Wie Sie in Ihrer Praxis sicher erkennen, ob die DSGVO gilt

Muss eine kurze Notiz auf einem Karteikärtchen wirklich datenschutzkonform behandelt werden? Diese Frage taucht in vielen Praxen immer wieder auf – vor allem, wenn analoge und digitale Dokumentation nebeneinander bestehen. Schnell entsteht Unsicherheit: Greift die DSGVO schon bei der handschriftlichen Notiz? Oder erst, wenn ein PC im Spiel ist? Auf dieser Seite finden Sie eine klare Schritt-für-Schritt-Anleitung zur Klärung – mit direktem Bezug zur einer Arbeitshilfe und ihrem Entscheidungsbaum. So lassen sich typische Zweifelsfälle im Praxisalltag strukturiert einordnen und bewerten.

Wann gilt die DSGVO in der Arztpraxis?

Ob die DSGVO gilt, hängt nicht nur vom Inhalt der Daten ab – sondern auch davon, wie sie verarbeitet werden. Genau das prüft der sachliche Anwendungsbereich. In der Praxis wird dieser Punkt oft übersehen oder missverstanden. So hält sich hartnäckig der Irrtum, dass handschriftliche Notizen generell nicht unter die DSGVO fallen. Entscheidend ist jedoch die Systematik: Eine lose Notiz ist anders zu bewerten als eine geordnete Kartei.

Die DSGVO greift immer dann, wenn eine Verarbeitung personenbezogener Daten stattfindet – also z. B. Name, Geburtsdatum, Diagnose oder Telefonnummer erfasst, gespeichert, übermittelt oder gelöscht werden. Ob das automatisiert geschieht oder in einem geordneten Papiersystem, ist der nächste Prüfschritt.

Schritt 1: Liegt eine automatisierte Verarbeitung vor?

In den meisten Fällen lässt sich diese Frage sofort mit „Ja“ beantworten. Schon der Einsatz von Praxissoftware, Excel-Tabellen oder Messenger-Apps erfüllt das Kriterium der automatisierten oder teilautomatisierten Verarbeitung. Es spielt keine Rolle, ob die Software lokal installiert oder webbasiert ist – entscheidend ist, dass Daten elektronisch verarbeitet werden.

Auch Geräte wie Scanner, Smartphones oder Tablets zählen dazu, sobald sie zur strukturierten Datenverarbeitung eingesetzt werden. Selbst eine einfache Patientenliste in Word fällt darunter, wenn sie regelmäßig gepflegt wird.

Schritt 2: Was gilt bei nichtautomatisierten Dateisystemen?

Papier ist nicht automatisch datenschutzfrei. Entscheidend ist, ob es sich um ein strukturiertes Dateisystem handelt – also etwa eine Kartei, die nach bestimmten Kriterien aufgebaut ist (z. B. alphabetisch oder nach Patientennummern). Typische Beispiele sind Patientenakten in Hängeregistraturen oder Karteikästen.

Nicht erfasst sind hingegen lose Zettel, Merklisten oder spontane Notizen, die nicht systematisch zugänglich sind. Die Grenze ist manchmal fließend – im Zweifel hilft ein prüfender Blick auf Ordnung, Zugriff und Verwendungszweck.

Schritt 3: Ausnahmen im EU-Kontext verstehen

Selten, aber rechtlich notwendig: In einem vollständigen Prüfschema muss geklärt werden, ob die Datenverarbeitung außerhalb des Anwendungsbereichs der EU-Rechtsordnung liegt. Für Arztpraxen ist diese Frage in der Regel nicht relevant, da ihre Tätigkeiten im Geltungsbereich der DSGVO stattfinden.

Nur in Spezialfällen – etwa wenn ein Praxisstandort in einem Drittstaat ohne DSGVO-Rechtsbindung betrieben wird – könnte diese Ausnahme greifen. Doch solche Konstellationen sind im ambulanten Gesundheitswesen kaum anzutreffen.

Schritt 4–7: Besondere Fälle aus Verwaltung und Behörden

Im nächsten Schritt schließt das Prüfschema weitere Spezialfälle aus: z. B. ob die Datenverarbeitung im Zusammenhang mit Strafverfolgung, durch Behörden oder für ausschließlich familiäre Zwecke erfolgt. Auch diese Fälle sind in Arztpraxen praktisch nicht zutreffend – aber sie müssen im Schema der Vollständigkeit halber durchlaufen werden.

Ein Beispiel: Ein Vater führt eine Patientenakte für sein chronisch krankes Kind – das fällt unter den familiären Bereich und ist nicht DSGVO-pflichtig. Eine Arztpraxis dagegen handelt stets im beruflichen Kontext – hier gilt die DSGVO automatisch.

Praxisrelevanz: Wo liegt der Nutzen des Prüfschemas?

Das Prüfschema aus der Arbeitshilfe hilft, auch scheinbar unklare Fälle sauber einzuordnen. Ein gutes Beispiel ist die handschriftliche OP-Liste: Ist sie lose geschrieben und nicht nach einem festen Schema geordnet, fällt sie nicht unter die DSGVO. Wird sie aber täglich in einer festen Reihenfolge geführt und zur langfristigen Dokumentation genutzt, handelt es sich um ein Dateisystem – die DSGVO gilt.

Die Anwendung des Schemas bringt also Klarheit bei Alltagsfragen. Besonders hilfreich ist es, wenn Entscheidungen dokumentiert werden – etwa in der Datenschutzmappe Ihrer Praxis. So lässt sich auch bei externen Prüfungen nachvollziehen, warum bestimmte Datenverarbeitungen datenschutzrechtlich bewertet wurden.