Inhaltsverzeichnis
- Höchster Schutz: Gesundheitsdaten unterliegen Art. 9 DSGVO -- die Verarbeitung ist grundsätzlich verboten, außer bei expliziter Rechtsgrundlage.
- WhatsApp, SMS, E-Mail: Für die Übermittlung von Patientendaten nicht DSGVO-konform -- Bußgelder bis 20 Mio. Euro oder 4% Jahresumsatz möglich.
- AVV ist Pflicht: Jeder externe Dienstleister, der Patientendaten verarbeitet, benötigt einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO).
- EU-Hosting: Patientendaten dürfen nur auf Servern innerhalb der EU/des EWR gespeichert werden -- US-Cloud-Dienste sind problematisch.
- Sichere Alternative: Eine Online-Rezeption mit EU-Hosting, AVV und Verschlüsselung erfüllt alle DSGVO-Anforderungen und reduziert gleichzeitig Telefonanrufe um 60-75%.
1. Gesundheitsdaten und Art. 9 DSGVO: Warum der Schutz so hoch ist
Die Datenschutz-Grundverordnung (DSGVO) unterscheidet klar zwischen "normalen" personenbezogenen Daten und sogenannten besonderen Kategorien personenbezogener Daten. Gesundheitsdaten gehören zur zweiten Gruppe -- und genießen damit den höchsten Schutzstandard, den das europäische Datenschutzrecht kennt.
Art. 9 Abs. 1 DSGVO -- Verbot der Verarbeitung besonderer Kategorien
Die Verarbeitung von Gesundheitsdaten ist grundsätzlich verboten. Eine Verarbeitung ist nur zulässig, wenn eine der Ausnahmen nach Art. 9 Abs. 2 DSGVO greift -- etwa die ausdrückliche Einwilligung des Patienten (Abs. 2 lit. a) oder die Erforderlichkeit für die medizinische Versorgung (Abs. 2 lit. h). Für die Kommunikation mit Patienten über digitale Kanäle bedeutet das: Der Kanal selbst muss den Schutzanforderungen entsprechen.
Was viele Praxen unterschätzen: Bereits die Tatsache, dass eine Person Patient einer bestimmten Fachpraxis ist, kann ein Gesundheitsdatum darstellen. Wer als Patient bei einem Onkologen, Psychiater oder einer HIV-Schwerpunktpraxis gelistet ist, offenbart allein durch diese Zuordnung sensible Informationen. Das hat der Europäische Gerichtshof (EuGH) in mehreren Urteilen bestätigt.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) betont in seinem Tätigkeitsbericht 2024/2025 ausdrücklich, dass die digitale Patientenkommunikation einen Schwerpunkt der Aufsichtstätigkeit darstellt. Auch die Landesdatenschutzbeauftragten in Bayern (BayLfD), Baden-Württemberg (LfDI BW) und Nordrhein-Westfalen (LDI NRW) haben wiederholt klargestellt: Herkömmliche Messenger und unverschlüsselte E-Mails sind für die Arzt-Patient-Kommunikation unzulässig.
In der Praxis betrifft das nicht nur offensichtliche Fälle wie das Versenden von Befunden. Auch scheinbar harmlose Nachrichten wie "Ihr Termin am Montag ist bestätigt" oder "Bitte bringen Sie Ihr Rezept mit" können in Kombination mit der Praxiszuordnung als Gesundheitsdaten eingestuft werden. Die digitale Patientenkommunikation erfordert daher von Anfang an ein durchdachtes Datenschutzkonzept.
2. WhatsApp, E-Mail, SMS: Warum diese Kanäle verboten sind
In der Praxis nutzen viele Arztpraxen immer noch Kommunikationswege, die datenschutzrechtlich nicht haltbar sind. Das liegt selten an böser Absicht -- vielmehr fehlt das Bewusstsein für die konkreten rechtlichen Risiken. Hier die drei häufigsten Verstöße im Detail:
- Metadaten: WhatsApp überträgt Metadaten (wer, wann, mit wem) an Meta-Server in den USA
- Kontaktabgleich: Automatischer Abgleich aller Telefonkontakte -- ohne Einwilligung der betroffenen Personen
- Kein AVV: Meta bietet keinen Auftragsverarbeitungsvertrag für Gesundheitsdaten
- US-Server: Verarbeitung auf Servern außerhalb der EU
Unverschlüsselte E-Mail
- Transportweg: E-Mails werden in der Regel unverschlüsselt übertragen -- vergleichbar mit einer Postkarte
- Server-Kopien: Auf jedem Relay-Server können Kopien gespeichert werden
- Provider: Viele Praxen nutzen Gmail, GMX oder web.de -- ohne EU-Hosting-Garantie
- Fehlversand: Tippfehler in der Adresse = Gesundheitsdaten beim Falschen
SMS
- Keine Verschlüsselung: SMS werden vollständig unverschlüsselt über das Mobilfunknetz übertragen
- Provider-Speicherung: Mobilfunkanbieter speichern Inhalte und Metadaten
- Kein AVV: Kein Auftragsverarbeitungsvertrag mit dem Mobilfunkanbieter möglich
- SIM-Swapping: Sicherheitsrisiko durch SIM-Karten-Betrug
"Die Nutzung von WhatsApp für die Kommunikation zwischen Arztpraxen und Patienten ist datenschutzrechtlich unzulässig. Gesundheitsdaten dürfen nicht über Dienste übermittelt werden, bei denen ein angemessener Schutz nicht gewährleistet ist."
-- Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW), Orientierungshilfe 2025
Auch die häufig genannte Argumentation "Aber der Patient hat uns doch selbst per WhatsApp geschrieben" schützt die Praxis nicht. Die DSGVO-Verantwortung liegt bei der datenverarbeitenden Stelle -- also bei Ihrer Praxis. Selbst wenn Patienten freiwillig über einen unsicheren Kanal kommunizieren möchten, darf die Praxis dem nicht nachkommen, wenn Gesundheitsdaten betroffen sind.
Gleiches gilt für WhatsApp Business: Die Business-Variante hat dieselben DSGVO-Probleme wie die Standardversion. Der automatische Kontaktabgleich, die Metadatenübertragung an Meta und die fehlende Möglichkeit eines AVV für Gesundheitsdaten bestehen unverändert. Mehr dazu in unserem ausführlichen Artikel zu sicheren Alternativen zu WhatsApp in der Arztpraxis.
3. Bußgelder und Enforcement: Aktuelle Fälle 2025/2026
Viele Praxisinhaber glauben, dass Datenschutzbehörden sich nur auf große Unternehmen konzentrieren. Das ist ein gefährlicher Irrtum. Seit 2024 hat die Zahl der Bußgeldverfahren gegen Arztpraxen und medizinische Einrichtungen in Deutschland deutlich zugenommen. Die Aufsichtsbehörden prüfen gezielt -- oft nach Beschwerden von Patienten.
| Zeitraum | Fall | Verstoß | Bußgeld |
|---|---|---|---|
| 2025 | Facharztpraxis Bayern | Befundübermittlung per WhatsApp an Patienten | 25.000 EUR |
| 2025 | Hausarztpraxis NRW | Unverschlüsselte E-Mails mit Laborergebnissen | 15.000 EUR |
| 2024 | MVZ Niedersachsen | Fehlender AVV mit Cloud-Terminbuchungssystem | 50.000 EUR |
| 2024 | Zahnarztpraxis Hamburg | Patientenfotos über WhatsApp-Gruppe geteilt | 35.000 EUR |
| 2025 | Klinik Hessen | US-Cloud-Dienst ohne Angemessenheitsbeschluss für Patientendaten | 150.000 EUR |
Maximale Bußgelder nach DSGVO
Bei Verstößen gegen die Grundsätze der Verarbeitung besonderer Kategorien (Art. 83 Abs. 5 DSGVO). Diese Höchststrafe gilt für Verstöße gegen Art. 9 DSGVO -- also genau für Gesundheitsdaten.
Zusätzlich: Strafrechtliche Konsequenzen
Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Die DSGVO-Konformität und die strafrechtliche Schweigepflicht sind zwei unabhängige Pflichtenkreise -- ein Verstoß kann doppelt bestraft werden.
Der BfDI (Bundesbeauftragter für den Datenschutz) hat in seinem 32. Tätigkeitsbericht betont, dass die Digitalisierung des Gesundheitswesens -- insbesondere im Kontext der ePA-Einführung 2026 -- die Datenschutzanforderungen an Arztpraxen erhöht, nicht verringert. Die Aufsichtsbehörden der Länder haben ihre Prüfkapazitäten für den Gesundheitssektor seit 2024 deutlich aufgestockt.
Besonders heikel: Bußgelder sind nicht die einzige Konsequenz. Patienten können bei DSGVO-Verstößen Schadensersatz nach Art. 82 DSGVO geltend machen. Und die Ärztekammern können berufsrechtliche Verfahren einleiten. Im schlimmsten Fall droht der Entzug der Approbation.
4. AVV, TOM und EU-Hosting: Die technischen Anforderungen
Wenn Ihre Praxis digitale Kommunikationskanäle für die Patientenkommunikation einsetzen möchte, müssen drei zentrale Anforderungen erfüllt sein. Diese sind nicht optional -- sie sind gesetzliche Pflicht nach der DSGVO.
AVV (Auftragsverarbeitungsvertrag)
Nach Art. 28 DSGVO ist ein AVV Pflicht, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Das gilt für jede Cloud-Software, jedes Chat-Tool und jede Terminbuchungsplattform.
Inhalt: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Kategorien der Betroffenen, TOM des Auftragsverarbeiters, Unterauftragsverhältnisse und Löschpflichten.
TOM (Technisch-organisatorische Maßnahmen)
Nach Art. 32 DSGVO müssen angemessene technische und organisatorische Maßnahmen den Schutz der Daten sicherstellen.
Für Patientenkommunikation: Verschlüsselung bei Übertragung und Speicherung, Zugriffskontrolle, Pseudonymisierung, regelmäßige Sicherheitsüberprüfungen, Protokollierung und Löschkonzept.
EU-Hosting
Seit dem Schrems-II-Urteil (EuGH, 2020) ist die Übermittlung personenbezogener Daten in die USA ohne Angemessenheitsbeschluss rechtswidrig. Für Gesundheitsdaten gilt dies besonders streng.
In der Praxis: Server müssen physisch in der EU/im EWR stehen. US-Cloud-Dienste (AWS US, Google Cloud US, Azure US) sind für Patientendaten nicht zulässig.
TOM-Anforderungen für die Patientenkommunikation im Detail
| Maßnahme | Beschreibung | Pflicht? |
|---|---|---|
| Transportverschlüsselung (TLS) | Daten werden während der Übertragung verschlüsselt (mindestens TLS 1.2) | Pflicht |
| Verschlüsselung at Rest | Gespeicherte Daten auf dem Server sind verschlüsselt | Pflicht |
| Zugriffskontrolle | Nur autorisierte MFA/Ärzte haben Zugriff auf Patientennachrichten | Pflicht |
| Protokollierung | Zugriffe auf Patientendaten werden revisionssicher protokolliert | Pflicht |
| Löschkonzept | Automatische Löschung nach Ablauf der Aufbewahrungsfrist | Pflicht |
| Ende-zu-Ende-Verschlüsselung | Nur Sender und Empfänger können den Nachrichteninhalt lesen | Empfohlen |
| Regelmäßige Penetrationstests | Externe Prüfung auf Sicherheitslücken durch unabhängige Tester | Empfohlen |
Alle diese Maßnahmen müssen dokumentiert sein (Art. 5 Abs. 2 DSGVO -- Rechenschaftspflicht). Im Falle einer Prüfung durch die Aufsichtsbehörde müssen Sie nachweisen können, dass Ihre Patientenkommunikation den Anforderungen entspricht.
5. Kommunikationskanäle im DSGVO-Vergleich
Welche Kommunikationskanäle können Arztpraxen 2026 tatsächlich DSGVO-konform einsetzen? Die folgende Übersicht vergleicht die gängigsten Optionen anhand der zentralen Datenschutzkriterien. Einen detaillierten Anbietervergleich finden Sie auch in unserem Online-Rezeption Anbieter-Vergleich.
| Kanal | AVV | EU-Hosting | Verschlüsselung | Gesundheitsdaten | Bewertung |
|---|---|---|---|---|---|
| Nein | US-Server | E2E* | Verboten | Unzulässig | |
| SMS | Nein | Variabel | Keine | Verboten | Unzulässig |
| E-Mail (Standard) | Selten | Variabel | Nur Transport | Verboten | Unzulässig |
| Fax (VoIP) | N/A | Lokal | Keine | Umstritten | Problematisch |
| KIM (Telematik) | Ja | DE | E2E | Erlaubt | Konform |
| Online-Rezeption (MediDesk) | Inklusive | EU | TLS + E2E | Erlaubt | Konform |
* WhatsApp nutzt Ende-zu-Ende-Verschlüsselung für Nachrichteninhalte, überträgt jedoch Metadaten und Kontaktlisten an Meta-Server. Das allein macht die Nutzung für Gesundheitsdaten unzulässig.
"Das Fax ist kein sicherer Kommunikationskanal mehr. Seit der Umstellung auf VoIP-basierte Leitungen werden Faxe technisch wie unverschlüsselte E-Mails übertragen. Für die Übermittlung von Gesundheitsdaten ist das Fax daher nicht mehr empfehlenswert."
-- Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen, Stellungnahme 2024
Wie die Tabelle zeigt, bleiben für die DSGVO-konforme Patientenkommunikation letztlich nur zwei praktikable Wege: KIM (Kommunikation im Medizinwesen) für den Austausch zwischen Leistungserbringern über die Telematikinfrastruktur und eine DSGVO-konforme Online-Rezeption für die direkte Kommunikation mit Patienten.
Der entscheidende Unterschied: KIM erreicht Patienten nicht direkt -- es ist ein Kanal zwischen Ärzten, Kliniken und Apotheken. Für die eingehende Patientenkommunikation (Terminanfragen, Rezeptwünsche, Überweisungsanfragen, allgemeine Fragen) ist eine digitale Online-Rezeption die sicherste und gleichzeitig effizienteste Lösung. Sie ersetzt nicht nur unsichere Kanäle, sondern reduziert Telefonanrufe um 60-75%, da Patienten ihre Anliegen rund um die Uhr über ein Chat-Widget auf der Praxis-Website einreichen können. Detaillierte Informationen zu den Kosten einer Online-Rezeption finden Sie in unserem separaten Guide.
6. Checkliste: DSGVO-konforme Patientenkommunikation einrichten
Nutzen Sie diese Checkliste, um Ihre Praxis auf eine DSGVO-konforme digitale Patientenkommunikation umzustellen. Die Punkte sind nach Priorität geordnet -- beginnen Sie mit der Eliminierung der größten Risiken.
Sofort: Risiken eliminieren
- Keine Gesundheitsdaten mehr per WhatsApp, SMS oder unverschlüsselter E-Mail senden
- Bestehende WhatsApp-Chats mit Patientendaten vollständig löschen
- Team informieren: Welche Kanäle sind verboten, welche erlaubt?
- Prüfen: Nutzen wir US-Cloud-Dienste ohne gültigen AVV?
- Patienten per Aushang über sichere Kommunikationswege informieren
Kurzfristig: Dokumentation sicherstellen
- Verarbeitungsverzeichnis (Art. 30 DSGVO) aktualisieren
- AVV mit allen Dienstleistern prüfen oder abschließen
- Datenschutzerklärung auf der Praxis-Website aktualisieren
- TOM-Dokumentation erstellen oder aktualisieren
- Datenschutz-Folgenabschätzung bei Einführung neuer Tools durchführen
Bei der Tool-Auswahl prüfen
- Wird ein AVV angeboten (am besten inklusive)?
- Wo stehen die Server? (Muss EU/EWR sein)
- Welche Verschlüsselung wird eingesetzt (TLS, E2E)?
- Gibt es Unterauftragsverarbeiter in Drittländern?
- Wie werden Daten nach Beendigung gelöscht (Löschkonzept)?
- Gibt es eine ISO 27001 oder vergleichbare Zertifizierung?
MediDesk erfüllt alle Anforderungen
- AVV inklusive -- wird automatisch bei Vertragsschluss bereitgestellt
- EU-Hosting -- Server ausschließlich in der Europäischen Union
- Verschlüsselung -- TLS 1.3 und Encryption at Rest
- Keine Drittserver -- Patientendaten verlassen nie das System
- Zugriffskontrolle -- Rollenbasierte Berechtigungen für das Team
- 119 EUR/Monat -- Einrichtung in nur 48 Stunden
DSGVO-konform kommunizieren -- ab heute
MediDesk ist die digitale Online-Rezeption für Ihre Arztpraxis: EU-Hosting, AVV inklusive, verschlüsselt, keine Patientendaten auf Drittservern. Einrichtung in 48 Stunden.
119 EUR/Monat -- reduziert Telefonanrufe um 60-75%
Jetzt kostenlos testenHäufige Fragen zur DSGVO-Patientenkommunikation
Alle personenbezogenen Daten von Patienten fallen unter die DSGVO. Gesundheitsdaten genießen als "besondere Kategorien personenbezogener Daten" nach Art. 9 DSGVO den höchsten Schutz. Dazu gehören: Diagnosen, Befunde, Laborergebnisse, Medikationspläne, Therapieverläufe, aber auch Terminvereinbarungen und Rezeptanforderungen -- denn bereits die Tatsache, dass jemand Patient einer bestimmten Praxis ist, kann ein Gesundheitsdatum darstellen.
Nein. WhatsApp ist für die Patientenkommunikation nicht DSGVO-konform. WhatsApp (Meta) überträgt Metadaten auf US-Server, ein AVV für Gesundheitsdaten ist nicht abschließbar, und der automatische Kontaktabgleich verstößt gegen die DSGVO. Mehrere Landesdatenschutzbeauftragte haben dies ausdrücklich bestätigt. Mehr dazu in unserem Artikel zu sicheren Alternativen zu WhatsApp.
Bei Verstößen gegen Art. 9 DSGVO drohen Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. In der Praxis haben deutsche Datenschutzbehörden Bußgelder zwischen 5.000 EUR und 150.000 EUR gegen Arztpraxen und medizinische Einrichtungen verhängt. Zusätzlich drohen strafrechtliche Konsequenzen nach § 203 StGB (Verletzung der ärztlichen Schweigepflicht) mit Freiheitsstrafe bis zu einem Jahr.
Ein AVV (Auftragsverarbeitungsvertrag) ist nach Art. 28 DSGVO Pflicht, wenn Sie einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen. Das gilt für jedes digitale Kommunikationstool in Ihrer Praxis -- von der Terminbuchung bis zum Chat-Widget. Ohne gültigen AVV ist die Nutzung rechtswidrig. Der AVV regelt Zweck, Dauer, Art der Verarbeitung, TOM und Löschpflichten.
Standard-E-Mail ist für Gesundheitsdaten nicht DSGVO-konform, da E-Mails in der Regel unverschlüsselt übertragen werden. Nur mit Ende-zu-Ende-Verschlüsselung (S/MIME oder PGP) und einem AVV mit dem E-Mail-Provider wäre es theoretisch möglich -- scheitert aber daran, dass Patienten diese Technologien nicht nutzen. Besser: Eine DSGVO-konforme Online-Rezeption mit integrierter Verschlüsselung und EU-Hosting.
DSGVO-konforme Patientenkommunikation erfordert: EU-Hosting, AVV mit dem Anbieter, Verschlüsselung der Datenübertragung, keine Speicherung auf Drittservern und dokumentierte TOM. Eine digitale Online-Rezeption wie MediDesk erfüllt alle Kriterien: EU-gehostetes Chat-Widget auf Ihrer Praxis-Website, AVV inklusive, verschlüsselte Übertragung. Einrichtung in 48 Stunden für 119 EUR/Monat -- und reduziert gleichzeitig Ihre Telefonanrufe um 60-75%.
Weiterführende Artikel
Online-Rezeption für Arztpraxen: Der komplette Leitfaden
Alles über die digitale Online-Rezeption: Funktionen, Einführung, ROI und Praxisbeispiele -- DSGVO-konform von Anfang an.
WhatsApp in der Arztpraxis: 5 sichere Alternativen
Warum WhatsApp verboten ist und welche DSGVO-konformen Kommunikationskanäle Ihre Praxis stattdessen nutzen kann.
Online-Rezeption Anbieter im Vergleich 2026
MediDesk, Doctolib, 321med und weitere Anbieter im DSGVO- und Feature-Vergleich -- mit Preisen und Bewertungen.
EPA 2026: Was Arztpraxen jetzt wissen müssen
Elektronische Patientenakte und DSGVO: Pflichten, Zeitplan und wie die ePA die digitale Kommunikation verändert.