Medizinische Befunde sicher übermitteln: in Deutschland und Österreich dürfen Befunde nicht unverschlüsselt per E-Mail oder WhatsApp übermittelt werden. Das verstößt gegen Art. 32 DSGVO und ist strafrechtlich relevant (DE: § 203 StGB; AT: § 121 StGB). Die österreichische Datenschutzbehörde hat zudem verbindlich klargestellt, dass eine Patienteneinwilligung in unverschlüsselte Übermittlung rechtsunwirksam ist. Eine konforme Lösung erfordert mindestens Ende-zu-Ende-Verschlüsselung, eine nachvollziehbare Zugangskontrolle und einen AVV mit dem technischen Dienstleister.
Endoskopie-Befunde, Radiologiebefunde, gynäkologische Ergebnisse: Patientinnen und Patienten erwarten, dass ihre Unterlagen rasch und unkompliziert bei ihnen ankommen. Der Druck auf Praxisteams ist real und verführt dazu, schnelle Wege zu wählen, die rechtlich nicht tragfähig sind.
Unverschlüsselte E-Mails, WhatsApp, Fax ohne Inhaltsverschlüsselung: All das ist in der Übermittlung medizinischer Befunde entweder DSGVO-widrig, strafrechtsrelevant oder beides. Gleichzeitig steigen die Erwartungen der Patientinnen und Patienten an digitale Zugänglichkeit.
Dieser Artikel zeigt, welche Rechtsgrundlagen in Deutschland und Österreich gelten, wo die häufigsten Lücken entstehen – und was eine technisch sowie rechtlich tragfähige Lösung ausmacht.
Das rechtliche Fundament: DSGVO, ÄrzteG, StGB
Die Rechtsgrundlage gilt in Deutschland und Österreich, mit nationalen Besonderheiten
Gesundheitsdaten gehören nach Art. 9 DSGVO zu den besonders schützenswerten Kategorien personenbezogener Daten. Das stellt erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs), die Art. 32 DSGVO konkret vorschreibt. Diese Regelung gilt für Deutschland und Österreich gleichermaßen.
Daneben gelten nationale Rechtsrahmen, die sich in zwei wesentlichen Punkten unterscheiden:
Deutschland: § 203 StGB und MBO-Ä
In Deutschland ist die ärztliche Schweigepflicht in § 9 Abs. 1 MBO-Ä (Musterberufsordnung der Ärzte) sowie strafrechtlich in § 203 StGB verankert. Ein Fehlversand oder eine unzureichend gesicherte Übermittlung kann als unbefugte Offenbarung von Privatgeheimnissen strafrechtlich verfolgt werden – und zwar nicht erst beim Versenden von Befunden, sondern bereits bei der Installation von WhatsApp auf einem Diensthandy mit Patientenkontakten im Adressbuch.
Österreich: § 54 ÄrzteG 1998 und DSB-Entscheidung
In Österreich regelt § 54 Abs. 1 ÄrzteG 1998 die ärztliche Verschwiegenheitspflicht: Ärztinnen und Ärzte sowie ihr Hilfspersonal sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet. Ein Verstoß ist nach § 121 StGB (Verletzung eines Geschäfts- oder Betriebsgeheimnisses) strafbar.
Für die digitale Befundübermittlung besonders relevant: Die österreichische Datenschutzbehörde (DSB) hat in einer verbindlichen Entscheidung gegen eine Allergie-Tagesklinik (DSB-D213.692/0001-DSB/2018) klargestellt, dass eine Einwilligungserklärung in den unverschlüsselten elektronischen Versand von Patientendaten rechtsunwirksam ist. Die Ärztekammer Wien hat daraufhin ihr bisheriges Einwilligungsformular aus dem Verkehr gezogen und empfiehlt seither ausschließlich verschlüsselte Übermittlungsformen.
Österreich: § 51 ÄrzteG – die Dokumentationspflicht als Datenschutzgrundlage
Gemäß § 51 ÄrzteG 1998 sind Ärztinnen und Ärzte verpflichtet, Aufzeichnungen über jede zur Beratung oder Behandlung übernommene Person zu führen. Diese Dokumentationspflicht ist die datenschutzrechtliche Rechtsgrundlage für die Verarbeitung von Patientendaten – eine gesonderte Einwilligung ist für die Behandlungsdokumentation grundsätzlich nicht erforderlich. Das ändert jedoch nichts an den technischen Sicherheitspflichten nach Art. 32 DSGVO.
Standard-E-Mail und WhatsApp: Warum beides nicht als sichere Befundübermittlung ausreicht
Standard-E-Mails ohne zusätzliche Inhaltsverschlüsselung, also ohne S/MIME, PGP oder vergleichbare Verfahren, erfüllen die DSGVO-Anforderungen für Gesundheitsdaten nicht. Der LfDI Nordrhein-Westfalen hat explizit festgestellt, dass Transportverschlüsselung allein nicht genügt. Für den Versand über unverschlüsselte E-Mail gelten in Deutschland wie in Österreich übereinstimmend strenge Einschränkungen.
Bei WhatsApp kommen strukturelle Zusatzprobleme hinzu: Der Messenger liest Metadaten aus – darunter Namen, Telefonnummern und Kommunikationszeitpunkte –, verarbeitet Daten über Server des Meta-Konzerns und erhöht durch Autovervollständigung und Gruppenchats das Risiko von Fehlversendungen strukturell. In Deutschland kommt neben dem DSGVO-Verstoß die Strafbarkeit nach § 203 StGB hinzu; in Österreich ist § 121 StGB einschlägig.
Ein Fehlversand – eine falsche E-Mail-Adresse, ein falscher Empfänger – ist in beiden Ländern eine meldepflichtige Datenpanne: innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde (DE: zuständige Landesbehörde; AT: Österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Wien, [email protected]).
Die Einwilligung löst das Problem nicht
Ein verbreitetes Missverständnis: die Annahme, eine schriftliche Einwilligung des Patienten könne den Einsatz unsicherer Übertragungswege legitimieren.
Die Sicherheitsanforderungen nach Art. 32 DSGVO sind nicht disponibel. In Deutschland hat die Hamburger Datenschutzbehörde in einem viel beachteten Gutachten argumentiert, dass eine Einwilligung in niedrigere Schutzniveaus grundsätzlich denkbar ist – aber nur, wenn der Verantwortliche gleichzeitig sichere Alternativen anbietet.
In Österreich geht die DSB noch einen Schritt weiter: Die Entscheidung gegen die Allergie-Tagesklinik stellt ohne Einschränkung fest, dass eine Einwilligung kein taugliches Instrument ist, um von Datensicherheitsmaßnahmen zu Ungunsten der Betroffenen abzuweichen. Die Ärztekammer Wien hat ihr Einwilligungsformular für unverschlüsselten E-Mail-Versand daraufhin zurückgezogen. In Österreich ist die Rechtslage damit eindeutiger als in Deutschland.
Was eine rechtskonforme Befundübermittlung technisch leisten muss
Eine Lösung, die den Anforderungen der DSGVO und des ärztlichen Berufsrechts in Deutschland und Österreich standhält, muss mindestens folgende Merkmale erfüllen:
- Verschlüsselung im Ruhezustand: Befunddaten werden AES-256-verschlüsselt gespeichert.
- Transportverschlüsselung: Alle Datenübertragungen ausschließlich über TLS/HTTPS.
- Zugangskontrolle: Personalisierter Einmal-Link plus PIN, nicht übertragbar, nicht wiederverwendbar.
- Zwei-Faktor-Authentifizierung: Zusätzliche Verifikation per SMS-Einmalcode verhindert Zugriff durch unbefugte Dritte.
- Automatische Löschung: Befunde werden nach einer definierten Frist systemseitig gelöscht. Eine Frist von 60 Tagen hat sich als praxistauglich erwiesen.
- Protokollierung: Zugriffe werden aufgezeichnet; Zugangsprotokolle werden nach 30 Tagen rotiert.
- Auftragsverarbeitungsvertrag (AVV): Der technische Dienstleister muss als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden sein, in AT explizit nach § 54 Abs. 3 ÄrzteG, der die Weitergabe an Auftragsverarbeiter zur Honorarabrechnung regelt.
Hosting innerhalb der EU bzw. des EWR ist keine optionale Präferenz, sondern Grundanforderung. Drittlandübermittlungen etwa durch SMS-Dienstleister oder Analysesoftware, erfordern anerkannte Rechtsgrundlagen: EU-US Data Privacy Framework oder EU-Standardvertragsklauseln (SCCs).
Österreich: DSB-Entscheidung als Praxiswarnung für Ambulatorien
Die DSB-Entscheidung gegen die Wiener Allergie-Tagesklinik (DSB-D213.692/0001-DSB/2018) ist für österreichische Ambulatorien unmittelbar lehrreich. Die Behörde rügte die Klinik in mehreren Punkten:
- Kein Datenschutzbeauftragter trotz umfangreicher Gesundheitsdatenverarbeitung (17 Ärzte, 14 weitere Mitarbeiter).
- Keine ausreichende Datenschutz-Folgenabschätzung, die Klinik hatte sich pauschal auf eine Ausnahmebestimmung der DSFA-Ausnahmenverordnung berufen, ohne diese Entscheidung zu dokumentieren.
- Unzureichende Einwilligungsdokumentation: Die vorgelegten Einwilligungserklärungen erfüllten nicht die DSGVO-Anforderungen an Freiwilligkeit und informierte Zustimmung.
Die österreichische Ärztekammer empfiehlt als Richtwert: Ordinationen, die pro Jahr mehr als 5.000 verschiedene Patientinnen und Patienten betreuen, sollten in Kooperationssettings (Gruppenpraxis, PVE, Ambulatorium) einen Datenschutzbeauftragten bestellen. Für Ambulatorien und größere Facharztpraxen ist dieser Schwellenwert regelmäßig überschritten.
Was das konkret für Ambulatorien und Facharztpraxen bedeutet
Für Ambulatorien – in der Endoskopie, Radiologie oder Gynäkologie – ist das Volumen der Befundübermittlungen strukturell hoch. Jede einzelne Übertragung ist eine potenzielle Datenschutzsituation.
Die Herausforderung liegt weniger in der Technik als in der Organisation: Welcher Dienstleister verarbeitet die Daten? Liegt ein AVV vor? Wer ist für die Datenschutzdokumentation verantwortlich? Und besonders in Österreich relevant, wurde eine Datenschutz-Folgenabschätzung geprüft?
Ein gut implementiertes Patientenportal löst die technischen Anforderungen. Es bleibt die Aufgabe, den Prozess im Team zu verankern und datenschutzrechtlich sauber zu dokumentieren, inklusive Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO, das die Österreichische Ärztekammer als Pflicht für alle Ordinationen einordnet.
„Datenschutz ist kein Selbstzweck. Aber wenn Befunde über unsichere Kanäle laufen, ist das ein Risiko, das Ärztinnen und Ärzte tragen, nicht der Dienstleister, nicht die Software. Das wollen wir gemeinsam lösen.” – Ulrich Theilmann, KOSMAS



