Die rechtssichere Verarbeitung von Gesundheitsdaten in der ärztlichen oder zahnärztlichen Praxis zählt zu den zentralen Herausforderungen moderner Medizin. Neben der ärztlichen Schweigepflicht, die strafrechtlich verankert ist, stellt die Datenschutz-Grundverordnung (DSGVO) umfassende Anforderungen an den Umgang mit Patientendaten. Unsere Kanzlei berät Sie zu allen juristischen Aspekten rund um Schweigepflicht, Datenschutz und technische Umsetzungspflichten in Ihrer Praxis.
Die Schweigepflicht nach § 203 StGB verpflichtet Angehörige von Heilberufen – darunter Ärzte, Zahnärzte, Psychotherapeuten und ihre berufsmäßig tätigen Hilfspersonen – zur Verschwiegenheit über alle ihnen im Rahmen ihrer beruflichen Tätigkeit anvertrauten oder bekannt gewordenen Geheimnisse. Ein Verstoß stellt eine Straftat dar und kann mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe geahndet werden. Berufsrechtlich ist die Pflicht zur Verschwiegenheit unter anderem in § 9 der (Muster-)Berufsordnung für Ärzte verankert.
Der Begriff des 'Geheimnisses' ist weit zu verstehen. Darunter fallen nicht nur ärztliche Diagnosen, Krankheitsverläufe, Befunde oder verordnete Medikamente. Auch persönliche Angaben, die im Gespräch offenbart werden, sind geschützt – etwa psychische Belastungen, familiäre oder partnerschaftliche Probleme, Suchtverhalten, Schwangerschaften oder wirtschaftliche Sorgen. Ebenso sind Informationen geschützt, die Dritte – wie Angehörige – mitteilen. Selbst augenscheinlich banale Details, die Rückschlüsse auf den Gesundheitszustand oder das soziale Umfeld des Patienten zulassen, unterliegen der Schweigepflicht. Diese gilt grundsätzlich ab dem ersten Patientenkontakt, auch wenn keine Behandlung erfolgt, und bleibt selbst über den Tod hinaus bestehen.
Der Begriff des 'Geheimnisses' umfasst dabei nicht nur medizinische Diagnosen und Befunde, sondern auch sämtliche personenbezogenen Informationen, die im Rahmen der ärztlichen Behandlung offenbart werden – etwa Informationen über Familienverhältnisse, psychische Belastungen oder auch wirtschaftliche und soziale Umstände.
Die DSGVO stellt mit Artikel 9 besonders hohe Anforderungen an die Verarbeitung von Gesundheitsdaten, da diese als besondere Kategorie personenbezogener Daten gelten. Eine Verarbeitung ist grundsätzlich untersagt und nur in Ausnahmefällen – insbesondere bei Vorliegen einer ausdrücklichen Einwilligung der betroffenen Person oder bei gesetzlicher Grundlage – zulässig. Die ärztliche Schweigepflicht wirkt dabei als zusätzliche strafrechtliche Schranke: Selbst eine datenschutzrechtlich zulässige Verarbeitung kann rechtswidrig sein, wenn sie ohne Befreiung von der Schweigepflicht erfolgt.
Art. 32 DSGVO verpflichtet den Verantwortlichen zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für Arzt- und Zahnarztpraxen konkretisiert § 75b SGB V zusätzlich die Anforderungen im Rahmen der IT-Sicherheitsrichtlinie. Zu den zentralen Anforderungen zählen insbesondere:
Zugriffsmanagement durch personalisierte Benutzerkonten mit sicheren Passwörtern und gegebenenfalls Zwei-Faktor-Authentifizierung, automatische Sperrmechanismen bei Inaktivität, räumliche Zugangskontrollen zu Servern und Arbeitsplätzen sowie der Einsatz verschlüsselter Speichermedien und E-Mail-Kommunikation (z. B. über den KIM-Dienst). Datensicherungen sind regelmäßig und verschlüsselt anzufertigen und außerhalb der Betriebsräume aufzubewahren. Sämtliche Zugriffe auf Patientendaten sollten zudem protokolliert werden, um etwaige Datenschutzverstöße nachverfolgen zu können.
Wird ein IT-Dienstleister beauftragt, etwa zur Wartung des Praxisverwaltungssystems, ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO zwingend erforderlich. Die Auswahl des Dienstleisters sollte dokumentiert und unter Berücksichtigung datenschutzrechtlicher Kriterien erfolgen. Auch Mitarbeitende sind gemäß Art. 29 DSGVO auf die Vertraulichkeit zu verpflichten und regelmäßig in Datenschutzfragen zu schulen.
Die rechtliche Trennung – aber zugleich enge Verbindung – von Schweigepflicht und Datenschutzrecht macht deutlich: Arztpraxen und sonstige medizinische Einrichtungen müssen nicht nur über technische Lösungen verfügen, sondern auch juristisch tragfähige Prozesse etablieren. Unsere Kanzlei unterstützt Sie bei der Umsetzung datenschutzkonformer Abläufe, bei der Erstellung rechtssicherer Einwilligungserklärungen, bei der Gestaltung von AV-Verträgen und bei der anwaltlichen Vertretung im Falle behördlicher Prüfungen oder Datenschutzvorfällen.
Rechtsanwalt
Partner
Fachanwalt für Arbeitsrecht
Fachanwalt für Medizinrecht
Zertifizierter Berater für Kündigungsschutzrecht (VdAA – Verband deutscher ArbeitsrechtsAnwälte e.V.)
Zertifizierter Berater Arbeitsrecht für leitende Angestellte/Führungskräfte (VdAA – Verband deutscher ArbeitsrechtsAnwälte e.V.)
Rechtsanwältin
Rechtsanwältin
Fachanwältin für Medizinrecht
Dipl.-Juristin
