Checkliste Datenschutz Arztpraxis: Pflichten und Massnahmen

Checkliste Datenschutz Arztpraxis: Pflichten und Massnahmen

Kurz gesagt:

  • Datenschutz in Arztpraxen ist gesetzlich vorgeschrieben und schützt besonders sensible Patientendaten. Eine strukturierte Dokumentation, externe Dienstleisterverträge und technische Maßnahmen sind essenziell für die Einhaltung. Regelmäßige Schulungen und klare Fristen bei Datenlöschungen sichern eine rechtskonforme Praxisorganisation.

Datenschutz in der Arztpraxis ist eine gesetzliche Pflicht, die aus dem revidierten Schweizer Datenschutzgesetz (revDSG), der DSGVO sowie der ärztlichen Schweigepflicht nach Art. 321 StGB entsteht. Arztpraxen verarbeiten täglich besonders schützenswerte Personendaten: Diagnosen, Medikationen, Laborwerte und psychiatrische Befunde. Diese Daten geniessen den höchsten gesetzlichen Schutz. Eine strukturierte Checkliste Datenschutz Arztpraxis hilft Ihnen, alle Pflichten systematisch zu erfassen, Lücken zu schliessen und Bussgeldern oder Reputationsschäden vorzubeugen. Die folgenden Abschnitte zeigen Ihnen, welche Massnahmen verbindlich sind und wie Sie diese in der Praxis konkret umsetzen.

1. Checkliste Datenschutz Arztpraxis: gesetzliche Grundlagen kennen

Arztpraxen in der Schweiz unterliegen dem revDSG, das seit September 2023 in Kraft ist, sowie ergänzend der DSGVO, sofern Patientendaten von EU-Bürgerinnen und -Bürgern verarbeitet werden. Beide Regelwerke verlangen eine dokumentierte, nachweisbare Datenschutzorganisation. Das revDSG stuft Gesundheitsdaten als besonders schützenswerte Personendaten ein. Verstösse können mit Bussen bis zu 250.000 Schweizer Franken geahndet werden.

Die ärztliche Schweigepflicht nach Art. 321 StGB ergänzt den gesetzlichen Datenschutz. Sie gilt strafrechtlich und schützt die Vertraulichkeit der Arzt-Patienten-Beziehung unabhängig von der DSGVO. Schweigepflicht und DSGVO ergänzen sich gegenseitig, ersetzen sich aber nicht. Wer nur eine der beiden Anforderungen erfüllt, bleibt rechtlich angreifbar.

Profi-Tipp: Legen Sie eine Übersicht aller anwendbaren Rechtsgrundlagen (revDSG, DSGVO, KVG, FMH-Standesordnung) als erstes Dokument in Ihrem Datenschutz-Ordner ab. So behalten Sie den Überblick bei Audits oder Anfragen der kantonalen Aufsichtsbehörde.

2. Datenschutzbeauftragte: wann ist eine Bestellung Pflicht?

Ein Datenschutzbeauftragter muss in Arztpraxen ab 20 Personen bestellt werden, die ständig mit automatisierter Datenverarbeitung befasst sind. Das bedeutet: Praxen mit weniger Mitarbeitenden sind formal nicht verpflichtet, profitieren aber dennoch von einer klar benannten Verantwortungsperson für Datenschutzfragen. Diese Person koordiniert Schulungen, prüft Verträge und ist Ansprechperson bei Datenpannen.

Kleinere Praxen können die Datenschutzverantwortung intern einer Praxismanagerin oder einem Praxismanager übertragen. Alternativ bieten externe Datenschutzberater diese Funktion an. Entscheidend ist, dass die Verantwortung schriftlich geregelt und dokumentiert ist. Eine mündliche Absprache genügt nicht.

3. Verzeichnis der Verarbeitungstätigkeiten führen

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist das zentrale Dokument jeder datenschutzkonformen Arztpraxis. Es listet alle Prozesse auf, bei denen Personendaten verarbeitet werden: Terminverwaltung, Patientenakten, Abrechnung nach TARMED oder SwissDRG, Laborkommunikation und mehr. Jeder Eintrag enthält Zweck, Rechtsgrundlage, Datenkategorien, Empfänger und Löschfristen.

Das VVT ist kein einmaliges Projekt. Regelmässige Aktualisierungen sind unverzichtbar, um neuen IT-Standards und Praxisänderungen gerecht zu werden. Führen Sie das VVT in einer Tabelle oder in Ihrer Praxissoftware und überprüfen Sie es mindestens einmal jährlich. Neue Dienstleister, neue Software oder geänderte Abläufe müssen sofort eingetragen werden.

4. Auftragsverarbeitungsverträge mit IT-Dienstleistern abschliessen

Jeder externe Dienstleister, der Patientendaten verarbeitet, benötigt einen Auftragsverarbeitungsvertrag (AVV). Das gilt für Cloud-Anbieter, Laborsoftware, Radiologiesysteme, PACS-Anbieter und Abrechnungsdienstleister. Ohne AVV ist die Datenübermittlung rechtlich unzulässig, auch wenn der Dienstleister technisch sicher arbeitet.

Ein häufig übersehener Punkt: AVVs sind nur wirksam, wenn die ärztliche Schweigepflicht explizit auch für den Dienstleister und dessen Mitarbeitende vertraglich eingeschlossen wird. Viele Standardverträge enthalten diese Klausel nicht. Prüfen Sie jeden AVV auf diesen Punkt, bevor Sie unterschreiben. Lassen Sie fehlende Klauseln vom Dienstleister ergänzen oder holen Sie rechtliche Beratung ein.

Profi-Tipp: Erstellen Sie eine Liste aller Dienstleister mit Datum des abgeschlossenen AVV und dem nächsten Überprüfungstermin. Hinterlegen Sie die Verträge digital in Ihrer Praxissoftware, damit sie bei Audits sofort abrufbar sind.

5. Informationspflichten gegenüber Patientinnen und Patienten erfüllen

Patientinnen und Patienten haben das Recht zu wissen, welche Daten Sie erheben, zu welchem Zweck und wie lange Sie diese aufbewahren. Die Datenschutzerklärung beim Arzt muss diese Informationen klar und verständlich vermitteln. Sie gehört in die Praxis als Aushang, auf die Praxis-Website und in die Patientenaufnahme-Dokumentation.

Die Datenschutzerklärung muss folgende Punkte abdecken:

  • Verantwortliche Stelle: Name und Kontaktdaten der Praxis
  • Zweck der Datenverarbeitung: Behandlung, Abrechnung, Qualitätssicherung
  • Rechtsgrundlage: revDSG, KVG, Einwilligung
  • Empfänger: Labore, Krankenversicherer wie Helsana, CSS oder Swica, Spitäler
  • Aufbewahrungsfristen: Mindestens 10 Jahre gemäss Schweizer Recht
  • Rechte der betroffenen Personen: Auskunft, Berichtigung, Löschung

Überprüfen Sie die Datenschutzerklärung jährlich und passen Sie sie bei Änderungen der Praxisabläufe sofort an.

6. Meldepflicht bei Datenschutzverletzungen einhalten

Bei einer Datenpanne müssen Sie die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren. In der Schweiz ist das der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Diese Frist beginnt ab dem Moment, in dem Sie von der Verletzung Kenntnis erhalten. 72 Stunden sind wenig Zeit, wenn kein Prozess vorbereitet ist.

Legen Sie deshalb einen dokumentierten Datenpannen-Prozess fest. Dieser definiert, wer intern informiert wird, wer die Meldung an den EDÖB verfasst und wer betroffene Patientinnen und Patienten benachrichtigt. Halten Sie Kontaktdaten der Aufsichtsbehörde und eines Datenschutzberaters griffbereit. Eine Cyberversicherung kann dabei rechtliche und forensische Unterstützung bei Cybervorfällen abdecken und ist eine sinnvolle Ergänzung zur DSGVO-Compliance.

Praxissoftware-Lösung gesucht? MediCloud Med ist die cloudbasierte Praxissoftware für Schweizer Ärzte und Therapeuten. → Kostenlose Anfrage senden

7. Technische und organisatorische Massnahmen umsetzen

Technische Massnahmen bilden das Fundament des Datenschutzes in der Arztpraxis. Digitale Praxissoftware mit integrierten Sicherheitsfunktionen wie Verschlüsselung und Audit-Logs reduziert den administrativen Aufwand für Datenschutz erheblich. Achten Sie bei der Auswahl Ihrer Praxissoftware auf folgende Merkmale:

  1. Ende-zu-Ende-Verschlüsselung aller Patientendaten in Übertragung und Speicherung
  2. Rollenbasierte Zugriffsrechte: Nur autorisierte Mitarbeitende sehen relevante Daten
  3. Audit-Logs: Jeder Datenzugriff wird protokolliert und ist nachvollziehbar
  4. Automatische Datensicherung: Tägliche Backups auf sicheren Schweizer Servern
  5. Zwei-Faktor-Authentifizierung für alle Systemzugänge
  6. Verschlüsselte Kommunikation mit Laboren, Radiologie und PACS-Systemen

Organisatorische Massnahmen sind mindestens genauso wichtig. Empfang, Telefonate und Sichtschutz sind zentrale Prüfbereiche, die oft unterschätzt werden. Bildschirme am Empfang müssen so positioniert sein, dass Wartende keine Patientendaten einsehen können. Telefongespräche mit sensiblem Inhalt gehören in einen abgetrennten Bereich. Papierakten dürfen nicht offen auf dem Tresen liegen.

8. Datenschutz im Wartezimmer sicherstellen

Hände sorgen im Wartebereich einer Arztpraxis für mehr Privatsphäre, indem sie Sichtschutz oder andere Maßnahmen anbringen.

Datenschutz im Wartezimmer ist ein eigenständiger Prüfbereich. Patientinnen und Patienten sollen beim Einchecken keine Namen oder Diagnosen anderer Personen hören oder sehen. Der Empfangstresen sollte eine Sichtschutzscheibe haben. Aufruf-Systeme mit Nummern statt Namen schützen die Privatsphäre wirksam.

Formulare zur Patientenaufnahme dürfen nicht offen ausliegen. Ausgefüllte Formulare müssen sofort eingesammelt und sicher abgelegt werden. Aushänge im Wartezimmer, die Patientendaten enthalten, sind unzulässig. Prüfen Sie auch, ob Ihre Terminbuchungs-Software datenschutzkonform ist und ob die Online-Terminbuchung eine gültige Datenschutzerklärung enthält.

9. Mitarbeiterschulungen planen und dokumentieren

Jährliche Schulungen aller Mitarbeitenden zur Schweigepflicht und zum Datenschutz sind Pflicht. Diese Schulungen müssen dokumentiert werden: Datum, Teilnehmende, Inhalte und Unterschriften. Neue Mitarbeitende erhalten die Schulung vor dem ersten Arbeitstag mit Patientenkontakt.

Schulungsinhalte umfassen die ärztliche Schweigepflicht, den Umgang mit Patientendaten, sichere Passwortpraktiken, das Verhalten bei Datenpannen und die korrekte Nutzung der Praxissoftware. Externe Datenschutzberater oder die FMH bieten strukturierte Schulungsprogramme an. Interne Schulungen sind zulässig, müssen aber denselben Dokumentationsstandard erfüllen.

10. Löschkonzept definieren und umsetzen

Ein Löschkonzept versagt in der Praxis häufig, wenn keine klaren Fristen und Verantwortlichkeiten definiert wurden. Das gilt besonders bei der Kombination von zivilrechtlichen Aufbewahrungsfristen und haftungsrechtlichen Anforderungen. Patientenakten müssen in der Schweiz mindestens 10 Jahre aufbewahrt werden. Für Minderjährige gilt die Frist bis zum vollendeten 28. Lebensjahr.

Legen Sie für jede Datenkategorie eine konkrete Löschfrist fest und benennen Sie eine verantwortliche Person. Digitale Daten müssen sicher gelöscht werden, nicht nur in den Papierkorb verschoben. Papierakten gehören in einen zertifizierten Aktenvernichter oder werden durch einen Entsorgungsdienstleister mit AVV vernichtet. Dokumentieren Sie jeden Löschvorgang.

11. Praktische Umsetzungsschritte auf einen Blick

Die folgende Tabelle gibt Ihnen eine strukturierte Übersicht der wichtigsten Massnahmen, ihrer Priorität und des empfohlenen Umsetzungszeitraums:

Massnahme Priorität Umsetzungszeitraum
VVT erstellen und pflegen Hoch Sofort, jährlich aktualisieren
AVV mit allen Dienstleistern abschliessen Hoch Sofort
Datenschutzerklärung erstellen Hoch Sofort, jährlich prüfen
Datenpannen-Prozess definieren Hoch Innerhalb von 4 Wochen
Mitarbeiterschulung durchführen Hoch Jährlich, bei Neueinstellungen sofort
Löschkonzept mit Fristen festlegen Mittel Innerhalb von 8 Wochen
Technische Massnahmen prüfen Hoch Sofort, halbjährlich überprüfen
Wartezimmer-Datenschutz prüfen Mittel Innerhalb von 2 Wochen
Datenschutzbeauftragte/n benennen Je nach Grösse Sofort bei Pflicht
Cyberversicherung prüfen Mittel Innerhalb von 3 Monaten

Ergänzend zu dieser Tabelle empfehlen sich folgende Sofortmassnahmen:

  • Alle bestehenden AVV auf Vollständigkeit prüfen, insbesondere auf die Schweigepflichtklausel
  • Bildschirmposition am Empfang kontrollieren
  • Passwörter aller Praxissysteme auf Sicherheitsstandard prüfen
  • Notfallkontakte für Datenpannen schriftlich festhalten

Profi-Tipp: Führen Sie ein digitales Datenschutz-Cockpit in Ihrer Praxissoftware: ein zentrales Dokument, das alle Fristen, Verantwortlichkeiten und letzten Prüfdaten auf einen Blick zeigt. Das spart Zeit bei internen Audits und gibt Ihnen Sicherheit bei Anfragen der Aufsichtsbehörde.

12. Schweigepflicht und DSGVO: Zusammenspiel verstehen

Die ärztliche Schweigepflicht nach Art. 321 StGB und die DSGVO verfolgen dasselbe Ziel auf unterschiedlichen Rechtswegen. Die DSGVO regelt die Verarbeitung personenbezogener Daten verwaltungsrechtlich. Die Schweigepflicht schützt die Vertraulichkeit der Arzt-Patienten-Beziehung strafrechtlich. Ein Verstoss gegen die Schweigepflicht kann mit Freiheitsstrafe bis zu drei Jahren geahndet werden.

Folgende Situationen führen in der Praxis häufig zu Verstössen:

  • Weitergabe von Patientendaten an Angehörige ohne ausdrückliche Einwilligung der Patientin oder des Patienten
  • Gespräche über Patientenfälle in öffentlich hörbaren Bereichen
  • Unverschlüsselte E-Mails mit Patientendaten an Labore oder Spezialisten
  • Zugriff von Mitarbeitenden auf Akten, für die keine Berechtigung besteht
  • Fehlende Schweigepflichtklausel in AVV mit IT-Dienstleistern

Die Schweigepflicht muss in Verträge mit Dienstleistern und in Mitarbeiterschulungen einbezogen werden, um strafrechtliche Risiken zu minimieren. Behandeln Sie beide Anforderungen als untrennbare Einheit in Ihrer Datenschutzorganisation.

Meine Einschätzung zur Datenschutzumsetzung in Schweizer Arztpraxen

Datenschutz wird in vielen Praxen als bürokratische Last empfunden. Diese Sichtweise ist verständlich, aber kurzsichtig. Patientinnen und Patienten entscheiden sich bewusst für Praxen, denen sie vertrauen. Eine nachweislich datenschutzkonforme Praxis ist ein echter Wettbewerbsvorteil, besonders in städtischen Regionen mit hohem Praxisangebot.

Was mich in der Praxis immer wieder überrascht: Die grössten Risiken entstehen nicht durch komplexe Cyberangriffe, sondern durch einfache organisatorische Lücken. Ein Bildschirm, der im falschen Winkel steht. Ein AVV, der die Schweigepflicht nicht erwähnt. Eine Schulung, die nie dokumentiert wurde. Diese Lücken sind leicht zu schliessen, wenn man sie kennt.

Meine klare Empfehlung: Investieren Sie in eine Praxissoftware, die Datenschutz-Compliance nicht als Zusatzmodul, sondern als Kernfunktion versteht. Verschlüsselung, Zugriffsrechte und Audit-Logs sollten selbstverständlich sein, nicht optional. Und überprüfen Sie Ihre Dokumentation mindestens einmal jährlich. Ungeprüfte Vorlagen bilden individuelle Praxisabläufe oft falsch ab und erzeugen ein falsches Sicherheitsgefühl.

— Uli

Wie Medicloudmed Sie bei der datenschutzkonformen Praxisführung unterstützt

Medicloudmed ist eine cloudbasierte Praxissoftware für die Schweiz, die speziell für Ärztinnen und Ärzte, Therapeutinnen und Therapeuten sowie Notfallpraxen entwickelt wurde. Die Software integriert Datenschutz-Funktionen direkt in den Praxisalltag: rollenbasierte Zugriffsrechte, verschlüsselte Datenspeicherung auf Schweizer Servern, Audit-Logs und sichere API-Schnittstellen zu Laboren, Radiologie und PACS-Systemen. Auf dem Medicloudmed-Blog finden Sie weitere Praxistipps zur digitalen Compliance. Vereinbaren Sie jetzt ein unverbindliches Beratungsgespräch unter calendly.com/medicloudmed und erfahren Sie, wie Medicloudmed Ihre Datenschutzorganisation konkret vereinfacht.

FAQ

Was ist der Unterschied zwischen revDSG und DSGVO für Arztpraxen?

Das revDSG ist das Schweizer Datenschutzgesetz und gilt für alle Praxen in der Schweiz. Die DSGVO gilt zusätzlich, wenn Patientendaten von EU-Bürgerinnen und -Bürgern verarbeitet werden. Beide Gesetze verlangen eine dokumentierte Datenschutzorganisation und stufen Gesundheitsdaten als besonders schützenswert ein.

Ab wann braucht eine Arztpraxis einen Datenschutzbeauftragten?

Eine Arztpraxis muss einen Datenschutzbeauftragten bestellen, wenn mindestens 20 Personen ständig mit automatisierter Datenverarbeitung befasst sind. Kleinere Praxen sind formal nicht verpflichtet, sollten aber intern eine verantwortliche Person für Datenschutzfragen benennen.

Was muss eine Datenschutzerklärung beim Arzt enthalten?

Die Datenschutzerklärung muss Zweck und Rechtsgrundlage der Datenverarbeitung, Empfänger der Daten, Aufbewahrungsfristen sowie die Rechte der Patientinnen und Patienten auf Auskunft, Berichtigung und Löschung enthalten. Sie muss in der Praxis ausgehängt und auf der Website veröffentlicht werden.

Wie lange müssen Patientenakten in der Schweiz aufbewahrt werden?

Patientenakten müssen in der Schweiz mindestens 10 Jahre aufbewahrt werden. Bei minderjährigen Patientinnen und Patienten gilt die Aufbewahrungsfrist bis zum vollendeten 28. Lebensjahr. Das Löschkonzept der Praxis muss diese Fristen verbindlich festhalten.

Was passiert bei einer Datenpanne in der Arztpraxis?

Bei einer Datenschutzverletzung muss die Praxis den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten innerhalb von 72 Stunden informieren. Betroffene Patientinnen und Patienten sind zu benachrichtigen, wenn ein hohes Risiko für ihre Rechte besteht. Ein vorbereiteter Datenpannen-Prozess ist deshalb unverzichtbar.

Bereit für die digitale Praxis?

MediCloud Med — speziell für Schweizer Ärzte und Therapeuten. Terminplanung, Patientenakte und Abrechnung in einer Lösung.

Anfrage sendenDemo buchen (15 Min)