Arztpraxen verarbeiten besonders sensible personenbezogene Daten (Gesundheitsdaten nach Art. 9 DSGVO) und unterliegen damit strengen Datenschutzpflichten. Bei Verstößen gegen die DSGVO drohen Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. In der Praxis verhängen Datenschutzbehörden für Arztpraxen typischerweise Bußgelder zwischen 5.000 und 50.000 Euro für schwerwiegende Verstöße.
Das Wichtigste auf einen Blick
- DSGVO-Bußgelder bis 20 Mio. Euro, in der Praxis für kleine Praxen oft 5.000 bis 50.000 Euro
- Typische Verstöße: fehlende Datenschutzinformation, unverschlüsselte E-Mails mit Patientendaten, unzureichende Zugriffskontrollen
- Datenschutzbeauftragter ist für Arztpraxen mit regelmäßiger Verarbeitung von Gesundheitsdaten Pflicht
Ausführliche Antwort
Arztpraxen müssen nach Art. 13 DSGVO Patienten über die Verarbeitung ihrer Daten informieren (Datenschutzerklärung im Wartezimmer oder online). Darüber hinaus sind technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu implementieren: Verschlüsselung von E-Mails und Festplatten, Zugriffsberechtigungssysteme für das Praxisverwaltungssystem sowie sichere Vernichtung von Patientenakten.
Besondere Aufmerksamkeit erfordert die Weitergabe von Patientendaten: an Labore, Fachärzte, Krankenkassen. Jede Übermittlung bedarf einer rechtlichen Grundlage (Einwilligung oder gesetzliche Erlaubnis nach § 203 StGB). Die neue ePA (elektronische Patientenakte) schafft hier klare Verarbeitungsgrundlagen, bringt aber auch neue technische Anforderungen mit sich.
Nach einem Datenschutzvorfall (z. B. Datenpanne) besteht eine Meldepflicht innerhalb von 72 Stunden bei der zuständigen Landesdatenschutzbehörde (Art. 33 DSGVO). Praxen sollten daher einen dokumentierten Incident-Response-Plan bereithalten, damit im Ernstfall schnell gehandelt werden kann.
Worauf Ärzte besonders achten sollten
Datenschutzbußgelder sind nicht durch die reguläre Berufshaftpflicht gedeckt. Ärzteversichert empfiehlt, eine Cyber-Haftpflichtversicherung oder eine spezielle DSGVO-Absicherung abzuschließen, die Bußgelder, Anwaltskosten und Schadensersatzansprüche bei Datenpannen mitversichert.
Quellen und weiterführende Informationen
- Bundesbeauftragter für Datenschutz und Informationsfreiheit – DSGVO
- Gesetze im Internet – Art. 9 DSGVO Gesundheitsdaten
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →