📚Gratis E-Book: KBV-§135b-Spickzettel · 5 Seiten
POSPraxisOSby Agensio
Alle Beiträge
6 Min Lesezeit

DSGVO-Patient-Auskunft + Löschung in 30 Tagen — Was Hausarztpraxen wirklich liefern müssen

Patient:innen können DSGVO-Auskunft verlangen. Praxis muss in 30 Tagen liefern. Sonst Bußgeld. Hier ist der konkrete Workflow, was zu liefern ist und wo die Fallstricke liegen.

dsgvopatientauskunftlöschungdatenschutzcompliance

DSGVO-Patient-Auskunft + Löschung

Seit Mai 2018 gilt die DSGVO. Patient:innen können jederzeit:

  1. Auskunft verlangen (Art. 15): "Welche Daten habt ihr über mich?"
  2. Berichtigung verlangen (Art. 16): "Diese Daten sind falsch, ändert sie."
  3. Löschung verlangen (Art. 17): "Löscht mich, ich war nie hier."

Die Frist: 1 Monat (Art. 12 Abs. 3). Kann auf 3 Monate verlängert werden bei komplexen Anfragen — aber muss der Patientin innerhalb des ersten Monats mitgeteilt werden.

Stand 2026 sehen wir in Discovery-Gesprächen: ~70% der Hausarztpraxen wissen das nicht genau, ~85% haben keinen klaren Workflow dafür.

Wann darf gelöscht werden — und wann NICHT

Wichtiger Punkt der oft missverstanden wird: Löschung ist NICHT immer möglich.

Wann Löschung möglich ist

  • Patient war zur Voranfrage, hat sich nie behandeln lassen
  • Patient war nur einmal kurz da, einfache Anamnese, keine Behandlung
  • Praxis hat Daten, die jenseits der Aufbewahrungs-Pflicht sind

Wann Löschung NICHT möglich ist

  • Patient war in Behandlung → Aufbewahrungspflicht 10 Jahre (§630f BGB)
  • Bei strahlentherapeutischer Behandlung: 30 Jahre (§28 RöV)
  • Bei Berufsverletzungen / BG-Fällen: bis zu 30 Jahre
  • Wenn Abrechnungs-Pflicht noch besteht (Steuer: 10 Jahre)

In dem Fall muss man der Patientin schriftlich erklären, dass + warum nicht gelöscht werden kann. Innerhalb der 30 Tage.

Was bei einer Auskunfts-Anfrage geliefert werden muss

Nach Art. 15 DSGVO:

  1. Die Daten selbst (Kopie der Patientenakte — Diagnosen, Befunde, Anamnese,

Termine, Korrespondenz)

  1. Verarbeitungszwecke (z.B. "ärztliche Behandlung", "Abrechnung mit KV")
  2. Kategorien der Daten (Gesundheitsdaten, Stammdaten, Abrechnungsdaten)
  3. Empfänger (Wer hat Daten bekommen? Labor, KV, ggf. KH)
  4. Speicherdauer (Aufbewahrungs-Pflichten)
  5. Hinweis auf Rechte (Berichtigung, Löschung, Beschwerde bei Behörde)
  6. Datenquelle (von wem ihr Daten habt, falls nicht von der Patientin selbst)

Punkt 1-2 ist die Hauptarbeit. Der Rest ist Standard-Brief.

Realistischer Workflow — 30 Tage

Tag 1: Anfrage geht ein

  • Anfrage prüfen: Ist Patientin identifiziert? (Geburtsdatum, Anschrift, Versichertenkarte)
  • Eingang dokumentieren (Datum, Art der Anfrage, Identifikation)
  • Erste Antwort: "Anfrage eingegangen, wir bearbeiten innerhalb von 30 Tagen."

Tag 2-15: Daten zusammenstellen

  • PVS-Daten exportieren (oft als PDF aus Tomedo/Medatixx/CGM möglich)
  • Externe Dokumente sammeln (Laborbefunde extern, KH-Briefe, etc.)
  • Korrespondenz sichten (E-Mails, Briefe)
  • Termin-Historie

Tag 15-25: Anonymisierung + Prüfung

Wichtig: Wenn in den Daten Drittinformationen sind (z.B. "Ehefrau von Patient X hat angerufen") — die müssen anonymisiert werden. Die Rechte Dritter werden geschützt.

Tag 25-30: Versand

  • Auskunft per Einschreiben (Beweis für fristgerechten Versand)
  • Oder per verschlüsseltem Mail-Versand (falls Patientin damit einverstanden)
  • Empfangsquittung dokumentieren

Häufige Fallstricke

Fallstrick 1: Identifikation zu lasch

"Patient ruft an, will alle Daten" — nein. Identifikation per Ausweis oder Versichertenkarte erforderlich. Sonst Risiko, Daten an Falsche zu übergeben.

Fallstrick 2: Drittinformationen vergessen anonymisieren

"Bruder hat angerufen wegen Patient" — der Bruder hat Anspruch darauf, dass sein Anruf nicht in der Patient-Akte ungekürzt rauskommt. Anonymisieren: "Anruf eines Angehörigen am [Datum]".

Fallstrick 3: Frist verpasst

30 Tage. Punkt. Wenn ihr nicht schafft: Innerhalb der 30 Tage schriftlich verlängern (auf max 3 Monate gesamt) mit Begründung. Sonst: Bußgeld möglich (realistisch in Praxen: €1.500-15.000 bei Beschwerde an Datenschutz-Behörde).

Fallstrick 4: Bei Löschungs-Anfrage nicht prüfen, ob Aufbewahrungs-Pflicht greift

Patient sagt "löscht mich" — Praxis löscht voreilig. Bei späterer Abrechnungs-Prüfung fehlen Daten → Problem.

Richtig: Aufbewahrungs-Pflicht prüfen, ggf. erklären "wir dürfen nicht löschen, weil X".

Fallstrick 5: Keine Dokumentation der Bearbeitung

Wenn die Datenschutz-Behörde später fragt "habt ihr die Anfrage bearbeitet?" — muss Praxis nachweisen können. Wir empfehlen: 1 Ordner pro DSGVO-Anfrage mit allem drin.

Wie viele Anfragen kommen realistisch?

Aus Pilot-Praxen:

  • ~0.3 Anfragen pro Jahr pro 1.000 Patient:innen
  • = bei 3.500 Patient:innen ~1 Anfrage pro Jahr

Klingt wenig. Aber: Wenn die eine Anfrage kommt und ihr keinen Workflow habt — wird es teuer (Stunden-Aufwand) und stressig.

Wie praxis-os das löst

Wir haben DSGVO-Workflow in das Compliance-Modul integriert:

  • 1-Klick "DSGVO-Anfrage starten" — generiert Antwort-Brief + Aufgaben-Liste
  • PVS-Export-Adapter (für Tomedo + medatixx — andere folgen)
  • 30-Tage-Frist-Timer mit Erinnerung
  • Audit-Log Hash-Chain (GoBD-konform)

Aber: Ein gut strukturierter Word-Workflow + Excel-Tracker tut es auch. Wichtig ist nicht das Tool — wichtig ist, dass es einen Workflow gibt.

Bottom-Line

DSGVO-Anfragen sind selten, aber wenn sie kommen, ist die 30-Tage-Frist hart. Wer ad-hoc reagiert, verschwendet 8-15 Stunden pro Anfrage und macht Fehler. Wer einen Workflow hat, schafft es in 2-4 Stunden.

Die Investition in einen klaren Workflow ist ~1 Tag — die Rendite kommt beim ersten Anwendungsfall.

DSGVO-Workflow-Vorlage — Word-Template + Checkliste, schicken wir auf Anfrage.