Die DSGVO enthält zahlreiche Fristen, die für Arztpraxen unmittelbar relevant sind: Antwortfristen auf Patientenanfragen, Meldefristen bei Datenpannen, Löschfristen für Patientendaten. Wer diese Fristen nicht kennt oder nicht einhält, riskiert Bußgelder und Beschwerden bei der Aufsichtsbehörde. Diese Checkliste gibt Ihnen einen vollständigen Überblick über alle relevanten Datenschutzfristen.

Die Checkliste

  1. Antwortfrist auf Auskunftsersuchen kennen (Art. 15 DSGVO): Patienten haben das Recht, Auskunft über ihre gespeicherten Daten zu verlangen. Sie müssen innerhalb von einem Monat nach Eingang des Ersuchens antworten. Bei komplexen Anfragen ist eine Verlängerung auf maximal 3 Monate möglich – aber der Patient muss innerhalb des ersten Monats über die Verlängerung informiert werden.
  1. Meldepflicht bei Datenschutzverletzungen einhalten (Art. 33 DSGVO): Datenschutzverletzungen, die ein Risiko für Betroffene darstellen, müssen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde gemeldet werden. Stunden zählen – richten Sie einen internen Meldeprozess ein.
  1. Benachrichtigungspflicht gegenüber Betroffenen prüfen (Art. 34 DSGVO): Bei voraussichtlich hohem Risiko für Betroffene muss die Datenpanne unverzüglich auch den betroffenen Patienten gemeldet werden. „Unverzüglich" bedeutet ohne schuldhaftes Zögern.
  1. Löschfristen für Patientendaten dokumentieren: Patientenakten müssen nach Berufsrecht mindestens 10 Jahre aufbewahrt werden (§ 630f BGB). Danach besteht grundsätzlich eine Löschpflicht nach Art. 17 DSGVO, sofern keine anderen Aufbewahrungspflichten gelten. Dokumentieren Sie die Fristen je Datenkategorie.
  1. Löschfristen für Beschäftigtendaten prüfen: Daten von Praxismitarbeitern unterliegen kürzeren Löschfristen: Nach Beendigung des Arbeitsverhältnisses gelten teils 3 Jahre (allgemeine Verjährung), für steuerliche Unterlagen 10 Jahre. Prüfen Sie die Fristen für jede Datenkategorie.
  1. Frist für Widerspruch gegen automatisierte Entscheidungen kommunizieren: Falls Sie algorithmusbasierte Systeme einsetzen (z. B. Risikoklassifizierung), haben Patienten das Recht auf menschliche Überprüfung. Stellen Sie sicher, dass Patienten darüber informiert sind.
  1. Aufbewahrungsfristen für Einwilligungserklärungen sicherstellen: Datenschutz-Einwilligungen müssen so lange aufbewahrt werden, wie die Verarbeitung stattfindet, zuzüglich einer angemessenen Nachweisfrist. Dokumentieren Sie das Datum und den Inhalt jeder Einwilligung.
  1. Fristen für Datenschutzdokumentation und Verarbeitungsverzeichnis planen: Das Verarbeitungsverzeichnis nach Art. 30 DSGVO hat keine feste Frist, muss aber stets aktuell sein. Planen Sie mindestens jährliche Überprüfungen ein und dokumentieren Sie das Datum der letzten Aktualisierung.
  1. Frist für Rückgabe oder Löschung von Auftragsverarbeiterdaten regeln: In AVV-Verträgen mit externen Dienstleistern muss geregelt sein, was nach Vertragsende mit den übermittelten Daten geschieht und innerhalb welcher Frist Löschung oder Rückgabe zu erfolgen hat.
  1. Fristenüberwachung in den Praxiskalender integrieren: Datenschutzfristen sollten nicht aus dem Gedächtnis überwacht werden. Nutzen Sie Kalender-Erinnerungen oder Praxissoftware-Features, um Fristen für Patientenanfragen, Datenpannen und Löschläufe automatisch zu verfolgen.

Typische Fehler

  • 72-Stunden-Frist nach Datenpanne verpasst: Viele Praxen melden Datenverletzungen zu spät, weil unklar ist, ab wann die Frist zu laufen beginnt – sie beginnt, sobald eine verantwortliche Person von der Verletzung Kenntnis erlangt.
  • Auskunftsersuchen nicht fristgerecht beantwortet: Ohne internen Prozess bleibt das Auskunftsersuchen eines Patienten liegen und die Monatsfrist wird überschritten – das ist ein unmittelbarer DSGVO-Verstoß.
  • Patientenakten nach Ablauf der Aufbewahrungsfrist nicht gelöscht: Fehlende Löschroutinen führen dazu, dass Daten jahrzehntelang gespeichert bleiben, obwohl die gesetzliche Aufbewahrungspflicht längst abgelaufen ist.

Fazit

Datenschutzfristen sind kein bürokratisches Detail – sie sind verbindliche gesetzliche Anforderungen mit unmittelbaren Haftungsfolgen. Ärzteversichert empfiehlt, beim DSGVO-Update alle relevanten Fristen schriftlich zu dokumentieren und Überwachungsprozesse zu implementieren. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →