Ist Patientify DSGVO-konform?

Ja. Datenverarbeitung nach DSGVO, Auftragsverarbeitungsvertrag (AVV) auf Anfrage, Hosting ausschließlich in Deutschland bei Hetzner. Deine Daten sind bei der Übertragung und bei der Speicherung verschlüsselt. Personenbezogene Zugänge und ein lückenloses Protokoll sichern die Schweigepflicht technisch ab.

Wer hat Zugriff auf meine Daten?

Du und die Personen, die Du in Deiner Praxis berechtigst. Patientify greift nur für Support-Anfragen auf Deine Daten zu – dokumentiert und nur nach expliziter Zustimmung. Supportmitarbeitende unterliegen vertraglicher Verschwiegenheit.

Kann ich meine Daten jederzeit exportieren?

Ja. Du bekommst einen vollständigen Export Deiner Daten (Patienten, Termine, Rechnungen, Dokumente) als ZIP-Download. Gesetzliche Aufbewahrungsfristen werden dabei berücksichtigt.

Ist Patientify nach §203 StGB zur Schweigepflicht geeignet?

Ja. Patientify ist als technische Hilfsperson nach §203 StGB einsetzbar: personenbezogene Zugänge, ein lückenloses Protokoll, verschlüsselte Kommunikation und ein AVV sind die technisch-organisatorischen Grundlagen dafür.

DSGVO in der Arztpraxis: Checkliste für Privatpraxen

Die DSGVO wird in vielen Praxen unterschätzt oder überschätzt – selten richtig eingeordnet. Dabei gibt sie einen klaren Rahmen, der mit ein paar Dutzend Seiten Dokumentation abarbeitbar ist. Wer Patientendaten verarbeitet, und das tust Du per Definition, braucht einen strukturierten Zugang zu Art. 28 DSGVO (Auftragsverarbeitung), Art. 32 (technisch-organisatorische Maßnahmen) und Art. 15 bis 22 (Betroffenenrechte). Die häufigste Praxis-Variante ist die Einzel- oder Kleinpraxis, die keine eigene IT-Abteilung hat und die Anforderungen mit überschaubarem Aufwand selbst oder mit externer Unterstützung erfüllen muss. Diese Checkliste ordnet die Pflichten, nennt belastbare Quellen und zeigt, welche Arbeit sich mit einer modernen Praxissoftware erheblich reduziert – ohne dass Du eine Kanzlei für jede Einzelfrage benötigst.

Rechtsgrundlage und Besonderheit in der Praxis

Patientendaten sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Ihre Verarbeitung ist grundsätzlich verboten – mit Ausnahmen. Für Praxen gilt die Ausnahme nach Art. 9 Abs. 2 lit. h: Verarbeitung zum Zwecke der Gesundheitsvorsorge und -versorgung durch Fachpersonal mit Verschwiegenheitspflicht. Diese Verschwiegenheit kommt aus §203 StGB, der die Berufsgeheimnis-Pflicht für Ärztinnen, Ärzte, Psychotherapeutinnen, Heilpraktiker und andere Berufsgeheimnisträger regelt. Der §203 StGB schützt auch die Mitarbeitenden der Praxis, die in Ausübung ihrer Tätigkeit auf Patientendaten zugreifen – sofern sie zur Verschwiegenheit verpflichtet wurden, was Du als Praxisbetreiberin dokumentieren musst. Praktisch bedeutet das: Du darfst und musst Patientendaten verarbeiten, um behandeln zu können. Aber Du musst die Verarbeitung dokumentieren, begrenzen, schützen und auf Anfrage nachweisen können. Nicht-Erfüllung führt nicht nur zu Bußgeldern, sondern auch zu zivilrechtlichen Haftungsrisiken gegenüber Patientinnen.

Verzeichnis der Verarbeitungstätigkeiten

Nach Art. 30 DSGVO führst Du ein Verzeichnis aller Verarbeitungstätigkeiten. Für Praxen umfasst das typischerweise:

Patientenakten-Verwaltung (Stammdaten, Befunde, Verlauf)
Terminmanagement (inklusive Erinnerungen per SMS / E-Mail)
Abrechnung (Rechnungsstellung, Zahlungsabwicklung, Mahnwesen)
Dokumentenverwaltung (Befunde, Arztbriefe, Einwilligungen)
Anamnese-Erfassung (online, auf Papier)
Kommunikation (E-Mail, Telefon, Messenger)

Pro Tätigkeit dokumentierst Du Zweck, Rechtsgrundlage, betroffene Personen, Datenkategorien, Empfänger (z. B. Abrechnungsdienst, Steuerbüro), Speicherdauer und Schutzmaßnahmen. Das Verzeichnis ist kein einmaliges Dokument, sondern wird bei jeder wesentlichen Änderung des Workflows aktualisiert – wenn Du einen neuen SMS-Dienst einführst, ist das eine neue Verarbeitungstätigkeit. Vorlagen dazu gibt es bei den Ärztekammern und bei den Datenschutzbehörden der Länder. Viele Kammern haben praxisnahe Muster, die Du direkt befüllen kannst. Nicht Gegenstand dieses Verzeichnisses: interne Personalverwaltung, Lieferantenbeziehungen ohne Patientenbezug, Buchhaltung ohne Patientennamen – das läuft in einem separaten Verzeichnis oder ist für Kleinstunternehmen von der Pflicht ausgenommen.

Auftragsverarbeitungsvertrag (AVV)

Sobald ein externer Dienstleister Patientendaten in Deinem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht. Das betrifft typischerweise: Praxissoftware-Anbieter, Cloud-Hosting-Anbieter, Abrechnungszentren, SMS-Dienste (wie Twilio), E-Mail-Provider, und IT-Dienstleister mit Administrator-Zugriff auf Deine Systeme. Der AVV regelt: welche Daten für welchen Zweck verarbeitet werden, welche technisch-organisatorischen Maßnahmen der Auftragnehmer trifft, ob und welche Subunternehmer eingesetzt werden (und wer diese sind), wie mit Anfragen Betroffener durch den Auftragnehmer umgegangen wird, und welche Kontrollrechte Du als Verantwortliche hast. Ein typischer Fehler: Der AVV wird nachträglich geschlossen, nachdem der Dienstleister bereits auf Patientendaten zugegriffen hat. Das ist ein DSGVO-Verstoß. Mustervorlagen liegen bei allen seriösen Anbietern vor, und in Patientify ist der AVV fester Bestandteil des Onboarding-Prozesses – bevor das erste Datenimport-File hochgeladen wird.

Mehr dazu

Sicherheit und DSGVO

AVV nach Art. 28 DSGVO, Hetzner-Hosting in Deutschland, TLS 1.3 und §203 StGB-konforme Rollen.

Technische und organisatorische Maßnahmen

Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau. Für Praxisdaten ist das Risiko hoch – die technisch-organisatorischen Maßnahmen (TOM) müssen entsprechend sein. Das BSI-Grundschutz-Kompendium liefert eine praxisnahe Orientierung, auch wenn es keine Pflicht zur vollständigen BSI-Zertifizierung gibt. Zu den Kernelementen gehören:

Zutrittskontrolle: physisch – wer betritt die Praxis, wer greift auf Server oder Terminals zu.
Zugangskontrolle: logisch – Benutzerkonten, starke Passwörter, Zwei-Faktor-Authentifizierung.
Zugriffskontrolle: personenbezogene Benutzerzugänge mit Audit-Log, damit jeder Datenzugriff nachvollziehbar bleibt.
Weitergabekontrolle: Verschlüsselung bei Übertragung (TLS 1.3), bei Speicherung (AES-256), bei E-Mail-Versand sensibler Befunde (S/MIME oder PGP).
Eingabekontrolle: Audit-Log, das festhält, wer wann welche Daten angelegt, geändert oder gelöscht hat.
Auftragskontrolle: AVV mit allen Subunternehmern – kein Datenzugriff ohne gültigen Vertrag.
Verfügbarkeit: automatische Backups mit regelmäßigen Wiederherstellungs-Tests, Notfallpläne für Systemausfall.
Trennungskontrolle: Mandanten werden getrennt verwaltet, Testdaten nicht in der Produktivumgebung.

Betroffenenrechte

Patientinnen haben Rechte, die Du kennen und operativ bedienen können musst. Das heißt: Du brauchst einen definierten Prozess, der im Alltag funktioniert – nicht nur ein Konzeptpapier in der Schublade.

Auskunftsrecht (Art. 15): welche Daten werden über sie verarbeitet, woher sie stammen, an wen sie weitergegeben wurden.
Recht auf Berichtigung (Art. 16): falsche Angaben korrigieren.
Recht auf Löschung (Art. 17), mit Ausnahmen für gesetzliche Aufbewahrungsfristen (10 Jahre für Arztunterlagen, §10 Musterberufsordnung).
Recht auf Einschränkung (Art. 18): Daten einfrieren, aber nicht löschen.
Recht auf Datenübertragbarkeit (Art. 20): Export in maschinenlesbarem Format.
Widerspruchsrecht (Art. 21): gegen bestimmte Verarbeitungsformen.

Die meisten Anfragen kommen als Auskunftsanfrage nach Art. 15. Du musst innerhalb eines Monats antworten – bei komplexen Fällen verlängerbar auf drei Monate mit Begründung. Eine Praxissoftware, die Daten pro Patientin vollständig exportieren kann (Stammdaten, Termine, Dokumente, Rechnungen, Audit-Log), senkt den Aufwand erheblich. Der Export sollte in einem Format erfolgen, das die Patientin lesen und ggf. an eine andere Praxis weitergeben kann. In Patientify markiert ein Audit-Log jede Änderung an den Patientendaten – dazu mehr unter /sicherheit.

Datenschutzbeauftragter – wann Pflicht?

Eine Praxis muss nach §38 BDSG einen Datenschutzbeauftragten benennen, wenn zehn oder mehr Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht – was auf Arztpraxen und Therapeuten-Praxen zutrifft, weil Gesundheitsdaten per Definition besondere Kategorien sind. Die Rechtslage ist hier nicht eindeutig für jede Praxisgröße. Einzel- und Zwei-Personen-Praxen sind oft nicht benennungspflichtig, sollten aber einen Ansprechpartner für Datenschutz-Anfragen definieren und intern dokumentieren. Bei Gemeinschaftspraxen mit drei oder mehr Behandlern und Praxismitarbeitenden ist die Bestellung eines externen Datenschutzbeauftragten pragmatisch und im Zweifel kostengünstiger als eine interne Lösung. Externe DSB-Dienstleister für Praxen kosten typischerweise 800 bis 1.800 € pro Jahr – das ist weniger als eine Abmahnung oder ein Bußgeldbescheid der Aufsichtsbehörde.

Die Kurz-Checkliste zum Abhaken

Verzeichnis der Verarbeitungstätigkeiten geführt und aktualisiert
AVV mit Praxissoftware, Hosting, Abrechnungsdienstleistern, SMS-Provider
TOM dokumentiert und regelmäßig geprüft
Rollen- und Rechtemanagement eingerichtet, Zwei-Faktor-Authentifizierung aktiv
Audit-Log aktiv und exportierbar
Backup-Konzept mit Wiederherstellungs-Test
Löschkonzept dokumentiert, Aufbewahrungsfristen berücksichtigt
Datenschutzerklärung auf der Website aktuell
Datenschutzbeauftragter benannt (wenn Pflicht) oder Ansprechpartner definiert
Mitarbeitende zu DSGVO und §203 StGB geschult, Schulung dokumentiert

Diese Liste erhebt keinen Anspruch auf Vollständigkeit für jede Praxisform, deckt aber den Standardrahmen für Privatpraxen ab. Sonderthemen wie Cloud-Dienste außerhalb der EU, genetische Daten, klinische Forschung mit Patientendaten oder Videodiagnose per KI-System erfordern eine vertiefte Prüfung mit einer spezialisierten Kanzlei oder der zuständigen Datenschutz-Aufsichtsbehörde Deines Bundeslandes. Nicht Gegenstand dieser Checkliste: die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, die bei besonders risikoreichen Verarbeitungen Pflicht ist – z. B. bei großangelegter KI-gestützter Diagnoseauswertung.

Häufige Fragen

Fehlt Deine Frage? Schreib uns an info@patientify.io oder im Kontaktformular.

Patientify 14 Tage kostenlos testen.

Ohne Kreditkarte. Datenimport aus Excel, CSV und Vorgänger-Systemen ist Teil des Onboardings.

Kostenlos testen Demo anfragen