Home Features Preise Über uns Kontakt Kostenlos testen
🔒 Datenschutz-Leitfaden · Österreich 2026

DSGVO für Therapeuten –
Der Praxisleitfaden

Welche Datenschutzpflichten haben Therapeuten in Österreich? Was gilt für Patientenakten, Einwilligungen und digitale Software? Dieser Leitfaden erklärt die DSGVO verständlich – ohne Juristendeutsch.

🔒 DSGVO-konform 🇦🇹 Österreichisches Recht 📅 Stand: Juni 2026

DSGVO und Therapeuten – Warum ist das so wichtig?

Therapeuten verarbeiten täglich besonders sensible personenbezogene Daten: Gesundheitsdaten, Diagnosen, Behandlungsverläufe, psychische Informationen. Diese zählen nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und unterliegen damit dem höchsten Schutzniveau.

Verstöße gegen die DSGVO können für Therapeuten schwerwiegende Folgen haben: Bußgelder bis zu 20 Millionen Euro (oder 4 % des weltweiten Jahresumsatzes), Entzug der Berufszulassung und Reputationsschäden.

⚠️ Wichtig: Patientendaten sind Gesundheitsdaten nach Art. 9 DSGVO – sie genießen den höchsten Datenschutzstatus. Jede Verarbeitung braucht eine explizite Rechtsgrundlage.

Die 7 DSGVO-Grundsätze für Therapeuten

  • Rechtmäßigkeit: Jede Datenverarbeitung braucht eine Rechtsgrundlage (Einwilligung, Vertrag, rechtliche Pflicht)
  • Zweckbindung: Patientendaten dürfen nur für den festgelegten Zweck (Behandlung) genutzt werden
  • Datensparsamkeit: Nur die tatsächlich notwendigen Daten erfassen
  • Richtigkeit: Daten müssen aktuell und korrekt sein
  • Speicherbegrenzung: Daten nur so lange speichern wie nötig (Therapeuten: mind. 7 Jahre)
  • Integrität & Vertraulichkeit: Technische und organisatorische Schutzmaßnahmen
  • Rechenschaftspflicht: Nachweis der Compliance gegenüber Behörden

Einwilligung der Patienten

Für die Verarbeitung von Gesundheitsdaten brauchen Therapeuten eine explizite Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) – oder eine andere der aufgeführten Ausnahmen (z.B. Behandlungsvertrag nach lit. h).

Was muss die Einwilligung enthalten?

  • Welche Daten verarbeitet werden (Art, Umfang)
  • Zu welchem Zweck (Behandlung, Abrechnung, Dokumentation)
  • Wie lange die Daten gespeichert werden
  • Wer Zugang zu den Daten hat (Mitarbeiter, externe Dienste)
  • Hinweis auf das Widerrufsrecht

📋 Tipp: Wellpoint stellt Muster-Einwilligungserklärungen für alle Therapiebereiche bereit – DSGVO-konform und auf österreichisches Recht angepasst.

Aufbewahrungsfristen für Therapeuten in Österreich

Therapeuten in Österreich müssen Patientenakten nach österreichischem Recht mindestens 7 Jahre aufbewahren. Bei minderjährigen Patienten gilt: mindestens 7 Jahre nach Vollendung des 18. Lebensjahres.

  • Behandlungsunterlagen: 7 Jahre (§ 51 ÄrzteG analog für Therapeuten)
  • Röntgenbilder, Befunde: 10 Jahre
  • Abrechnungsunterlagen: 7 Jahre (steuerrechtlich)
  • Einwilligungserklärungen: 3 Jahre nach Vertragsende

Software und DSGVO – Was Therapeuten beachten müssen

Wenn Therapeuten Software zur Verwaltung von Patientendaten nutzen, gelten strenge Anforderungen:

Auftragsverarbeitungsvertrag (AVV)

Mit jedem Software-Anbieter, der Zugang zu Patientendaten hat, muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen werden. Ohne AVV ist die Nutzung von Software zur Patientenverwaltung nicht DSGVO-konform.

Serverstandort

Daten dürfen nur in der EU oder in Ländern mit adäquatem Datenschutzniveau gespeichert werden. Amerikanische Cloud-Dienste (AWS, Google Cloud, Microsoft Azure) sind für Gesundheitsdaten ohne spezielle Vereinbarungen problematisch.

Wellpoint: Alle Daten werden ausschließlich in EU-Rechenzentren gespeichert. AVV wird automatisch beim Vertragsabschluss bereitgestellt. Kein US-Cloud-Anbieter.

Checkliste: DSGVO-Compliance für Therapeuten

  • ☐ Datenschutzerklärung für Patienten vorhanden und aktuell
  • ☐ Einwilligungserklärungen für alle Patienten unterzeichnet
  • ☐ Verzeichnis der Verarbeitungstätigkeiten (VVT) geführt
  • ☐ AVV mit allen Software-Anbietern abgeschlossen
  • ☐ Aufbewahrungsfristen definiert und umgesetzt
  • ☐ Technische Schutzmaßnahmen dokumentiert (Passwörter, Verschlüsselung)
  • ☐ Datenschutzbeauftragter bestellt (wenn nötig)
  • ☐ Mitarbeiter datenschutzrechtlich geschult

Häufige Fragen: DSGVO für Therapeuten

In der Regel nein – Einzeltherapeuten und kleine Praxen müssen keinen Datenschutzbeauftragten bestellen. Ausnahmen gelten, wenn regelmäßig besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) in großem Umfang verarbeitet werden. Bei Unsicherheit empfiehlt sich anwaltliche Beratung.

Unverschlüsselte E-Mails mit Gesundheitsdaten sind datenschutzrechtlich problematisch. Wenn Patienten ausdrücklich zustimmen und die Risiken kennen, ist es möglich – aber nicht empfohlen. Besser: sichere, verschlüsselte Kommunikationskanäle nutzen.

Datenschutzverstöße müssen innerhalb von 72 Stunden an die österreichische Datenschutzbehörde gemeldet werden (wenn ein Risiko für betroffene Personen besteht). Bußgelder können bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes betragen.

Ja. Wellpoint speichert alle Patientendaten ausschließlich in EU-Rechenzentren, stellt einen DSGVO-konformen AVV bereit und unterstützt Therapeuten mit Muster-Einwilligungserklärungen und Datenschutz-Checklisten.

DSGVO-konforme Praxissoftware für Therapeuten

Wellpoint ist speziell für österreichische Therapeuten entwickelt – DSGVO-konform, sicher, einfach.

→ 14 Tage kostenlos testen