Datenschutz in der Arztpraxis: DSGVO für MFA erklärt
Fachwissen
12.06.2026
MFA Prüfungsfit Redaktion

Datenschutz in der Arztpraxis: DSGVO für MFA erklärt

Datenschutz klingt erst mal nach trockener Bürokratie – nach Formularen, Paragraphen und endlosen Schulungen. Aber mal ehrlich: Stell dir vor, deine eigene Diagnose landet versehentlich bei deinem Nachbarn. Oder dein Arbeitgeber erfährt von einer psychischen Erkrankung, die dich betrifft. Plötzlich ist Datenschutz sehr persönlich, oder?

Als MFA bist du eine der ersten Ansprechpersonen in der Arztpraxis. Du nimmst Anrufe entgegen, verwaltest Patientenakten und organisierst den gesamten Praxisablauf. Damit trägst du eine enorme Verantwortung – denn Datenschutz schützt nicht nur die Patienten, sondern auch dich. Wer die Regeln kennt und einhält, arbeitet sicherer und professioneller.

In diesem Artikel bekommst du einen umfassenden Überblick über alles, was du als MFA zum Thema Datenschutz wissen musst – von der Schweigepflicht über die DSGVO bis hin zu konkreten Alltagssituationen. Los geht's!

Schweigepflicht nach § 203 StGB – Was genau ist geschützt?

Die ärztliche Schweigepflicht ist kein nettes Extra – sie ist gesetzlich verankert in § 203 StGB (Strafgesetzbuch). Und sie gilt nicht nur für Ärzte, sondern ausdrücklich auch für deren berufsmäßig tätige Gehilfen – also für dich als MFA.

Was fällt unter die Schweigepflicht?

Geschützt ist alles, was du im Rahmen deiner Tätigkeit über einen Patienten erfährst. Das umfasst:

  • Diagnosen und Befunde – egal ob Schnupfen oder Krebsdiagnose
  • Behandlungen und Therapien – welche Medikamente, welche Eingriffe
  • Persönliche Daten – Name, Adresse, Geburtsdatum, Versicherungsnummer
  • Die bloße Tatsache, dass jemand Patient ist – selbst der Arztbesuch an sich ist geschützt
  • Familiäre und soziale Verhältnisse – alles, was im Gespräch erwähnt wird
  • Finanzielle Informationen – z. B. offene Rechnungen oder Selbstzahler-Status
Wichtig: Die Schweigepflicht gilt zeitlich unbegrenzt – auch nach deiner Ausbildung, nach einem Jobwechsel oder nach dem Tod des Patienten. Du darfst also auch Jahre später nicht über ehemalige Patienten sprechen.

DSGVO in der Arztpraxis – Die wichtigsten Pflichten

Seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) europaweit. Für Arztpraxen ist sie besonders relevant, weil Gesundheitsdaten zu den besonders schützenswerten Daten nach Art. 9 DSGVO gehören. Das bedeutet: Für ihre Verarbeitung gelten strengere Regeln.

Verarbeitungsverzeichnis

Jede Arztpraxis muss ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) führen. Darin wird dokumentiert, welche personenbezogenen Daten erhoben, gespeichert und verarbeitet werden – z. B. Patientenstammdaten, Abrechnungsdaten oder Terminlisten.

Datenschutzbeauftragter

Wenn in der Praxis mindestens 20 Personen regelmäßig mit personenbezogenen Daten arbeiten, muss ein Datenschutzbeauftragter benannt werden. Aber auch kleinere Praxen sind gut beraten, eine verantwortliche Person zu benennen.

Einwilligungen

Für bestimmte Datenverarbeitungen brauchst du die ausdrückliche Einwilligung des Patienten – zum Beispiel für:

  • Weitergabe von Befunden an andere Ärzte (außer bei Überweisung im Behandlungskontext)
  • Nutzung der E-Mail-Adresse für Recall-Erinnerungen
  • Veröffentlichung von Patientenfotos (z. B. Vorher-Nachher-Bilder)

Informationspflichten

Patienten müssen bei der ersten Datenerhebung darüber informiert werden, welche Daten erhoben werden, warum, wie lange sie gespeichert werden und welche Rechte sie haben (Art. 13 DSGVO). In der Praxis geschieht das meist über ein Datenschutz-Informationsblatt, das beim Erstbesuch ausgehändigt wird.

Patientenrechte: Auskunft, Einsicht, Löschung

Patienten haben nach DSGVO und Patientenrechtegesetz (§ 630g BGB) umfangreiche Rechte. Als MFA wirst du häufig die erste Ansprechperson für solche Anfragen sein.

Recht auf Auskunft (Art. 15 DSGVO)

Jeder Patient darf erfahren, welche Daten über ihn gespeichert sind und zu welchem Zweck sie verarbeitet werden. Du musst solche Anfragen ernst nehmen und an die Praxisleitung weiterleiten.

Recht auf Einsicht in die Patientenakte (§ 630g BGB)

Patienten dürfen ihre vollständige Patientenakte einsehen – einschließlich Befunde, Arztbriefe und Dokumentationen. Die Praxis muss auf Wunsch auch Kopien zur Verfügung stellen. Seit einem Urteil des EuGH vom 26.10.2023 (C-307/22) ist die erste Kopie kostenlos.

Recht auf Löschung (Art. 17 DSGVO)

Das Recht auf Löschung ist in der Arztpraxis eingeschränkt: Aufgrund gesetzlicher Aufbewahrungspflichten können Patientenakten nicht einfach gelöscht werden. Erst nach Ablauf der Aufbewahrungsfristen ist eine Löschung möglich – und dann sogar verpflichtend.

Praktische Szenarien aus dem Praxisalltag

Theorie ist das eine – aber wie setzt du Datenschutz konkret im Alltag um? Hier kommen die häufigsten Situationen, die dir als MFA begegnen werden.

Telefonauskünfte

Das Telefon klingelt: „Ich bin die Mutter von Lisa Müller. Hat sie heute einen Termin?" – Darfst du das beantworten?

Kurze Antwort: Nein. Selbst bei Angehörigen darfst du ohne Einwilligung des Patienten keine Informationen herausgeben – nicht einmal, ob die Person überhaupt Patient ist. Ausnahme: Der Patient hat vorher ausdrücklich zugestimmt, dass bestimmte Personen Auskunft erhalten dürfen. Dokumentiere solche Einwilligungen immer schriftlich.

Tipp: Formuliere höflich: „Aus Datenschutzgründen kann ich Ihnen dazu leider keine Auskunft geben. Bitte wenden Sie sich direkt an die betreffende Person."

E-Mail und Fax

Befunde per E-Mail verschicken? Grundsätzlich nur verschlüsselt oder mit ausdrücklicher Einwilligung des Patienten. Unverschlüsselte E-Mails sind wie Postkarten – jeder auf dem Weg kann mitlesen.

Fax galt lange als relativ sicher, wird aber von Datenschutzbehörden zunehmend kritisch gesehen, da moderne Faxgeräte oft über das Internet übertragen. Die Bremer Datenschutzbeauftragte hat Fax bereits als nicht DSGVO-konform für sensible Gesundheitsdaten eingestuft.

Empfehlung: Nutze sichere Kommunikationswege wie das KIM-System (Kommunikation im Medizinwesen) oder verschlüsselte E-Mail-Dienste.

Angehörige und Arbeitgeber

  • Angehörige erhalten nur Auskunft, wenn eine schriftliche Schweigepflichtentbindung oder eine Vorsorgevollmacht vorliegt.
  • Arbeitgeber haben keinerlei Recht auf Gesundheitsinformationen. Du darfst weder Diagnosen noch Behandlungsdetails mitteilen – auch nicht auf telefonische Nachfrage. Der Arbeitgeber erhält lediglich die Arbeitsunfähigkeitsbescheinigung (seit 2023 digital via eAU).
  • Bei Minderjährigen gilt: Ab 16 Jahren können Jugendliche in der Regel selbst über die Weitergabe ihrer Daten entscheiden. Bei jüngeren Patienten entscheiden die Sorgeberechtigten.

Bildschirm und Empfangsbereich

Der Computerbildschirm am Empfang darf nicht von Patienten einsehbar sein. Achte auf:

  • Blickschutzfilter für Monitore
  • Automatische Bildschirmsperre bei Abwesenheit
  • Leise Gespräche am Empfang – andere Patienten im Wartebereich hören mit
  • Patientenakten nie offen auf dem Tresen liegen lassen

Aufbewahrungsfristen für Patientenakten

Patientenakten dürfen nicht einfach entsorgt werden – es gelten gesetzliche Aufbewahrungsfristen:

DokumentenartAufbewahrungsfristRechtsgrundlage
Allgemeine Patientenakte10 Jahre nach Behandlungsende§ 630f Abs. 3 BGB
Röntgenbilder / Strahlenschutz10 Jahre (bei Minderjährigen bis zum 28. Lebensjahr)StrlSchV
Aufzeichnungen nach Transfusionsgesetz30 Jahre§ 14 TFG
Arbeitsmedizinische Vorsorge40 Jahre nach der letzten UntersuchungArbMedVV

Digitale Archivierung ist erlaubt, solange die Daten revisionssicher gespeichert werden – das bedeutet: unveränderbar, vollständig und jederzeit lesbar. Viele Praxisverwaltungssysteme bieten dafür entsprechende Module an.

Nach Ablauf der Fristen müssen die Daten datenschutzkonform vernichtet werden – Papierakten im Aktenvernichter (mindestens Sicherheitsstufe P-4), digitale Daten durch zertifiziertes Löschen.

Wann darf die Schweigepflicht gebrochen werden?

Die Schweigepflicht ist ein hohes Gut – aber es gibt gesetzlich definierte Ausnahmen, in denen du sogar verpflichtet sein kannst, Informationen weiterzugeben:

  1. Meldepflichtige Krankheiten nach dem Infektionsschutzgesetz (IfSG): Bestimmte Erkrankungen wie Masern, Tuberkulose oder COVID-19 müssen an das Gesundheitsamt gemeldet werden – namentlich oder anonym, je nach Erreger (§§ 6, 7 IfSG).
  2. Verdacht auf Kindesmisshandlung oder -missbrauch: Bei konkreten Anhaltspunkten für eine Kindeswohlgefährdung besteht ein Offenbarungsrecht und unter Umständen eine Pflicht zur Meldung an das Jugendamt (§ 4 KKG).
  3. Richterliche Anordnung: Ein Gericht kann die Herausgabe von Patientenakten anordnen. In diesem Fall müssen die Daten bereitgestellt werden.
  4. Gefahr für Leib und Leben: Wenn ein Patient eine konkrete Gefahr für sich selbst oder andere darstellt (z. B. Suizidankündigung, Androhung einer Gewalttat), darf die Schweigepflicht unter dem Gesichtspunkt des rechtfertigenden Notstands (§ 34 StGB) gebrochen werden.
  5. Einwilligung des Patienten: Stimmt der Patient ausdrücklich zu, dass bestimmte Informationen weitergegeben werden, entfällt die Schweigepflicht in dem vereinbarten Umfang.
Wichtig: Im Zweifelsfall immer Rücksprache mit der Praxisleitung halten. Eine eigenmächtige Entscheidung kann schwerwiegende Konsequenzen haben.

Häufige Datenschutzverstöße im Praxisalltag

Manche Verstöße passieren nicht aus böser Absicht, sondern aus Gewohnheit oder Unwissenheit. Hier die häufigsten Fehler, die du vermeiden solltest:

  • Bildschirm nicht gesperrt: Du gehst kurz zum Drucker – und der Bildschirm zeigt noch die Patientenakte. Jeder im Empfangsbereich kann mitlesen. Lösung: Windows-Taste + L (Windows) oder Ctrl + Command + Q (Mac) drücken – dauert eine Sekunde.
  • Gespräche im Wartebereich: „Frau Schmidt, Ihre Blutwerte sind da!" – Alle im Wartezimmer wissen jetzt Bescheid. Besser: Patienten diskret aufrufen und Details nur im geschlossenen Raum besprechen.
  • WhatsApp für Patientenkommunikation: WhatsApp ist nicht DSGVO-konform für Gesundheitsdaten, da Metadaten an Server außerhalb der EU übertragen werden. Auch interne Kommunikation über Patienten hat in WhatsApp nichts verloren.
  • USB-Sticks und private Geräte: Patientendaten auf einem privaten USB-Stick mitnehmen? Absolut tabu. Auch das Speichern auf privaten Smartphones oder Laptops ist ein Verstoß.
  • Patientenakten im Altpapier: Ausgedruckte Dokumente mit Patientendaten gehören in den Aktenvernichter, nicht in den Papierkorb.
  • Zugangsdaten teilen: Jede MFA sollte ein eigenes Login für das Praxisverwaltungssystem haben. Gemeinsame Passwörter machen eine Nachverfolgung unmöglich.

Konsequenzen bei Verstößen

Datenschutzverstöße können erhebliche Folgen haben – sowohl für die Praxis als auch für dich persönlich:

Arbeitsrechtliche Konsequenzen

  • Abmahnung bei erstmaligem Verstoß
  • Kündigung – auch fristlos – bei schwerwiegenden oder wiederholten Verstößen

Bußgelder nach DSGVO

Die Datenschutzbehörden können Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes verhängen (Art. 83 DSGVO). Auch wenn in der Praxis die Bußgelder deutlich niedriger ausfallen, können sie für eine Arztpraxis dennoch existenzbedrohend sein.

Strafrechtliche Konsequenzen (§ 203 StGB)

Ein Verstoß gegen die Schweigepflicht ist eine Straftat. Es drohen:

  • Geldstrafe oder
  • Freiheitsstrafe bis zu einem Jahr (bei Gewinnabsicht bis zu zwei Jahren)
Die Strafverfolgung erfolgt als Antragsdelikt – der betroffene Patient muss also Strafantrag stellen. Aber auch ohne Strafantrag können berufsrechtliche Konsequenzen folgen.

Zivilrechtliche Folgen

Patienten können Schadensersatz und Schmerzensgeld geltend machen, wenn ihnen durch einen Datenschutzverstoß ein Schaden entstanden ist.

Checkliste: 10 Datenschutz-Regeln für deinen Praxisalltag

Diese zehn Regeln solltest du dir einprägen und jeden Tag anwenden:

  1. Bildschirm sperren – jedes Mal, wenn du den Arbeitsplatz verlässt, auch wenn es nur für 30 Sekunden ist.
  2. Leise sprechen – am Empfang, am Telefon und bei der Patientenübergabe. Andere Patienten dürfen nicht mithören.
  3. Keine Patientendaten per WhatsApp – weder intern noch extern. Nutze nur zugelassene Kommunikationswege.
  4. Akten und Befunde wegräumen – nichts offen auf dem Tresen oder Schreibtisch liegen lassen.
  5. Einwilligungen dokumentieren – bevor du Informationen an Dritte weitergibst, brauchst du die schriftliche Zustimmung des Patienten.
  6. Telefonauskünfte verweigern – wenn du dir nicht sicher bist, ob du Auskunft geben darfst, gib lieber keine. Du machst nichts falsch, wenn du höflich ablehnst.
  7. Eigenes Passwort nutzen – niemals Zugangsdaten teilen oder das Login eines Kollegen verwenden.
  8. Dokumente schreddern – Ausdrucke mit Patientendaten gehören in den Aktenvernichter, nicht ins Altpapier.
  9. Keine privaten Geräte – Patientendaten haben auf privaten USB-Sticks, Handys oder Laptops nichts verloren.
  10. Im Zweifel fragen – lieber einmal zu viel bei der Praxisleitung nachfragen als einen Fehler machen.
Du möchtest dein Wissen zu diesem und anderen prüfungsrelevanten Themen vertiefen? In unserem Lernbereich findest du strukturierte Inhalte, die dich gezielt auf deine Prüfung vorbereiten.

Häufig gestellte Fragen (FAQ)

Darf ich mit Kollegen über Patienten sprechen? Ja, aber nur im Rahmen der Behandlung und nur mit Kollegen, die an der Behandlung beteiligt sind. Flurgespräche oder Unterhaltungen in der Mittagspause über „interessante Fälle" sind ein Verstoß gegen die Schweigepflicht – auch wenn keine Namen genannt werden, aber der Patient identifizierbar ist.

Was mache ich, wenn ein Patient seine Akte einsehen möchte? Nimm die Anfrage freundlich entgegen und leite sie an die Praxisleitung weiter. Der Patient hat ein gesetzliches Recht auf Einsicht (§ 630g BGB). Die Praxis muss dem Wunsch unverzüglich nachkommen und darf die Einsicht nicht verweigern – höchstens kurz aufschieben, wenn ein wichtiger Grund vorliegt.

Gilt die Schweigepflicht auch nach meiner Ausbildung? Ja, unbegrenzt. Auch wenn du die Praxis verlässt, den Beruf wechselst oder in Rente gehst – die Schweigepflicht besteht fort. Du darfst nie über Patienten sprechen, die du während deiner Tätigkeit kennengelernt hast.

Darf ich Patientendaten auf meinem privaten Handy speichern? Nein, auf keinen Fall. Private Geräte sind nicht für die Verarbeitung von Gesundheitsdaten zugelassen. Auch Fotos von Befunden oder Terminlisten auf dem privaten Smartphone sind ein Datenschutzverstoß.

Was passiert, wenn ich versehentlich einen Datenschutzverstoß begehe? Melde den Vorfall sofort der Praxisleitung. Nach Art. 33 DSGVO muss eine Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Schnelles Handeln kann die Konsequenzen deutlich mildern. Vertuschen ist keine Option und verschlimmert die Situation erheblich.

Darf die Praxis Patientendaten in einer Cloud speichern? Grundsätzlich ja, aber nur unter strengen Auflagen: Der Cloud-Anbieter muss einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) unterzeichnen, die Server sollten sich innerhalb der EU befinden, und die Daten müssen verschlüsselt übertragen und gespeichert werden. Viele Kassenärztliche Vereinigungen empfehlen zertifizierte Anbieter.

Datenschutz mag auf den ersten Blick wie ein sperriges Thema wirken, aber im Praxisalltag ist er allgegenwärtig. Je besser du die Regeln kennst, desto sicherer und souveräner arbeitest du. Und das merken auch deine Patienten – denn Vertrauen ist die Basis jeder guten medizinischen Versorgung.

Wenn du dich umfassend auf deine MFA-Abschlussprüfung vorbereiten möchtest, schau dir unseren kompletten Prüfungsguide an – dort findest du alle wichtigen Themen auf einen Blick.

Hinweis: Dieser Beitrag wurde mit Unterstützung von Künstlicher Intelligenz erstellt und redaktionell geprüft. Die Inhalte dienen der allgemeinen Information und Prüfungsvorbereitung. Sie ersetzen nicht die offiziellen Prüfungsunterlagen oder den Unterricht. Trotz sorgfältiger Kontrolle übernehmen wir keine Gewähr für Vollständigkeit und Richtigkeit.

Themen: #Recht

Inhaltsverzeichnis

Neueste Beiträge

Burnout-Prävention für MFA: Wenn der Praxis-Stress zu viel wird

05.06.2026

EBM vs. GOÄ: Alles was du als MFA wissen musst

14.05.2026

Bewerbung als MFA: Anschreiben, Lebenslauf, Vorstellungsgespräch

10.05.2026

Arbeitsrecht für MFA: Was du über deinen Vertrag wissen musst

01.05.2026

Ausbildungsstart MFA: Tipps für den ersten Tag in der Praxis

01.05.2026
Alle Beiträge anzeigen

Kategorien

Community Fachwissen Gesundheit Karriere Prüfungsvorbereitung

Beliebte Themen

#Abrechnung #Ausbildung #Karriere #Lerntipps #Prüfungsvorbereitung #Recht

Start nicht verpassen

Sichere dir den Einführungspreis für unsere Lernpakete.

Kein Abo. Nur eine Info zum Start.

Kostenlos lernen

Quizze, Lernkarten & Merkblätter

Zum Lernbereich
Vorheriger Beitrag
Burnout-Prävention für MFA: Wenn der Praxis-Stress zu viel wird

Ähnliche Beiträge

Weitere Artikel zu diesem Thema

EBM vs. GOÄ: Alles was du als MFA wissen musst
Fachwissen

EBM vs. GOÄ: Alles was du als MFA wissen musst

14.05.2026
MFA Prüfungsfit Redaktion

Die Abrechnung gehört zu den wichtigsten Aufgaben in der Arztpraxis – und der **EBM vs. GOÄ Unterschied** ist eines der Themen, das dir in der Ausbildung zur Medizinischen Fachangestellten garantiert...

Mehr lesen
Blutentnahme: Schritt-für-Schritt-Anleitung
Fachwissen

Blutentnahme: Schritt-für-Schritt-Anleitung

01.05.2026
MFA Prüfungsfit Redaktion

Die **Blutentnahme** gehört zu den wichtigsten praktischen Fähigkeiten, die du als MFA beherrschen musst. Ob in der Hausarztpraxis, im Krankenhaus oder beim Facharzt – die venöse Blutabnahme ist...

Mehr lesen
Allergie-Saison: Häufige Fragen und Aufgaben für MFA
Fachwissen

Allergie-Saison: Häufige Fragen und Aufgaben für MFA

24.04.2026
MFA Prüfungsfit Redaktion

Sobald die ersten Pollen fliegen, merkst du es sofort am Praxisalltag: Das Telefon klingelt häufiger, die Wartezimmer füllen sich mit niesenden und tränenden Patienten, und die Nachfrage nach...

Mehr lesen

Bereit für deine MFA-Prüfung?

Lernmaterialien und Übungsfragen für MFA-Azubis

Kostenlos lernen Zurück zum Blog