Wie Arztpraxen die Rechtmäßigkeit der Datenverarbeitung sicherstellen

Ein typischer Morgen in der Anmeldung: Eine medizinische Fachangestellte (MFA) möchte Laborwerte eines Patienten von einem Vorbehandler anfordern. Der Patient hatte am Vortag genickt – ein scheinbar klares Zeichen der Zustimmung. Doch reicht das wirklich aus? Braucht es nicht eine schriftliche Einwilligung? Und was passiert, wenn sensible Informationen versehentlich an eine falsche Stelle weitergegeben werden?

Solche Alltagssituationen machen deutlich: Die Rechtmäßigkeit der Verarbeitung ist keine Selbstverständlichkeit, sondern muss Schritt für Schritt überprüft werden. Diese Seite zeigt, wie Sie für jede Datenverarbeitung die passende Rechtsgrundlage bestimmen – und gibt Ihnen mit der Arbeitshilfe eine praxistaugliche Orientierung, um datenschutzkonform und nachvollziehbar zu handeln.

Warum muss die Rechtmäßigkeit geprüft werden?

In Arztpraxen werden täglich sensible Informationen verarbeitet – von Kontaktdaten bis zu medizinischen Befunden. Was oft übersehen wird: Jede einzelne Verarbeitung braucht eine eindeutige Rechtsgrundlage. Das Datenschutzrecht folgt dem Prinzip „Verbot mit Erlaubnisvorbehalt“ – erlaubt ist nur, was ausdrücklich gestattet ist.

Diese Pflicht ist keine Theorie. Schon unbefugte Weitergaben oder eine fehlende Dokumentation können erhebliche Folgen haben – von Bußgeldern bis hin zu Schadensersatzansprüchen der Patienten.

Doch es geht nicht nur um Sanktionen: Wer transparent erklärt, warum Daten verarbeitet werden, schafft Vertrauen und Professionalität. Gerade bei sensiblen Themen wie Psychotherapie oder HIV-Status ist eine nachvollziehbare Rechtsgrundlage unverzichtbar.

Die sieben Rechtsgrundlagen im Überblick

Für jede Datenverarbeitung in der Praxis braucht es eine rechtliche Basis. Die DSGVO nennt sieben Möglichkeiten – und mindestens eine davon muss erfüllt sein, sonst ist die Verarbeitung unzulässig. Welche Grundlage passt, hängt immer vom konkreten Zweck ab.

Die Einwilligung der Patienten ist oftmals die letzte dieser Möglichkeiten - aber nicht die Wichtigste. In der Praxis ist die Vertragserfüllung (umfasst Terminanbahnung, Behandlung bis zur Abrechung) die zentrale Rechtsgrundlage. Daneben spielen rechtliche Pflichten (etwa gesetzlich vorgeschriebene Meldungen), der Schutz lebenswichtiger Interessen (z.B. bei Notfällen), Wahrnehmung von Rechten oder das berechtigte Interesse eine Rolle. Im öffentlichen Gesundheitswesen kommen noch behördliche Aufgaben hinzu.

Praktisch zeigt sich das so: Beim Erstkontakt werden Daten meist zur Vertragserfüllung verarbeitet. Die Abrechnung mit dem Patienten gehört ebenso dazu, Mitteilungen an die Kassenärztliche Vereinigung können zudem eine rechtliche Pflicht erfüllen, wie auch etwa Weitergabe von Daten an öffentliche Register. Und in einem medizinischen Notfall darf auch ohne Vertrag oder Einwilligung gehandelt werden – hier greift das lebenswichtige Interesse.

Beispiel: So gehen Sie bei der Prüfung vor

Die Arbeitshilfe enthält ein Flussdiagramm, das den Prüfprozess übersichtlich darstellt. Es macht deutlich: Nicht jede Verarbeitung erfordert eine Einwilligung. Stattdessen führt ein strukturierter Entscheidungsweg systematisch zur passenden Rechtsgrundlage – von der Einwilligung über den Vertrag bis hin zur gesetzlichen Pflicht.

Beispiel für einen Prüfschritt:

• Ist die Verarbeitung für einen Vertrag notwendig?
• Falls das das nicht zutrifft: Handelt es sich um einen Notfall oder wird eine gesetzliche Pflicht erfüllt?
• Falls auch das nicht zutrifft: Werden eigene Rechte wahrgenommen oder eine öffentliche Aufgabe?
• Oder liegt statt dessen „nur“ eine Einwilligung der Patienten vor?
• Fällt keiner dieser Gründe ins Gewicht, dürfte die Verarbeitung unzulässig sein.

Am Ende steht also klar fest: „zulässig“ oder „nicht zulässig“. Besonders hilfreich: Auch geplante Zweckänderungen werden durch das Diagramm erfasst. So können nicht nur neue Prozesse, sondern auch Veränderungen rechtzeitig geprüft und dokumentiert werden.

So gelingt die Prüfung in Ihrer Praxis: Die Arbeitshilfe führt Sie durch alle relevanten Fragen – von Einwilligung und Vertrag bis zu Pflichten, lebenswichtigen Interessen und berechtigten Interessen. Sie folgen einem klaren Ablauf und sehen am Ende, ob die geplante Verarbeitung zulässig ist oder nicht. Auch eine mögliche Zweckänderung ist berücksichtigt, sodass Sie in besonderen Situationen eine verlässliche Orientierung haben.