BVerwG-Urteil verschärft Regeln für Gesundheitsdaten

Der Umgang mit sensiblen Patientendaten bleibt eine der größten Haftungsfallen für Arztpraxen. Diese Woche verschärfte ein Grundsatzurteil des Bundesverwaltungsgerichts die Rechtslage deutlich. Zugleich verhängen Aufsichtsbehörden weiterhin empfindliche Bußgelder für grobe Betriebspannen. Für Praxen wird der datenschutzkonforme Alltag zur Existenzfrage.

Gericht kippt Datenanalyse von Privatversicherern

Am 6. März 2026 entschied das Bundesverwaltungsgericht (Az. 6 C 7.24), dass private Krankenversicherer Diagnosedaten aus Abrechnungen nicht für eigene Präventionsprogramme nutzen dürfen. Der konkrete Fall betraf einen Versicherer, der aus Rechnungen Kandidaten für Diabetes- oder Rückenschmerz-Coachings identifizieren wollte. Das Gericht urteilte: Die Geschäftsinteressen des Versicherers wiegen nicht schwerer als das Grundrecht der Versicherten auf Schutz ihrer intimsten Gesundheitsinformationen.

Zwar sei die Datenverarbeitung für Präventionszwecke grundsätzlich nach der DSGVO-Ausnahme gemäß Artikel 9 möglich. Doch scheiterte der Versicherer am zweiten Prüfschritt: Ihm fehlte eine rechtliche Grundlage nach Artikel 6 der DSGVO. Zudem rügten die Richter mangelnde Transparenz. Die Botschaft ist klar: Ohne ausdrückliche Einwilligung der Patienten ist eine Zweitnutzung von Abrechnungsdaten tabu.

Um die hohen Anforderungen an die Dokumentation von Datenverarbeitungen rechtssicher zu erfüllen, ist eine lückenlose Übersicht unerlässlich. Diese kostenlose Excel-Vorlage unterstützt Sie dabei, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und prüfungssicher zu erstellen. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis herunterladen

Praxen haften für ihre Dienstleister

Das Urteil betrifft direkt die Abläufe in Arztpraxen. Denn Diagnosen, Therapiedetails und Verordnungen zählen zu den besonders schützenswerten Daten. Werden sie an externe Abrechnungsstellen oder Krankenkassen übermittelt, gilt das Gebot der Zweckbindung.

Praxen müssen in ihren Datenschutzerklärungen und Einwilligungsformularen den Transfer exklusiv für Abrechnungszwecke klar benennen. Versuchen Dritte, die Daten für Marketing oder ungefragte Gesundheitsangebote zu nutzen, liegt ein schwerer Verstoß vor. Juristen raten dringend, Datenverarbeitungsverträge mit Dienstleistern zu überprüfen. Unklare Verträge können die Praxis indirekt haftbar machen – für Audits, Beschwerden oder Bußgelder.

Bußgelder für fahrlässigen Umgang mit Akten

Neben komplexen Rechtsfragen drohen Praxen auch Strafen für handfeste Betriebspannen. Ein Beispiel aus dem Tätigkeitsbericht 2024 des Hessischen Beauftragten für Datenschutz zeigt das Risiko: Eine Praxis musste 2.500 Euro Strafe zahlen, weil die Praxisleitung Patientenakten mit ins Homeoffice nahm.

Die Akten lagerten dort in einem unverschlossenen Raum auf offenen Regalen – zugänglich sogar für Gäste einer privaten Feier. Noch gravierender: Der Partner der Praxisleitung fotografierte mehrere Akten und schickte sie über WhatsApp weiter. Für Aufsichtsbehörden sind solche Vertraulichkeitsbrüche schwere DSGVO-Verstöße. Sie betonen: Homeoffice-Regelungen in Praxen erfordern verbindliche Sicherheitsprotokolle.

Vergessenes Löschen und unsichere IT

Ein weiterer häufiger Konfliktpunkt ist die Löschpflicht für Patientendaten. Die DSGVO verlangt, dass Daten nach Zweckerfüllung gelöscht werden müssen – sofern keine gesetzlichen Aufbewahrungsfristen greifen. Viele Praxen horten jedoch jahrzehntealte Akten ohne systematisches Löschkonzept.

Datenschutzbeauftragte monieren fehlende Löschkonzepte als Hauptgrund für Bußgelder. Können Praxen auf Auskunfts- oder Löschanträge nicht fristgerecht reagieren, folgen Sanktionen. Zudem birgt veraltete IT enorme Cyberrisiken. Ransomware-Angriffe auf Gesundheitsdaten nehmen zu. Wer keine moderne Verschlüsselung, Zugangskontrollen und Backups einsetzt, riskiert nicht nur Datenverlust, sondern auch Strafen wegen Verstoßes gegen Artikel 32 DSGVO (Sicherheit der Verarbeitung).

Oft werden veraltete Akten unnötig lange gelagert, was zu vermeidbaren Datenschutzrisiken führt. Diese kostenlose A-Z-Liste bietet Ihnen eine klare Übersicht aller gesetzlichen Aufbewahrungsfristen für eine rechtssichere Dokumentenverwaltung. Kostenloses E-Book zu Aufbewahrungsfristen sichern

Digitale Transformation verschärft Anforderungen

Die fortschreitende Digitalisierung des Gesundheitswesens 2026 bringt neue Herausforderungen. Die flächendeckende Einführung der elektronischen Patientenakte, digitaler Rezepte und Online-Terminbuchungen öffnet neue Einfallstore.

Rechtsexperten empfehlen Praxen, umfassende Mitarbeiterschulungen und sichere Kommunikationskanäle priorisiert umzusetzen. Das BVerwG-Urteil und die aktuelle Bußgeld praxis sind ein klarer Weckruf. Der Schutz medizinischer Daten ist kein Bürokratieakt, sondern ein grundlegendes Patientenrecht. Aufsichtsbehörden werden dieses Recht mit strengen Auflagen und Geldstrafen durchsetzen. Kontinuierliche DSGVO-Compliance wird zum unverzichtbaren Bestandteil der Praxisführung.