DSGVO-konform digitalisieren: Was Arzt- und Zahnarztpraxen bei Online-Tools beachten muessen

Die Aerztezeitung hat unter dem Titel „DSGVO in der Arztpraxis: Wenn der Datenschutz den Daumen senkt“ die Herausforderungen beleuchtet, vor denen Praxen bei der Digitalisierung stehen. Der Artikel beschreibt die regulatorischen Anforderungen – laesst aber konkrete Handlungsanweisungen weitgehend offen. Wir ergaenzen mit einer praxistauglichen Checkliste und ordnen ein, wo die tatsaechlichen Risiken liegen.

Primaerquelle: Aerztezeitung – DSGVO in der Arztpraxis: Wenn der Datenschutz den Daumen senkt (2025)

Die Kernthesen des Artikels

• Praxen benoetigen eine vollstaendige Datenschutz-Management-Dokumentation.
• Ab 20 Mitarbeitern ist ein Datenschutzbeauftragter Pflicht.
• Digitale Patientendaten erfordern TLS-Verschluesselung und klare Einwilligungen.

Unsere Einordnung: Richtig – aber unvollstaendig

Die Aerztezeitung beschreibt die regulatorischen Grundlagen korrekt. Was der Artikel jedoch nicht ausreichend differenziert: Die DSGVO-Anforderungen sind kein Argument gegen Digitalisierung, sondern ein Qualitaetsmerkmal fuer die Auswahl der richtigen Tools. Viele Praxen verzichten aus DSGVO-Angst auf digitale Loesungen – und verarbeiten stattdessen weiterhin Patientendaten auf unsichere Weise: unverschluesselte Faxe, offene Aktenordner, muendliche Terminbestaetigung im vollen Wartezimmer.

Die Realitaet: Ein DSGVO-konformes digitales System ist in den meisten Faellen datenschutzrechtlich sicherer als die analoge Alternative.

Die 7-Punkte-Checkliste fuer DSGVO-konforme Praxis-Tools

1. Serverstandort pruefen

Alle Systeme, die Patientendaten verarbeiten, muessen auf Servern in Deutschland oder der EU betrieben werden. Cloud-Dienste mit Servern in den USA sind nach dem Schrems-II-Urteil problematisch. Fragen Sie jeden Anbieter explizit nach dem Serverstandort und lassen Sie sich diesen schriftlich bestaetigen.

2. Auftragsverarbeitungsvereinbarung (AVV) abschliessen

Fuer jeden externen Dienstleister, der Patientendaten verarbeitet, ist eine AVV nach Art. 28 DSGVO Pflicht. Diese muss vor Nutzungsbeginn unterzeichnet vorliegen. Serioeose Anbieter stellen die AVV proaktiv bereit.

3. Verschluesselung sicherstellen

Patientendaten sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Die Anforderungen sind entsprechend hoch: TLS-Verschluesselung fuer die Uebertragung, AES-256 oder vergleichbar fuer die Speicherung. End-to-End-Verschluesselung ist der Goldstandard.

4. Einwilligungen dokumentieren

Fuer die Verarbeitung von Gesundheitsdaten benoetigen Sie eine ausdrueckliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Diese muss freiwillig, informiert, spezifisch und unmissverstaendlich sein. Digitale Einwilligungen mit Zeitstempel und IP-Dokumentation sind rechtssicherer als handschriftliche Unterschriften.

5. Verzeichnis der Verarbeitungstaetigkeiten fuehren

Jede Praxis muss ein Verzeichnis aller Datenverarbeitungstaetigkeiten fuehren – unabhaengig von der Mitarbeiterzahl. Dieses Verzeichnis umfasst: Zweck der Verarbeitung, Kategorien betroffener Personen, Empfaenger, Loeschfristen und technisch-organisatorische Massnahmen.

6. Loeschkonzept implementieren

Patientendaten duerfen nur so lange gespeichert werden, wie es der Zweck erfordert. Fuer medizinische Behandlungsdokumentation gelten 10 Jahre Aufbewahrungspflicht nach 630f BGB. Fuer Terminbuchungsdaten, Newsletter-Anmeldungen oder Kontaktformulare gelten kuerzere Fristen. Ein automatisiertes Loeschkonzept verhindert Verstoesse.

7. Datenschutzbeauftragten bestellen (wenn noetig)

Die Pflicht greift nicht erst ab 20 Mitarbeitern generell, sondern ab 20 Personen, die staendig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. In Arztpraxen kann diese Schwelle frueher erreicht werden, da die Kerntaetigkeit die Verarbeitung besonderer Datenkategorien umfasst (Art. 37 Abs. 1 lit. c DSGVO). Im Zweifel empfehlen wir die freiwillige Bestellung.

Haeufige DSGVO-Fehler in der Praxis

• WhatsApp fuer Patientenkommunikation: Rechtlich hochproblematisch. Metadaten werden an Meta uebermittelt. Nutzen Sie stattdessen DSGVO-konforme Messenger oder das KIM-System der Telematikinfrastruktur.
• Unverschluesselte E-Mails mit Befunden: Befunde enthalten Gesundheitsdaten und duerfen nur verschluesselt versendet werden. Nutzen Sie Patientenportale mit sicherem Login.
• Google Analytics auf der Praxis-Website: Ohne konforme Einwilligung und ohne Anonymisierung ein Verstoss. Nutzen Sie cookielose, DSGVO-konforme Alternativen wie Matomo mit IP-Anonymisierung.

Praxistipp: Das DSGVO-konforme Technologie-Stack

Ein datenschutzkonformer Technologie-Stack fuer die moderne Arztpraxis umfasst: PVS mit integrierter Verschluesselung, Online-Terminbuchung mit EU-Hosting, digitales Formularmanagement mit Einwilligungsmodul, verschluesselte Patientenkommunikation und cookieloses Website-Tracking. Alle Komponenten sollten ueber AVVs abgesichert sein und im Verarbeitungsverzeichnis dokumentiert werden.

Fazit: DSGVO als Qualitaetsmerkmal statt Digitalisierungsbremse

Die DSGVO ist kein Hindernis fuer die Praxis-Digitalisierung – sie ist ein Qualitaetsrahmen. Praxen, die DSGVO-konform digitalisieren, schuetzen ihre Patienten, minimieren Haftungsrisiken und schaffen Vertrauen. Die Investition in konforme Systeme zahlt sich durch Rechtssicherheit und Patientenbindung mehrfach aus.

AIxion Systems entwickelt ausschliesslich DSGVO-konforme Loesungen mit EU-Hosting, End-to-End-Verschluesselung und integrierten AVVs. Informieren Sie sich auf praxis-sync.de.