Datenschutz in der Ordination und Patientenkommunikation

Von Mag. Sergio Magnus | med.ium 7+8/2025

Als Ärztin bzw. Arzt ist es wichtig, sich bewusst zu machen, dass die Verarbeitung von sensiblen Gesundheitsdaten Teil des Alltags in einer Ordination ist. Die DSGVO sieht darin eine „besondere Kategorie von Personenbezogenen Daten“, die einen sorgsamen Umgang erfordern. Dementsprechend sollte neben der Ärztin oder dem Arzt auch das gesamte Ordinationsteam hinsichtlich den einzuhaltenden Datenschutzbestimmungen eingebunden werden.

Grundlagen der Datenverarbeitung

Ärztinnen und Ärzte sind gesetzlich dazu verpflichtet, über jede Beratung oder Behandlung Aufzeichnungen zu führen. Auch die DSGVO erlaubt Ärztinnen und Ärzten die Verarbeitung von Gesundheitsdaten, da sie ohnehin der Geheimhaltungspflicht unterliegen. Zusätzlich ergibt sich die Pflicht zur Dokumentation auch aus dem Behandlungsvertrag mit der Patientin oder dem Patienten.

Wichtig: Auch wenn die Verarbeitung erlaubt ist, braucht es für die Weitergabe an andere Ärztinnen und Ärzte oder Einrichtungen in der Regel die Einwilligung der betroffenen Person. Diese kann schriftlich aber auch mündlich erfolgen. Im Falle einer mündlichen Einwilligung ist aus Beweisgründen eine Dokumentation empfehlenswert.

Auskunftsrechte von Patientinnen und Patienten

Patientinnen und Patienten haben das Recht zu erfahren, welche personenbezogene Daten über sie verarbeitet und gespeichert werden. Dabei gibt es zwei Unterscheidungen: 

1. Ein „offizieller“ Antrag auf Auskunft gemäß der DSGVO. Bei diesem Ansuchen ist der Arbeitsaufwand größer, da die Norm der Antragstellerin, dem Antragsteller (= Patientin bzw. Patienten) die Beantwortung mehrerer konkreter Fragen gewährt.
2. Lediglich ein Interesse an einer bestehenden Gesundheitsakte und dem Ersuchen um eine Auskunft darüber. 

Bitte berücksichtigen Sie, dass laut dem EuGH-Urteil (C-307/22) Patientinnen und Patienten sowie berechtigte Angehörige Anspruch auf eine erste kostenlose Kopie der Patientenakte – auch ohne Angabe von Gründen – haben.

Wann und wie sind Patientendaten zu löschen?

Patientendaten sind so lange aufzubewahren, so lange es einen Zweck und eine Rechtsgrundlage dafür gibt. Das Ärztegesetz sieht einen Zeitraum von mindestens 10 Jahren vor. In welcher Form die Löschung erfolgt, ist der Ärztin bzw. dem Arzt überlassen. Die Daten sollen jedenfalls nicht mehr abrufbar oder vollständig anonymisiert sein.

Was muss ich als Ärztin oder Arzt bei der Patientenkommunikation besonders berücksichtigen?

Im Rahmen der Gesprächsführung ist sicherzustellen, dass persönliche Gespräche nicht von unbefugten Dritten mitgehört werden können. Dies betrifft vor allem den Empfangsbereich aber auch die Behandlungsräume. Das Aufrufen von Patientinnen und Patienten mit Namen wird grundsätzlich als unproblematisch angesehen. 

Infolge der Datenübermittlung ist sicherzustellen, dass diese den jeweiligen gesetzlichen Bestimmungen (insb. Datenschutz-Grundverordnung, Datenschutzgesetz, Gesundheitstelematikgesetz) entsprechen. Bei Telefonauskünften ist Vorsicht geboten. Sollten Befundergebnisse telefonisch mitgeteilt werden, muss zwingend ein sicheres Identifikationsverfahren, etwa ein Patientenpasswort, eingeführt werden, um die Weitergabe sensibler Daten an Unbefugte zu verhindern. Übermittlungen mittels E-Mail darf nur in verschlüsselter Form erfolgen. Seit Anfang 2025 ist die Aussendung von Gesundheitsdaten per Fax ausnahmslos unzulässig. Terminerinnerungen per SMS setzen eine ausdrückliche Einwilligung der Patientin bzw. des Patienten voraus.

Wie verhalte ich mich richtig im Falle einer Datenschutzverletzung?

Wenn Daten gestohlen, verloren, unberechtigt kopiert, geändert oder gelöscht wurden, handelt es sich um eine Datenschutzverletzung. Im Praxisalltag kann es vorkommen, dass Patientendaten versehentlich gelöscht oder vertauscht werden, ein Ordinationslaptop verloren geht oder man einem Hackerangriff zum Opfer fällt. Dabei ist es unerheblich, ob es sich um digitale oder analoge Daten handelt.

Kommt es zu einer Datenschutzverletzung, muss schnell reagiert und die Datenschutzbehörde innerhalb von 72 Stunden benachrichtigt werden. Ein entsprechendes Meldeformular stellt die Datenschutzbehörde auf deren Website bereit. Ggf. sind auch die betroffenen Patienten zu informieren.

Benötige ich als Ordinationsstättenbetreiberin oder Ordinationsstättenbetreiber einen Datenschutzbeauftragten?

Die Bestellung eines Datenschutzbeauftragten ist u.a. dann erforderlich, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (z.B. Gesundheitsdaten) besteht. Bei einer Einzelordination wird in der Regel nicht davon ausgegangen. 

In Gruppenpraxen, Primärversorgungseinrichtungen und Ordinationen mit angestellten Ärzten sowie gemeinsamer Patientenverwaltung ist durch eine interne Prüfung zu klären, ob eine umfangreiche Datenverarbeitung vorliegt. Die Österreichische Ärztekammer empfiehlt jedenfalls ab mehr als 10 Vollzeitäquivalenten mit Datenzugriff oder über 5.000 verschiedenen Patienten pro Kalenderjahr die Bestellung eines Datenschutzbeauftragten.

Nähere Informationen zum Thema Datenschutz in der Ordination und Patientenkommunikation finden Sie auch auf unserer Homepage.