📕 Kostenloses E-Book:PDF holen →
M
MeinPraxisPartner
KI & Digitalisierung für Arztpraxen
Erstgespräch
← Alle Artikel
DSGVO & Recht21. April 2026·7 Min Lesezeit

DSGVO in der Arztpraxis 2026: Die 12-Punkte-Checkliste (plus die 3 Dinge, die Sie sofort ändern sollten)

Die DSGVO-Welt hat sich seit 2024 verschärft: neue KI-Vorgaben, strengere Video-Sprechstunden-Regeln, und Dokumentations-Pflichten. Was Ihre Arztpraxis 2026 wirklich braucht — plus die drei Quick-Wins mit dem höchsten Impact.

Warum 2026 das DSGVO-Jahr der Arztpraxis ist

Zwei Entwicklungen treffen gerade zusammen:

  1. KI-Verordnung der EU greift für Gesundheits-Systeme seit Q1 2026 voll durch — KI-Chatbots in der Patient-Kommunikation brauchen explizite Einwilligung + Risk-Assessment.
  2. Verschärfte Landesdatenschutz-Kontrollen 2025 haben ca. 200 Arztpraxen kontrolliert. Durchschnittliches Bußgeld bei Funden: €8.500. Der Trend: Kontrollen nehmen zu.

Die gute Nachricht: Die meisten Lücken lassen sich in einem Nachmittag schließen. Hier ist die aktuelle 12-Punkte-Checkliste für 2026.

Die 12-Punkte-Checkliste (Stand 2026)

Basis (müssen alle Praxen haben)

1. Aktuelles Verzeichnis von Verarbeitungstätigkeiten (VVT) Dokumentiert wer welche Daten wofür verarbeitet. Muss alle 2 Jahre aktualisiert werden. 2026-Anlass: KI-Tools hinzufügen.

2. Datenschutz-Folgenabschätzung (DSFA) Pflicht für Video-Sprechstunde, KI-gestützte Diagnose-Hilfen, Cloud-basierte PVS. Nicht optional.

3. AV-Verträge mit allen externen Dienstleistern PVS-Anbieter, Cloud-Storage, Newsletter-Tool, Terminvergabe-Tool, Abrechnungsdienst — alle brauchen einen AV-Vertrag (Art. 28 DSGVO).

4. Einwilligungen Patient + MFA rechtssicher dokumentiert Digital oder Papier — beides OK, aber nachweisbar (timestamped + protokolliert).

Technisch (2026 neu relevant)

5. Verschlüsselung aller Patient-Daten (at-rest + in-transit) At-rest: AES-256 auf Festplatten. In-transit: TLS 1.3 mindestens. Prüfen Sie besonders: alte Backups auf USB-Stick (häufiger Kontroll-Fund).

6. Sichere Passwörter + 2FA Für Arzt-Accounts + MFA-Accounts. 2FA ist Standard 2026, keine Ausnahme für "wir sind doch nur eine kleine Praxis".

7. Mobile Geräte (Handys, Tablets) Wenn MFA WhatsApp für Dienstkommunikation nutzt → DSGVO-Verstoß (keine EU-Server, keine Ende-zu-Ende für Nachrichten). Ersatz: Praxis-interner Messenger oder dediziertes Telefon-System.

2026-Neuheiten

8. KI-Chatbots & KI-Diagnose-Unterstützung Seit EU-KI-VO: Risk-Assessment pro Use-Case, transparente Kennzeichnung "KI-generiert", Ausstiegs-Option für Patienten. Bei High-Risk-KI (Diagnose-Unterstützung) zusätzlich: CE-Kennzeichnung, Konformitäts-Erklärung.

9. Patient-Portal & Online-Termin Terminvergabe über Portal → Patient muss Zwei-Phasen-Einwilligung geben (1. Nutzung Portal, 2. Terminübermittlung an PVS). Pflicht 2026.

10. Video-Sprechstunde Verschärfte Vorgaben: zertifizierter Anbieter (nicht Zoom/Skype!), aufgezeichnete Sessions nur mit doppelter Einwilligung, Server ausschliesslich in DE/EU.

Mitarbeiter & Organisation

11. DSGVO-Schulung für alle Mitarbeiter (jährlich) Inklusive MFA, Putzpersonal, Aushilfen, Praktikanten. Dokumentiert mit Unterschrift.

12. Datenschutz-Beauftragter (DSB) Pflicht bei >20 Mitarbeitern im Praxis-Umfeld ODER bei regelmäßiger Verarbeitung besonders schutzwürdiger Daten (wie Gesundheitsdaten). Also: faktisch jede Praxis braucht einen, entweder intern oder extern (€50-200/Monat).

Die 3 Quick-Wins mit höchstem Impact

Wenn Sie nur 90 Minuten Zeit haben, machen Sie diese drei Dinge:

1. Alle AV-Verträge sammeln + prüfen (30 Min)

Öffnen Sie Email + Schubladen. Wer verarbeitet Daten für Sie? Haben Sie von jedem einen AV-Vertrag (auf Papier oder Digital)? Wenn nicht → schriftlich anfordern, meist 24h Durchlaufzeit.

Warum Quick-Win: Bei Kontrollen ist das der häufigste Befund. Wird ohne Schmerz gefixt.

2. WhatsApp-Gruppen der MFAs schließen (15 Min)

Ersetzen durch praxisinternes Tool. Keine "Team-Chat"-Gruppe auf WhatsApp mehr für dienstliche Kommunikation. Alternativen: Microsoft Teams, Slack mit EU-Server, unser Praxis-OS mit Team-Chat-Modul (DSGVO-konform, EU-Server).

Warum Quick-Win: Akutes Risiko, da jeder MFA theoretisch die Praxis verklagen könnte. Schon eine verschickte Patient-Frage per WhatsApp ist ein meldepflichtiger Datenschutzvorfall.

3. Digitale Einwilligungen mit Zeitstempel (45 Min)

Wer hat wann wozu eingewilligt? Wenn Sie das nicht binnen 5 Minuten nachweisen können → Problem. Quick-Win: Einwilligungs-Formular vorbereiten, bei neuem Patient-Kontakt digital (oder auf Papier) unterschreiben lassen, scannen, archivieren.

Warum Quick-Win: Beweislast liegt bei Ihnen. Ohne Nachweis = Datenschutzverstoß.

Was wir im PraxisAudit prüfen

Wenn Sie unsicher sind ob Ihre Praxis DSGVO-konform ist, können wir das im PraxisAudit (€490) mit Ihnen durchgehen:

  • Alle 12 Punkte oben live prüfen
  • Konkrete Fix-Liste für Ihre Praxis erstellen
  • Muster-Dokumente für VVT, DSFA, AV-Verträge aushändigen
  • Einmaliges Monats-Review danach

Bei Beauftragung der laufenden Betreuung (€149 Start oder €499 Pro pro Monat) wird der Audit-Preis verrechnet.

Häufiges Missverständnis

"Die DSGVO ist ja von 2018 — warum ist das 2026 wieder Thema?"

Die DSGVO selbst ist stabil. Aber neue Technologien verändern laufend was "State of the Art" bedeutet. Eine Praxis die 2018 DSGVO-konform war, ist es 2026 oft nicht mehr — weil sie KI-Tools, Video-Sprechstunde, Cloud-PVS eingeführt hat, ohne die DSGVO-Implikationen nachzuziehen.

Kleine Praxen sind besonders betroffen, weil sie keine IT-Abteilung haben die das regelmäßig mitdenkt.

Was als nächstes?

Machen Sie die 12-Punkte-Liste durch. Bei allem wo Sie "unsicher" ankreuzen → Audit anfragen oder gratis Erstanalyse. Nichts ist günstiger als Prävention.

Sie wollen diesen Artikel auf Ihre Praxis übertragen?

Im PraxisAudit schauen wir uns Ihre konkrete Situation an und liefern eine Roadmap.

Erstgespräch buchen →PraxisAudit (€490)