Wie müssen Patientendaten eines Psychologen nach DSGVO gespeichert werden?

Patientendaten in einer psychologischen Praxis sind nach DSGVO **Gesundheitsdaten** (besondere Kategorie nach Art. 9 DSGVO) und müssen deshalb mit **erhöhten technischen und organisatorischen Maßnahmen (TOM)** gespeichert werden. Maßgeblich sind vor allem **Art. 5, 9, 24, 25, 30, 32 DSGVO** sowie in Deutschland ergänzend **§ 22 BDSG**; außerdem gelten berufsrechtliche **Schweigepflicht**-Vorgaben. ## 1) Grundprinzipien (Art. 5 DSGVO) - **Zweckbindung:** nur für Behandlung/Abrechnung/gesetzliche Pflichten. - **Datenminimierung:** nur notwendige Daten erheben/speichern. - **Richtigkeit:** Korrekturen ermöglichen. - **Speicherbegrenzung:** Lösch-/Aufbewahrungsfristen festlegen und umsetzen. - **Integrität/Vertraulichkeit:** Schutz vor unbefugtem Zugriff/Verlust. - **Rechenschaftspflicht:** alles muss dokumentiert nachweisbar sein. ## 2) Rechtsgrundlage (Art. 6 und Art. 9 DSGVO) Für Behandlung typischerweise: - Art. 6 Abs. 1 (z. B. Vertrag/Behandlungsverhältnis oder rechtliche Pflicht) **und** - Art. 9 Abs. 2 (z. B. Gesundheitsversorgung/Behandlung durch Berufsgeheimnisträger bzw. unter Geheimhaltungspflicht). **Einwilligung** ist im Behandlungsverhältnis oft nicht die beste Hauptgrundlage (Widerruf, Abhängigkeitsverhältnis), kann aber für **Zusatz-Zwecke** (z. B. Newsletter, Forschung, besondere Übermittlungen) nötig sein. ## 3) Konkrete Anforderungen an die Speicherung (Art. 32 DSGVO – TOM) **Papierakten** - abschließbare Schränke/Räume, geregelter Schlüsselzugang - keine Einsicht durch Dritte (Empfang, Reinigung, Mitbewohner etc.) - Transport nur gesichert (verschlossene Tasche), keine Ablage im Auto **Digitale Akten** - **Verschlüsselung**: Datenträger/Server (Full-Disk) und idealerweise Akten/Backups zusätzlich - **Zugriffskontrolle**: individuelle Nutzerkonten, starke Passwörter, **2FA**, Rollen/Rechte (Need-to-know) - **Protokollierung**: Zugriffe/Änderungen nachvollziehbar (Audit-Logs) - **Backups**: regelmäßig, verschlüsselt, getrennt aufbewahrt; Wiederherstellung testen - **Aktualität**: Patch-Management, Virenschutz/EDR, Firewall - **Geräteschutz**: Bildschirmsperre, automatische Sperrzeiten, keine privaten Geräte ohne MDM/Regeln - **E-Mail/Kommunikation**: keine unverschlüsselten Gesundheitsdaten per normaler E‑Mail; sichere Kanäle/Portale nutzen - **Cloud/IT-Dienstleister**: nur mit **Auftragsverarbeitungsvertrag (AVV)** und geeigneten Garantien; Datenstandort/Unterauftragsverarbeiter prüfen ## 4) Datenschutz durch Technik & Voreinstellungen (Art. 25 DSGVO) - Standardmäßig **minimaler Zugriff**, kurze Aufbewahrung, keine unnötigen Felder - getrennte Ablage von besonders sensiblen Zusatzinfos (z. B. Drittdaten) - Pseudonymisierung, wo möglich (z. B. für Auswertungen) ## 5) Dokumentationspflichten - **Verzeichnis von Verarbeitungstätigkeiten** (Art. 30) - **TOM-Dokumentation** (Art. 32) - **Löschkonzept** inkl. Fristen und Verantwortlichkeiten - **Berechtigungskonzept** (wer darf was) - **Schulungen/Vertraulichkeitsverpflichtungen** für Mitarbeitende - **Meldeprozess** für Datenschutzverletzungen (Art. 33/34; 72‑Stunden-Frist) ## 6) Aufbewahrung & Löschung Die DSGVO verlangt „nicht länger als nötig“, aber es gibt **gesetzliche/berufsrechtliche Aufbewahrungspflichten** (in Deutschland häufig **mehrere Jahre**, je nach Dokumentart). Praktisch heißt das: - Fristen je Dokumenttyp festlegen (Behandlungsdokumentation, Abrechnung, Korrespondenz) - nach Fristablauf **sicher löschen/vernichten** (Papier: Aktenvernichter mind. Sicherheitsst