DSGVO in der Psychotherapie-Praxis: Was Sie wirklich wissen müssen

Sie dokumentieren Diagnosen, Therapieverläufe und persönlichste Erlebnisse Ihrer Patient:innen — kaum eine andere Berufsgruppe arbeitet mit so sensiblen Daten wie die Psychotherapie. Genau deshalb gelten für Sie besonders strenge Datenschutz-Regeln. Die gute Nachricht: Wenn Sie die folgenden Grundsätze beachten, sind Sie auf der sicheren Seite.

Warum ist Datenschutz in der Psychotherapie so wichtig?

Stellen Sie sich vor, die Therapiedokumentation einer Patientin gelangt an die Öffentlichkeit — mit Diagnosen, Traumata und persönlichsten Details. Die Folgen reichen von sozialer Stigmatisierung bis zu beruflichen Nachteilen. Psychotherapeutische Daten gehören zu den sensibelsten Informationen überhaupt:

• Psychische Diagnosen und Symptome
• Biografische Informationen und Beziehungsdynamiken
• Traumata und belastende Erfahrungen
• Therapieinhalte und -verläufe

Deshalb stuft die DSGVO diese Daten als besonders schützenswert ein (Art. 9 DSGVO) — und verlangt von Ihnen entsprechend hohe Schutzmaßnahmen.

Die wichtigsten DSGVO-Grundsätze

1. Rechtmäßigkeit der Verarbeitung

Sie dürfen Gesundheitsdaten nicht einfach so verarbeiten — es braucht eine Rechtsgrundlage. In der Praxis sind das vor allem zwei:

• Behandlungsvertrag: Die Therapie selbst rechtfertigt die dafür notwendige Dokumentation und Datenverarbeitung (Art. 9 Abs. 2 lit. h DSGVO).
• Einwilligung: Für alles, was über die Behandlung hinausgeht — etwa Forschungszwecke oder die Weitergabe an Dritte — brauchen Sie eine ausdrückliche, schriftliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).

2. Zweckbindung

Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden:

• Diagnostik und Behandlung
• Abrechnung mit Krankenkassen
• Qualitätssicherung
• Gesetzliche Dokumentationspflichten

3. Datenminimierung

Erheben Sie nur die Daten, die für die Behandlung tatsächlich nötig sind. Konkret bedeutet das: Wenn eine Information keinen therapeutischen Mehrwert hat, gehört sie nicht in die Akte. Je weniger Sie speichern, desto geringer das Risiko bei einem Datenschutzvorfall.

4. Speicherbegrenzung

Patientendaten dürfen nicht unbegrenzt aufbewahrt werden. Die gesetzlichen Fristen im Überblick:

• Behandlungsdokumentation: 10 Jahre nach Abschluss der Behandlung (§ 630f BGB)
• Rechnungen und Abrechnungsunterlagen: 10 Jahre (steuerrechtlich)
• Nach Ablauf der Fristen: Sichere Löschung bzw. Vernichtung — das ist keine Option, sondern Pflicht

5. Integrität und Vertraulichkeit

Schützen Sie Daten durch technische und organisatorische Maßnahmen:

• Verschlüsselung
• Zugangskontrollen
• Sichere Aufbewahrung
• Mitarbeiterschulungen

Rechte Ihrer Patient:innen

Auskunftsrecht (Art. 15 DSGVO)

Jede Patientin und jeder Patient darf erfahren, welche Daten Sie über sie gespeichert haben. Typische Fragen, die Sie beantworten müssen:

• Welche Daten werden gespeichert?
• Zu welchem Zweck?
• An wen wurden sie weitergegeben?
• Wie lange werden sie gespeichert?

Praxis-Tipp: Erstellen Sie eine Musterantwort für solche Anfragen. Das spart im Ernstfall Zeit und sorgt für einheitliche Antworten.

Berichtigungsrecht (Art. 16 DSGVO)

Falsche Daten müssen auf Anfrage korrigiert werden. Aber was, wenn eine Patientin Ihre fachliche Einschätzung anders sieht? In dem Fall können Sie einen ergänzenden Vermerk mit der Sicht der Patientin aufnehmen, ohne Ihre eigene Dokumentation zu ändern.

Löschungsrecht (Art. 17 DSGVO)

Das „Recht auf Vergessenwerden" klingt eindeutig — in der Psychotherapie ist es aber eingeschränkt. Solange gesetzliche Aufbewahrungsfristen laufen oder Sie die Dokumentation zu Ihrer eigenen Absicherung benötigen, dürfen Sie die Löschung ablehnen. Nach Ablauf der Fristen sind Sie allerdings zur Löschung verpflichtet.

Datenübertragbarkeit (Art. 20 DSGVO)

Wechselt ein Patient die Praxis, kann er verlangen, seine Daten in einem maschinenlesbaren Format zu erhalten. So lassen sich die Unterlagen einfach an die neue therapeutische Begleitung übermitteln.

Worauf Sie bei Praxissoftware achten sollten

Nicht jede Software eignet sich für die Psychotherapie. Achten Sie bei der Auswahl auf diese Kriterien:

Serverstandort

• Datenverarbeitung innerhalb der EU, idealerweise in Deutschland
• Kein Transfer in Drittländer (z. B. USA) ohne angemessene Garantien

Verschlüsselung

• Bei der Übertragung: Daten müssen verschlüsselt übertragen werden (TLS/HTTPS) — erkennbar am Schloss-Symbol im Browser
• Bei der Speicherung: Auch gespeicherte Daten sollten verschlüsselt sein (sog. „Encryption at Rest")
• Standard: Achten Sie auf moderne Verfahren wie AES-256

Zugriffskontrolle

• Individuelle Benutzerkonten
• Starke Passwörter
• Zwei-Faktor-Authentifizierung (optional, aber empfohlen)

Auftragsverarbeitung

Nutzen Sie Cloud-Software, verarbeitet der Anbieter Daten in Ihrem Auftrag. Dafür brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Seriöse Anbieter stellen diesen von sich aus bereit — fragen Sie aktiv danach, falls nicht.

DSGVO und KI-Tools in der Psychotherapie

KI-gestützte Werkzeuge können die Praxisarbeit erleichtern — etwa bei der Antragserstellung. Damit der Datenschutz gewahrt bleibt, sollten Sie vier Dinge sicherstellen:

Keine Klarnamen eingeben: Verwenden Sie Chiffren oder Initialen statt vollständiger Patientennamen. So bleibt die Eingabe pseudonymisiert.

EU-Datenverarbeitung prüfen: Die Daten sollten ausschließlich auf Servern innerhalb der EU verarbeitet werden.

Kein KI-Training mit Ihren Daten: Seriöse Anbieter verwenden Ihre Eingaben nicht zum Trainieren ihrer Modelle — lassen Sie sich das vertraglich zusichern.

Pseudonymisierung nutzen: Gute Tools ermöglichen die Verarbeitung, ohne dass Patientinnen und Patienten direkt identifizierbar sind.

Checkliste: Ist Ihre Praxis DSGVO-konform?

Gehen Sie diese Punkte durch — jedes fehlende Häkchen ist ein Handlungsfeld:

• Datenschutzerklärung für Patientinnen und Patienten erstellt und ausgehändigt
• Informationspflichten bei Erstaufnahme erfüllt (z. B. über Datenverarbeitung aufgeklärt)
• Einwilligungen schriftlich dokumentiert
• Verzeichnis der Verarbeitungstätigkeiten angelegt und aktuell gehalten
• Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern abgeschlossen
• Technische Schutzmaßnahmen umgesetzt (Verschlüsselung, Passwörter, Zugangskontrollen)
• Lösch- und Aufbewahrungskonzept dokumentiert
• Notfallplan für Datenschutzvorfälle vorhanden (Wen informiere ich? Innerhalb welcher Frist?)

So setzt der PTV3-Assistent Datenschutz um

Der PTV3-Assistent wurde speziell für die Anforderungen der Psychotherapie entwickelt:

• Server in Deutschland: Alle Daten werden ausschließlich in deutschen Rechenzentren verarbeitet
• DSGVO-konform: Vollständige Compliance mit dem EU-Datenschutzrecht
• BSI C5-zertifiziert: Microsoft Azure besitzt ein aktuelles C5-Testat (Typ 2), das die Einhaltung der C5:2020-Anforderungen bestätigt. Das ist relevant, weil §393 SGB V für die Verarbeitung von Gesundheitsdaten in der Cloud ein solches Testat vorschreibt.
• Pseudonymisierung: Sie arbeiten mit Chiffren statt Klarnamen
• Kein KI-Training: Ihre Eingaben werden niemals zum Trainieren von Modellen verwendet
• Löschung auf Anfrage: Vollständige Datenlöschung ist jederzeit möglich

Fazit

Datenschutz in der Psychotherapie ist anspruchsvoll, aber machbar — wenn Sie die Grundlagen kennen und konsequent umsetzen. Nutzen Sie die Checkliste oben als Ausgangspunkt und arbeiten Sie offene Punkte Schritt für Schritt ab. Bei Unsicherheiten lohnt sich eine Beratung durch spezialisierte Datenschutzbeauftragte oder auf Gesundheitsrecht spezialisierte Anwaltskanzleien.