Wie Sie in Ihrer Praxis sicherstellen, dass Patientendaten rechtmäßig verarbeitet werden

„Dürfen wir das überhaupt?“ – diese Frage steht regelmäßig im Raum, wenn neue Prozesse in der Praxis eingeführt werden sollen: etwa beim Einsatz digitaler Anamnesebögen, bei der Terminverwaltung per App oder beim Versand von Laborergebnissen per E-Mail. Ohne fundierte Prüfung der Datenschutzgrundsätze bleibt oft Unsicherheit. Dabei verlangt die DSGVO in Art. 5 nicht nur die Einhaltung zentraler Prinzipien, sondern auch deren nachvollziehbare Dokumentation.

Die auf dieser Seite präsentierte Anleitung zeigt Schritt für Schritt, wie Arztpraxen sicherstellen können, dass jede Datenverarbeitung rechtmäßig ist – und das ohne juristische Fachkenntnisse. Grundlage ist das Prüfschema der Arbeitshilfe „Grundsätze der Verarbeitung prüfen“.

Ein Arzt und eine Praxisassistentin blicken gemeinsam auf ein Tablet (Bildquelle: KI-Modell Gemini.
Ob eine Verarbeitung von Patientendaten rechtmäßig ist, kann anhand des auf dieser Seite vorgestellten Prüfschemas schnell und einfach geprüft werden.

Rechtmäßigkeit, Transparenz und Treu und Glauben

Was bedeutet rechtmäßige Datenverarbeitung in der Praxis?

Eine Verarbeitung personenbezogener Daten ist nur erlaubt, wenn sie auf einer gültigen Rechtsgrundlage basiert. Das kann etwa eine gesetzliche Pflicht (z. B. Aufbewahrungspflichten), eine Einwilligung oder ein Behandlungsvertrag sein. Fehlt diese Grundlage, ist die Verarbeitung unzulässig. Die betroffene Person muss außerdem nachvollziehen können, was mit ihren Daten geschieht – Informationen dürfen daher nicht versteckt oder unzugänglich sein.

Definition
„Rechtmäßigkeit“ bedeutet: Es gibt eine gesetzliche oder vertragliche Erlaubnis oder eine informierte Einwilligung der betroffenen Person.

Wie wird Transparenz im Umgang mit Patientendaten sichergestellt?

Transparenz entsteht durch klare, verständliche Informationen. Diese müssen der betroffenen Person spätestens bei Erhebung der Daten vorliegen – zum Beispiel in Form eines Aushangs oder eines Informationsblatts beim Aufnahmegespräch. Enthalten sein müssen: Zweck der Verarbeitung, Rechtsgrundlage, Speicherdauer und Ansprechpartner für Datenschutzfragen. Wichtig ist, dass die Formulierung verständlich bleibt – juristisches Fachchinesisch hilft niemandem weiter.

Tipp
Verwenden Sie für alle neuen Verfahren eine einheitliche Informationsvorlage.

Zweckbindung von Patientendaten

Was sind „festgelegte, eindeutige und legitime Zwecke“?

Patientendaten dürfen nur dann verarbeitet werden, wenn der Zweck klar benannt ist – und dieser vor Beginn der Erhebung feststeht. Beispiel: Die Angabe der Telefonnummer dient zur Kontaktaufnahme im Behandlungsverhältnis, nicht zur Werbung. In der Praxis bedeutet das: Jede Verarbeitung muss einem medizinisch oder organisatorisch notwendigen Zweck dienen, der sich rechtlich begründen lässt.

Definition
„Zweckbindung“ bedeutet, dass personenbezogene Daten nur für den Zweck verwendet werden dürfen, für den sie erhoben wurden.

Typische Fehler bei der Formulierung von Zwecken in Praxen

Ein häufiger Fehler: zu allgemein formulierte Zwecke wie Organisation der Praxisabläufe“. Solche Angaben sind nicht ausreichend konkret. Besser wäre: „Terminvergabe und Terminerinnerung per SMS im Rahmen der laufenden Behandlung“. Ein weiterer Fehler ist die nachträgliche Erweiterung von Zwecken ohne erneute Prüfung – etwa wenn bereits erhobene Daten für Marketing genutzt werden sollen.

Zweckänderung richtig bewerten

Wann ist eine Zweckänderung zulässig?

Eine Zweckänderung liegt vor, wenn Daten für etwas anderes genutzt werden sollen als ursprünglich vorgesehen. Das ist nur erlaubt, wenn der neue Zweck mit dem ursprünglichen vereinbar ist – oder eine neue Rechtsgrundlage oder Einwilligung vorliegt. Beispiel: Die Nutzung von Kontaktdaten für eine Patientenbefragung zur Behandlungsqualität kann zulässig sein, wenn sie noch im Rahmen des Behandlungsverhältnisses erfolgt.

Warnung
Eine unzulässige Zweckänderung kann zur kompletten Unzulässigkeit der Verarbeitung führen – auch rückwirkend.

Wie dokumentiere ich eine zulässige Zweckänderung?

Jede Zweckänderung muss dokumentiert und begründet werden – idealerweise mit Verweis auf Art. 6 Abs. 4 DSGVO und anhand des Prüfschemas aus der Arbeitshilfe. Intern sollte geregelt sein, wer über Zweckänderungen entscheidet und wie dies archiviert wird.

Grundsätze der Verarbeitung prüfen

  • Schritt-für-Schritt-Prüfschema
  • Mit verständlichen Erläuterungen
  • Ideal für interne Abstimmungen

Jetzt bestellen

Schritt-für-Schritt-Anleitung: „Grundsätze der Verarbeitung prüfen“

Die Arbeitshilfe „Grundsätze der Verarbeitung prüfen“ unterstützt Sie gezielt bei der praktischen Umsetzung.

  • Sie bietet ein visuelles Prüfschema zur Bewertung jeder Datenverarbeitung.
  • Sie ermöglicht es, Zweckbindung und Zweckänderung nachvollziehbar zu dokumentieren.
  • Sie liefert verständliche Erläuterungen zu allen Anforderungen aus Art. 5 DSGVO.
  • Sie unterstützt bei der internen Abstimmung zu Löschung, Korrektur und Speicherfristen.
  • Sie dient als Nachweisgrundlage im Sinne der Rechenschaftspflicht gegenüber Aufsichtsbehörden.
Vorschaubild der Arbeitshilfe „Grundsätze der Verarbeitung prüfen“

Kompletten Artikel & Vorlage jetzt freischalten –
für Datenschutz, der in der Praxis funktioniert

  • Vollzugriff auf den gesamten Fachartikel inklusive konkreter Umsetzungstipps
  • Download der passenden Arbeitshilfe zur direkten Nutzung in Ihrer Praxis
  • Zugang zu allen praxiserprobten Vorlagen – Checklisten, Formulare, Anleitungen
Jetzt freischalten & Vorlage herunterladen