Ihre Videosprechstunde läuft über einen US-Anbieter, der Daten außerhalb der EU speichert. Die Datenschutzbehörde wird aufmerksam. Die Folgen: ein Bußgeldverfahren, negative Schlagzeilen und der Verlust von Patientenvertrauen, das sich nur schwer wiederherstellen lässt. Das ist ein reales Risiko, dem sich Kliniken und Praxen aussetzen, wenn sie bei der Videotelefonie nicht sorgfältig genug sind.
Wir erklären, was DSGVO-konforme Videotelefonie für Sie bedeutet. Sie erfahren, welche technischen und rechtlichen Hürden wirklich zählen und nach welchen Kriterien Sie als Klinik oder Arztpraxis einen Anbieter bewerten sollten.
Warum Videosprechstunden ein hohes Datenschutzrisiko sind
Gesundheitsdaten sind laut Artikel 9 der DSGVO besonders sensibel. Grundsätzlich ist ihre Verarbeitung verboten, es sei denn, es gibt eine ausdrückliche Einwilligung oder eine gesetzliche Grundlage. Für Krankenhäuser und Arztpraxen greift in der Regel Letzteres. Die hohen Anforderungen an die technische Umsetzung bleiben davon aber unberührt.
Ein Datenschutzverstoß kann teuer werden: Es drohen Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem, was höher ist. Und das Risiko ist real. Deutsche Datenschutzbehörden haben in den letzten Jahren immer wieder Krankenhäuser und Praxen abgemahnt, die Consumer-Tools ohne Rechtsgrundlage genutzt haben.
Das Problem liegt oft in der Bequemlichkeit. Zoom, Microsoft Teams in der kostenlosen Variante oder FaceTime sind intuitiv bedienbar und sofort verfügbar. Aber sie wurden nicht für den Umgang mit Patientendaten unter deutschem Datenschutzrecht konzipiert. Wer solche Tools ohne Auftragsverarbeitungsvertrag und ohne geprüften Serverstandort einsetzt, handelt rechtswidrig, auch wenn die Videosprechstunde technisch einwandfrei funktioniert.
Was DSGVO-Konformität bei Videotelefonie konkret bedeutet
Der Begriff DSGVO-Konformität wird von Anbietern gerne als Marketingversprechen verwendet. Was er tatsächlich bedeutet, lässt sich auf vier konkrete Anforderungen herunterbrechen.
Erstens: Ein Auftragsverarbeitungsvertrag (AVV) muss abgeschlossen werden. Dieser regelt, wie der Dienstleister mit den Daten umgeht, welche Unterauftragnehmer eingesetzt werden und welche Löschfristen gelten. Ohne AVV ist jede Videotelefonie mit Patientenbezug rechtswidrig.
Zweitens: Achten Sie auf den Serverstandort. Dieser muss in der EU liegen oder in einem Land mit einem vergleichbaren Datenschutzniveau. Datenübertragungen in Drittstaaten wie die USA sind nur sehr eingeschränkt möglich und bergen rechtliche Risiken.
Drittens: Die Ende-zu-Ende-Verschlüsselung (E2E) schützt den Inhalt Ihrer Kommunikation. Das ist eine wichtige Voraussetzung, aber sie allein genügt nicht.
Viertens: Stellen Sie vertraglich sicher, dass eine Datenweitergabe an Dritte ausgeschlossen ist. Das gilt vor allem für Analyse- und Trackingdienste, die bei vielen Plattformen standardmäßig mitlaufen.
Warum E2E-Verschlüsselung nicht genügt
E2E-Verschlüsselung (Ende-zu-Ende) sichert zwar den Inhalt Ihres Gesprächs, aber nicht die Metadaten: Wer hat wann mit wem gesprochen? Wie lange? Von welchem Gerät? Für Datenschutzbehörden sind diese Verbindungsinformationen fast genauso aufschlussreich wie der Inhalt selbst.
Ein weiterer Punkt sind die Aufzeichnungen. Viele Plattformen transkribieren Meetings automatisch oder speichern sie in der Cloud. Bei einem Audit müssen Sie dann genau darlegen können, wo diese Aufzeichnungen liegen, wer darauf zugreift und wie lange sie gespeichert bleiben.
Server in Deutschland: Echte Sicherheit oder nur Marketing?
Hosting in Deutschland klingt erst einmal sicher. Doch Vorsicht: Hat der Anbieter eine Muttergesellschaft in einem Drittstaat wie den USA, kann der CLOUD Act greifen. Dieses US-Gesetz erlaubt es Behörden, von US-Unternehmen Daten herauszuverlangen, selbst wenn sie auf Servern in Deutschland liegen.
Verlassen Sie sich lieber auf Zertifikate. Echte Datensouveränität weisen Anbieter mit Siegeln wie ISO 27001 oder dem BSI C5 nach. Damit belegen sie, dass ihre Sicherheitsarchitektur extern geprüft wurde.
Das Fachmagazin E-HEALTH-COM empfiehlt für Gesundheitseinrichtungen eine klare Mindestanforderung: Server in zertifizierten deutschen Rechenzentren mit Ende-zu-Ende-Verschlüsselung. Nur so lassen sich die DSGVO und die NIS-2-Richtlinie erfüllen.
KBV-Zulassung und NIS-2: Zwei Hürden, die nicht jeder Anbieter meistert
Wollen Sie Videosprechstunden mit gesetzlich Versicherten abrechnen, brauchen Sie zwingend eine KBV-Zulassung. Die Kassenärztliche Bundesvereinigung (KBV) prüft Anbieter nach strengen Kriterien, etwa bei technischer Sicherheit und Datenschutz. Auch die Interoperabilität ist ein wichtiger Punkt. Diese Vorgaben werden laufend aktualisiert; die aktuellen Anforderungen der KBV für Videosprechstunden sind öffentlich einsehbar.
Ohne diese Zertifizierung ist eine Abrechnung über die gesetzliche Krankenversicherung (GKV) nicht möglich. Für Privatpatienten entfällt die KBV-Pflicht formal, aber die DSGVO-Anforderungen gelten uneingeschränkt weiter.
Krankenhäuser stehen vor einer zusätzlichen Herausforderung: der NIS-2-Richtlinie (Network and Information Security Directive 2). Sie gilt seit Oktober 2024 und stuft Krankenhäuser ab einer bestimmten Größe als kritische Infrastruktur ein. Die konkreten Anforderungen umfassen:
- Meldepflichten bei Sicherheitsvorfällen innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (vollständige Meldung)
- Mindeststandards für Ihre IT-Sicherheit
- Nachweise für die Aufsichtsbehörden
- Die Geschäftsführung haftet bei Verstößen
Der DigitalRadar Krankenhäuser macht es deutlich: Viele deutsche Kliniken haben bei der Kommunikationssicherheit noch viel zu tun. Gerade bei der Integration und Absicherung von Kommunikationssystemen ist der Digitalisierungsgrad sehr unterschiedlich. Hier gibt es die größten Lücken.
Wichtig für Klinik-IT und Datenschutzbeauftragte: NIS-2 und DSGVO überlappen sich in ihren Anforderungen, sind aber nicht identisch. Ein Anbieter, der DSGVO-konform ist, erfüllt nicht automatisch die NIS-2-Meldepflichten. Beide Regelwerke müssen separat geprüft werden.
Anbieter-Check für Kliniken und Praxen: Auf diese fünf Kriterien kommt es an.
Worauf müssen Management und Datenschutzbeauftragte bei einem Anbieter achten? Mit diesen fünf Kriterien unterscheiden Sie echte Lösungen von leeren Marketing-Versprechen:
- AVV vorhanden: Liegt ein vollständiger Auftragsverarbeitungsvertrag vor? Wichtig: Alle Unterauftragnehmer müssen darin genannt sein.
- KBV-Zulassung: Achten Sie darauf, dass der Dienst für Videosprechstunden von der KBV zugelassen ist.
- Serverstandort Deutschland: Werden alle Daten ausschließlich in deutschen oder EU-Rechenzentren verarbeitet, und hat der Anbieter keine US-amerikanische Muttergesellschaft?
- Verschlüsselung: Sind die Datenströme durchgehend verschlüsselt und was passiert eigentlich mit den Metadaten?
- Integrationsfähigkeit: Lässt sich die Lösung an Ihre Telefonanlage oder das Krankenhausinformationssystem (KIS) andocken?
Gerade der letzte Punkt wird in der Praxis oft unterschätzt. Eine Videolösung als Insellösung, also losgelöst vom Rest, erzeugt nur Medienbrüche und zusätzlichen administrativen Aufwand.
Videotelefonie und Cloud-Telefonie: So gelingt die Integration
Eine reine Videotelefonie-Lösung ist nur ein Provisorium. Richtig effizient wird es erst, wenn alle Kanäle auf einer Plattform zusammenlaufen: Video, Telefonie und auch der Chat. Das Stichwort lautet Unified Communications. Hier sind alle Kommunikationswege vernetzt und lassen sich über eine einzige Oberfläche steuern.
Was heißt das für eine Arztpraxis? Ein Patient ruft an und wird per Sprachmenü direkt mit der richtigen Abteilung verbunden. Der Arzt kann dann aus demselben System heraus eine Videosprechstunde starten. Das bedeutet: kein Wechsel zwischen verschiedenen Anwendungen und kein manuelles Eintippen von Links.
Wenn eine Arztpraxis ihre Kommunikation auf eine einheitliche Plattform konsolidieren will, bietet die Videokonferenz-Lösung von vio:networks einen relevanten Ansatz: Alle Videokonferenzen werden auf Servern in deutschen Rechenzentren gehostet, die Datenströme sind verschlüsselt, und die Lösung lässt sich optional mit vio.chat integrieren, um Telefonie, Videokonferenzen und Chat in einer Anwendung zu bündeln. Die Cloud-Telefonanlage unterstützt dabei über eine API die Anbindung an Praxissoftware wie Tomedo, was Abläufe bei der Terminvergabe und Patientenkommunikation messbar vereinfacht.
Auch für Praxen mit wenigen Behandlern lohnt sich die Konsolidierung, weil sie den Schulungsaufwand reduziert und die Angriffsfläche für Datenpannen verkleinert.
Consumer-Tools in der Klinik: ein bequemes Haftungsrisiko
Warum nutzen Ärzte und Praxisteams trotz der Risiken weiter WhatsApp oder Zoom? Weil es einfach funktioniert, schnell ist und jeder die Tools kennt. Da wird der Befund schnell per WhatsApp geschickt, wenn das Fax besetzt ist. Oder der Arzt startet ein Zoom-Meeting, weil der Patient keine Alternative hat.
Rechtlich gesehen ist das ein Problem. Patientendaten dürfen Sie nicht per WhatsApp ohne AVV übermitteln. FaceTime leitet Daten über Apple-Server in den USA weiter. Und auch wenn Zoom in der Basisversion einen AVV anbietet, müssen Sie genau prüfen, wo die Server stehen und welche Daten an Dritte gehen.
Das Haftungsrisiko liegt nicht allein beim Datenschutzbeauftragten. Es betrifft auch die Geschäftsführung und die behandelnden Ärzte persönlich. Die 72-Stunden-Meldepflicht bei Datenpannen nach DSGVO beginnt, sobald der Verstoß bekannt wird.
Verbote und reines Compliance-Theater sind hier nicht die Lösung. Stellen Sie stattdessen Alternativen bereit, die genauso einfach sind wie Consumer-Apps, aber alle rechtlichen Anforderungen erfüllen.
Marktüberblick: Welche Lösungen in Deutschland tatsächlich compliant sind
Der Markt für KBV-zertifizierte Videosprechstunden-Lösungen ist überschaubar. Zu den bekanntesten Anbietern gehören:
| Anbieter | KBV-Zulassung | Serverstandort | Besonderheiten |
|---|---|---|---|
| arztkonsultation.de | Ja | Deutschland | Spezialisiert auf Arztpraxen |
| Clickdoc (CGM) | Ja | Deutschland | Integration in CGM-Praxissoftware |
| Solutio (Charly) | Ja | Deutschland | Schwerpunkt Zahnarztpraxen |
| TKmed | Ja | Deutschland | Fokus auf Fachärzte und Kliniken |
Diese Anbieter haben die KBV-Zertifizierung durchlaufen und können für die GKV-Abrechnung genutzt werden. Für Kliniken, die eine breitere Kommunikationsplattform suchen, die Video als Bestandteil einer vollständigen TK-Infrastruktur integriert, sind spezialisierte Anbieter wie vio:networks eine ergänzende Option, die Telefonie, Video und Chat unter einem Datenschutzdach zusammenführt.
Kein Anbieter ist für jede Einrichtungsgröße gleich gut geeignet. Eine Einzelpraxis hat andere Anforderungen als ein Krankenhaus der Maximalversorgung. Die Kriterien aus dem vorherigen Abschnitt helfen, die eigene Situation einzuordnen.
Fazit: Compliance ist kein Projekt, sondern eine Infrastrukturentscheidung
Sichere Videotelefonie im Gesundheitswesen ist eine strategische Entscheidung für eine Kommunikationsinfrastruktur, die dauerhaft rechtssicher ist. Wählen Sie also Anbieter, die Kriterien wie AVV, Serverstandort, Verschlüsselung und KBV-Zulassung nachweisbar erfüllen. Betreiben Sie Video nicht als Insellösung, sondern binden Sie es in eine integrierte Kommunikationsplattform ein.
Wie eine solche Integration in der Praxis aussieht, zeigt die Telefonanlage für Arztpraxen von vio:networks. Sie bündelt Videokonferenzen, Cloud-Telefonie und Chat auf einer Plattform. Der Betrieb läuft auf deutschen Servern, die Datenströme sind verschlüsselt und die Anbindung an Ihre Praxissoftware ist ebenfalls möglich.
Wenn Sie heute noch auf Consumer-Tools setzen, gehen Sie ein kalkulierbares Risiko ein. Die Frage ist nicht, ob eine Datenpanne passiert, sondern wann sie auffliegt.
Videotelefonie & DSGVO: Was Sie wissen müssen
Ist eine KBV-Zertifizierung für jede Videosprechstunde Pflicht?
Wenn Sie Videosprechstunden mit Kassenpatienten abrechnen, braucht Ihr Dienst eine KBV-Zertifizierung. Für Privatpatienten ist das nicht nötig, die DSGVO gilt aber trotzdem. Das bedeutet: Sie benötigen einen AVV und der Serverstandort muss datenschutzkonform sein, auch ohne KBV-Zulassung.
Betrifft NIS-2 auch kleine Arztpraxen?
In der Regel nicht. NIS-2 zielt primär auf Krankenhäuser und Einrichtungen der kritischen Infrastruktur. Kleine Arztpraxen sind davon meist nicht direkt betroffen, müssen sich aber trotzdem an die DSGVO und das Landeskrankenhausgesetz halten. Im Zweifel fragen Sie einen Datenschutzbeauftragten mit Spezialisierung auf Gesundheitsrecht.
Welche Konsequenzen hat ein Datenschutzverstoß?
Ein Verstoß kann teuer werden: Bußgelder reichen bis zu vier Prozent des weltweiten Jahresumsatzes. Sie müssen ihn zudem innerhalb von 72 Stunden der Datenschutzbehörde melden. Hinzu kommen der Imageschaden und mögliche Klagen von Patienten, deren Daten betroffen sind.
Dürfen Ärzte Zoom für die Videosprechstunde einsetzen?
Die Basisversion von Zoom dürfen Sie für Videosprechstunden mit Patientendaten nicht einfach so nutzen. Sie müssen einen Auftragsverarbeitungsvertrag (AVV) abschließen, die Serverstandorte prüfen und sicherstellen, dass alle Drittanbieter-Integrationen deaktiviert oder vertraglich geregelt sind. Für GKV-Patienten ist Zoom ohnehin keine Option, da die KBV-Zulassung fehlt.
Was kostet eine KBV-zertifizierte Software?
Die Preise hängen stark vom Anbieter und Ihrer Praxisgröße ab. Einfache Lösungen starten bei wenigen Dutzend Euro pro Monat. Umfassende Plattformen mit Anbindung an Ihre Praxissoftware kosten entsprechend mehr. Vergleichen Sie immer die Gesamtkosten: Lizenz, Einrichtung und laufender Support.
Woran erkenne ich einen DSGVO-konformen Anbieter?
Verlässliche Nachweise sind ein vollständiger AVV mit Unterauftragnehmer-Liste, eine ISO-27001-Zertifizierung oder ein BSI-C5-Testat sowie ein nachweisbarer Serverstandort in Deutschland oder der EU ohne US-Mutterkonzern. Marketingaussagen wie DSGVO-konform ohne diese Belege sind kein ausreichender Nachweis.