DSGVO-konforme Dokumentation in der Psychotherapie: Der vollständige Leitfaden 2025

Einleitung

Als Psychotherapeut verarbeiten Sie täglich die sensibelsten Daten, die es gibt: Informationen über die psychische Gesundheit Ihrer Patienten. Die DSGVO klassifiziert diese als "besondere Kategorie personenbezogener Daten" - und das hat Konsequenzen.

Theoretisch drohen Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes. Aber keine Panik: Die Aufsichtsbehörden wissen, dass Therapeuten keine IT-Experten sind. Was sie erwarten, ist erkennbares Bemühen um Datenschutz.

Dieser Leitfaden zeigt Ihnen, was Sie wirklich wissen müssen - ohne juristisches Kauderwelsch, mit konkreten Handlungsempfehlungen für Ihren Praxisalltag.

Grundlagen: Warum Therapiedaten besonders schützenswert sind

Art. 9 DSGVO: Gesundheitsdaten als "besondere Kategorie"

Die DSGVO unterscheidet zwischen "normalen" personenbezogenen Daten (Name, Adresse) und besonders schützenswerten Kategorien. Gesundheitsdaten gehören zu letzteren - und psychotherapeutische Daten erst recht.

Was genau sind Gesundheitsdaten? Art. 4 Nr. 15 DSGVO definiert:

Für Ihre Praxis bedeutet das:

Alles, was Sie dokumentieren, fallt darunter.

• Diagnosen und Verdachtsdiagnosen

• Symptombeschreibungen

• Therapieverlaufe und Sitzungsnotizen

• Medikamentenangaben

• Suizidalitatseinschatzungen

• Familienanamnese (wenn gesundheitsrelevant)

• PHQ-9, GAD-7 und andere Testbefunde

Schweigepflicht (§ 203 StGB) + DSGVO = Doppelte Pflicht

Als Psychotherapeut unterliegen Sie der strafrechtlichen Schweigepflicht nach § 203 StGB. Bei Verstossen droht:

• Freiheitsstrafe bis zu 1 Jahr

• Oder Geldstrafe

• Bei Fahrlassigkeit: Geldstrafe

Wichtig: Die Schweigepflicht und die DSGVO sind zwei getrennte Regelwerke. Sie mussen beide erfullen. Die DSGVO ersetzt nicht die Schweigepflicht - sie kommt zusatzlich hinzu.

Praktische Konsequenz fur Ihren Praxisalltag

Was bedeutet das konkret?

1. Jede Datenverarbeitung braucht eine Rechtsgrundlage (Art. 6 + Art. 9 DSGVO)

2. Schweigepflicht gilt auch fur digitale Tools - Cloud-Anbieter mussen vertraglich eingebunden werden

3. Technische Schutzmassnahmen sind Pflicht - nicht nur "nice to have"

4. Sie mussen nachweisen konnen, dass Sie die Regeln einhalten (Rechenschaftspflicht)

Die 7 DSGVO-Anforderungen fur Ihre Dokumentation

1. Rechtsgrundlage (Art. 6 + Art. 9)

Für Gesundheitsdaten benötigen Sie zwei Rechtsgrundlagen gleichzeitig - so hat es der EuGH im Dezember 2023 bestätigt.

Ihre typische Kombination als Therapeut:

• Art. 6 Abs. 1 lit. b:

  • Vertrags Erfüllung: Der Behandlungsvertrag mit Ihrem Patienten

• Art. 9 Abs. 2 lit. h:

  • Gesundheitsversorgung: Verarbeitung durch Fachpersonal mit Schweigepflicht

Wann brauchen Sie zusätzliche Einwilligung?

• Wenn Sie Daten für Forschungszwecke nutzen wollen

• Bei Weitergabe an Dritte (z.B. andere Arzte ohne Überweisung)

• Für optionale Features wie anonymisierte Statistiken

2. Zweckbindung

Sie dürfen Patientendaten nur für den Zweck verwenden, für den sie erhoben wurden: die Behandlung.

Was Sie NICHT tun dürfen:

• Patientendaten für Marketing verwenden

• Fallbeispiele ohne Anonymisierung veröffentlichen

• Daten an Versicherungen ohne Einwilligung weitergeben

Was Sie tun dürfen:

• Dokumentation für die Behandlung

• Abrechnung mit der Krankenkasse

• Kommunikation mit überweisenden Ärzten (im Rahmen der Behandlung)

3. Datenminimierung

Das Prinzip: "So viel wie nötig, so wenig wie möglich."

Beispiel Anamnese:

• Zu viel:

  • "Patient berichtet ausführlich über Kindheitserlebnisse bei Großmutter, die jeden Sonntag Apfelkuchen gebacken hat..."

• Angemessen:

  • "Patient berichtet belastende Kindheitserfahrungen im familiären Umfeld"

4. Speicherbegrenzung & Aufbewahrungsfristen

Die wichtigste Frist: 10 Jahre nach Behandlungsende (§ 630f Abs. 3 BGB)

Nach Ablauf dieser Frist müssen Sie loschen - es sei denn, es gibt Grunde für längere Aufbewahrung (z.B. laufende Rechtsstreitigkeiten).

Praktische Umsetzung:

1. Notieren Sie das Behandlungsende in Ihrer Dokumentation

2. Richten Sie eine jährliche Prüfroutine ein

3. Dokumentieren Sie die Löschung

5. Integrität und Vertraulichkeit

Hier geht es um technische Schutzmaßnahmen. Passwortschutz allein reicht nicht.

Mindestanforderungen:

• Verschlüsselung ruhender Daten (AES-256)

  • Festplatten Verschlüsselung, verschlüsselte Datenbanken

• Verschlüsselung bei Übertragung (TLS 1.3)

  • HTTPS für alle Verbindungen

• Zugriffskontrolle (Least Privilege)

  • Nur Sie haben Zugriff auf Patientendaten

• Backup (Verschlüsselt, getrennt)

  • Regelmäßige Sicherungen an separatem Ort

6. Rechenschaftspflicht

Sie müssen nachweisen können, dass Sie die DSGVO einhalten. Das wichtigste Dokument: Das Verzeichnis von Verarbeitung Tätigkeiten (VVT).

Was muss im VVT stehen?

• Name und Kontakt des Verantwortlichen (Sie)

• Zwecke der Verarbeitung (Behandlung, Abrechnung)

• Kategorien betroffener Personen (Patienten)

• Kategorien personenbezogener Daten (Gesundheitsdaten)

• Empfanger der Daten (z.B. Abrechnungsdienstleister)

• Loschfristen (10 Jahre nach Behandlungsende)

• Technische Schutzmassnahmen

7. Betroffenenrechte

Ihre Patienten haben umfangreiche Rechte. Die wichtigsten:

1. Auskunftsrecht (Art. 15): Patienten konnen eine Kopie aller uber sie gespeicherten Daten verlangen. Sie haben 1 Monat Zeit zu antworten.

2. Recht auf Berichtigung (Art. 16): Fehlerhafte Daten müssen Sie korrigieren.

3. Recht auf Löschung (Art. 17): Hier gilt eine Besonderheit - die 10-jahrige Aufbewahrungspflicht nach § 630f BGB geht vor. Sie dürfen (und müssen) die Dokumentation wahrend dieser Frist aufbewahren, auch wenn der Patient Löschung verlangt.

Fazit: Papierakten sind nicht per se verboten, aber die Nachweispflicht ist schwieriger zu erfüllen. Digitale Losungen mit eingebauter Verschlüsselung sind die bessere Wahl.

KI-Tools und DSGVO: Was Sie wissen müssen

KI-gestutzte Dokumentationstools können Ihnen viel Zeit sparen. Aber sie bringen zusätzliche Datenschutz-Herausforderungen mit.

Auftragsverarbeitung (AVV): Pflicht bei externen Tools

Wenn Sie ein externes Tool nutzen, das Patientendaten verarbeitet, benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Der AVV muss regeln:

• Gegenstand und Dauer der Verarbeitung

• Art und Zweck der Verarbeitung

• Weisungsgebundenheit des Anbieters

• Vertraulichkeitspflichten

• Technische Schutzmaßnahmen

• Unterauftragsverarbeiter

• Unterstützung bei Betroffenenrechten

• Löschung nach Vertragsende

Drittlandtransfer: Warum US-Server problematisch sind

Seit dem Schrems-II-Urteil des EuGH (2020) ist die Übermittlung von Daten in die USA hochproblematisch. Der EU-US Data Privacy Framework (2023) bietet zwar eine neue Grundlage, aber:

• Nicht alle US-Anbieter sind zertifiziert

• Die rechtliche Sicherheit bleibt fragil

• Für Gesundheitsdaten gilt erhöhte Sorgfaltspflicht

Empfehlung: Wählen Sie Anbieter mit Serverstandort in der EU - idealerweise in Deutschland.

Serverstandort Deutschland: Warum das allein nicht reicht

Ein deutscher Server ist gut, aber nicht ausreichend. Entscheidend ist:

1. Wer hat Zugriff? Auch bei deutschem Server kann ein US-Unternehmen zugriffsberechtigt sein

2. Welche Unterauftragsverarbeiter gibt es? Werden Daten an Dritte weitergegeben?

3. Wie ist die Verschlüsselung? End-to-End oder nur in Transit?

Checkliste: 5 Fragen an jeden KI-Anbieter

Bevor Sie ein KI-Tool fur Ihre Dokumentation nutzen, stellen Sie diese Fragen:

1. Wo werden die Daten verarbeitet? (Antwort sollte sein: EU, idealerweise Deutschland)

2. Bieten Sie einen AVV nach Art. 28 DSGVO an? (Muss ja sein)

3. Welche Unterauftragsverarbeiter nutzen Sie? (Liste anfordern)

4. Wie ist die Verschlusselung? (Mindestens AES-256 at rest, TLS 1.3 in transit)

5. Werden meine Daten für KI-Training genutzt? (Sollte nein sein, oder nur mit Einwilligung)

Häufige DSGVO-Fehler in der Therapiepraxis

Fehler 1: WhatsApp mit Patienten

WhatsApp übertragt Metadaten in die USA und teilt Daten mit Meta. Für die Kommunikation mit Patienten ist WhatsApp nicht DSGVO-konform.

Alternativen:

• Signal (mit Einschrankungen)

• Threema Work

• Spezialisierte Telemedizin-Plattformen

Fehler 2: Unverschlüsselte E-Mails mit Befunden

Standard-E-Mail ist wie eine Postkarte - jeder auf dem Weg kann mitlesen. Befunde und sensible Informationen gehören nicht in unverschlüsselte E-Mails.

Losungen:

• Ende-zu-Ende-verschlüsselte E-Mail (z.B. Posteo-Mail)

• Sichere Patientenportale

• Verschlüsselte PDF-Anhange (als Notlösung)

Fehler 3: Backup auf privater Festplatte

Eine externe Festplatte im Schreibtisch ist kein sicheres Backup.
Probleme:

• Keine Verschlüsselung

• Diebstahlgefahr

• Keine räumliche Trennung (Feuer, Wasserschaden)

Bessere Lösung: Verschlüsseltes Cloud-Backup bei DSGVO-konformem Anbieter

Fehler 4: Dokumentation auf dem Praxis-iPad ohne MDM

Tablets und Smartphones ohne Mobile Device Management (MDM) sind ein Risiko:

• Keine Fern Löschung bei Verlust

• Keine erzwungene Verschlüsselung

• Keine Zugriffskontrolle

Mindestanforderungen:

• Geräte Passwort (mindestens 6 Zeichen)

• Festplatten Verschlüsselung aktiviert

• Automatische Sperre nach 2 Minuten

• Fern Löschung eingerichtet

Checkliste: Ist Ihre Dokumentation DSGVO-konform?

Prüfen Sie Ihre Praxis mit dieser 15-Punkte-Checkliste:

Rechtsgrundlagen & Transparenz

• Datenschutz Erklärung für Patienten vorhanden (0-10)

• Behandlungsvertrag enthalt Datenschutzhinweise (0-10)

• Einwilligungen werden dokumentiert (0-10)

Technische Massnahmen

• Dokumentation ist verschlüsselt gespeichert (0-10)

• Passwörter sind stark (mind. 12 Zeichen) (0-10)

• Computer sperrt automatisch bei Inaktivität (0-10)

• Backup wird regelmäßig erstellt und ist verschlüsselt (0-10)

Organisatorische Maßnahmen

• VVT (Verzeichnis von Verarbeitung Tätigkeiten) vorhanden (0-10)

• Löschfristen sind dokumentiert (0-10)

• Zugriff auf Patientendaten ist beschrankt (nur Sie) (0-10)

Externe Dienstleister

• AVV mit allen Dienstleistern abgeschlossen (0-10)

• Serverstandorte sind bekannt (EU/Deutschland) (0-10)

• Keine US-Tools ohne Rechtsgrundlage (0-10)

Betroffenenrechte

• Prozess für Auskunftsanfragen definiert (0-10)

• Möglichkeit zur Datenübertragung gegeben (0-10)

• Berichtigung Möglichkeit vorhanden (0-10)

Bewertung:

• 13-15 Punkte: Sehr gut - Sie sind auf dem richtigen Weg

• 9-12 Punkte: Verbesserungsbedarf - Priorisieren Sie die fehlenden Punkte

• 0-8 Punkte: Dringender Handlungsbedarf - Holen Sie sich Unterstützung

Fazit: DSGVO als Chance für bessere Dokumentation

Die DSGVO ist keine Bürde - sie ist eine Chance. Wer Datenschutz ernst nimmt, dokumentiert automatisch strukturierter, sicherer und nachvollziehbarer.

Die wichtigsten Punkte zusammengefasst:

1. Gesundheitsdaten sind besonders geschutzt - Art. 9 DSGVO + § 203 StGB

2. Sie brauchen eine Rechtsgrundlage - Behandlungsvertrag + Art. 9(2)(h) reichen meist

3. Technische Massnahmen sind Pflicht - Verschlusselung ist kein Luxus

4. Bei externen Tools: AVV abschliessen - und auf Serverstandort achten

5. Dokumentieren Sie Ihre Compliance - VVT ist Pflicht

Nächste Schritte:

1. Prüfen Sie Ihre Praxis mit der Checkliste oben

2. Schließen Sie Lücken bei technischen Maßnahmen

3. Erstellen Sie Ihr VVT (falls noch nicht vorhanden)

4. Prüfen Sie Ihre externen Dienstleister

Sie möchten DSGVO-konform dokumentieren - ohne den Aufwand?

duktus wurde speziell für Psychotherapeuten entwickelt - mit DSGVO im Kern:

• Server ausschließlich in Deutschland (IONOS)

• Integrierter AVV

• AES-256 Verschlusselung

• Keine Datenweitergabe an Dritte

• Keine Nutzung Ihrer Daten fur KI-Training

Testen Sie duktus 14 Tage kostenlos - ohne Kreditkarte.

Jetzt kostenlos testen

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Bei konkreten Fragen wenden Sie sich bitte an einen spezialisierten Datenschutzbeauftragten oder Rechtsanwalt.

Interne Links:

• Was ist duktus?

• Datenschutzerklarung

• Auftragsverarbeitungsvertrag