DSGVO in der Wahlarztordination: das Dokumentations-Thema, das niemand IT-Thema nennen sollte

DSGVO wird in der Branche meistens als IT-Thema verkauft — von Software-Anbietern, die danach eine Cloud-Lösung verkaufen, und von externen Beratern, die danach ein 80-seitiges Datenschutz-Handbuch verkaufen. In der Realität ist DSGVO in einer Wahlarztordination primär ein Dokumentations-Thema: wer was wann und auf welcher Grundlage verarbeitet. Wer die Dokumentation einmal sauber aufsetzt, hat das DSGVO-Risiko strukturell entschärft — unabhängig davon, welche Software in der Praxis läuft.

Was eine Wahlarztordination DSGVO-rechtlich tatsächlich macht

Eine Wahlarztordination verarbeitet besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO — Gesundheitsdaten. Diese genießen den höchsten Schutz, sind aber für die heilkundliche Tätigkeit ausdrücklich erlaubt (Art. 9 Abs. 2 lit. h DSGVO). Das ist die rechtliche Grundlage, die alles andere zusammenhält: Sie brauchen für die normale Patient:innen-Behandlung keine separate Einwilligung — der Behandlungsvertrag selbst trägt die Verarbeitung.

Wo Einwilligung notwendig wird: Marketing (Newsletter, Recall-Erinnerungen via SMS/WhatsApp), Foto-Veröffentlichungen, Weitergabe an Dritte außerhalb der Behandlungskette, Forschungsteilnahme. Hier braucht es jeweils eine separate, dokumentierte Einwilligung.

Das Verarbeitungsverzeichnis — was rein muss

Jede Wahlarztordination muss ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen. Die Datenschutzbehörde prüft dieses Dokument bei jeder Beanstandung als erstes — wer es nicht vorlegen kann, hat den ersten Verstoß bereits.

• Kategorie 1: Patient:innen-Daten zur Behandlung (Stammdaten, Anamnese, Befunde, Therapie, Honorarnoten)
• Kategorie 2: Personaldaten (Ordinationsassistent:in, Reinigungsfirma, Reinigungspersonal)
• Kategorie 3: Daten zur Honorarabrechnung mit Patient:innen und Versicherungen
• Kategorie 4: Kontaktdaten von Interessent:innen (Anfragen, Terminanfragen)
• Kategorie 5: Marketing-Daten (Newsletter-Empfänger:innen, Recall-Empfänger:innen)
• Kategorie 6: Cookie- und Tracking-Daten von der Website (falls vorhanden)

Pro Kategorie wird festgehalten: Zweck, Rechtsgrundlage, Empfänger, Speicherdauer, technische und organisatorische Schutzmaßnahmen. Das klingt bürokratisch — ist aber in Summe ein Dokument von 4 bis 8 Seiten, das einmal aufgesetzt wird und dann zwei- bis dreimal pro Jahr aktualisiert.

Auftragsverarbeitung — die meistübersehene Pflicht

Jede:r externe Dienstleister:in, der Zugang zu personenbezogenen Daten der Ordination hat, ist Auftragsverarbeiter:in im Sinne von Art. 28 DSGVO. Das umfasst mehr als die meisten Wahlärzt:innen annehmen.

Mit jedem dieser Dienstleister braucht es einen Auftragsverarbeitungsvertrag — meist stellt der Anbieter eine Vorlage zur Verfügung, die unterschrieben wird. Wer dem nicht nachgeht, haftet bei einem Datenleck des Anbieters selbst mit.

Patient:innen-Rechte: drei Anfragen, die kommen werden

1. Auskunftsersuchen (Art. 15 DSGVO). „Welche Daten haben Sie über mich gespeichert?" Antwortfrist: ein Monat. Antwortformat: kostenlos, schriftlich oder digital, vollständige Übersicht der gespeicherten Daten plus Auskunft über Empfänger und Speicherdauer.
2. Löschungsbegehren (Art. 17 DSGVO). „Bitte löschen Sie alle meine Daten." Heikel — Patient:innen-Akten haben eine gesetzliche Aufbewahrungsfrist von zehn Jahren nach dem letzten Patient:innen-Kontakt (Ärztegesetz § 51). Eine vollständige Löschung ist während dieser Frist nicht zulässig; eine Sperrung („Daten werden nur noch zur Aufbewahrungspflicht verarbeitet") ist die korrekte Antwort.
3. Berichtigungsverlangen (Art. 16 DSGVO). „Mein Geburtsdatum ist falsch." Antwortfrist: ein Monat. Bei medizinischen Befunden ist die Berichtigung heikel — diagnostische Aussagen sind ärztliche Einschätzungen, keine „Daten" im Sinne von berichtigungsfähigen Tatsachen. Hier ist eine Ergänzungsanmerkung in der Akte die saubere Antwort.

Datenschutzvorfall: die 72-Stunden-Meldepflicht

Was eine DSB-Beanstandung tatsächlich auslöst

Eine Beschwerde bei der Datenschutzbehörde — meist von einer:einem ehemaligen Patient:in mit Konflikt oder von einer:einem Mitarbeiter:in nach Trennung — läuft in der Regel so ab: Die DSB fordert eine Stellungnahme an, üblicherweise mit einer Frist von vier Wochen. Sie müssen das Verarbeitungsverzeichnis vorlegen, gegebenenfalls die relevanten Auftragsverarbeitungsverträge, die Datenschutzerklärung der Website und die internen Prozesse zu Patient:innen-Rechten.

Wer alle Dokumente strukturiert vorlegt, kommt in den meisten Fällen mit einer Ermahnung oder Einstellung davon. Wer das Verarbeitungsverzeichnis nicht hat, riskiert ein formales Strafverfahren — die Geldstrafen für rein dokumentarische Verstöße bewegen sich in der Praxis zwischen 1.500 und 12.000 Euro für eine Wahlarztordination dieser Größe, weit unter dem theoretischen DSGVO-Maximum von 4 % des Jahresumsatzes.

Drei Schritte für die nächsten 14 Tage

• Verarbeitungsverzeichnis erstellen oder aktualisieren — Vorlage gibt es bei der Ärztekammer Wien für Mitglieder kostenfrei
• Auftragsverarbeitungsverträge mit PVS-Anbieter, Cloud-Backup, Reinigungsfirma, IT-Wartung anfordern und ablegen
• Datenschutzerklärung der Website prüfen lassen — bei jeder Änderung am Website-Stack ist sie veraltet

DSGVO-Konformität in einer Wahlarztordination ist kein einmaliges Projekt, sondern ein dünner laufender Faden — strukturiert dokumentiert, alle drei Monate aktualisiert. Wer das so behandelt, hat das Thema strukturell entschärft. Wer es als IT-Projekt verkaufen lässt, bezahlt für Lösungen, die das Dokumentations-Problem nicht lösen.