Wie Sie die Informationspflicht in Arztpraxen rechtssicher umsetzen

In der Hausarztpraxis wird ein neuer Patient aufgenommen. Seine Vorbefunde kommen per Fax von einer Facharztpraxis – ohne dass er selbst die Unterlagen mitgebracht hat. Muss die Praxis den Patienten jetzt noch einmal gesondert über die Verarbeitung seiner Daten informieren? Solche Situationen sind Alltag – doch die Informationspflicht bei indirekter Datenerhebung sorgt regelmäßig für Unsicherheit.

Diese Anleitung erklärt, wann eine Praxis Patienten informieren muss, deren Daten nicht direkt bei ihr erhoben wurden. Sie zeigt, welche Pflichten gelten, wann Ausnahmen greifen und wie sich die rechtssichere Umsetzung dokumentieren lässt. Grundlage ist Art. 14 DSGVO in Verbindung mit § 33 BDSG – ergänzt durch eine durchdachte Arbeitshilfe, die Klarheit schafft.

Eine Angestellte der Praxis erläutern einem Patienten ein Informationsblatt. (Bildquelle: Gemini 3)
Bei der Aufnahme eines Patienten stellt sich die wichtige Frage, über welche Vorgänge die Patienten unbedingt vorab informiert werden müssen und wie.

Warum indirekte Datenerhebung für Arztpraxen relevant ist

In Arztpraxen stammen personenbezogene Daten nicht immer direkt vom Patienten. Häufig kommen sie über Fremdbefunde, Überweisungen oder Mitteilungen Dritter – etwa von Fachärzten, Laboren oder Krankenhäusern. Genau dann greift Art. 14 DSGVO, der für solche Fälle eine eigene Informationspflicht regelt.

Der Unterschied zur direkten Angabe liegt darin, dass die betroffene Person nicht aktiv eingebunden ist – und daher nicht automatisch weiß, wer ihre Daten wie verarbeitet. Praxen müssen deshalb prüfen, ob eine Information erforderlich ist oder ob eine der gesetzlich vorgesehenen Ausnahmen greift.

Definition
Indirekte Datenerhebung liegt vor, wenn personenbezogene Daten nicht unmittelbar bei der betroffenen Person erhoben werden, sondern z. B. durch Übermittlung von Dritten.

Für den Praxisalltag ist das hochrelevant: Eine fehlende oder verspätete Information kann als Verstoß gegen die DSGVO gewertet werden – mit rechtlichen und finanziellen Folgen. Gleichzeitig gilt es, Patienten nicht unnötig zu überfrachten, wenn eine Ausnahme rechtssicher dokumentiert ist.

Wann Sie informieren müssen – und was das Gesetz dazu sagt

Immer dann, wenn Sie personenbezogene Daten nicht direkt von der Patientin oder dem Patienten erhalten, sondern aus einer anderen Quelle – zum Beispiel von einer Überweisung, einem Laborbericht oder einer Krankenkasse –, müssen Sie diese Person nachträglich über die Datenverarbeitung informieren. Das ist der Kern der gesetzlichen Regelung in Art. 14 DSGVO. Für öffentliche Stellen gibt es ergänzende Vorgaben im § 33 BDSG.

Der Unterschied zu den Regeln bei der direkten Datenerhebung ist einfach: Holen Sie die Daten im persönlichen Gespräch oder per Anmeldeformular direkt ein, gilt eine andere Informationspflicht. Kommen die Daten jedoch auf indirektem Weg zu Ihnen – etwa per Fax, E-Mail, Telefon oder Post –, greift die „Nachträglich-Informieren“-Regel. Diese Information muss zeitnah erfolgen, in der Regel innerhalb weniger Tage, spätestens jedoch nach einem Monat.

Tipp
Notieren Sie in Ihrer Patientenverwaltung immer, woher neue Patientendaten stammen. So können Sie leicht prüfen, ob die nachträgliche Information nach Art. 14 DSGVO erforderlich ist.

Auch wenn der Austausch von Patientendaten zwischen Kolleginnen und Kollegen zum Praxisalltag gehört: Aus Sicht des Datenschutzes ist das eine neue Verarbeitung. Sie dürfen deshalb nicht automatisch davon ausgehen, dass die Patientin oder der Patient schon weiß, welche Daten Sie erhalten haben – informieren Sie lieber einmal zu viel als zu wenig.

Welche Informationen Sie bereitstellen müssen

Wenn Sie personenbezogene Daten nicht direkt bei der betroffenen Person, sondern zum Beispiel von einer Überweisung, aus einer Laboranfrage oder von einer externen Abrechnungsstelle erhalten, müssen Sie diese Person dennoch vollständig informieren. Grundlage dafür sind Art. 14 Abs. 1 und 2 DSGVO.

In der Praxis heißt das: Sie geben den Betroffenen ein vollständiges „Informationspaket“, das unter anderem folgende Punkte enthält:

  • Name und Kontaktdaten Ihrer Praxis sowie ggf. Ihres Datenschutzbeauftragten
  • Zwecke der Verarbeitung – zum Beispiel die medizinische Behandlung oder die Abrechnung
  • Rechtsgrundlagen für die Verarbeitung (z. B. gesetzliche Vorgaben, Einwilligung)
  • Kategorien der verarbeiteten Daten – etwa Kontaktdaten, Gesundheitsdaten oder Versicherungsangaben
  • Herkunft der Daten – beispielsweise ein überweisender Arzt, ein Labor oder eine Krankenkasse
  • Empfänger oder Kategorien von Empfängern, an die Sie die Daten weitergeben, z. B. Labore oder Abrechnungsstellen
  • Dauer der Speicherung oder die Kriterien für deren Festlegung (z. B. gesetzliche Aufbewahrungsfristen)
  • Rechte der Betroffenen – etwa auf Auskunft, Berichtigung oder Löschung
Warnung
Unvollständige oder verspätete Informationen gelten als Datenschutzverstoß und können zu erheblichen Bußgeldern führen.

Zusätzlich müssen Sie auf das Beschwerderecht bei der zuständigen Aufsichtsbehörde hinweisen und – falls in Ihrer Praxis vorhanden – Angaben zu einer automatisierten Entscheidungsfindung (einschließlich Profiling) machen. Wichtig ist, dass diese Informationen in klarer, verständlicher Sprache formuliert sind, damit Patientinnen und Patienten sofort nachvollziehen können, worum es geht – so schreibt es Art. 12 DSGVO vor.

Wann Sie ausnahmsweise nicht informieren müssen

Es gibt wenige Situationen, in denen Sie auf die Benachrichtigung verzichten dürfen. Die gesetzlichen Grundlagen (Art. 14 Abs. 5 DSGVO und § 33 BDSG) formulieren diese Ausnahmen – für Sie zählt vor allem, die wichtigsten Fälle zu kennen und im Alltag richtig einzuordnen:

  • Die Patientin oder der Patient weiß bereits Bescheid – zum Beispiel, weil sie oder er die Information direkt vom Labor oder einer anderen Praxis erhalten hat.
  • Die Information ist praktisch nicht möglich – etwa, weil die Kontaktdaten fehlen oder der Aufwand unverhältnismäßig hoch wäre.
  • Der Zweck der Verarbeitung würde gefährdet – zum Beispiel bei bestimmten medizinischen oder wissenschaftlichen Projekten, bei denen eine vorherige Information den Ablauf unmöglich machen würde.
  • Sie müssten ein Berufsgeheimnis verletzen – etwa, wenn eine Schweigepflicht besteht.
  • Es bestehen schutzwürdige Interessen Dritter – zum Beispiel, wenn durch die Information sensible Daten einer anderen Person preisgegeben würden.
Beispiel
Ein Patient wird von einer Facharztpraxis zu Ihnen überwiesen. Die Facharztpraxis hat ihn bereits darüber informiert, dass seine von ihm erhobenen Daten an Sie weitergegeben werden. Das dürfte der Regelfall sein, so dass Sie den überwiesenen Patienten nicht noch einmal darüber informieren müssen.

Wichtig: Jede Ausnahme müssen Sie im Einzelfall nachvollziehbar begründen und dokumentieren. „Wir gehen davon aus“ reicht nicht – halten Sie immer fest, warum Sie auf eine Information verzichtet haben. Die Arbeitshilfe enthält dazu konkrete Prüflisten, die Ihnen helfen, nichts zu übersehen.

Entscheidungshilfe: Müssen wir informieren – oder nicht?

In der Arbeitshilfe finden Sie einen klar strukturierten Entscheidungsbaum, der Sie Schritt für Schritt durch die Prüfung führt. Er beginnt mit der einfachsten Frage und endet mit einer fundierten Entscheidung, die Sie rechtssicher dokumentieren können:

  • Weiß die Patientin oder der Patient schon Bescheid? Falls ja, sind Sie in vielen Fällen aus der Pflicht.
  • Ist eine Information zumutbar? Oder wäre der Aufwand unverhältnismäßig hoch – etwa, weil Kontaktdaten fehlen?
  • Stehen rechtliche Hindernisse im Weg? Zum Beispiel eine ärztliche Schweigepflicht oder der Schutz sensibler Daten Dritter.
  • Hat sich der Zweck der Datenverarbeitung geändert? Dann müssen Sie in der Regel erneut informieren.
Tipp
Nutzen Sie den interaktiven Entscheidungsbaum aus der Arbeitshilfe. Er stellt Ihnen gezielt Ja/Nein-Fragen und führt Sie so sicher zur richtigen Entscheidung.

Für die Prüfung sind in der Regel die Praxisleitung oder die Datenschutzbeauftragten zuständig. Halten Sie das Ergebnis immer schriftlich fest – so können Sie im Zweifel belegen, dass Ihre Entscheidung sorgfältig getroffen wurde.

Informationspflicht bei einer Datenerhebung

  • Schritt-für-Schritt-Prüfschema
  • Mit verständlichen Erläuterungen
  • Ideal für interne Abstimmungen

Jetzt bestellen

Schritt-für-Schritt-Anleitung: „Informationspflicht bei einer Datenerhebung“

Die Arbeitshilfe „Informationspflicht bei einer Datenerhebung“ unterstützt Sie gezielt bei der praktischen Umsetzung.

  • Klarer Entscheidungsbaum: Schritt-für-Schritt-Anleitung, wann Ihre Praxis informieren muss – und wann nicht.
  • Alle Ausnahmetatbestände im Überblick: Art. 14 DSGVO und § 33 BDSG auf einer Seite, leicht nachschlagbar.
  • Praktische Erläuterungen: Zu jedem Prüfschritt rechtliche Basis und Praxisbeispiele.
  • Dokumentationsvorlage integriert: Rechtssicher begründen, wenn Sie von einer Information absehen.
  • Sicherer Umgang mit Sonderfällen: Auch Zweckänderungen und öffentliche Stellen klar geregelt.
Vorschaubild der Arbeitshilfe „Informationspflicht bei einer Datenerhebung von Betroffenen.pdf“

Kompletten Artikel & Vorlage jetzt freischalten –
für Datenschutz, der in der Praxis funktioniert

  • Vollzugriff auf den gesamten Fachartikel inklusive konkreter Umsetzungstipps
  • Download der passenden Arbeitshilfe zur direkten Nutzung in Ihrer Praxis
  • Zugang zu allen praxiserprobten Vorlagen – Checklisten, Formulare, Anleitungen
Jetzt freischalten & Vorlage herunterladen