Wie Arztpraxen sicher prüfen, ob Daten ohne Personenbezug verarbeitet werden dürfen

Alte Aufklärungsbögen, Fragebögen zu Impfnebenwirkungen oder archivierte Patientenlisten ohne Namen – solche Unterlagen sind im Praxisalltag keine Seltenheit. Immer wieder stellt sich die Frage: Dürfen diese Daten weiterhin gespeichert werden, wenn sie keiner konkreten Person mehr zugeordnet werden können? Oder andersherum: Muss eine Information gelöscht werden, nur weil sie einen Namen trägt?

Das Datenschutzrecht liefert hier eindeutige Antworten. Aber sie sind nicht auf den ersten Blick erkennbar. Denn eine Datenverarbeitung ist natürlich auch dann erlaubt, wenn eine Person identifizierbar ist. Wenn der Personenbezug fehlt, gibt es jedoch weitere Spielräume für die Verarbeitung von Daten – sofern bestimmte Voraussetzungen erfüllt sind. Diese Seite zeigt Ihnen, welche Prüffragen entscheidend sind, und unterstützt Sie dabei, fundiert zu entscheiden, wann und wie Daten mit oder ohne Personenbezug rechtssicher verarbeitet werden dürfen.

Was bedeutet „kein Personenbezug“ überhaupt?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. In Arztpraxen denkt man dabei sofort an Namen, Geburtsdaten oder Versichertennummern. Doch auch scheinbar neutrale Angaben – wie statistische Auswertungen, Umfragen oder geschwärzte Patientenlisten – können relevant sein. Entscheidend ist immer, ob ein Bezug zur Person noch herstellbar ist.

Praxisbeispiel: Ihre Praxis hat eine alte Liste mit Patientendaten, aus der die Namen entfernt wurden. Solange über weitere Unterlagen (z. B. alte E-Mail-Protokolle) ein Rückschluss möglich wäre, handelt es sich weiterhin um personenbezogene Daten. Erst wenn eine Re-Identifizierung ausgeschlossen ist, greifen die Datenschutzvorgaben nicht mehr.

Gerade im Alltag ist Vorsicht geboten: Die Schwelle zur erneuten Identifizierbarkeit ist schnell erreicht, insbesondere wenn Daten aus unterschiedlichen Quellen zusammengeführt werden. Maßgeblich ist dabei die konkrete Perspektive Ihrer Praxis – nicht, ob irgendwo anders auf der Welt jemand die Daten zuordnen könnte.

Wann die Identifizierbarkeit nicht mehr nötig ist

Wenn personenbezogene Daten für einen bestimmten Zweck verarbeitet werden, stellt sich irgendwann die Frage: Ist die Zuordnung zur Person noch erforderlich? In vielen Fällen erlaubt das Datenschutzrecht, auf Identifizierungsdaten zu verzichten – nämlich dann, wenn sie für den Verarbeitungszweck nicht oder nicht mehr gebraucht werden.

Praxisbeispiel: Eine Praxis hat alte Patientenfragebögen gesammelt, bei denen die Namen entfernt wurden. Solange diese Unterlagen nur noch für interne Statistikzwecke dienen, ist eine Identifizierung nicht mehr nötig. Anders sieht es bei einer Terminverwaltung aus – hier ist der Personenbezug zwingend erforderlich.

Wichtig ist der Unterschied zwischen Anonymisierung und Pseudonymisierung: Bei der Anonymisierung existiert kein Schlüssel zur Re-Identifizierung. Bei pseudonymisierten Daten hingegen bleibt eine Rückführung möglich, etwa über eine interne Liste. Nur wenn eine Re-Identifizierung ausgeschlossen ist, dürfen die Daten ohne Personenbezug uneingeschränkt weiterverarbeitet werden.

Praxisfall prüfen: Ist die Identifizierung (noch) erforderlich?

Bevor Sie Daten ohne Einschränkungen weiterverarbeiten wollen, weil der Personenbezug entfallen ist, müssen Sie sich eine zentrale Frage stellen: Ist für den zukünftigen Zweck der Verarbeitung eine Identifizierung überhaupt notwendig? Es geht nicht darum, dass früher einmal der Personenbezug erforderlich war und bestanden hat, sondern ob sie bei Änderung der Zwecke der Verarbeitung noch eine konkrete Person erkennen müssen, um die Daten sinnvoll nutzen zu können.

Praxisbeispiel: Eine Praxis hat Umfragebögen zur Patientenzufriedenheit gesammelt, die getrennt von den Namen aufbewahrt werden. Solange keine Zuordnung mehr möglich ist, besteht keine Notwendigkeit der Identifizierung. Gleiches gilt für geschwärzte Patientenlisten oder Fotos für Fortbildungen, bei denen die Gesichter und andere Kennzeichen einer Person - etwa Tätowierungen - unkenntlich gemacht wurden.

Stellen Sie sich also ganz konkret die Frage: Brauchen wir für die beabsichtige künftige Datenverarbeitung noch den Personenbezug, um die Daten zu verwenden? Wenn ja, gelten alle Datenschutzpflichten uneingeschränkt weiter. Wenn nein, können Sie den Prüfpfad einschlagen, bei Fortfall der Identifizierbarkeit eine uneingeschränkte Verarbeitung ermöglicht.

Wenn die Identifizierbarkeit entfällt – was ist zu tun?

Sobald eindeutig feststeht, dass die Identifizierung nicht mehr erforderlich ist, ändern sich die datenschutzrechtlichen Anforderungen grundlegend. Die Praxis ist dann nicht mehr verpflichtet, Identifizierungsdaten aufzubewahren oder zu verarbeiten – auch nicht, um theoretisch noch Auskunfts- oder Löschpflichten erfüllen zu können. Typische Fälle sind alte Fragebögen, bei denen die Namen entfernt wurden und deren Zweck bereits abgeschlossen ist. Die Daten dürfen also weiter genutzt werden – aber weiterhin nur ohne Personenbezug.

Wer sich auf die Anonymität von Daten berufen will, für den ergeben sich neue Folgepflichten aus den Grundsätzen der Speicherbegrenzung und Datenminimierung: Alle verbleibenden Zuordnungsdaten müssen konsequent gelöscht werden. Dazu zählen Namenslisten, Schlüsseldateien oder Tabellen, über die eine Re-Identifikation möglich wäre. Solche Informationen dürfen nicht aus Bequemlichkeit oder Sicherheitsdenken aufgehoben bleiben.

Praxisbeispiel: Eine Praxis entfernt bei archivierten Umfragebögen alle Namen und hält im Datenschutzhandbuch fest: „Keine Identifizierbarkeit mehr möglich, Identifizierungsdaten gelöscht.“ So ist für die Aufsichtsbehörde jederzeit nachvollziehbar, wann und wie die Daten bereinigt wurden.

Ob Daten noch einer Person zugeordnet werden können oder nicht, ist oft schwer eindeutig zu beurteilen. Gerade im Praxisalltag fehlt häufig die Zeit, jeden Fall ausführlich zu durchdenken. Damit Sie hier nicht ins Stolpern geraten, unterstützt Sie unser praxisbewährtes Prüfschema: Es führt Sie Schritt für Schritt durch die relevanten Fragen und zeigt klar auf, wann eine Verarbeitung als unbedenklich gilt. So gewinnen Sie Sicherheit, sparen Zeit und können Ihre Entscheidungen jederzeit nachvollziehbar begründen.