Datenschutz Arztpraxis Hamburg — Kassenärztliche Vereinigung und DSGVO
Gesundheitsdaten, ärztliche Schweigepflicht und Datenschutz und Informationsfreiheit — Datenschutzbeauftragter für Ihre Praxis
Erfahrung mit Arztpraxen, MVZ und Pflegeeinrichtungen in Hamburg
Datenschutz-Risiken in der Arztpraxis
Gesundheitsdaten = höchstes Bußgeldrisiko
Patientendaten sind besondere Kategorien nach Art. 9 DSGVO. Verstöße werden härter bestraft — bis zu 4 % des Jahresumsatzes. Der HmbBfDI hat Gesundheitsdaten auf seiner Blacklist für Datenschutz-Folgenabschätzungen.
Schweigepflicht + DSGVO = doppelte Haftung
§ 203 StGB (Schweigepflicht) und DSGVO gelten parallel. Ein Datenleck kann gleichzeitig strafrechtlich und datenschutzrechtlich verfolgt werden — mit persönlicher Haftung.
Telematikinfrastruktur ohne Datenschutzkonzept
ePA, E-Rezept, Videosprechstunde — jede digitale Erweiterung bringt neue Datenschutzpflichten. Ohne systematische DSFA und VVT drohen empfindliche Strafen.
Persönliche Beratung + digitale Plattform
frag.hugo kombiniert persönliche Datenschutzberatung durch zertifizierte Datenschutzexperten mit einer digitalen Plattform für Ihr komplettes Datenschutzmanagement.
Warum Unternehmen in Hamburg sich für frag.hugo entscheiden
Gesundheitsdaten-Expertise
Art. 9 DSGVO, DSFA für ePA, ärztliche Schweigepflicht — wir kennen die besonderen Anforderungen im Gesundheitswesen.
DSFA inklusive
Datenschutz-Folgenabschätzung für Ihre elektronische Patientenakte — vom HmbBfDI gefordert.
Praxissoftware-Check
PVS, TI-Konnektor, Terminbuchung — wir prüfen Ihre Systeme auf DSGVO-Konformität.
Team-Schulung
Kurze, praxisnahe Schulungen für Ihr Praxisteam — zum richtigen Umgang mit Patientendaten.
Ab 149 €/Monat
Externer DSB günstiger als jede Abmahnung oder DSFA-Nachforderung.
Persönlich in Hamburg
Vor-Ort-Termine in Ihrer Praxis, Nils kennt den HmbBfDI und seine Erwartungen.
Datenschutz in der Arztpraxis — ärztliche Datenverarbeitung gesetzlich konform
Praxis-Audit
Alle Datenverarbeitungen erfassen: PVS, Labor, Abrechnung, Online-Terminbuchung, Kommunikation.
DSFA + Dokumentation
Datenschutz-Folgenabschätzung, VVT und AVV — vollständig und prüfungssicher.
Team-Schulung
Ihre MFA und Ärzte lernen den richtigen Umgang mit Patientendaten im Praxisalltag.
Laufende Betreuung
Ansprechpartner für Datenschutzfragen, TI-Updates und Behördenkommunikation.
Das sagen unsere Mandanten
„Innerhalb von 24 Stunden war klar, dass wir die Umfrage datenschutzkonform durchführen können. So schnell hat noch kein Berater reagiert.“
„Fünf Tage vor unserer TÜV-Rezertifizierung fehlten uns die IT-Risikoanalyse und der Notfallplan. Nils hat das übers Wochenende geliefert. Der Auditor war begeistert.“
„Wir dachten, wir sind zu klein für einen externen DSB. Drei Mitarbeiter, Videoagentur. Aber unsere Auftraggeber aus dem Gesundheitswesen verlangten plötzlich AVVs und Nachweise. Nils hatte das in zwei Tagen aufgesetzt.“
„Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen — ohne dabei den Geschäftsbetrieb einzustellen.“
Nils Oehmichen — Geschäftsführer & Datenschutzberater, frag.hugo
Inhalt in Kürze
- Arztpraxen in Hamburg verarbeiten Gesundheitsdaten nach Art. 9 DSGVO — die sensibelste Kategorie personenbezogener Daten mit dem höchsten Bußgeldrisiko.
- Die ärztliche Schweigepflicht (§ 203 StGB) und die DSGVO gelten parallel. Ein Datenleck kann strafrechtlich und datenschutzrechtlich verfolgt werden.
- Der HmbBfDI fordert für Praxen mit elektronischer Patientenakte (ePA) eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.
- frag.hugo bietet Datenschutz für Arztpraxen, MVZ und Psychotherapeuten ab 149 €/Monat — persönlich in Hamburg durch Nils Oehmichen.
Gesundheitsdaten: Die sensibelsten Daten überhaupt
In keiner Branche sind personenbezogene Daten so sensibel wie im Gesundheitswesen. Diagnosen, Befunde, Laborwerte, Therapiepläne — all das sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, die dem höchsten Schutzniveau unterliegen. Die Rechtsgrundlage für die Verarbeitung dieser Daten ergibt sich aus Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) — aber nur unter strengen Voraussetzungen.
Gleichzeitig stehen Arztpraxen unter Druck, ihre Prozesse zu digitalisieren: elektronische Patientenakte (ePA), Online-Terminbuchung, Videosprechstunde, digitale Befundübermittlung. Jede dieser Technologien bringt neue datenschutzrechtliche Anforderungen mit sich. Die Kassenärztliche Vereinigung Hamburg stellt hierzu Leitfäden bereit, die jedoch die individuelle Praxissituation nicht ersetzen.
Datenschutz und Informationsfreiheit — ärztliche Schweigepflicht und DSGVO in der Praxis
Ärztliche Schweigepflicht und Datenschutzrecht — zwei Regelwerke, ein Ziel
Die ärztliche Schweigepflicht nach § 203 StGB und die DSGVO schützen Patientendaten aus unterschiedlichen Perspektiven. Die Schweigepflicht ist strafrechtlich verankert und schützt das Vertrauensverhältnis zwischen Arzt und Patientin oder des Patienten. Die EU-Datenschutzgrundverordnung reguliert die technisch-organisatorische Datenverarbeitung.
Wichtig: Ein DSGVO-konformer Datenschutz ersetzt nicht die Schweigepflicht — und umgekehrt. Beides muss parallel beachtet werden. Ein Datenleck in der Praxis kann sowohl ein DSGVO-Verstoß als auch eine Verletzung der Schweigepflicht sein. Die zuständige Aufsichtsbehörde in Hamburg ist der HmbBfDI, der regelmäßig einen Tätigkeitsbericht zum Datenschutz im Gesundheitsbereich veröffentlicht.
Datenschutz-Folgenabschätzung (DSFA) für Arztpraxen
Der HmbBfDI hat die umfangreiche Verarbeitung von Gesundheitsdaten auf seine Blacklist gesetzt. Das bedeutet: Arztpraxen mit elektronischer Patientenakte müssen eine DSFA nach Art. 35 DSGVO durchführen. Ein Datenschutzbeauftragter ist hierbei gesetzlich beteiligungspflichtig.
Die DSFA umfasst im Einzelfall:
- Beschreibung der Verarbeitungsvorgänge und des Zwecks
- Bewertung der Risiken für die betreffenden personenbezogenen Daten
- Maßnahmen zur Eindämmung dieser Risiken
- Dokumentation und regelmäßige Überprüfung
Elektronische Patientenakte (ePA) und Datenschutz
Seit 2025 erhalten alle gesetzlich Versicherten automatisch eine ePA über ihre Krankenkasse — es sei denn, sie widersprechen (Opt-out). Für Arztpraxen bringt die ePA neue datenschutzrechtliche Pflichten:
- Einwilligung prüfen: Vor dem Befüllen der ePA muss die Einwilligung der Patientin oder des Patienten vorliegen
- Zugriffskontrolle: Nur medizinisch berechtigte Personen dürfen auf gespeicherte Daten zugreifen
- Widerrufen: Patientendaten können jederzeit widerrufen und aus der ePA entfernt werden
- Übermittlung: Die Weitergabe von Daten an andere Leistungserbringer muss transparent dokumentiert werden
Praxissoftware und Telematikinfrastruktur
Die Anbindung an die Telematikinfrastruktur (TI) ist für Vertragsärzte verpflichtend. Der Konnektor, die elektronische Gesundheitskarte (eGK) und das E-Rezept bringen zusätzliche Anforderungen an Einhaltung der Datenschutzvorschriften:
- Zugriffsprotokollierung — Wer hat wann auf welche Patientendaten zugegriffen?
- Verschlüsselung — Patientendaten müssen auf dem Server und bei der Übermittlung verschlüsselt sein
- Zugriffskontrolle — Nur berechtigte Mitarbeiter dürfen auf Patientendaten zugreifen
- Datensicherung — Regelmäßige Backups mit verschlüsselter Aufbewahrung
Datenverarbeitung in der Arztpraxis — welche Dokumente und Daten verarbeitet ein Arzt?
Im Rahmen der Behandlung werden umfangreiche personenbezogene Daten verarbeitet:
- Stammdaten: Name, Geburtsdatum, Adresse, Kontaktdaten, Versicherungsnummer
- Medizinische Daten: Diagnose, Befund, Laborwerte, Therapiepläne, ärztliche Berichte
- Abrechnungsdaten: Kassenärztliche Abrechnung, Privatrechnungen, Überweisungen
- Kommunikationsdaten: Patienteninformation, E-Mails, Terminvereinbarungen
- Dokumente: Einverständniserklärungen, Patientenakte, Arztbriefe, Unterschrift
Die Rechtsgrundlage für die Verarbeitung ihrer personenbezogenen Daten ergibt sich primär aus dem Behandlungsvertrag (Art. 6 Abs. 1 lit. b DSGVO) in Verbindung mit Art. 9 Abs. 2 lit. h DSGVO. Für die Wahrnehmung ihrer Rechte gemäß DSGVO — Auskunft, Berichtigung, Einschränkung, Löschung — können Patienten sich schriftlich oder per E-Mail an die Praxis wenden.
Aufbewahrungsfristen für Patientendaten
Die Aufbewahrungsfristen für Patientendaten ergeben sich aus verschiedenen Rechtsquellen:
| Dokument | Frist | Rechtsgrundlage |
|---|---|---|
| Patientenakte | 10 Jahre | § 630f Abs. 3 BGB |
| Röntgenbilder | 10 Jahre | RöV § 28 |
| Abrechnungsunterlagen | 10 Jahre | § 257 HGB |
| Betäubungsmittelbuch | 3 Jahre | BtMVV § 13 |
| Arbeitsunfähigkeitsbescheinigungen | 1 Jahr | SGB V |
Nach Ablauf der Aufbewahrungsfristen müssen Patientendaten gelöscht oder sicher vernichtet werden. Ohne systematisches Löschkonzept riskieren Praxen Beschwerden bei der Datenschutzbehörde.
Typische Datenschutz-Lücken in Hamburger Arztpraxen
- Kein Verarbeitungsverzeichnis — Viele Praxen wissen nicht, dass ein VVT auch für sie Pflicht ist
- Fehlende AVV — Mit Labor, Abrechnungsdienstleister, IT-Betreuer und Cloud-Diensten fehlen häufig Auftragsverarbeitungsverträge
- Offene Patientenakten — Bildschirme in Empfangsbereichen zeigen Patientendaten, ohne Sichtschutz
- WhatsApp im Praxisalltag — Interne Kommunikation über WhatsApp verstößt gegen DSGVO und Schweigepflicht
- Keine Löschfristen — Patientendaten werden nach Behandlungsende nicht systematisch gelöscht
- Fehlende Patienteninformation — Informationspflichten nach Art. 13 DSGVO werden bei der Aufnahme nicht erfüllt
- Ungesicherte Entsorgung — Papierakten werden über den Hausmüll statt über zertifizierte Vernichtung entsorgt
Einwilligung und Datenfreigabe — Verarbeitung ihrer personenbezogenen Daten beim Arzt
Eine häufige Frage: Dürfen Praxen die Behandlung verweigern, wenn Patienten der Datenverarbeitung nicht zustimmen? Die Antwort ist differenziert: Die Verarbeitung von Gesundheitsdaten ist für die Behandlung zulässig und erforderlich (Art. 9 Abs. 2 lit. h DSGVO). Eine gesonderte Einwilligung ist dafür nicht nötig. Anders sieht es bei der Weitergabe von Daten an Dritte oder bei der Nutzung für Forschungszwecke aus — hier ist die ausdrückliche Einwilligung Pflicht und kann jederzeit widerrufen werden.
Die verantwortliche Praxis muss in jedem Einzelfall prüfen, ob die Datenverarbeitung auf eine gesetzliche Grundlage gestützt werden kann. Die Ärztekammer Hamburg hat hierzu Empfehlungen veröffentlicht.
Unser Datenschutz-Paket für Arztpraxen
- Praxis-Audit — Erfassung aller Datenverarbeitungen in Ihrer Praxis
- VVT und AVV — Vollständige Dokumentation aller Verarbeitungstätigkeiten und Dienstleister
- DSFA — Datenschutz-Folgenabschätzung für Ihre elektronische Patientenakte
- Mitarbeiterschulung — Praxisteam und Psychotherapeuten für den richtigen Umgang mit Patientendaten schulen
- Laufende Betreuung — Datenschutzbeauftragter als Ansprechpartner für Datenschutzfragen, TI-Updates und Behördenkommunikation
Prüfen Sie vorab kostenlos den Datenschutz Ihrer Praxis-Website mit dem Hugo Check. Oder vereinbaren Sie ein Erstgespräch mit Nils Oehmichen — persönlich in Hamburg.
→ Alle Leistungen im Überblick | Kontakt
Auch in Ihrer Region
Neben Hamburg betreuen wir Arztpraxen und MVZ in der gesamten Metropolregion und darüber hinaus:
- Datenschutzbeauftragter Norderstedt – Arztpraxen, MVZ & Medizintechnik
- Datenschutzbeauftragter Lübeck – UKSH, Dräger & Uniklinik
- Datenschutzbeauftragter Pinneberg – Regio Kliniken & Gesundheitswesen
- Datenschutzbeauftragter Schwerin – Helios Kliniken & Pflegeeinrichtungen
- Datenschutzbeauftragter Lüneburg – Städtisches Klinikum & Praxen
- Datenschutzbeauftragter Oldenburg – Klinikum Oldenburg & Pius-Hospital
Datenschutz Arztpraxis und Kassenärztliche Vereinigung Hamburg — FAQ
In der Regel ja. Sobald mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, besteht eine Benennungspflicht nach § 38 BDSG. Zudem verarbeiten Arztpraxen Gesundheitsdaten nach Art. 9 DSGVO — bei umfangreicher Verarbeitung besonderer Kategorien kann die Pflicht auch bei weniger Mitarbeitern greifen. Ein externer DSB ist für Praxen besonders sinnvoll.
Gesundheitsdaten zählen zu den besonderen Kategorien nach Art. 9 DSGVO und unterliegen einem grundsätzlichen Verarbeitungsverbot mit eng definierten Ausnahmen. In der Arztpraxis ist die Verarbeitung über Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) zulässig, erfordert aber erhöhte technische und organisatorische Maßnahmen (Verschlüsselung, Zugriffskontrolle, Protokollierung).
Ja, in den meisten Fällen. Die Verarbeitung von Gesundheitsdaten in großem Umfang steht auf der Blacklist des HmbBfDI. Praxen mit elektronischer Patientenakte, Online-Terminbuchung und digitaler Befundübermittlung sollten eine DSFA nach Art. 35 DSGVO durchführen.
Die Praxisverwaltungssoftware (PVS) muss dem Stand der Technik entsprechen: Verschlüsselung der Datenbank, rollenbasierte Zugriffskontrolle, Protokollierung aller Zugriffe, regelmäßige Updates. Für die Telematikinfrastruktur (TI) gelten zusätzlich die Vorgaben der gematik. Wir prüfen Ihre PVS auf DSGVO-Konformität.
Unser Starter-Paket ab 149 €/Monat deckt die DSGVO-Grundpflichten einer Einzelpraxis ab. Für Gemeinschaftspraxen und MVZ empfehlen wir das Professional-Paket ab 299 €/Monat, das DSFA-Begleitung und individuelle Richtlinien umfasst.
Die Kassenärztliche Vereinigung Hamburg bietet Leitfäden zum Datenschutz und Informationsfreiheit für Arztpraxen, ersetzt aber keine individuelle Datenschutzberatung. Im Einzelfall müssen Praxen die Verarbeitung ihrer personenbezogenen Daten prüfen — von der Patienteninformation über die Einwilligung bis zu ärztlichen Dokumenten. Der HmbBfDI als Aufsichtsbehörde für Datenschutz und Informationsfreiheit veröffentlicht regelmäßig einen Tätigkeitsbericht mit Empfehlungen für ärztliche Praxen. Ein externer Datenschutzbeauftragter unterstützt Sie bei der Einhaltung aller gesetzlichen Anforderungen.
Jede Arztpraxis benötigt folgende Dokumente für die DSGVO-Compliance: Verarbeitungsverzeichnis, Datenschutzerklärung, Patienteninformation nach Art. 13 DSGVO, Einwilligungserklärungen für die Datenverarbeitung über den Behandlungsvertrag hinaus und AVV mit allen Dienstleistern. Bei Gesundheitsdaten ist zusätzlich eine DSFA erforderlich. Die verantwortliche Praxis muss die Wahrnehmung ihrer Rechte gemäß DSGVO gewährleisten — einschließlich Auskunft, Berichtigung und Einschränkung der personenbezogener Daten. Befunde und medizinische Dokumente unterliegen gesetzlichen Aufbewahrungsfristen und Vernichtungspflichten.
Psychotherapeuten verarbeiten besonders sensible Gesundheitsdaten und unterliegen der ärztlichen Schweigepflicht. Die Kassenärztliche Vereinigung Hamburg fordert die Einhaltung aller datenschutzrechtlichen Anforderungen auch für die Patientin oder des Patienten in der Psychotherapie. Die Einwilligung zur Datenverarbeitung, die Übermittlung von Befunden an zuweisende Ärzte und die schriftliche Dokumentation der Behandlung erfordern besondere Sorgfalt. Ein Datenschutzbeauftragter mit Erfahrung im Gesundheitswesen berät Sie zur rechtskonformen Weitergabe von Daten und zur Einhaltung der EU-Datenschutzgrundverordnung.
besondere Datenkategorie
Bußgelder bei unseren Mandanten
Meldefrist bei Datenpannen
Der HmbBfDI führt zunehmend anlasslose Prüfungen bei Arztpraxen durch. Gesundheitsdaten stehen auf der DSFA-Blacklist. Wer jetzt nicht handelt, riskiert empfindliche Strafen.
Jetzt absichern — Erstgespräch buchenInformationssicherheit & Datenschutz in Hamburg
Hamburg ist einer der wichtigsten Wirtschaftsstandorte Deutschlands. Ob Logistik, Maritime Wirtschaft, Medien, E-Commerce oder Finanzdienstleister — jede Branche hat eigene Datenschutzanforderungen.
Als Unternehmen mit Sitz in Hamburg kennen wir den lokalen Markt und die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI). Wir wissen, wie die Behörde arbeitet und worauf sie bei Prüfungen achtet.
Unser Büro in der Spaldingstraße 64-68, 20097 Hamburg steht Ihnen für persönliche Vor-Ort-Termine offen.
Nils Oehmichen & Jens Hagel — Ihre Ansprechpartner
Jetzt Erstgespräch vereinbaren
Oder: Lassen Sie Ihre Website kostenlos prüfen — in 60 Sekunden wissen Sie, wo Sie stehen.
Unverbindlich, persönlich, ohne versteckte Kosten.
