MeetOne Ratgeber

DSGVO-konforme Videosprechstunde: Die wichtigsten Anforderungen

Was müssen Arztpraxen beachten, um Videosprechstunden DSGVO-konform durchzuführen? Die 15 wichtigsten Punkte zu Rechtsgrundlage, Einwilligung, Technik und Organisation.

DSGVO-konforme Videosprechstunde: Die wichtigsten Anforderungen

Rechtsgrundlage: Warum die DSGVO greift

Bei jeder Videosprechstunde werden Gesundheitsdaten verarbeitet. Diese gehören nach Art. 9 DSGVO zu den besonders geschützten Datenkategorien. Die Verarbeitung ist erlaubt auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO – also für Zwecke der Gesundheitsversorgung im Rahmen des Behandlungsvertrags.

Was das konkret bedeutet: Sie brauchen keine gesonderte Einwilligung für die Datenverarbeitung an sich, wohl aber für die Art der Behandlung per Video. Diese Einwilligung ist gesetzlich vorgeschrieben und muss dokumentiert werden.

Die vier Säulen der DSGVO-Compliance

1. Rechtliche Grundlagen

Auftragsverarbeitungsvertrag (AVV): Mit jedem Videodienstanbieter, der in Ihrem Auftrag Daten verarbeitet, müssen Sie einen AVV abschließen. Dieser regelt, wie der Anbieter mit den Daten umgeht, welche Sicherheitsmaßnahmen er trifft und wie er Sie bei Datenpannen informiert.

Verzeichnis von Verarbeitungstätigkeiten: Die Videosprechstunde muss als Verarbeitungstätigkeit dokumentiert werden. Tragen Sie ein: Zweck (telemedizinische Behandlung), verarbeitete Datenarten, Löschfristen (in der Regel 10 Jahre nach Behandlungsende).

Datenschutz-Folgenabschätzung: Bei größerem Umfang (etwa ab 100 Videosprechstunden pro Monat) empfiehlt sich eine formelle Risikobewertung.

2. Patienteninformation und Einwilligung

Patienten müssen vor der ersten Videosprechstunde informiert werden über:

  • Welche Daten verarbeitet werden (Bild, Ton, Verbindungsdaten, medizinische Dokumentation)
  • Die Rechtsgrundlage der Verarbeitung
  • Speicherdauer (Videodaten werden nicht aufgezeichnet, medizinische Dokumentation gemäß Aufbewahrungsfrist)
  • Ihre Rechte (Auskunft, Berichtigung, Löschung, Widerspruch)

Die Einwilligung in die Videosprechstunde muss dokumentiert werden. Sie kann schriftlich oder elektronisch erfolgen, aber der Patient muss bestätigen, dass er:

  • in die Behandlung per Video einwilligt
  • über die Verschlüsselung informiert wurde
  • weiß, dass keine Aufzeichnung stattfindet
  • sein Widerrufsrecht kennt

Der Widerruf muss jederzeit möglich sein und genauso einfach wie die Einwilligung.

3. Technische Anforderungen

Ende-zu-Ende-Verschlüsselung: Die Übertragung von Bild und Ton muss verschlüsselt erfolgen. KBV-zertifizierte Anbieter erfüllen diese Anforderung.

Serverstandort: Idealerweise in Deutschland oder der EU. Bei Servern in Drittländern (z.B. USA) gelten zusätzliche Anforderungen wie Standardvertragsklauseln.

Zugangsschutz: Für Ärzte ist eine sichere Authentifizierung erforderlich, Zwei-Faktor-Authentifizierung wird empfohlen. Patienten erhalten Zugang über individuelle Links.

Keine Aufzeichnung: Die Videosprechstunde darf nicht aufgezeichnet werden – weder von der Praxis noch vom Patienten. Dies muss kommuniziert werden.

4. Organisatorische Maßnahmen

Räumliche Vertraulichkeit: Die Videosprechstunde sollte in einem separaten Raum oder zumindest mit Sichtschutz stattfinden. Ein Headset verhindert, dass Unbeteiligte mithören.

Mitarbeiterschulung: Alle Mitarbeiter, die mit Videosprechstunden zu tun haben, müssen zum Datenschutz geschult werden. Die Schulung sollte dokumentiert und regelmäßig (jährlich) aufgefrischt werden.

Notfallplan: Was tun bei einer Datenpanne? Innerhalb von 72 Stunden muss die zuständige Datenschutzbehörde informiert werden. Halten Sie die Kontaktdaten bereit.

Löschkonzept: Verbindungsdaten werden sofort nach der Videosprechstunde gelöscht. Temporäre Dateien täglich. Die medizinische Dokumentation folgt der gesetzlichen Aufbewahrungsfrist.

Häufige Fehler vermeiden

Fehlende Einwilligung: Die Einwilligung muss vor der ersten Videosprechstunde vorliegen, nicht erst währenddessen eingeholt werden.

Kein AVV: Der Auftragsverarbeitungsvertrag ist keine Option, sondern Pflicht. Bei KBV-zertifizierten Anbietern kann der AVV in der Regel im eingeloggten Bereich heruntergeladen werden.

Öffentliche Räume: Videosprechstunden in öffentlichen Räumen oder Großraumbüros ohne Sichtschutz sind problematisch.

Private Geräte: Wenn Mitarbeiter private Geräte nutzen, gelten zusätzliche Anforderungen (Mobile Device Management).

Checkliste zum Download

Für die praktische Umsetzung haben wir eine 15-Punkte-Checkliste zusammengestellt:

  • 4 Punkte zu rechtlichen Grundlagen
  • 3 Punkte zu Patienteninformation und Einwilligung
  • 4 Punkte zu technischer Sicherheit
  • 4 Punkte zu organisatorischen Maßnahmen

Die Checkliste enthält Mustervorlagen für Datenschutzinformation und Einwilligungsformular sowie die Kontaktdaten aller 16 Landesdatenschutzbehörden.

Download

Zuständige Aufsichtsbehörden

Bei Datenschutzvorfällen oder Fragen ist die Landesdatenschutzbehörde Ihres Bundeslandes zuständig. Die vollständige Kontaktliste finden Sie in unserer Checkliste.

Die Aufsichtsbehörden sind auch Ansprechpartner für allgemeine Fragen zum Datenschutz in der Arztpraxis – nicht nur bei Problemen.

Fazit

DSGVO-Compliance bei Videosprechstunden erfordert Aufmerksamkeit in vier Bereichen: rechtliche Grundlagen (AVV, Verarbeitungsverzeichnis), Patientenaufklärung (Information, Einwilligung), technische Sicherheit (Verschlüsselung, Serverstandort) und Organisation (Schulung, Notfallplan).

Die gute Nachricht: Wer einen KBV-zertifizierten Anbieter nutzt, erfüllt die technischen Anforderungen bereits. Die organisatorischen Maßnahmen erfordern einmaligen Aufwand bei der Einrichtung und regelmäßige Auffrischung – aber keine laufende Mehrarbeit im Praxisalltag.

Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Bei spezifischen Datenschutzfragen konsultieren Sie einen Fachanwalt oder Ihren Datenschutzbeauftragten. Stand: Januar 2026.