Ein Anruf beim Arzt ist Vertrauenssache. Patienten erwarten, dass bei einer telefonischen Diagnose niemand mithört und die Information vertraulich bleibt. Doch genau hier liegt oft ein blinder Fleck: Die Telefonanlage selbst wird selten als Datenschutzrisiko gesehen, obwohl sie täglich hochsensible Patientendaten überträgt. Als Praxisinhaber riskieren Sie mit einer veralteten oder schlecht konfigurierten TK-Lösung schnell existenzbedrohende Bußgelder. Sie müssen also wissen, was die DSGVO konkret von Ihrer Telefonie verlangt und wo die häufigsten Fehlerquellen liegen, damit Sie Ihre Kommunikation rechtssicher gestalten.
Ein Datenleck am Telefon ist teurer als die ganze Anlage
Das klingt dramatisch, ist aber Realität: Bei Verstößen gegen die DSGVO können Bußgelder bis zu vier Prozentz des weltweiten Jahresumsatzes oder 20 Millionen Euro verhängt werden. Artikel 83 der DSGVO sieht je nach Schwere des Verstoßes zwei Bußgeldrahmen vor. Für Verstöße gegen grundlegende Datenschutzprinzipien, also etwa fehlende technisch-organisatorische Maßnahmen beim Umgang mit Patientendaten, gilt der höhere Rahmen.
Gesundheitsdaten zählen nach Artikel 9 DSGVO zu den besonders schützenswerten Kategorien personenbezogener Daten. Das bedeutet: Jede Verarbeitung, also auch jede Übertragung beim Telefonieren, unterliegt strengeren Anforderungen als etwa Kundendaten im Einzelhandel.
Aufsichtsbehörden im Gesundheitsbereich greifen durch. Ein Beispiel: 2018 verhängten portugiesische Datenschützer 400.000 Euro Bußgeld gegen ein Krankenhaus, weil die Zugriffskontrollen auf Patientendaten unzureichend waren. Auch in Deutschland haften Praxisinhaber persönlich, wenn sie die Patientenkommunikation nicht mit geeigneten technischen Maßnahmen schützen. Das hat die Datenschutzkonferenz mehrfach klargestellt.
Die Haftung trifft immer den Praxisinhaber. Sie können sich nicht auf einen externen Dienstleister berufen, solange kein rechtsgültiger Auftragsverarbeitungsvertrag (AVV) vorliegt.
Was die DSGVO für Ihre Telefonie vorschreibt
Die DSGVO macht sehr konkrete Vorgaben für die Praxis. Für Telekommunikationslösungen sind besonders die Artikel 5 und 25 sowie Artikel 32 entscheidend.
Artikel 5 DSGVO verlangt Zweckbindung: Gesprächsdaten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Eine Telefonanlage, die Metadaten zu Anrufzeiten und Gesprächsdauern speichert und diese für andere Zwecke nutzt, verstößt bereits hier.
Der Grundsatz „Privacy by Design“ aus Artikel 25 DSGVO ist klar: Datenschutz ist von Anfang an Teil der Technik. Wenn Sie also zuerst eine TK-Anlage kaufen und dann die Datenschutzkonformität prüfen, machen Sie es genau falsch herum.
Artikel 32 der DSGVO verpflichtet Sie zu technisch-organisatorischen Maßnahmen (TOMs). Dazu gehören zum Beispiel:
- Verschlüsseln Sie alle übertragenen Daten.
- Maßnahmen zur Sicherstellung der Verfügbarkeit und Belastbarkeit der Systeme
- Zugriffskontrollen, die nur berechtigten Personen Zugang gewähren
- Überprüfen Sie Ihre Sicherheitsmaßnahmen regelmäßig.
All diese Anforderungen beeinflussen, welche Telefonanlage Sie wählen und wie Sie sie einrichten.
Verschlüsselung ist Pflicht, aber es kommt auf die richtige Methode an.
Bei der VoIP-Telefonie werden Sprachdaten als Datenpakete über das Internet verschickt. Ohne Verschlüsselung kann jeder diese Pakete im Netz abfangen. Das NIST beschreibt in seiner Publikation zu VoIP-Sicherheit genau, welche Angriffsvektoren es bei unverschlüsselter IP-Telefonie gibt, zum Beispiel das Abhören von Gesprächen oder die Manipulation von Verbindungsdaten.
Für DSGVO-konforme VoIP-Telefonie sind zwei Protokolle relevant:
- Mit SIPS (Session Initiation Protocol Secure) werden die Sitzungsdaten, also die Metadaten Ihres Anrufs, per TLS (Transport Layer Security) verschlüsselt.
- SRTP (Secure Real-Time Transport Protocol) verschlüsselt die eigentlichen Sprachdaten und nutzt dafür den Advanced Encryption Standard (AES).
SIPS allein schützt nur die Verbindungsmetadaten, nicht den Gesprächsinhalt. Für Praxen, die Patientendaten telefonisch besprechen, reicht dieser Schutz nicht aus. Aufsichtsbehörden erwarten deshalb, dass beide Protokolle gemeinsam zum Einsatz kommen.
Die Transportverschlüsselung sichert die Daten auf dem Weg vom Endgerät zum Server. Die Ende-zu-Ende-Verschlüsselung geht noch weiter, sie schließt sogar den Server aus. In der Praxis hat sich aber bei Cloud-TK-Anbietern mit EU-Serverstandort und AVV die Transportverschlüsselung als Standard durchgesetzt.
Serverstandort EU: Weshalb der Hosting-Ort für Ihre Compliance entscheidend ist
Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs im Jahr 2020 dürfen personenbezogene Daten nicht ohne Weiteres in die USA übertragen werden. Der Grund: Viele US-Cloud-Anbieter unterliegen dem CLOUD Act, der US-Behörden den Zugriff auf Daten erlaubt, selbst wenn die Server in Europa stehen.
Für Ihre Praxis bedeutet das ein klares rechtliches Risiko, wenn Ihr TK-Anbieter eine US-Konzernmutter hat oder seine Rechenzentren in den USA betreibt. Dabei ist es egal, ob die Server hier in Deutschland stehen. Schon die theoretische Möglichkeit eines Behördenzugriffs aus den USA verletzt die DSGVO.
Auf der sicheren Seite sind Sie mit Anbietern, deren Infrastruktur komplett in Deutschland oder der EU liegt und die keine Verbindung zu Unternehmen aus Drittländern haben.
On-Premise oder Cloud: Was ist beim Datenschutz sicherer?
Viele glauben, eine Telefonanlage vor Ort in der Praxis sei automatisch sicherer als eine Cloud-Lösung. Das ist ein weit verbreiteter Irrtum.
Bei On-Premise-Anlagen liegt die Verantwortung für Sicherheitsupdates, Firmware-Pflege und Patches vollständig beim Betreiber. In der Praxis bedeutet das: Wer keine eigene IT-Abteilung hat, betreibt häufig eine Anlage mit veralteter Software. Bekannte Sicherheitslücken bleiben ungepatcht, weil niemand den Überblick hat oder der Aufwand zu hoch erscheint. Die Kassenärztliche Bundesvereinigung weist ausdrücklich darauf hin, dass regelmäßige Updates und Patches zu den grundlegenden IT-Sicherheitsmaßnahmen in Praxen zählen, die jedoch häufig vernachlässigt werden.
Cloud-TK-Lösungen verlagern diese Verantwortung auf den Anbieter, der Updates zentral und kontinuierlich einspielt. Das ist ein echter Sicherheitsvorteil. Allerdings entstehen dabei neue Anforderungen:
- Der Anbieter muss sorgfältig ausgewählt werden.
- Ein rechtsgültiger AVV muss abgeschlossen sein.
- Zugriffsrechte des Anbieters auf Support-Ebene müssen geregelt sein.
Wenn Ihre Arztpraxis eine Cloud-Telefonanlage ohne AVV nutzt, ist das ein direkter DSGVO-Verstoß. Daran ändert auch die beste technische Verschlüsselung nichts.
Gesundheitsdaten zählen nach Artikel 9 DSGVO zu den besonders schützenswerten Datenkategorien. Jede Übertragung per Telefon unterliegt damit strengeren Anforderungen als in den meisten anderen Branchen. Praxisinhaber tragen die persönliche Haftung für die Einhaltung dieser Anforderungen.
Der Auftragsverarbeitungsvertrag: Ohne ihn geht es nicht
Wenn Sie eine Cloud-Telefonanlage nutzen, geben Sie Daten an einen externen Dienstleister weiter. Das ist rechtlich eine Auftragsverarbeitung nach Artikel 28 DSGVO. Deshalb brauchen Sie zwingend einen schriftlichen AVV.
Der AVV ist eine verbindliche Vereinbarung und regelt:
- Welche Daten der Anbieter genau verarbeitet und zu welchem Zweck.
- Wo die Daten gespeichert werden, also der genaue Serverstandort.
- Wie der Anbieter Ihre Daten technisch und organisatorisch schützt.
- Wie der Anbieter Subunternehmer einsetzt und ob Sie das genehmigen müssen.
- Wie der Anbieter bei einer Datenpanne vorgeht und wie schnell er Sie informiert.
- Wie der Anbieter Ihre Daten nach Vertragsende löscht oder zurückgibt.
Als Praxisinhaber sollten Sie bei der AVV-Prüfung auf diese Punkte achten:
| Kriterium | Anforderung |
|---|---|
| Serverstandort | Ausschließlich EU/Deutschland |
| Verschlüsselung | SIPS und SRTP dokumentiert |
| Subunternehmer | Namentlich benannt, Zustimmungspflicht |
| Datenpannen | Meldepflicht innerhalb 72 Stunden |
| Löschung | Nachweisbare Löschung nach Vertragsende |
| Support-Zugriff | Geregelt und protokolliert |
Ohne diesen Vertrag dürfen Sie eine Cloud-TK-Lösung in Ihrer Praxis nicht DSGVO-konform einsetzen. Daran ändert auch die beste Technik nichts.
Zugriff und Aufzeichnung: Zwei unterschätzte Risiken
Zugriffskontrolle ist eine Kernfrage des Datenschutzes. Hier gilt das Prinzip des geringsten Privilegs: Jeder Nutzer und jedes System erhält nur die Berechtigungen, die für die jeweilige Aufgabe unbedingt notwendig sind. Für Ihre Praxis bedeutet das: Die Rezeptionskraft darf keine ärztlichen Gesprächsprotokolle einsehen und der externe IT-Dienstleister braucht keinen dauerhaften Zugriff auf die Telefonanlage.
Rollenbasierte Zugriffsrechte sind eine Pflicht nach Artikel 32 DSGVO. Wenn Sie allen Mitarbeitenden denselben Admin-Zugang geben, verstoßen Sie gegen diese Vorgabe.
Die Aufzeichnung von Gesprächen ist rechtlich ein heikles Thema. Sie dürfen Telefongespräche nur dann aufzeichnen, wenn alle Beteiligten ausdrücklich zugestimmt haben. Das gilt auch für Aufnahmen zur internen Qualitätskontrolle. Speichern Sie Aufzeichnungen ohne Einwilligung, riskieren Sie DSGVO-Bußgelder und strafrechtliche Konsequenzen nach § 201 StGB.
Nutzen Sie Gesprächsaufzeichnungen rechtmäßig, etwa im Finanzbereich nach MiFID II, müssen Sie klare Löschfristen festlegen und diese auch einhalten. Denn Aufnahmen, die länger als nötig gespeichert bleiben, verstoßen gegen den Grundsatz der Speicherbegrenzung aus Artikel 5 DSGVO.
Eine Pflicht, die oft vergessen wird: die Protokollierung. Sie müssen festhalten, wer wann auf welche Daten zugegriffen hat. Ohne dieses Protokoll ist eine Prüfung im Schadensfall kaum möglich.
Ist Ihr TK-Anbieter DSGVO-konform? So finden Sie es in fünf Schritten heraus.
Sie sind kein Datenschutzexperte, müssen aber einen Anbieter bewerten? Mit diesen fünf Schritten können Sie die Seriosität eines Anbieters genau prüfen und eine sichere Entscheidung treffen.
Schritt 1: Prüfen Sie den AVV. Ein seriöser Anbieter stellt Ihnen den Auftragsverarbeitungsvertrag sofort zur Verfügung und klärt alle wichtigen Punkte. Wer hier zögert oder gar keinen AVV hat, ist kein Partner für Sie.
Schritt 2: Der Serverstandort muss schriftlich bestätigt werden. Verlassen Sie sich nicht auf mündliche Zusagen. Bestehen Sie darauf, dass alle Daten, auch die von Subunternehmern, ausschließlich in deutschen oder EU-Rechenzentren liegen.
Schritt 3: Fragen Sie nach dem Verschlüsselungsstandard. Klären Sie, ob SIPS und SRTP eingesetzt werden und ob die Verschlüsselung standardmäßig aktiv ist. Wenn ein Anbieter bei dieser Frage zögert, ist das ein klares Warnsignal.
Setzt eine Arztpraxis eine Cloud-Telefonanlage von vio:networks ein, sind Gesprächsinhalte und Sitzungsdaten automatisch geschützt. Die standardmäßige Sprachverschlüsselung via SIPS und SRTP sichert alles auf Protokollebene ab, ohne dass die Praxis etwas konfigurieren muss.
Schritt 4: Erkundigen Sie sich nach Zertifizierungen wie ISO 27001 oder BSI C5. Das sind anerkannte Standards für Informations- und Cloud-Sicherheit. Anbieter mit diesen Zertifikaten belegen, dass sie ihre Sicherheitsmaßnahmen von externen Stellen haben prüfen lassen.
Schritt 5: Klären Sie den Support-Zugriff. Kann der Anbieter im Support-Fall auf Gesprächsdaten zugreifen? Falls ja, muss das im AVV geregelt sein. Wichtig ist auch, ob der Zugriff protokolliert wird und die Praxis ihn genehmigen muss.
DSGVO-konforme Telefonie ist eine Betriebspflicht
Keine Praxis würde auf die Idee kommen, Patientenakten unverschlüsselt per E-Mail zu versenden. Doch genau das passiert oft bei der Telefonie: Viele Anlagen übertragen Gesprächsdaten unverschlüsselt oder speichern sie auf Servern außerhalb der EU. Der einzige Unterschied ist, dass dieses Risiko weniger sichtbar ist.
Für die DSGVO spielt das keine Rolle. Patientendaten bleiben Patientendaten, egal ob in einer Akte oder am Telefon. Als Praxisinhaber sind Sie dafür verantwortlich, dass Ihre gesamte Kommunikationsinfrastruktur die gesetzlichen Anforderungen erfüllt.
Die technischen Lösungen für eine DSGVO-konforme Telefonie gibt es bereits. Anbieter wie vio:networks stellen sicher, dass Ihre Daten geschützt sind: Die Server stehen in deutschen Rechenzentren und alle Telefonate werden standardmäßig mit SIPS und SRTP verschlüsselt. Die Cloud-Telefonanlage von vio:networks können Sie vierzehn Tage kostenlos testen. So schließen Sie eine wichtige Sicherheitslücke, bevor daraus ein Problem entsteht.
Praxis-Telefonie und DSGVO: Was Sie wissen müssen
VoIP und DSGVO: Passt das zusammen?
Ja, VoIP-Telefonie ist DSGVO-konform. Wichtig sind drei Dinge: Verschlüsselung via SIPS und SRTP, ein EU-Serverstandort und ein gültiger Auftragsverarbeitungsvertrag. Ohne Verschlüsselung und AVV handeln Sie nicht gesetzeskonform.
Muss ich als Praxisinhaber den AVV selbst erstellen?
Nein, den AVV stellt Ihnen der Anbieter Ihrer Cloud-Telefonanlage zur Verfügung. Sie müssen ihn aber sorgfältig prüfen. Schauen Sie genau hin, ob alle Anforderungen aus Artikel 28 DSGVO erfüllt sind. Im Zweifel fragen Sie Ihren Datenschutzbeauftragten.
Darf ich Telefongespräche in der Praxis aufzeichnen?
Ja, aber nur, wenn alle Beteiligten ausdrücklich zustimmen. Das gilt für Patienten und für Ihr Team. Eine Aufzeichnung ohne Einwilligung ist ein DSGVO-Verstoß und nach § 201 StGB sogar strafbar. Denken Sie auch daran, klare Löschfristen für die Aufnahmen festzulegen.
Mit welchen Bußgeldern müssen Arztpraxen bei einem DSGVO-Verstoß rechnen?
Schwerwiegende Verstöße wie fehlende Schutzmaßnahmen für Patientendaten können teuer werden. Artikel 83 der DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor. Für eine Einzelpraxis fällt der Betrag zwar meist niedriger aus, kann aber trotzdem existenzbedrohend sein.
Mein TK-Anbieter nutzt Server in Deutschland, gehört aber zu einem US-Konzern. Ist das DSGVO-konform?
Nein, der Serverstandort allein reicht nach dem Schrems-II-Urteil des EuGH nicht aus. Gehört der Anbieter zu einem US-Konzern, droht ein Behördenzugriff über den CLOUD Act. Sicher sind Sie nur mit Anbietern, die keine Konzernbeziehungen in Drittstaaten ohne angemessenes Datenschutzniveau haben.
Was bedeuten TDDDG und DSGVO für meine Praxis und wo liegt der Unterschied?
Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutzgesetz) regelt spezifische Anforderungen an digitale Kommunikationsdienste, etwa den Schutz von Kommunikationsinhalten und Metadaten. Es ergänzt die DSGVO, hebt sie aber nicht auf.