokumentation gilt nach dem Bürgerlichen Gesetzbuch (BGB) eine gesetzliche Aufbewahrungsfrist von 10 Jahren nach Abschluss der Behandlung. Das in der DSGVO verankerte "Recht auf Vergessenwerden" (Löschung) greift hier also nicht vorzeitig, da die gesetzliche Pflicht zur Dokumentation Vorrang hat. Reine Marketingdaten (z. B. für einen Praxis-Newsletter) müssen dagegen sofort gelöscht werden, wenn der Patient seine Einwilligung widerruft.

Ein AVV ist immer dann gesetzlich vorgeschrieben, wenn externe Dienstleister in deinem Auftrag Zugriff auf personenbezogene Patientendaten haben oder diese verarbeiten. Das gilt als rechtliche "Brandschutzwand" für deine Praxis. Ohne diesen Vertrag haftest du uneingeschränkt für Datenschutzfehler der Drittanbieter.

Um eine Videotherapie rechtssicher und abrechnungsfähig durchzuführen, müssen drei Bedingungen erfüllt sein: Erstens benötigst du die ausdrückliche Einwilligung des Patienten (bei Minderjährigen von den Erziehungsberechtigten). Zweitens muss die Therapie in einem ruhigen, geschützten Raum stattfinden. Drittens darfst du keine Consumer-Tools wie Skype oder FaceTime nutzen, sondern ausschließlich zertifizierte Videodienstanbieter laut der offiziellen KBV-Liste.

Auf der Praxis Homepage lauern oft teure Fallen: Das Impressum muss laut Gesetz mit maximal einem Klick erreichbar sein und darf nicht mit der Datenschutzerklärung vermischt werden. Zudem muss es an das aktuelle Digitale-Dienste-Gesetz (DDG) angepasst sein (das alte TMG ist veraltet). Beim Cookie-Banner sind sogenannte Dark Patterns (manipulative Farbgebungen, die den "Akzeptieren"-Button hervorheben) unzulässig – der Patient muss eine echte, freie und gleichwertige Wahlmöglichkeit zur Ablehnung haben.

Der Einsatz von WhatsApp im Praxisalltag ist datenschutzrechtlich schwierig, da das Tool standardmäßig Adressbücher ausliest. Es ist nur dann erlaubt, wenn du eine nachweisbare, schriftliche und spezifische Einwilligung des Patienten eingeholt hast, in der er über die Risiken des US-Datentransfers aufgeklärt wurde. Für maximale Sicherheit im Praxisalltag empfiehlt sich stattdessen die Nutzung DSGVO-konformer Messenger-Alternativen oder spezieller Praxissoftware.

Als Praxisinhaber haftest du im Außenverhältnis (gegenüber Behörden und Patienten) grundsätzlich für Datenschutzverstöße deines Teams, da du die organisatorische Verantwortung trägst. Um dieses Haftungsrisiko zu minimieren, bist du verpflichtet, deine Mitarbeiter regelmäßig (mindestens einmal jährlich) nachweislich zum Datenschutz zu schulen

In unserer Masterclass zeigen wir dir, wie du diese Schulungsnachweise rechtssicher dokumentierst, um im Ernstfall den Entlastungsbeweis erbringen zu können.

Teste jetzt Optica OWL 24 Stunden komplett kostenfrei.