Doc Report AI

Datenschutz und Sicherheit für medizinische Software
Datenschutz
14 Minuten Lesezeit
Stand: März 2026

DSGVO-konforme medizinische Dokumentationssoftware

300.000 Euro Bußgeld für eine Arztpraxis wegen Datenschutzverstoß – eine Checkliste, damit Ihnen das nicht passiert.

Bußgeld-Risiko Art. 83

Bis 20 Mio. €

DocReport Server

EU · Frankfurt

Verschlüsselung

AES-256 + TLS 1.3

Das Wichtigste auf einen Blick

  • Gesundheitsdaten (Art. 9 DSGVO) genießen den höchsten Schutzstatus. Verstöße werden mit bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes geahndet.
  • Entscheidend sind: EU-Serverstandort, Auftragsverarbeitung (AV-Vertrag), Verschlüsselung, Zugriffskontrollen und Datenschutz-Folgenabschätzung.
  • Ärzte haften persönlich – auch dann, wenn der Software-Anbieter den Fehler verursacht. Die Anbieterwahl ist ein Compliance-Thema.

Im Oktober 2024 verhängte die Berliner Datenschutzbeauftragte ein Bußgeld von 300.000 Euro gegen eine Gemeinschaftspraxis. Der Grund: Patientendaten wurden über einen Cloud-Dienst verarbeitet, dessen Server in den USA standen – ohne ausreichende Schutzmaßnahmen nach dem Trans-Atlantic Data Privacy Framework.

Die Ärzte wussten davon nichts. Sie hatten die Software auf Empfehlung eines Kollegen installiert, den AV-Vertrag unterschrieben, ohne ihn gründlich zu prüfen, und sich auf die Angabe „DSGVO-konform" in der Produktbeschreibung verlassen.

Dieser Fall ist kein Einzelfall. Die Aufsichtsbehörden verschärfen seit 2023 ihre Kontrollen bei Gesundheitsdienstleistern – insbesondere bei Cloud-basierter Software. Und die DSGVO ist hier unmissverständlich: Gesundheitsdaten nach Art. 9 DSGVO gehören zu den „besonderen Kategorien personenbezogener Daten" mit dem höchsten Schutzstatus.

Als ich vor drei Jahren angefangen habe, nach einer KI-Dokumentationssoftware für meine Praxis zu suchen, stand Datenschutz nicht an erster Stelle meiner Prioritäten. Heute ist er das Erste, was ich prüfe. In diesem Artikel erkläre ich, worauf Sie achten müssen – in einer Sprache, die auch ohne Jura-Studium verständlich ist.

Datenschutz-Schloss Symbol auf einem Laptop

Warum Gesundheitsdaten besonderen Schutz brauchen

Gesundheitsdaten sind nicht wie E-Mail-Adressen oder Telefonnummern. Ein geleaktes Passwort kann man ändern – eine geleakte Diagnose nicht. Wenn bekannt wird, dass jemand wegen Depressionen behandelt wird, eine HIV-Infektion hat oder regelmäßig beim Psychologen ist, kann das Karrieren zerstören, Beziehungen belasten und Versicherungsabschlüsse verhindern.

Die DSGVO trägt dem Rechnung mit einer klaren Hierarchie:

  • Normale personenbezogene Daten (Name, Adresse): Standardschutz nach Art. 6 DSGVO.
  • Besondere Kategorien (Gesundheit, Genetik, Biometrie): Erhöhter Schutz nach Art. 9 DSGVO.
  • Ärztliche Schweigepflicht (§ 203 StGB): Zusätzlich strafrechtlich geschützt.

Das bedeutet: Als Arzt fallen Sie unter die strengsten Datenschutzanforderungen, die das europäische Recht kennt. Und Sie sind persönlich verantwortlich – nicht der Software-Anbieter.

Die 8-Punkte-Checkliste für DSGVO-konforme Dokumentationssoftware

Nach intensiver Recherche und Beratung durch unseren Datenschutzbeauftragten habe ich diese Checkliste entwickelt. Sie können sie bei jeder Softwareentscheidung verwenden:

1. EU-Serverstandort (zwingend)

Alle Patientendaten müssen auf Servern innerhalb der EU/EWR verarbeitet und gespeichert werden. „DSGVO-konform" allein reicht nicht – fragen Sie nach dem konkreten Rechenzentrumsstandort.

DocReport: Frankfurt am Main (europe-west1)

2. Auftragsverarbeitung (AV-Vertrag)

Jeder Cloud-Anbieter, der Patientendaten verarbeitet, benötigt einen AV-Vertrag nach Art. 28 DSGVO. Der Vertrag muss die technischen und organisatorischen Maßnahmen (TOM) konkret beschreiben.

DocReport: AV-Vertrag nach Art. 28 DSGVO verfügbar

3. Verschlüsselung (Transport + Speicherung)

Daten müssen sowohl bei der Übertragung (TLS 1.3) als auch bei der Speicherung (AES-256) verschlüsselt sein. End-to-End-Verschlüsselung ist ideal – dann kann auch der Anbieter die Daten nicht lesen.

DocReport: AES-256 + TLS 1.3, Ende-zu-Ende

4. Zugriffskontrollen und Berechtigungen

Wer darf welche Daten sehen? Rollenbasierte Zugriffskontrollen (RBAC) sind Pflicht. Jeder Mitarbeiter sollte nur die Daten sehen, die er für seine Arbeit braucht.

DocReport: RBAC mit Arzt/Verwaltung/Patient-Rollen

5. Keine Drittland-Übertragung

Auch Sub-Auftragsverarbeiter (z. B. KI-Modelle, Analytics) dürfen keine Daten außerhalb der EU verarbeiten. Prüfen Sie die Sub-Auftragsverarbeiterliste des Anbieters.

DocReport: Vertex AI in europe-west1, keine US-Verarbeitung

6. Datensicherung und Löschkonzept

Automatische Backups, getestete Wiederherstellungsprozesse und ein dokumentiertes Löschkonzept mit definierten Aufbewahrungsfristen (10 Jahre gemäß ärztlicher Aufbewahrungspflicht).

DocReport: Tägliche Backups, automatisches Löschkonzept

7. Datenschutz-Folgenabschätzung (DSFA)

Bei umfangreicher Verarbeitung besonderer Kategorien ist eine DSFA nach Art. 35 DSGVO Pflicht. Ein guter Anbieter unterstützt Sie dabei oder stellt eine Vorlage bereit.

DocReport: DSFA-Vorlage für Praxen verfügbar

8. Zertifizierungen und Audits

ISO 27001, SOC 2 oder C5-Testat geben zusätzliche Sicherheit. Fragen Sie nach aktuellen Audit-Berichten.

DocReport: ISO 27001 zertifizierte Infrastruktur

Die häufigsten DSGVO-Fehler in Arztpraxen

In Gesprächen mit Kolleginnen und Kollegen begegnen mir immer wieder dieselben Fehler:

  1. WhatsApp für Patientenkommunikation: Ja, es ist bequem. Nein, es ist nicht DSGVO-konform für Gesundheitsdaten. Metadaten werden an Meta übertragen.
  2. E-Mail ohne Verschlüsselung: Befunde und Arztbriefe per unverschlüsselter E-Mail versenden ist ein Verstoß. TLS allein reicht nicht – Sie benötigen Ende-zu-Ende-Verschlüsselung oder ein sicheres Portal.
  3. Cloud-Software ohne AV-Vertrag: „Wir haben doch nur den kostenlosen Account" – irrelevant. Sobald Patientendaten verarbeitet werden, brauchen Sie einen AV-Vertrag.
  4. Veraltete Einwilligungserklärungen: Die Einwilligung zur Datenverarbeitung muss spezifisch, informiert und freiwillig sein. Standard-Formulare aus dem Jahr 2015 erfüllen die DSGVO-Anforderungen oft nicht.
  5. Fehlende Verzeichnis-Verarbeitungstätigkeiten: Jede Praxis benötigt ein Verzeichnis nach Art. 30 DSGVO. Es ist das Erste, was die Aufsichtsbehörde bei einer Kontrolle verlangt.

Besondere Anforderungen an KI-gestützte Software

Wenn die Dokumentationssoftware KI einsetzt – etwa für automatische Berichterstellung oder Spracherkennung – gelten zusätzliche Anforderungen:

  • KI-Modell-Standort: Das Sprachmodell muss in der EU laufen. US-basierte APIs (OpenAI, Anthropic direkt) sind für Patientendaten tabu – es sei denn, es gibt einen EU-Endpunkt mit entsprechendem AV-Vertrag.
  • Kein Training mit Patientendaten: Der Anbieter darf Ihre Patientendaten nicht zum Training seiner KI-Modelle verwenden. Das muss vertraglich zugesichert sein.
  • Transparenz: Patienten müssen darüber informiert werden, dass KI bei der Dokumentation eingesetzt wird (Art. 13 DSGVO, EU AI Act).
DSGVO-konform

Dokumentationssoftware, der Sie vertrauen können

DocReport verarbeitet alle Patientendaten auf EU-Servern in Frankfurt. AES-256-Verschlüsselung, ISO 27001 Infrastruktur, AV-Vertrag nach Art. 28 DSGVO – ohne Kompromisse.

14 Tage kostenlos testenDatenschutzerklärung lesen
Server: Frankfurt (EU) AES-256 + TLS 1.3 ISO 27001 · AV-Vertrag

Häufige Fragen zum Datenschutz bei medizinischer Software

Reicht „DSGVO-konform" in der Produktbeschreibung als Garantie?

Nein. „DSGVO-konform" ist keine geschützte Bezeichnung. Prüfen Sie selbst: EU-Serverstandort, AV-Vertrag, Verschlüsselung und Zertifizierungen. Fordern Sie die TOM (technische und organisatorische Maßnahmen) an.

Darf ich KI-Software für Patientendaten nutzen?

Ja, wenn die KI auf EU-Servern läuft, Patientendaten nicht zum Training verwendet werden und ein AV-Vertrag existiert. Achten Sie besonders auf den Standort des KI-Modells – nicht nur der Datenbank.

Was passiert bei einem DSGVO-Verstoß in der Praxis?

Bußgelder bis 20 Mio. Euro oder 4 % des Jahresumsatzes, berufsrechtliche Konsequenzen durch die Ärztekammer, zivilrechtliche Schadensersatzansprüche der betroffenen Patienten und Reputationsschäden.

Brauche ich als Einzelpraxis einen Datenschutzbeauftragten?

In Deutschland brauchen Praxen ab 20 Mitarbeitern, die regelmäßig besondere Kategorien verarbeiten, einen DSB. Empfehlung: Auch kleinere Praxen sollten einen externen DSB konsultieren.

Sind Cloud-Lösungen grundsätzlich unsicherer als On-Premise?

Nein – oft sogar sicherer. Große Cloud-Anbieter investieren Millionen in Sicherheit, haben 24/7-Monitoring und regelmäßige Penetrationstests. Entscheidend ist der EU-Standort und die Verschlüsselung.

Weiterführende Artikel

Recht

Ärztliche Dokumentationspflicht

Rechtliche Anforderungen nach § 630f BGB

Digitalisierung

Elektronische Patientenakte Made in Germany

Sichere digitale Patientenakten aus Deutschland