Gesundheitsberufe, Bundesinnung

FAQ zur DSGVO für Gesundheitsberufe

Die wichtigsten Antworten auf Fragen zum Datenschutz bei Gesundheitsdaten, biometrische und genetische Daten

Lesedauer: 7 Minuten

Unternehmen, die Kundendaten verarbeiten, müssen die Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) einhalten.

Betroffen sind auch die Berufsgruppen der Augenoptiker, Kontaktlinsenoptiker, Hörakustiker, Orthopädieschuhmacher, Orthopädietechniker und Zahntechniker.

Für Betriebe der Innung Gesundheitsberufe bietet die Zusammestellung häufig gestellter Fragen zur DSGVO eine Orientierung und Hilfestellung beim Umgang von Daten.

Fragenkatalog für Gesundheitsberufe

  1. Ich habe ein kleines Augenoptikergeschäft und bin Einzelunternehmer, betrifft mich der Datenschutz auch im vollen Ausmaß oder gibt es Erleichterungen?
  2. Ich bin altmodisch und verwende nur Papierakten. Bin ich auch betroffen?
  3. Muss ich jetzt von jedem Kunden, der in mein Geschäft kommt und eine Brille kaufen möchte eine Einwilligungserklärung unterschreiben lassen?
  4. Ich bin Orthopädietechniker und fahre zu meinen Kunden ins Krankenhaus oder ins Pflegeheim. Die Verträge schließe ich immer mündlich. Reicht auch im Hinblick auf den Datenschutz die mündliche Einwilligung?
  5. Ich bin Orthopädieschuhmacher und hole Einwilligungserklärungen von meinen Kunden für die Verrechnung mit der Krankenkasse ein. Wie lange muss ich diese schriftlichen Einwilligungserklärungen aufbewahren?
  6. Im Leitfaden für die Gesundheitsberufe wird empfohlen, dass man bei Überschreitung von 10.000 Datensätzen und/oder 10 Mitarbeitern (auf FTE-Basis) einen Datenschutzbeauftragten benennt? Was bedeutet in diesem Zusammenhang "Datensatz"?
  7. Kann ich als Kleinunternehmer mein eigener Datenschutzbeauftragter sein?
  8. Was muss der Datenschutzbeauftragte können?
  9. Braucht ein Datenschutzbeauftragter eine verpflichtende Ausbildung und/oder Zertifikat?
  10. Ich bin ein kleiner Augenoptiker und habe wenig Platz in meinem Geschäft. Kann ich die unterschriebenen Einwilligungserklärungen auch einscannen und die Originale wegwerfen?
  11. Muss ich meinen bestehenden Kunden auch eine Einwilligungserklärung schicken?
  12. Betreffend das Recht auf Datenübertragbarkeit: Muss ich als Orthopädieschuhmacher auch die genauen Maße der von mir erstellten Leisten herausgegeben?
  13. Was muss ich als Zahntechniker beachten, wenn mir der Zahnarzt die Daten übersendet oder der Patient direkt zu mir ins Labor kommt?
  14. Ich bin Zahntechniker und die Zahnärzte übermitteln mir nur Daten in anonymisierter Form (d.h. nur mit Kundennummer; weder Name, Geburtsdatum noch Sozialversicherungsnummer werden übermittelt). Gilt dann die DSGVO auch für mich?
  15. Ich gebe Teile meines Fertigungsprozesses (Fräsarbeiten) an Subunternehmer weiter. Ist das datenschutzrechtlich relevant?
  16. Ich benötige Fotos von meinem Kunden für die Herstellung des Heilbehelfs. Ich möchte das Foto auch für Fallstudien verwenden. Was muss ich dabei beachten?

Für weitere Antworten auf häufige Fragen empfehlen wir das DSGVO Vertiefungs-Webinar Gesundheitsdaten, biometrische und genetische Daten.


1. Ich habe ein kleines Augenoptikergeschäft und bin Einzelunternehmer, betrifft mich der Datenschutz auch im vollen Ausmaß oder gibt es Erleichterungen?

Die DSGVO betriff alle Unternehmer gleichermaßen, es gibt keine Unterscheidungen nach Rechtsform oder Größe. Sie müssen sämtliche Verpflichtungen und Vorgaben einhalten. 

2. Ich bin altmodisch und verwende nur Papierakten. Bin ich auch betroffen?

Sofern diese Aufzeichnungen in einem Dateisystem aufbewahrt werden, fällt auch der Papierakt darunter. Dateisystem ist eine strukturierte Sammlung personenbezogener Daten, die nach bestimmen Kriterien geordnet ist (z.B. alphabetisch, chronologisch,…).

3. Muss ich jetzt von jedem Kunden, der in mein Geschäft kommt und eine Brille kaufen möchte eine Einwilligungserklärung unterschreiben lassen?

Eine Einwilligung ist dann nicht notwendig, wenn andere Rechtsfertigungsgründe vorliegen. Der wichtigste für die Gesundheitsberufe ist: Verarbeitung für die Zwecke der Gesundheitsvorsorge, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich, aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufs (Art 9 Abs 2 lit h DSGVO). Wenn man allerdings die Daten länger speichern möchte als die gesetzlichen Aufbewahrungsfristen zulassen oder man diese für andere Zwecke nutzen möchte (z.B. Werbung), dann benötigt man die Einwilligung. Die Einwilligung ist daher nicht in jedem Fall zwingend notwendig.

4. Ich bin Orthopädietechniker und fahre zu meinen Kunden ins Krankenhaus oder ins Pflegeheim. Die Verträge schließe ich immer mündlich. Reicht auch im Hinblick auf den Datenschutz die mündliche Einwilligung?

Bei den besonderen Kategorien personenbezogener Daten wie Gesundheitsdaten, biometrischen und genetischen Daten muss die Einwilligung ausdrücklich sein. Ausdrücklich bedeutet jedoch nicht zwangsläufig schriftlich. Es ist daher auch eine mündliche Einwilligung gültig, sie hat jedoch ein Beweisproblem. Da der Unternehmer in der Beweispflicht ist, empfehlen wir daher als Bundesinnung eine schriftliche Einwilligung einzuholen, wenn eine Einwilligung notwendig ist. Ein Vermerk, den der Unternehmer in einer Karteikarte macht, hat weniger Beweiskraft als ein Dokument, dass der Kunde selbst unterschrieben hat.

5. Ich bin Orthopädieschuhmacher und hole Einwilligungserklärungen von meinen Kunden für die Verrechnung mit der Krankenkasse ein. Wie lange muss ich diese schriftlichen Einwilligungserklärungen aufbewahren?

Aus Beweisgründen sollten die Einwilligungserklärungen jedenfalls während aufrechten Vertragsverhältnisses bzw. gesetzlicher Speicherfristen der konkreten Datenanwendung aufbewahrt werden. Für die Aufbewahrungsart gibt es keine speziellen Vorschriften. Wenn Sie einen orthopädischen Schuh oder eine Einlage erzeugt haben, kommt die 10jährige Frist zur Anwendung.

6. Im Leitfaden für die Gesundheitsberufe wird empfohlen, dass man bei Überschreitung von 10.000 Datensätzen und/oder 10 Mitarbeitern (auf FTE-Basis) einen Datenschutzbeauftragten benennt? Was bedeutet in diesem Zusammenhang „Datensatz“?

Üblicherweise versteht man unter Datensatz eine Gruppe von inhaltlich zusammenhängenden Datenfeldern z.B. Name, Adresse, Geburtsdatum, Sehstärke (im Beispiel von Augenoptikern). Zusammenfassend sind in den meisten Fällen alle Informationen zu einem Kunden ein Datensatz. 

7. Kann ich als Kleinunternehmer mein eigener Datenschutzbeauftragter sein?

Nein, da Sie als Geschäftsinhaber das Kriterium der Unabhängigkeit des Datenschutzbeauftragten nicht erfüllen würden.

8. Was muss der Datenschutzbeauftragte können?

Der Datenschutzbeauftragte hat über die notwendigen Qualifikationen und das Fachwissen zu auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis zu verfügen. Er muss in der Lage sein den Verantwortlichen hinsichtlich seiner Pflichten nach der DSGVO und sonstigen Datenschutzvorschriften zu unterrichten und zu beraten, die Einhaltung der DSGVO und sonstiger Datenschutzvorschriften zu überwachen, in Bezug auf die Datenschutzfolgenabschätzung zu beraten und als Bindeglied zur Aufsichtsbehörde zu fungieren.

Datenschutzbeauftragter selbst ist keine geschützte berufliche Bezeichnung, allerdings sind alle Rechte und Pflichten eines Datenschutzbeauftragen nach der DSGVO einzuhalten, wenn man jemanden im Betrieb derartig benennt. Datenschutzkoordinator oÄ wäre daher für freiwillig bestellte Ansprechpartner sinnvoll(er). 

9. Braucht ein Datenschutzbeauftragter eine verpflichtende Ausbildung und/oder Zertifikat?

Ein Datenschutzbeauftragter muss ein gewisses Maß an Erfahrung in datenschutzrechtlichen Dingen aufweisen. Konkrete Ausbildungen sind zwar nicht verpflichtend, jedoch empfehlenswert. 

10. Ich bin ein kleiner Augenoptiker und habe wenig Platz in meinem Geschäft. Kann ich die unterschriebenen Einwilligungserklärungen auch einscannen und die Originale wegwerfen?

Für die Aufbewahrungsart gibt es keine speziellen Vorschriften. 

11. Muss ich meinen bestehenden Kunden auch eine Einwilligungserklärung schicken?

Wenn die bestehenden Einwilligungen den Vorgaben der DSGVO bereits entsprechen, müssen keine neuen Einwilligungen eingeholt werden.

Hier ist insbesondere auf die Belehrung über die jederzeitige Widerrufsmöglichkeit der Einwilligung zu achten.

Prüfen Sie sorgfältig, ob Sie überhaupt eine Einwilligung benötigen, oder Ihre Datenverarbeitung auf eine andere Rechtsgrundlage stützen können. 

12. Betreffend das Recht auf Datenübertragbarkeit: Muss ich als Orthopädieschuhmacher auch die genauen Maße der von mir erstellten Leisten herausgegeben?

Nein, da Daten, die der Verantwortliche selbständig erzeugt hat, vom Recht auf Datenportabilität ausgenommen sind. 

13. Was muss ich als Zahntechniker beachten, wenn mir der Zahnarzt die Daten übersendet oder der Patient direkt zu mir ins Labor kommt?

Wenn Sie die Daten selbst erheben, werden Sie Verantwortlicher iSd DSGVO mit allen Pflichten (insbesondere müssen Sie die Betroffenenrechte wahren). Wenn die Daten von Zahnarzt erhoben werden und Sie einen schriftlichen Auftragsverarbeitervertrag mit dem Zahnarzt abgeschlossen haben, werden Sie Auftragsverarbeiter. Ein Vertragsmuster finden Sie unter Musterformulare und Blanko-Vorlagen zur DSGVO für Gesundheitsberufe.

14. Ich bin Zahntechniker und die Zahnärzte übermitteln mir nur Daten in anonymisierter Form (d.h. nur mit Kundennummer; weder Name, Geburtsdatum noch Sozialversicherungsnummer werden übermittelt). Gilt dann die DSGVO auch für mich?

Wenn es Ihnen unmöglich ist die Kundennummer einer konkreten Person zuzuordnen, liegt kein datenschutzrechtlich relevanter Sachverhalt vor.

Beachten Sie jedoch, dass Sie gemäß Medizinproduktegesetz eine Konformitätserklärung für Sonderanfertigungen erstellen müssen und in dieser müssen Sie auch die Namen des/der Patienten/in angeben und bestätigen, dass dieses Medizinprodukt ausschließlich für diese Person bestimmt ist. 

15. Ich gebe Teile meines Fertigungsprozesses (Fräsarbeiten) an Subunternehmer weiter. Ist das datenschutzrechtlich relevant?

Wenn der Subunternehmer keine personenbezogenen Daten vom Kunden von Ihnen erhält, ist es datenschutzrechtlich nicht relevant. 

16. Ich benötige Fotos von meinem Kunden für die Herstellung des Heilbehelfs. Ich möchte das Foto auch für Fallstudien verwenden. Was muss ich dabei beachten?

Betreffend das Recht am eigenen Bild nach Zivilrecht hat sich durch die DSGVO nichts geändert. Sie brauchen die Einwilligung des Kunden um ihn zu fotografieren. Aus Beweisgründen empfehlen wir diese schriftlich einzuholen.


Mögliche Formulierungen:

Ich, Name, ev. Kundenummer, stimme zu, dass das Foto am ......... gemachte Foto von mir (bzw. meines z.B. Gebisses, Fußes, …) zum Zweck ....................... (Zweck angeben z. B. Herstellung des Zahnersatzes, orthopädischen Heilbehelf,…) verarbeitet werden darf.

Weiters stimme ich zu, dass das oben genannte Foto bei Fallstudien, Vorträgen, ......... (genau angeben) gezeigt und in Fachzeitschriften / auf der HP (Adresse angeben) veröffentlicht werden darf.

Diese Einwilligung kann jederzeit unter ............ (Angabe der entsprechenden Kontaktdaten) widerrufen werden. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt


Für weitere Antworten auf häufige Fragen empfehlen wir das DSGVO Vertiefungs-Webinar Gesundheitsdaten, biometrische und genetische Daten.

Stand: 30.05.2018