Wie Sie die Informationspflichten in der Praxis sicher erfüllen

Ein neuer Patient steht am Tresen und reicht die Versichertenkarte rüber. Im Hintergrund läuft bereits der Import aus der Patientenakte des Vorbehandlers – über KIM. Doch wer erklärt dem Patienten in diesem Moment eigentlich, was mit seinen Daten geschieht? Und was gilt, wenn diese Daten gar nicht direkt aus dem Patientengespräch stammen, sondern von Dritten – etwa von einem Radiologen oder einer Abrechnungsstelle?

Viele Arztpraxen sind unsicher, wann genau eine Information nötig ist und wie sie konkret aussehen muss. Dabei ist die Informationspflicht kein abstraktes Datenschutzkonzept, sondern ein zentrales Element der DSGVO – und betrifft fast jede Interaktion mit Patienten. Diese Seite zeigt Schritt für Schritt, wie Sie die Informationspflichten in Ihrer Praxis verlässlich erfüllen – praxisnah, rechtssicher und mit Unterstützung durch eine klare Arbeitshilfe.

Eine Angestellte der Praxis erläutern einem Patienten ein Informationsblatt. (Bildquelle: Ki-Modell Gemini 3)
Arztpraxen müssen ihren Informationspflichten sauber und seriös nachkommen.

Warum Informationspflichten in Arztpraxen so wichtig sind

Immer wenn Sie personenbezogene Daten verarbeiten, müssen Sie die betroffene Person darüber informieren – in der Arztpraxis also in der Regel Ihre Patientinnen und Patienten. Die DSGVO unterscheidet dabei zwei typische Situationen:

  • Art. 13 greift, wenn Sie die Daten direkt erheben, etwa bei der Anmeldung oder im Gespräch.
  • Art. 14 gilt, wenn Sie die Daten von einer anderen Stelle erhalten – zum Beispiel von einem überweisenden Arzt, einem Labor oder einer Krankenkasse.

Für den Praxisalltag bedeutet das: Spätestens beim ersten Kontakt müssen neue Patientinnen und Patienten in verständlicher Sprache erfahren, welche Daten Sie erheben, warum Sie das tun, wie lange die Informationen gespeichert bleiben und wer darauf zugreifen kann. Das gilt auch für Routineabläufe, die auf den ersten Blick selbstverständlich wirken – etwa die Übernahme einer Patientenakte von einer anderen Praxis oder der Eingang eines Fremdbefundes per Fax oder E-Mail.

Praxisbeispiel: Eine HNO-Praxis erhält einen Allergiepass per Fax vom Hausarzt. Auch wenn der Patient die Weitergabe selbst veranlasst hat, muss die Praxis darüber informieren, dass sie den Allergiepass speichert, zu welchem Zweck er genutzt wird und wer innerhalb der Praxis Einsicht hat.

Wichtig
Wer seine Informationspflicht vernachlässigt, riskiert nicht nur das Vertrauen der Patienten, sondern auch Beschwerden bei der Aufsichtsbehörde und mögliche Bußgelder. Halten Sie Ihre Abläufe so gestaltet, dass diese Informationen konsequent und vollständig erteilt werden – egal, ob die Daten direkt oder über Dritte kommen.

Welche Datenarten unter die Informationspflicht fallen

In einer Arztpraxis umfasst die Informationspflicht praktisch alle personenbezogenen Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu gehört fast alles, was in einer Patientenakte steht oder elektronisch verarbeitet wird – egal, ob auf Papier oder digital.

Der entscheidende Punkt für den Datenschutz ist, wie die Daten in die Praxis gelangen: Werden sie direkt vom Patienten erhoben, etwa bei der Anmeldung oder während der Behandlung, greifen andere Regelungen (Art. 13 DSGVO), als wenn sie von einer anderen Stelle kommen – zum Beispiel per KIM, Fax, über ein Laborportal oder von einem Abrechnungszentrum (Art. 14 DSGVO).

Praxisbeispiel: Ihre Praxis erhält Laborwerte direkt aus dem System eines externen MVZ. Da diese Daten nicht unmittelbar vom Patienten stammen, müssen Sie den Patienten nach Art. 14 DSGVO informieren, welche Daten Sie erhalten, wie Sie sie verarbeiten und zu welchem Zweck.

Typische Datenarten in der Praxis sind unter anderem: Name, Anschrift, Telefonnummer, Geburtsdatum, Gesundheitsdaten, Medikationspläne, Vorbefunde, Laborwerte, Bilddaten, Abrechnungsdaten oder Aufzeichnungen aus Videosprechstunden. Auch Stammdaten, die bei einer Online-Terminbuchung erfasst werden, zählen dazu.

Tipp
Gehen Sie systematisch alle Datenquellen und Schnittstellen Ihrer Praxis durch – vom Empfang und Telefon bis zu Laboranbindungen und Online-Terminbuchungen. So stellen Sie sicher, dass Sie für jede Datenart die passende Informationspflicht erfüllen.

Was gilt, wenn Daten direkt vom Patienten erhoben werden?

Immer wenn Sie Patientendaten direkt erheben – zum Beispiel bei der Anmeldung eines neuen Patienten oder beim Ausfüllen eines Anamnesebogens –, greift Art. 13 DSGVO. Die Information muss zum Zeitpunkt der Erhebung oder unmittelbar davor erfolgen und kann schriftlich, elektronisch oder in bestimmten Fällen auch mündlich gegeben werden.

Damit diese Pflicht im Praxisalltag zuverlässig erfüllt wird, sollte die Information klar strukturiert sein und folgende Punkte enthalten: Name und Kontaktdaten der Praxis, Zweck der Verarbeitung, Rechtsgrundlage, Dauer der Speicherung, mögliche Empfänger, Hinweise auf die Rechte der Betroffenen sowie Informationen zu einer eventuellen Übermittlung in Drittländer.

Praxisbeispiel: Bei der Erstaufnahme neuer Patientinnen und Patienten übergibt die Anmeldung ein Informationsblatt, das alle erforderlichen Angaben enthält. Der Patient bestätigt mit seiner Unterschrift den Erhalt oder es wird auf andere Weise dokumentiert, dass ein Hinweis auf die Datenschutzinformationen erfolgt ist – so kann die Praxis jederzeit belegen, dass die Pflicht erfüllt wurde.

Verantwortlich für die Einhaltung ist die Praxisleitung. Sie sollte sicherstellen, dass das gesamte Team – MFA, Anmeldetheke und medizinisches Fachpersonal – in den Ablauf eingebunden ist. Ein fester, dokumentierter Prozess im QM-System sorgt dafür, dass kein Fall übersehen wird.

Wichtig für die Praxis
Nutzen Sie eine standardisierte Patienteninformation mit Versionsstand und Prüfdatum, um Aktualität und Nachweis zu gewährleisten. Ein Aushang im Wartezimmer allein reicht nicht – die Information muss gezielt und nachvollziehbar übergeben oder zumindest ausdrücklich darauf hingewiesen werden.

Was gilt, wenn Daten aus anderen Quellen stammen?

Die Regelung in Art. 14 DSGVO greift immer dann, wenn Sie personenbezogene Daten nicht direkt bei der betroffenen Person erheben – zum Beispiel bei eingehenden Befunden, Laborberichten oder Daten aus externen Abrechnungssystemen. In diesen Fällen müssen Sie die Patientin oder den Patienten darüber informieren, woher die Daten stammen und wie Sie diese verwenden.

Die Information muss zeitnah erfolgen – spätestens innerhalb eines Monats. In der Praxis ist es oft sinnvoll, sie direkt beim ersten Patientenkontakt oder bei der ersten Weitergabe der Daten zu erteilen. Inhaltlich sind die Angaben weitgehend identisch mit den Vorgaben aus Art. 13 DSGVO, plus der Pflicht zur Nennung der Datenherkunft.

Praxisbeispiel: Ihre Praxis erhält per KIM einen Laborbericht aus einem externen MVZ. Noch bevor Sie die Werte für die Behandlung nutzen, informieren Sie den Patienten darüber, dass diese Daten eingegangen sind, aus welcher Quelle sie stammen und wofür sie verwendet werden. Das muss nicht in gesonderter Form, sondern kann natürlich auch im Patientengespräch erfolgen, etwa wenn der Befund mit dem Betroffenen besprochen wird.

Wichtig ist ein klar geregelter Ablauf: Wer kontrolliert den Eingang der Daten, wer übernimmt die Information an den Patienten, und wie wird der Vorgang dokumentiert? Fehlt diese Abstimmung, steigt das Risiko von Versäumnissen.

Wichtig für die Praxis
Legen Sie im Team fest, wer für die Information bei extern eingehenden Daten verantwortlich ist, und dokumentieren Sie die Fristberechnung – zum Beispiel mit einem Vermerk in der Patientenakte oder im DMS-System. So vermeiden Sie, dass Fristen übersehen werden und es zu Datenschutzverstößen kommt.

So vermeiden Sie jede Lücke in der Informationspflicht – mit minimalem Aufwand

Bis hierhin wissen Sie, in welchen Situationen Ihre Praxis informieren muss und welche Datenarten betroffen sind. Damit aus diesem Wissen im Alltag ein verlässlicher, rechtssicherer Ablauf wird, brauchen Sie ein Werkzeug, das alle Erhebungsvorgänge erfasst, Zuständigkeiten klar festlegt und Sonderfälle berücksichtigt.

Die folgende Checkliste gibt Ihnen genau diese Sicherheit: Sie zeigt Schritt für Schritt, wo in Ihrer Praxis Daten erhoben werden, wann welche Informationspflicht greift und wie Sie die Dokumentation für den DSGVO-Nachweis führen. Damit stellen Sie sicher, dass auch bei Personalwechsel oder neuen Prozessen kein wichtiger Schritt übersehen wird.

Pflicht zur Information der Patienten

  • Checkliste mit klaren Ja/Nein-Fragen
  • Mit verständlichen Erläuterungen
  • Geeignet zur Nachweisführung

Jetzt bestellen

Checkliste: „Pflicht zur Information der Patienten“

Die Checkliste „Pflicht zur Information der Patienten“ unterstützt Sie gezielt bei der praktischen Umsetzung.

  • Lückenlose Übersicht – identifiziert systematisch jede Stelle in der Praxis, an der Patientendaten erhoben oder übernommen werden.
  • Rechtssicher handeln – stellt sicher, dass alle Vorgaben korrekt umgesetzt sind.
  • Sonderfälle zuverlässig prüfen – dokumentiert Ausnahmen und Zweckänderungen, um Bußgelder oder Beschwerden zu vermeiden.
  • Nachweisführung leicht gemacht – dient als internes Dokument für die Erfüllung der Rechenschaftspflicht.
  • Praktikabel für den Alltag – klare Struktur und Prüffelder ermöglichen schnelle Anwendung durch Praxisleitung, MFA und Datenschutzbeauftragte.
Vorschaubild der Checkliste „Informationspflicht-der-Betroffenen.docx“

Kompletten Artikel & Vorlage jetzt freischalten –
für Datenschutz, der in der Praxis funktioniert

  • Vollzugriff auf den gesamten Fachartikel inklusive konkreter Umsetzungstipps
  • Download der passenden Arbeitshilfe zur direkten Nutzung in Ihrer Praxis
  • Zugang zu allen praxiserprobten Vorlagen – Checklisten, Formulare, Anleitungen
Jetzt freischalten & Vorlage herunterladen