0221 6508 5799 Info@InnovaPrax.de

Bußgelder und Datenschutzverstöße im Gesundheitswesen

Zuletzt aktualisie...
Zuletzt aktualisiert: 08. Mai 2026 - Aktualisiert mit aktuellen Entwicklungen zu DSGVO-Bußgeldern, Datenschutzverstößen im Gesundheitswesen, NIS2-Anforderungen, IT-Sicherheit und Datenschutz in Arztpraxen, MVZ und Pflegeeinrichtungen.

Über den Autor:
Daniel Kassel, B.Sc. begleitet seit über 20 Jahren Arztpraxen, MVZ und Pflegeeinrichtungen in den Bereichen Datenschutz, Qualitätsmanagement und organisatorische Compliance im Gesundheitswesen. Als externer Datenschutzbeauftragter und QM-Berater unterstützt er medizinische Einrichtungen bei der DSGVO-konformen Umsetzung gesetzlicher Anforderungen, Datenschutzmanagement, Mitarbeiterschulungen und der Vorbereitung auf Behördenprüfungen.

Die Digitalisierung hat das Gesundheitswesen in den letzten Jahren tiefgreifend verändert. Neben Telemedizin und Videosprechstunden waren insbesondere 2025 die Einführung der elektronischen Patientenakte (ePA4All) sowie die verpflichtende Nutzung des E-Rezepts zentrale Entwicklungen. Gleichzeitig steigt der Druck auf medizinische Einrichtungen, sensible Gesundheitsdaten wirksam zu schützen: Technisch, organisatorisch und rechtlich.

Mit der Datenschutz-Grundverordnung (DSGVO) sowie ergänzenden Regelwerken wie dem EU Data Act und den seit November 2025 geltenden NIS2-Anforderungen hat sich die Aufsichtspraxis auch deutlich verschärft. Bußgelder sind längst kein Ausnahmefall mehr, sondern ein regelmäßig eingesetztes Sanktionsinstrument der Aufsichtsbehörden.


Warum Datenschutz im Gesundheitswesen aktueller denn je ist

Datenschutzverstöße in Arztpraxen konnten sich ereignen. Gesundheitsdaten gehören mit zu den sensibelsten personenbezogenen Informationen. Entsprechend hoch sind die Anforderungen an deren Schutz. Gleichzeitig nimmt die Bedrohungslage im Bereich der IT-Sicherheit weiter zu. Das Bundesamt für Sicherheit in der Informationstechnik stellt in seinem Bericht zur IT-Sicherheitslage 2025 fest:

„[…] suchen Angreifer verstärkt einfach anzugreifende Ziele mit schlechter Resilienz aus. Alle Institutionen müssen ihre Risikobewertung entsprechend anpassen: Je schlechter eine Angriffsfläche geschützt wird, desto wahrscheinlicher wird ein erfolgreicher Angriff.“ (Quelle: BSI, Die Lage der Sicherheit in Deutschland 2025, S.3)

Für Einrichtungen im Gesundheitswesen bedeutet das: Datenschutz ist untrennbar mit Informationssicherheit verbunden.

Typische Datenschutzverstöße im Gesundheitswesen

Seit Inkrafttreten der DSGVO lassen sich in der Praxis wiederkehrende Muster erkennen. Besonders häufig führen folgende Schwachstellen zu Bußgeldern:

  • unzureichende Zugriffskontrollen und zu weit gefasste Berechtigungen
  • fehlende oder fehlerhafte Auftragsverarbeitungsverträge (AVV)
  • ungeschützte oder falsch konfigurierte Cloud-Umgebungen
  • erfolgreiche Phishing-Angriffe durch mangelnde IT-Sicherheit
  • fehlende oder unregelmäßige Mitarbeiterschulungen

Die Höhe der Bußgelder variiert je nach Schwere des Verstoßes: ab ca. 2.000 Euro bis zu mehreren hunderttausend Euro oder mehr. Auffällig ist, dass Aufsichtsbehörden zunehmend auch kleinere Einrichtungen konsequent sanktionieren.


Praxisbeispiele für DSGVO-Verstöße aus Deutschland

1. Fehlende Löschung alter Patientendaten (2026)

Eine Arztpraxis wurde sanktioniert, nachdem alte digitale Patientendaten nicht gelöscht worden waren. Dies führte zu einer falschen Rechnungsstellung an eine ehemalige Patientin mit ähnlichem Namen. Zusätzlich wurden Gesundheitsdaten ohne ausreichende Rechtsgrundlage an ein externes Abrechnungsunternehmen übermittelt. Die zuständige Aufsichtsbehörde bewertete den Vorfall als Verstoß gegen die DSGVO und verhängte ein Bußgeld im vierstelligen Bereich.
Kernaussage: Auch „alte Akten“ unterliegen weiterhin den Vorgaben der DSGVO und müssen konsequent gelöscht werden.


2. Patientenakten im Home Office (2024)

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit verhängte ein Bußgeld von 2.500 Euro gegen die Inhaberin einer Arztpraxis. Der Praxismanager durfte Patientenakten zur Abrechnung im Home Office aufbewahren. Die Unterlagen lagen dort jedoch offen in einem nicht dauerhaft verschlossenen Raum, in dem zeitweise auch private Gäste Zugang hatten. Zusätzlich wurden einzelne Dokumente fotografiert und per WhatsApp versendet. Die Aufsichtsbehörde sah hierin einen klaren Verstoß gegen die DSGVO, insbesondere aufgrund fehlender technischer und organisatorischer Schutzmaßnahmen für Gesundheitsdaten.
Kernaussage: Eine aktuelle Übersicht sowie eine regelmäßige Evaluation über die technischen und organisatorischen Maßnahmen im Datenschutz sind essenziell.


3. Patientenverwechslung und Falschabrechnung

Zuletzt gab Professor Dieter Kugelmann, der Datenschutzbeauftragte des Landes Rheinland-Pfalz, eine Strafe in Höhe von 105.000 Euro bekannt für die Mainzer Universitätsklinik. Gleich mehrere Datenschutzverstöße wurden der Universitätsklinik angelastet:

  • Patientenverwechslung
  • Falschabrechnung

Der Landesdatenschutzbeauftragte sprach von erheblichen Defiziten technischer und organisatorischer Art. Besonders beim Patientenmanagement ergaben sich bei der Gesundheitseinrichtung Datenschutzverstöße. Nach Ansicht des Datenschützers ist der Schutz der Patientendaten mangelhaft entwickelt.

Die verhängten Bußgelder für die Einrichtung sieht er als pädagogische Maßnahme auch gegen Datenschutzverstöße in Arztpraxen und bei anderen Akteuren. Demonstriert wird außerdem die Wachsamkeit der Behörden, denn Gesundheitsdaten sind besonders zu schützen. Die Klinik akzeptiert die Strafe. Auf der Gegenseite erkannte man den guten Willen der Verantwortlichen und hofft nun auf Verbesserungen, die das Datenschutzmanagement weiter entwickeln.


Praxisbeispiel aus Europa

Italien – unvollständige Patienteninformationen (2026)

Die italienische Datenschutzbehörde verhängte nach einer Beschwerde ein Bußgeld in Höhe von 2.000 Euro gegen einen Allgemeinmediziner. Grund war, dass Patienten nicht vollständig über die Verarbeitung ihrer Daten informiert wurden. Damit verstieß die Praxis gegen die Informationspflichten der DSGVO, insbesondere hinsichtlich Transparenz und Betroffenenrechten. (Quelle: doc. web n. 10241477)

Kernaussage: Pflegen Sie eine Übersicht aller Dienstleister und die damit verbundenden AV- Verträge.


Fazit: Datenschutz ist eine Organisationsaufgabe

Die meisten Datenschutzverstöße im Gesundheitswesen entstehen nicht durch fehlende Technologie, sondern durch organisatorische Schwächen. Entscheidend für die Praxis sind heute vor allem:

  • klare Rollen- und Berechtigungskonzepte
  • regelmäßige Schulungen aller Mitarbeitenden
  • ein funktionierendes Datenschutzmanagementsystem
  • enge Abstimmung zwischen IT, Verwaltung und Datenschutzbeauftragten

Der entscheidende Punkt bleibt: Datenschutz ist kein einmaliges Compliance-Thema, sondern ein kontinuierlicher Organisationsprozess. Wer Datenschutz nur als formale Pflicht betrachtet, riskiert nicht nur Bußgelder, sondern auch den langfristigen Verlust von Vertrauen der Patientinnen und Patienten.

Vielleicht brauchen Sie auch Unterstützung oder Beratung zur Umsetzung Ihres Datenschutzes? Melden Sie sich gerne bei uns

Leistungsbereiche

Beratung für Arztpraxen
Beratung für Altenhilfe
Beratung für Pflegeheime

Informationen

News
FAQ
Downloads

Kontakt

0221 - 6508 5799
info@InnovaPrax.de

Adresse

InnovaPrax GmbH
Münchweg 2a
50374 Erftstadt

Datenschutzerklärung   Impressum