Zurück zum Blog
ComplianceDatenschutzArztpraxisSchweiznDSG

Datenschutz in der Arztpraxis: praktischer Leitfaden für Montagmorgen

Clinika OS··6 Min. Lesezeit

Die meisten Datenschutzleitfäden sind von Juristen für Juristen geschrieben. Dieser hier ist für die Person, die am Montagmorgen tatsächlich die Arztpraxis aufschliesst. Der gesetzliche Rahmen zählt — wichtiger ist aber der alltägliche Umgang mit Patientendaten: Wer sieht was, wie lange bleiben die Daten gespeichert, und was tun Sie, wenn ein Patient anruft und sagt: „Löschen Sie meine Akte"?

Der Leitfaden richtet sich an Schweizer Arztpraxen und Kliniken, die Prinzipien gelten aber genauso in Deutschland, Österreich und im EU-Raum. Wo schweizerisches und EU-Recht auseinandergehen, weisen wir darauf hin.

Die fünf Kategorien von Patientendaten

Jede Arztpraxis, auch die kleinste, hält fünf unterscheidbare Kategorien von Daten. Sie als einen einzigen Klumpen zu behandeln, bringt Praxen zuerst in Schwierigkeiten. Sortieren Sie sie gedanklich — und idealerweise auch in Ihrer Software — wie folgt:

  1. Identitätsdaten — vollständiger Name, Geburtsdatum, AHV-/Sozialversicherungsnummer, Ausweisnummer.
  2. Kontaktdaten — Adresse, Telefon, E-Mail, Notfallkontakt.
  3. Klinische Daten — Diagnosen, Behandlungsnotizen, Rezepte, Laborbefunde, Bildgebung, Allergien. Das ist die „besonders schützenswerte" Kategorie.
  4. Finanzdaten — Rechnungen, Versicherungspolicennummern, IBAN bei Lastschriften, offene Saldi.
  5. Marketing-Einwilligungen — ob die Patientin oder der Patient Newsletter, Nachsorge oder Geburtstagsmeldungen wünscht, und wann die Einwilligung erteilt (oder widerrufen) wurde.

Jede Kategorie hat eigene Zugriffsregeln, Aufbewahrungsfristen und Risiken. Werden sie vermischt, sieht eine MPA plötzlich den HIV-Status eines Patienten, während sie nur eine Telefonnummer suchte.

Wer darf was sehen: rollenbasierter Zugriff

Das gesetzliche Prinzip heisst Datenminimierung: Jede Mitarbeiterin und jeder Mitarbeiter sieht nur, was die Funktion verlangt.

Eine brauchbare Standardkonfiguration für eine kleine Arztpraxis:

  • Empfang / Administration — Identität, Kontakt, Termine, Rechnungsstatus. Keine klinischen Notizen. Keine Diagnosen.
  • Behandelnde Personen — vollständige Krankenakte für die eigenen Patienten; voller Zugriff bei geteilten Fällen; Lesezugriff auf nicht geteilte Fälle von Kollegen, wenn klinisch nötig.
  • Inhaberin / Praxisleitung — Finanzberichte, Audit-Logs, Benutzerverwaltung. Klinische Notizen nur, wenn auch behandelnd tätig.
  • Treuhänder / Buchhalter — Rechnungen und Finanzauswertungen. Niemals klinische Inhalte. Schriftlicher Auftragsbearbeitungsvertrag Pflicht.

Ihre Software sollte das trivial konfigurierbar machen. Wenn alle in der Praxis denselben Account nutzen, ist das ein Compliance- und ein Sicherheitsproblem.

Aufbewahrungsfristen, die Sie wirklich kennen müssen

Die Aufbewahrung von Schweizer Krankenakten ergibt sich aus kantonalem Gesundheitsrecht, dem Obligationenrecht und dem nDSG. Die Zahlen, die Sie sich merken sollten:

  • Akten erwachsener Patienten: 10 Jahre nach Behandlungsende in den meisten Kantonen (einzelne — z. B. Zürich — verlangen 20). Im Zweifel 20 Jahre als Default.
  • Akten minderjähriger Patienten: 20 Jahre nach Erreichen der Volljährigkeit, also bis zum Alter von 38.
  • Rechnungen und Buchhaltungsbelege: 10 Jahre nach Art. 958f OR.
  • Marketing-Einwilligungen: solange die Einwilligung gültig ist, plus eine angemessene Beweisfrist (3 Jahre als Standard).

In Deutschland gelten unter Bundesrecht und ärztlicher Berufsordnung in der Regel 10 Jahre, in der EU richtet sich die Frist nach nationalem medizinrechtlichen Aufbewahrungsrecht — dieses geht der DSGVO-Regel „nicht länger als nötig" für Krankenakten immer vor.

Nach Ablauf der Frist sind Sie verpflichtet, die Daten zu löschen oder zu anonymisieren — nicht „auf Vorrat" zu behalten. Längere Aufbewahrung ist selbst eine Verletzung.

Wenn ein Patient seine Akte verlangt: 5-Schritte-Workflow

Patienten haben ein Auskunftsrecht (Art. 25 nDSG, Art. 15 DSGVO). Beim ersten Mal ist es stressig; mit einem Workflow dauert es 30 Minuten.

  1. Identität prüfen. Verlangen Sie bei nicht persönlich vorsprechenden Personen eine Ausweiskopie. Niemals Akten auf Basis einer E-Mail-Signatur herausgeben.
  2. Schriftlicher Empfang innerhalb von 5 Werktagen. Eine kurze Antwort genügt: „Ihre Anfrage vom [Datum] ist eingegangen, wir antworten innerhalb der gesetzlichen Frist von 30 Tagen."
  3. Akte zusammenstellen. Nutzen Sie die Exportfunktion Ihrer Software. Identität, Kontakt, klinische Notizen, Laborbefunde, Rezepte und Liste der Empfänger, an die Daten weitergegeben wurden, einbeziehen.
  4. Wo zulässig schwärzen. Sie dürfen Angaben schwärzen, die Dritte identifizieren (z. B. ein in den Notizen erwähntes Familienmitglied) oder die psychische Gesundheit der betroffenen Person beeinträchtigen würden (selten; Begründung dokumentieren).
  5. In nutzbarem Format ausliefern und protokollieren. PDF ist akzeptabel. Anfrage und Antwort im Audit-Log eintragen. Erste Anfrage kostenlos.

Wenn ein Patient die Löschung verlangt

Das Recht auf Löschung besteht (Art. 32 nDSG, Art. 17 DSGVO), wird bei Krankenakten aber fast immer durch die gesetzliche Aufbewahrungspflicht überlagert. Die korrekte Antwort ist selten eine vollständige Löschung.

Praktische Antworten:

  • Marketing-Einwilligung — ja, sofortige Austragung, ohne Rückfrage.
  • Alte Kontaktdaten — ja, ersetzen durch einen Minimaldatensatz („Patient zuletzt 2017 gesehen, Marketing abgemeldet").
  • Klinische Akte während der Aufbewahrungsfrist — nein. Erläutern Sie schriftlich, dass die Aufbewahrung kantonsrechtlich zwingend ist; bieten Sie an, die Akte aus der aktiven Nutzung zu sperren.
  • Klinische Akte nach Ablauf der Frist — ja. Das ist überfällige Hausarbeit, kein Sonderwunsch.

Jede Ablehnung schriftlich mit Rechtsgrundlage dokumentieren. Ablehnen ohne Begründung führt zu Anzeigen beim EDÖB.

Die langweilige, aber zwingende Sicherheits-Liste

Die meisten Datenschutzverletzungen im Gesundheitswesen sind keine ausgeklügelten Angriffe. Es sind gestohlene Notebooks, geteilte Passwörter und „ich hab den Bildschirm nur eine Sekunde offen gelassen".

  • Verschlüsselung im Ruhezustand und in Übertragung — AES-256 auf der Datenbank, TLS 1.2+ auf jeder Verbindung. Ihre Software soll das tun; schriftlich verifizieren.
  • Persönliche Konten, kein Sharing — jede Person hat ein eigenes Login. Geteilte Konten machen Audit-Logs wertlos.
  • Starke, einzigartige Passwörter und 2FA — mindestens für Behandelnde und Admins. Ein Passwort-Manager kostet weniger als eine Datenschutzverletzung.
  • Automatischer Sitzungsbildschirm-Sperre — 5 Minuten Idle-Timeout an geteilten Arbeitsplätzen.
  • Regelmässige Off-Site-Backups — mindestens täglich, verschlüsselt, mit echtem Restore-Test einmal pro Jahr.
  • Aktuelle Betriebssysteme — automatische Updates aktiv, Antivirus installiert.
  • Abschliessbare Schränke für das verbliebene Papier, und ein Aktenvernichter für das, was weggeworfen wird.

Die E-Mail- und WhatsApp-Falle

Eine Terminerinnerung per E-Mail oder WhatsApp ist ein Datentransfer in ein Drittland. Sowohl Gmail als auch WhatsApp speichern auf US-Servern; beide unterstehen dem CLOUD Act.

Die Falle: Eine SMS „Erinnerung: Termin Dienstag 14:00 bei Dr. Müller für Ihre dermatologische Kontrolle" kombiniert in einer Nachricht Identität, Kontakt und klinische Datenkategorie. Das ist ein Transfer besonders schützenswerter Daten an US-Infrastruktur.

Sicherere Muster:

  • SMS oder In-App-Benachrichtigungen über einen Schweizer oder EU-Anbieter verwenden (die meisten modernen Praxissoftware-Lösungen bieten das).
  • Erinnerungsinhalt nicht-klinisch halten: „Erinnerung: Termin Dienstag 14:00. Antworten Sie STOPP zum Abmelden." Keine Fachrichtung, möglichst kein Arztname.
  • Ausdrückliche Einwilligung für WhatsApp- / E-Mail-Erinnerungen einholen, dokumentieren, und SMS als Standard anbieten.
  • Niemals Diagnosen, Rezepte oder Befunde per E-Mail oder WhatsApp. Stattdessen Patientenportal.

Die Frage nach dem Hosting-Standort, in einem Absatz

Wer einen Vertrag mit einem Praxissoftware-Anbieter unterschreibt, kauft nicht nur ein Werkzeug — er wählt ein Land, dessen Recht für die Patientendaten gelten wird. Lesen Sie den Vertrag und stellen Sie schriftlich diese eine Frage: „In welchen physischen Rechenzentren und in welchen Ländern werden Patientendaten gespeichert, einschliesslich Backups?" Lautet die Antwort „Schweiz und nur Schweiz", sind Sie in der stärksten Position. Lautet sie „EU", sind Sie gut aufgestellt. Lautet sie „Vereinigte Staaten" oder „wir wissen es nicht", haben Sie Ihre Antwort.

Aktionsliste auf einer Seite

Wenn Sie diesen Monat sonst nichts tun:

  • Rollen in Ihrer Software so konfigurieren, dass nur Behandelnde klinische Notizen sehen.
  • Auditieren, wer das Admin-Passwort kennt — und ändern, falls jemand gegangen ist.
  • Schriftlich bestätigen lassen, wo Ihre Software Daten speichert.
  • Klinische Inhalte in E-Mail und WhatsApp einstellen; auf Portal oder nicht-klinische SMS umstellen.
  • Eine einseitige Datenschutzerklärung schreiben und am Empfang aushängen.
  • Kalendererinnerung für nächstes Jahr setzen, um abgelaufene Akten zu löschen.

Datenschutz in einer kleinen Arztpraxis ist nicht glamourös. Aber die Praxen, die ihn ernst nehmen, sind auch die, die Patientinnen und Patienten weiterempfehlen — und das ist die Art von Compliance, die sich am Ende auszahlt.

Datenschutz in der Arztpraxis: praktischer Leitfaden für Montagmorgen | Clinika OS