Welche Datenschutzpflichten haben Therapeuten in Österreich? Was gilt für Patientenakten, Einwilligungen und digitale Software? Dieser Leitfaden erklärt die DSGVO verständlich – ohne Juristendeutsch.
Therapeuten verarbeiten täglich besonders sensible personenbezogene Daten: Gesundheitsdaten, Diagnosen, Behandlungsverläufe, psychische Informationen. Diese zählen nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und unterliegen damit dem höchsten Schutzniveau.
Verstöße gegen die DSGVO können für Therapeuten schwerwiegende Folgen haben: Bußgelder bis zu 20 Millionen Euro (oder 4 % des weltweiten Jahresumsatzes), Entzug der Berufszulassung und Reputationsschäden.
⚠️ Wichtig: Patientendaten sind Gesundheitsdaten nach Art. 9 DSGVO – sie genießen den höchsten Datenschutzstatus. Jede Verarbeitung braucht eine explizite Rechtsgrundlage.
Für die Verarbeitung von Gesundheitsdaten brauchen Therapeuten eine explizite Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) – oder eine andere der aufgeführten Ausnahmen (z.B. Behandlungsvertrag nach lit. h).
📋 Tipp: Wellpoint stellt Muster-Einwilligungserklärungen für alle Therapiebereiche bereit – DSGVO-konform und auf österreichisches Recht angepasst.
Therapeuten in Österreich müssen Patientenakten nach österreichischem Recht mindestens 7 Jahre aufbewahren. Bei minderjährigen Patienten gilt: mindestens 7 Jahre nach Vollendung des 18. Lebensjahres.
Wenn Therapeuten Software zur Verwaltung von Patientendaten nutzen, gelten strenge Anforderungen:
Mit jedem Software-Anbieter, der Zugang zu Patientendaten hat, muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen werden. Ohne AVV ist die Nutzung von Software zur Patientenverwaltung nicht DSGVO-konform.
Daten dürfen nur in der EU oder in Ländern mit adäquatem Datenschutzniveau gespeichert werden. Amerikanische Cloud-Dienste (AWS, Google Cloud, Microsoft Azure) sind für Gesundheitsdaten ohne spezielle Vereinbarungen problematisch.
✅ Wellpoint: Alle Daten werden ausschließlich in EU-Rechenzentren gespeichert. AVV wird automatisch beim Vertragsabschluss bereitgestellt. Kein US-Cloud-Anbieter.
In der Regel nein – Einzeltherapeuten und kleine Praxen müssen keinen Datenschutzbeauftragten bestellen. Ausnahmen gelten, wenn regelmäßig besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) in großem Umfang verarbeitet werden. Bei Unsicherheit empfiehlt sich anwaltliche Beratung.
Unverschlüsselte E-Mails mit Gesundheitsdaten sind datenschutzrechtlich problematisch. Wenn Patienten ausdrücklich zustimmen und die Risiken kennen, ist es möglich – aber nicht empfohlen. Besser: sichere, verschlüsselte Kommunikationskanäle nutzen.
Datenschutzverstöße müssen innerhalb von 72 Stunden an die österreichische Datenschutzbehörde gemeldet werden (wenn ein Risiko für betroffene Personen besteht). Bußgelder können bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes betragen.
Ja. Wellpoint speichert alle Patientendaten ausschließlich in EU-Rechenzentren, stellt einen DSGVO-konformen AVV bereit und unterstützt Therapeuten mit Muster-Einwilligungserklärungen und Datenschutz-Checklisten.