DSGVO-konform arbeiten in der Psychotherapie: Was heißt das?

Einleitung:

Stellen Sie sich eine ganz normale Woche vor: Zwischen zwei Sitzungen klingelt das Telefon. Auf dem Anrufbeantworter bleibt eine Nachricht mit vollem Namen, Telefonnummer und dem Satz: „Ich brauche dringend Hilfe, ich habe wieder Panikattacken.“ Kurz darauf kommt eine E‑Mail: „Diagnose im Betreff, Unterlagen im Anhang.“ Und irgendwo liegt noch ein Zettel mit handschriftlichen Notizen zur Warteliste.

Gerade in diesen Momenten zeigt sich, was Datenschutz in der Praxis bedeutet: Patient:innen vertrauen Ihnen Informationen an – und dieses Vertrauen braucht im Hintergrund klare Regeln.

In diesem Beitrag erfahren Sie, was die DSGVO grundsätzlich verlangt, welche Daten in der Psychotherapie besonders schutzbedürftig sind und wo die wichtigsten Berührungspunkte im Praxisalltag liegen.

Wichtiger Hinweis: Dieser Beitrag bietet allgemeine Informationen und Orientierung und ersetzt keine Rechtsberatung. Für konkrete Einzelfragen lohnt sich die Rücksprache mit Datenschutzexpert:innen oder zuständigen Stellen.

Was ist die DSGVO und worum geht es im Kern?

Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-weit geltendes Regelwerk, das festlegt, wie personenbezogene Daten verarbeitet werden dürfen. „Verarbeiten“ ist dabei ein sehr weiter Begriff: er umfasst nicht nur „speichern“, sondern z. B. auch erheben, ordnen, übermitteln, löschen.

Im Praxisalltag heißt das: Sobald Sie Informationen zu einer Person notieren, abheften, digital ablegen, weitergeben oder auch nur strukturiert „verwalten“, sind Sie im DSGVO-Kosmos unterwegs.

Die DSGVO in einem Satz: Nur so viele Daten wie nötig, so transparent wie möglich, so sicher wie erforderlich.

Die Grundidee

Patient:innen sollen transparent informiert werden, wofür Daten genutzt werden, und Daten sollten nur in dem Umfang erhoben werden, der tatsächlich erforderlich ist. Gleichzeitig müssen Praxen organisatorisch und technisch sicherstellen, dass Informationen nicht verloren gehen, nicht unbefugt eingesehen werden und nicht zweckentfremdet genutzt werden. Kurz: klare Zwecke, möglichst wenig Daten, nachvollziehbare Abläufe und ein angemessenes Schutzniveau.

Warum Psychotherapeut:innen besonders betroffen sind

Es gibt Branchen, in denen Datenschutz wichtig ist. Und es gibt Branchen, in denen Datenschutz identitätsstiftend ist, weil er direkt mit dem Kern der Arbeit zusammenhängt. Psychotherapie gehört zur zweiten Kategorie.

Warum?

1. Sie arbeiten mit besonders sensiblen Informationen. Nicht nur „Gesundheitsdaten“, sondern häufig auch Lebensgeschichte, Krisen, Beziehungen, Traumata, Schamthemen – Dinge, die Menschen niemandem außer Ihnen erzählen.
2. Das Vertrauensverhältnis ist Teil der Behandlung. Datenschutz ist nicht „Bürokratie nebenbei“, sondern eine Rahmenbedingung, die Patient:innen (zu Recht) erwarten.
3. Es gibt viele Datenwege – auch in analogen Praxen. Von der ersten Kontaktaufnahme über Terminvergabe bis Dokumentation und ggf. Austausch mit Dritten: Daten bewegen sich ständig. Und Bewegung ist das, was Risiken erzeugt.

Welche Daten in der Psychotherapie besonders sensibel sind

In der Psychotherapie haben viele Informationen eine besondere Schutzbedürftigkeit, nicht nur klassische Gesundheitsdaten wie Diagnosen oder Befunde. Schon Terminbezug, Praxiszugehörigkeit oder Inhalte einer Anfrage können Rückschlüsse auf eine Behandlung oder eine psychische Belastung zulassen. Deshalb lohnt es sich, den Blick dafür zu schärfen, welche Daten im Praxisalltag typischerweise anfallen.

Typische Beispiele aus dem Praxisalltag

• Stammdaten: Name, Adresse, Telefonnummer, Geburtsdatum
• Termindaten: Termine, Absagen, Wartelistenstatus (Kontext!)
• Behandlungsdaten: Anamnese, Diagnostik, Diagnosen, Therapieverlauf, Berichte
• Krisen- und Belastungsthemen: Suizidalität, Trauma, Sucht, Sexualität, Gewalt, Familienkonflikte
• Daten zu Dritten: Angehörige, Arbeitgeber, mitbetroffene Personen

Je mehr eine Information Rückschlüsse auf den Gesundheitszustand, den Behandlungsverlauf oder persönliche Lebensumstände zulässt, desto höher sind in der Regel die Anforderungen an Vertraulichkeit und Schutz im Umgang damit.

Verantwortlichkeiten: Wer trägt was?

Datenschutz braucht klare Zuständigkeiten. In der Einzelpraxis liegt die Verantwortung dafür typischerweise bei der Praxisleitung bzw. bei Praxisinhaber:innen. In Ambulanzen und Institutionen sind Aufgaben oft auf mehrere Rollen verteilt, umso wichtiger ist eine eindeutige Klärung, wer Standards festlegt, wer sie im Alltag umsetzt und wer die Einhaltung überprüft.

Das Grundprinzip bleibt gleich: Aufgaben können delegiert werden, die Verantwortung für den datenschutzkonformen Umgang mit Patient:innendaten nicht. Auch wenn externe Dienstleister für Software oder IT eingebunden sind, muss der Umgang mit Patient:innendaten weiterhin aktiv gesteuert werden.

Typische Missverständnisse

„Ich bin doch klein – wen interessiert das?“

Klein zu sein reduziert nicht automatisch Risiken. Gerade in kleinen Strukturen hängt viel an einzelnen Personen, Geräten und Routinen. Ein verlorenes Handy oder ein falscher E‑Mail-Empfänger ist nicht „klein“, nur weil die Praxis klein ist.

„Ich arbeite analog – dann bin ich sicher.“

Papier kann sehr sicher sein, wenn Aufbewahrung, Zugriff und Transport sauber geregelt sind. Papier kann aber auch erstaunlich „mobil“ werden: Akten im Auto, Notizen in der Tasche, Zettel auf dem Schreibtisch, offene Ablagen.

„Ich nutze nur kurz private Tools – das ist doch pragmatisch.“

Pragmatismus ist im Praxisalltag verständlich. Aber gerade „kurz mal“ erzeugt häufig die größten Grauzonen: private Geräte, Messenger, automatische Cloud-Synchronisationen, Screenshots.

„Datenschutz ist nur IT.“

Datenschutz beginnt oft viel früher: Was steht auf dem AB? Wie wird zurückgerufen? Wo liegen Notizen? Wer sieht den Kalender?

Überblick: Wo DSGVO im Praxisalltag typischerweise „mitläuft“

Datenschutz beginnt selten bei großen Entscheidungen, sondern in den wiederkehrenden Routinen des Praxisalltags. Diese Bereiche sind dabei besonders häufig betroffen:

Dokumentation

• Therapieverlauf, Diagnostik, Berichte, Anamnesen
• Ablagestrukturen (Papier/digital), Zugriff, Ordnung
• Risikoquellen: Verwechslung, herumliegende Unterlagen, unklare Zuständigkeiten

Kommunikation

• Telefon, AB, Rückrufzeiten (und was auf dem AB gesagt wird)
• E‑Mails, Kontaktformulare, Online-Terminbuchung
• Risikoquellen: zu viele Details, falscher Empfänger, ungesicherte Kanäle, Daten im Betreff

Software

• Praxissoftware/Patientenmanagement, Kalender, Abrechnung
• Rollen & Rechte, Gerätezugriffe, Schnittstellen
• Risikoquellen: geteilte Logins, unklare Zugriffsrechte, Schatten-IT

Aufbewahrung

• Papierakten: Räume, Schränke, Schlüssel, Archiv
• Digital: Backups, Speicherorte, Gerätewechsel
• Risikoquellen: Verlust, Diebstahl, unklare Löschroutinen, „niemand weiß, wo das gespeichert ist“

Wenn Sie konkrete, alltagstaugliche Umsetzungstipps suchen, finden Sie hier Tipps und Tricks zum DSGVO-konformen Arbeiten in der Psychotherapie.

Fazit

DSGVO-konform zu arbeiten bedeutet in der Psychotherapie vor allem, den Umgang mit Patient:innendaten bewusst, transparent und verlässlich zu gestalten. Weil hier besonders sensible Informationen verarbeitet werden, lohnt sich ein klarer Blick auf die Bereiche, in denen Datenschutz im Praxisalltag typischerweise „mitläuft“ von Dokumentation über Kommunikation und Software bis zur Aufbewahrung.

Digitale Lösungen können dabei unterstützen, diese Prozesse übersichtlich und sicher zu organisieren. Tools wie Lucoyo ermöglichen eine strukturierte Verwaltung von Anfragen sowie eine DSGVO-konforme Kommunikation mit Patient:innen.