DSGVO für Gesundheitsdaten: Diese Datenschutzfehler passieren täglich

Viele Datenschutzprobleme beginnen nicht im Serverraum, sondern direkt am Empfang. Dort liegen Patientenlisten, Karteikarten, Rezepte, Überweisungen oder Krankenkassenkarten manchmal offen auf dem Tresen. Für das Team fühlt sich das praktisch an, für wartende Personen kann es aber bedeuten, dass sie Namen, Termine oder medizinische Hinweise anderer Patienten sehen. Auch Bildschirme am Empfang sind ein Risiko, wenn sie so stehen, dass Besucher Eingaben oder Patientenakten mitlesen können. 

Ebenso kritisch sind Gespräche im Wartebereich: Wer laut über Befunde, Diagnosen, Krankenhausüberweisungen oder Therapietermine spricht, gibt Gesundheitsdaten an Personen weiter, die dafür keine Berechtigung haben. Eine gute Praxisorganisation schützt deshalb nicht nur digitale Systeme, sondern auch Räume, Wege und Gewohnheiten. Schon kleine Änderungen helfen: Unterlagen umdrehen oder abdecken, Monitore anders ausrichten, Sichtschutzfolien nutzen, Diskretionszonen schaffen und sensible Gespräche in einen geschützten Bereich verlagern. Datenschutz wirkt dann nicht kompliziert, sondern professionell. Patienten merken, dass ihre Informationen ernst genommen werden, und das stärkt langfristig die Beziehung zur Praxis.

E-Mails und Messenger sind im Praxisalltag verführerisch bequem, aber bei Gesundheitsdaten besonders heikel. Ein Befund per normaler E-Mail, ein Foto einer Wunde über einen privaten Messenger oder ein Rezept als ungeschützter Anhang können schnell zum Problem werden. Der Grund ist einfach: Viele Standard-E-Mails sind auf dem Transportweg nicht so geschützt, wie es für sensible Informationen angemessen wäre. Bei Gesundheitsdaten sollte deshalb genau festgelegt sein, welche Kommunikationswege genutzt werden dürfen, wann Verschlüsselung erforderlich ist und wie Patienten über Risiken informiert werden. 

Noch wichtiger ist, dass diese Regeln nicht nur irgendwo stehen, sondern im Team wirklich gelebt werden. Private Messenger auf Mitarbeiterhandys sind besonders riskant, weil Daten dort schnell in Backups, Kontaktlisten oder fremde Cloud-Dienste geraten können. Sicherer sind klar freigegebene Lösungen, verschlüsselte Übermittlungen, Patientenportale oder ein dokumentierter Prozess für Ausnahmefälle. Wer Kommunikation sauber organisiert, verhindert nicht nur technische Risiken, sondern auch peinliche Fehlversendungen, unnötige Rückfragen und Vertrauensverlust bei sensiblen Behandlungsinformationen. Das gilt besonders dann, wenn mehrere Personen im Empfangsbereich gleichzeitig Nachrichten bearbeiten.

Digitale Praxissoftware, Online-Terminbuchung, Cloudspeicher, IT-Wartung und Abrechnungsdienste erleichtern den Arbeitsalltag, bringen aber neue Datenschutzpflichten mit sich. Sobald ein externer Dienstleister im Auftrag der Praxis personenbezogene Daten verarbeitet, muss geprüft werden, ob eine Auftragsverarbeitung vorliegt und ob ein Vertrag nach Art. 28 DSGVO nötig ist. Dieser Vertrag ist kein Formalismus, sondern regelt unter anderem, welche Daten verarbeitet werden, zu welchem Zweck, mit welchen Schutzmaßnahmen und ob weitere Unterauftragnehmer beteiligt sind. 

Gerade Therapeuten und kleine Praxen sollten außerdem wissen, wo ihre Daten gespeichert werden, wer administrativen Zugriff hat und ob Serverstandorte, Supportprozesse sowie Backups nachvollziehbar geregelt sind. Eine schöne Softwareoberfläche ersetzt keine Datenschutzprüfung. Wichtig ist auch die Frage, ob der Anbieter hinreichende technische und organisatorische Maßnahmen bietet. Wer Gesundheitsdaten in der Cloud verarbeitet, sollte Verschlüsselung, Zugriffskonzepte, Protokollierung, Backup-Strategien und Löschkonzepte nicht erst prüfen, wenn etwas passiert ist. 

Eine kurze Anbieterprüfung vor Vertragsabschluss spart später viel Ärger und schafft klare Verantwortlichkeiten. Gerade bei Solo-Praxen sollte diese Prüfung fest in die Einführung neuer Tools eingebaut werden.

Ein häufiger Fehler in kleinen Praxen ist das Prinzip „Alle dürfen alles sehen“. Im Alltag wirkt das unkompliziert, datenschutzrechtlich ist es aber selten eine gute Idee. Mitarbeiter sollten nur auf die Daten zugreifen können, die sie für ihre konkrete Aufgabe benötigen. Eine Rezeptionskraft braucht möglicherweise Termin- und Kontaktdaten, aber nicht in jedem Fall vollständige Therapienotizen. Eine Abrechnungskraft benötigt abrechnungsrelevante Informationen, aber nicht automatisch sämtliche Behandlungsdetails. Dieses Rechte- und Rollenkonzept gehört zu den wichtigsten organisatorischen Schutzmaßnahmen, weil es interne Risiken deutlich reduziert. 

Genauso wichtig sind Schulungen. Viele Verstöße entstehen, weil Mitarbeitende nicht wissen, welche Situationen kritisch sind: das Gespräch im Flur, die Akte im Auto, der Ausdruck im Drucker, das private Handyfoto oder die schnelle Auskunft am Telefon. Datenschutzschulungen müssen nicht trocken sein. Sie sollten konkrete Alltagsszenen aus der eigenen Praxis aufgreifen und klare Regeln liefern: Was darf gesagt werden, was nicht, wer darf worauf zugreifen und wie wird ein Vorfall gemeldet?

Neben sichtbaren Schutzmaßnahmen braucht jeder Gesundheitsberater, jede Praxis eine saubere Datenschutzdokumentation. Dazu gehört vor allem ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Darin wird festgehalten, welche Daten zu welchem Zweck verarbeitet werden, welche Personengruppen betroffen sind, wer Empfänger der Daten ist, welche Löschfristen gelten und welche technischen sowie organisatorischen Maßnahmen eingesetzt werden. Für Praxen ist dieses Verzeichnis nicht nur Pflichtübung, sondern ein praktischer Überblick über die eigenen Abläufe. 

Wer es einmal sauber erstellt, erkennt schneller, wo Risiken entstehen: bei Terminbuchung, Patientenaufnahme, Behandlung, Abrechnung, Befundversand, Archivierung oder Aktenvernichtung. Art. 32 DSGVO verlangt außerdem ein dem Risiko angemessenes Schutzniveau, etwa durch Verschlüsselung, Vertraulichkeit, Verfügbarkeit, Belastbarkeit der Systeme und regelmäßige Überprüfung der Maßnahmen. Genau hier werden technische und organisatorische Maßnahmen, kurz TOMs, wichtig. Dazu zählen beispielsweise Passwortregeln, Backups, Firewall, Zugriffsrechte, Aktenvernichtung, Bildschirmsperren, Schulungen und klare Prozesse für Datenpannen. 

Ohne Dokumentation bleibt vieles gut gemeint, aber schwer nachweisbar. Im Ernstfall kann die Praxis so zeigen, dass sie Datenschutz nicht nur behauptet, sondern organisiert.

Eine veraltete Datenschutzerklärung auf der Webseite wirkt harmlos, ist aber oft der erste sichtbare Schwachpunkt. Wenn Kontaktformular, Online-Terminbuchung, Tracking-Tool, Kartenplugin oder Cookie-Banner nicht zur Datenschutzerklärung passen, entsteht schnell ein unnötiges Angriffsfeld. Gerade bei Gesundheitsberufen sollte die Webseite deshalb regelmäßig geprüft werden: Welche Tools laufen tatsächlich? Werden Cookies gesetzt? Gibt es ein Kontaktformular, über das Patienten sensible Informationen eingeben könnten? Werden IP-Adressen, Termindaten oder Nachrichten an externe Anbieter übertragen? 

Wichtig ist, dass die Datenschutzerklärung nicht nur allgemein klingt, sondern die echten Verarbeitungsvorgänge abbildet. Auch das Cookie-Banner sollte nicht mehr versprechen, als technisch umgesetzt wird. Wer hier sauber arbeitet, reduziert das Risiko von Beschwerden erheblich, weil viele Datenschutzprobleme von außen zuerst über die Webseite sichtbar werden. Für kleine Praxen empfiehlt sich ein regelmäßiger Webseiten-Check, mindestens bei neuen Tools, neuen Dienstleistern oder Änderungen im Buchungssystem. So bleibt Datenschutz nicht liegen, sondern wird Teil der normalen Praxispflege und wirkt auch nach außen seriös. Das ist ein einfacher Schritt mit großer Wirkung für das Vertrauen.

Datenschutz bei Gesundheitsdaten ist kein bürokratischer Zusatz, sondern ein direkter Schutz für Patienten und Praxis. Kleine Praxen, Solo-Selbstständige und Gesundheitsdienstleister mit wenigen Mitarbeitenden haben oft keine eigene Datenschutzabteilung, aber sie können trotzdem viel richtig machen. Entscheidend ist, die typischen Alltagssituationen ernst zu nehmen: Was liegt offen herum? Wer kann mithören? Wie werden Befunde verschickt? Welche Software verarbeitet Patientendaten? Wer hat Zugriff? Welche Dienstleister sind beteiligt? Und ist dokumentiert, wie mit Daten gearbeitet wird? 

Der mögliche Bußgeldrahmen der DSGVO kann je nach Verstoß bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes betragen; wichtiger als die Angst vor Strafen ist jedoch das Vertrauen der Patienten. Wer spürbar sorgfältig mit Gesundheitsdaten umgeht, stärkt genau dieses Vertrauen. Der beste Einstieg ist eine ehrliche Bestandsaufnahme der eigenen Praxisabläufe. Danach lassen sich Schwachstellen Schritt für Schritt schließen: klare Regeln, geschulte Mitarbeitende, passende Verträge, sichere Kommunikation und aktuelle Dokumentation. Datenschutz muss nicht kompliziert sein, wenn er systematisch aufgebaut wird.