Arztpraxen verarbeiten besonders sensible Gesundheitsdaten, die nach der DSGVO dem höchsten Schutzlevel unterliegen (Art. 9 DSGVO, besondere Kategorien personenbezogener Daten). Verstöße werden von Datenschutzbehörden mit teils empfindlichen Bußgeldern geahndet. Stand: April 2026.
DSGVO-Bußgelder gegen Arztpraxen: Fallübersicht 2024
| Fall | Bundesland | Bußgeld | Verstoß |
|---|---|---|---|
| Weitergabe Patientendaten ohne Einwilligung an Dritte | Bayern | 105.000 € | Art. 5 DSGVO |
| Unverschlüsselter E-Mail-Verkehr mit Patientendaten | NRW | 45.000 € | Art. 32 DSGVO |
| Fehlende Datenschutz-Folgenabschätzung (DSFA) | Baden-W. | 28.000 € | Art. 35 DSGVO |
| Kein Verarbeitungsverzeichnis vorhanden | Hessen | 12.000 € | Art. 30 DSGVO |
| Zu lange Speicherung von Patientendaten nach Ende | Berlin | 22.000 € | Art. 5 Abs. 1e |
| Fehlende Auftragsverarbeiterverträge | Sachsen | 8.500 € | Art. 28 DSGVO |
| Videoüberwachung ohne ausreichende Information | Hamburg | 15.000 € | Art. 13 DSGVO |
| Auskunftsanspruch nicht fristgerecht beantwortet | NRW | 3.500 € | Art. 15 DSGVO |
| Ungesicherter Praxis-WLAN-Zugang | Bayern | 1.800 € | Art. 32 DSGVO |
Häufigste DSGVO-Verstöße in Arztpraxen
| Verstoßkategorie | Anteil aller Verfahren |
|---|---|
| Unzulässige Datenweitergabe | 28 % |
| Technische Sicherheitsmängel | 24 % |
| Fehlendes oder mangelhaftes Verarbeitungsverzeichnis | 18 % |
| Verletzung Betroffenenrechte (Auskunft, Löschung) | 16 % |
| Fehlende Auftragsverarbeiterverträge | 14 % |
Einordnung
Die Bußgeldhöhe hängt vom Schweregrad, der Kooperation der Praxis mit der Behörde und der Unternehmensgröße ab. Bei kleinen Einzelpraxen fallen die Bußgelder in der Regel geringer aus als die Maximum-Werte der DSGVO (4 % des Jahresumsatzes oder 20 Mio. Euro). Dennoch können selbst kleine Bußgelder und der administrative Aufwand des Verfahrens erhebliche Kosten verursachen.
Eine Cyber-Versicherung mit DSGVO-Deckung übernimmt in der Regel nicht das Bußgeld selbst (Bußgelder sind grundsätzlich nicht versicherbar), aber die Anwaltskosten im Verfahren und Kosten für die IT-Forensik nach einer Datenpanne.
Weitere Artikel finden Sie in der Blog-Übersicht.
Methodik / Datengrundlage
Die Fallbeispiele basieren auf veröffentlichten Beschlüssen der Datenschutzbehörden (DSB) der Bundesländer sowie der Datenbank privacylaw.eu (Stand: 2024). Nicht alle Datenschutzbehörden veröffentlichen Bußgeldbescheide öffentlich; die tatsächliche Dunkelziffer ist höher.
In der Beratungspraxis von Ärzteversichert zeigt sich, dass die wenigsten Arztpraxen ein vollständiges Datenschutzdokumentationspaket haben. Ein strukturiertes Datenschutzmanagement ist die wichtigste Präventionsmaßnahme gegen DSGVO-Bußgelder.
Quellen und weiterführende Informationen
Die folgenden Links führen zu offiziellen Quellen und unserem Beratungsangebot.
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
- Kassenärztliche Bundesvereinigung (KBV)
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →