Eine Heilpraktikerpraxis verarbeitet einige der sensibelsten Daten überhaupt: Diagnosen, Beschwerden, Vorerkrankungen, manchmal ganze Lebensgeschichten. Damit gilt die Datenschutz-Grundverordnung (DSGVO) hier genauso wie in jeder Arztpraxis – auch für die kleine Einzelpraxis ohne Angestellte. Dieser Beitrag bricht die Verordnung auf den Praxisalltag herunter: wer welche Pflichten hat, warum sogar die kleinste Praxis ein Verarbeitungsverzeichnis führen muss, wann ein Datenschutzbeauftragter nötig wird und welche Rechte Patientinnen und Patienten an ihren Daten haben.
Fallen Heilpraktiker unter die DSGVO?
Ja, ohne Ausnahme. Sobald eine Praxis Namen, Kontaktdaten und Gesundheitsangaben von Patienten erhebt, speichert oder verarbeitet, ist sie im Sinne der DSGVO ein „Verantwortlicher" (Art. 4 Nr. 7). Ob die Kartei auf Papier liegt oder in einer Software – für die meisten Pflichten spielt das keine Rolle: Die DSGVO erfasst die automatisierte ebenso wie die strukturierte manuelle Verarbeitung.
Gesundheitsdaten nehmen dabei eine Sonderstellung ein. Artikel 9 DSGVO zählt sie zu den „besonderen Kategorien personenbezogener Daten", deren Verarbeitung grundsätzlich untersagt ist und nur über eng gefasste Ausnahmen erlaubt wird. Für die Praxis greift meist Art. 9 Abs. 2 lit. h – die Verarbeitung zum Zweck der Gesundheitsvorsorge und Behandlung – oder die ausdrückliche Einwilligung. Schon der erste Anamnesebogen fällt darunter; wie ein solcher Termin abläuft, beschreibt der Beitrag Erster Termin beim Heilpraktiker.
Zur Verarbeitung zählt praktisch jeder Umgang mit den Daten – vom handschriftlichen Anamnesebogen über die Terminliste bis zur Rechnung. Entsprechend verlangt Art. 32 DSGVO angemessene technische und organisatorische Maßnahmen: abschließbare Aktenschränke, einen passwortgeschützten Praxisrechner mit Bildschirmsperre, die verschlüsselte Übertragung sensibler E-Mails und regelmäßige, gesicherte Datensicherungen. Aufwand und Schutzniveau müssen zum Risiko passen – für eine kleine Praxis genügen meist einfache, aber konsequent umgesetzte Vorkehrungen.
Wer eine Praxis neu aufbaut, sollte den Datenschutz von Beginn an mitdenken. Er gehört auf jede Checkliste für die Praxisgründung – nicht erst auf die To-do-Liste nach dem ersten Patienten.
DSGVO und Schweigepflicht: zwei getrennte Baustellen
Ein häufiges Missverständnis: Datenschutz und Schweigepflicht seien dasselbe. Sie überschneiden sich, sind rechtlich aber zwei Paar Schuhe. Die Schweigepflicht regelt, ob und wem gegenüber überhaupt etwas offenbart werden darf. Der Datenschutz regelt, wie personenbezogene Daten erhoben, gespeichert, gesichert und wieder gelöscht werden.
Bei Heilpraktikern kommt eine Besonderheit hinzu: Ihre Schweigepflicht folgt nicht aus dem Strafgesetzbuch – § 203 StGB erfasst sie nach überwiegender Auffassung nicht –, sondern aus dem Behandlungsvertrag und eben dem Datenschutz. Wer diesen Unterschied und seine Folgen vor Gericht verstehen möchte, findet die Details im Beitrag Heilpraktiker-Schweigepflicht. Für den Alltag heißt das: Beide Pflichten müssen erfüllt sein, doch die DSGVO stellt die konkreten, dokumentierbaren Anforderungen – und nur sie lässt sich mit einem Bußgeld durchsetzen.
Das Verarbeitungsverzeichnis – auch die Kleinstpraxis muss ran
Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ist eine strukturierte Übersicht darüber, welche Daten die Praxis zu welchem Zweck verarbeitet, auf welcher Rechtsgrundlage, wie lange sie gespeichert werden und wer Zugriff hat. Man kann es sich als Inhaltsverzeichnis der eigenen Datenverarbeitung vorstellen.
Viele Praxisinhaber gehen davon aus, diese Pflicht treffe nur große Betriebe – schließlich nennt Art. 30 Abs. 5 eine Grenze von 250 Beschäftigten. Der entscheidende Punkt steht im Nebensatz: Die Ausnahme entfällt, sobald besondere Datenkategorien nach Art. 9 verarbeitet werden. Genau das tut jede Heilpraktikerpraxis mit jedem einzelnen Gesundheitsdatum. Das Ergebnis: Auch die Einzelpraxis ohne Angestellte muss ein Verarbeitungsverzeichnis führen. Generische DSGVO-Ratgeber, die nur auf die 250er-Grenze verweisen, führen hier in die Irre.
Für eine typische Praxis genügt oft eine überschaubare Tabelle zu Patientenverwaltung, Terminbuchung, Abrechnung und Kontaktformular: Zweck der Verarbeitung, betroffene Personen, Datenkategorien, Empfänger, Löschfristen und die technischen Schutzmaßnahmen. Die Datenschutz-Aufsichtsbehörden der Länder stellen dafür kostenlose Muster bereit.
Braucht die Praxis einen Datenschutzbeauftragten?
Für die meisten kleinen Praxen lautet die Antwort: nein. Nach § 38 BDSG muss erst benennen, wer in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Die Solopraxis und das kleine Team liegen klar darunter.
Die DSGVO kennt zusätzlich eine Pflicht, wenn die Kerntätigkeit in der „umfangreichen Verarbeitung" besonderer Datenkategorien besteht (Art. 37 Abs. 1 lit. c). Für den einzelnen Heilpraktiker gibt jedoch Erwägungsgrund 91 Entwarnung: Die Verarbeitung durch einen einzelnen Angehörigen eines Gesundheitsberufs gilt ausdrücklich nicht als „umfangreich". Eine typische Naturheilpraxis braucht daher in aller Regel keinen Datenschutzbeauftragten – wohl aber alle übrigen Pflichten wie Verzeichnis, Information und Datensicherheit. Die folgende Übersicht ordnet die wichtigsten Punkte ein.
| Pflicht | Gilt für die kleine Praxis? | Grundlage |
|---|---|---|
| Verarbeitungsverzeichnis | Ja, immer (Gesundheitsdaten) | Art. 30 DSGVO |
| Datenschutzerklärung / Patienteninformation | Ja | Art. 13 DSGVO |
| Technische & organisatorische Sicherung (abschließbare Akten, Passwörter, Verschlüsselung) | Ja | Art. 32 DSGVO |
| Auftragsverarbeitungsvertrag mit Dienstleistern (z. B. Praxissoftware, Abrechnung) | Ja, sobald Dritte Daten verarbeiten | Art. 28 DSGVO |
| Meldung von Datenpannen an die Aufsichtsbehörde | Ja, binnen 72 Stunden | Art. 33 DSGVO |
| Datenschutzbeauftragter | Meist nein (unter 20 Personen, keine „umfangreiche" Verarbeitung) | § 38 BDSG, Art. 37 DSGVO |
Welche Rechte haben Patienten an ihren Daten?
Die DSGVO gibt Patientinnen und Patienten mehrere durchsetzbare Rechte. Das wichtigste ist das Auskunftsrecht (Art. 15): Auf Anfrage muss die Praxis mitteilen, welche Daten sie verarbeitet, und eine Kopie herausgeben – grundsätzlich kostenlos und innerhalb eines Monats. Hinzu kommen das Recht auf Berichtigung falscher Angaben (Art. 16), auf Einschränkung der Verarbeitung (Art. 18) und auf Datenübertragbarkeit (Art. 20).
Besonders oft missverstanden wird das Recht auf Löschung, das „Recht auf Vergessenwerden" (Art. 17). Es gilt nicht unbegrenzt. Solange gesetzliche Aufbewahrungspflichten laufen, dürfen und müssen die Unterlagen bleiben. Für die Behandlungsdokumentation schreibt § 630f BGB eine Aufbewahrung von grundsätzlich zehn Jahren nach Abschluss der Behandlung vor. Ein Patient kann die Akte in dieser Zeit also nicht einfach löschen lassen – erst danach greift der Löschanspruch. Was überhaupt in die Akte gehört, erläutert der Beitrag Dokumentationspflicht für Heilpraktiker.
Auch die moderne Praxisführung wirft neue Datenschutzfragen auf – etwa wenn eine Beratung per Video stattfindet und Gesundheitsdaten über das Internet übertragen werden. Was dabei zulässig ist, behandelt der Beitrag Heilpraktiker per Video.
Datenschutz wirkt im ersten Moment wie ein bürokratisches Ungetüm, lässt sich für eine kleine Praxis aber auf wenige, klar umrissene Aufgaben herunterbrechen: ein Verarbeitungsverzeichnis, eine verständliche Patienteninformation, technisch gesicherte Akten und die Wahrung der Patientenrechte. Der Bußgeldrahmen der DSGVO reicht zwar bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (Art. 83); Sanktionen bemessen sich jedoch am Einzelfall und an der Verhältnismäßigkeit. Dieser Beitrag ordnet die Rechtslage allgemein ein und ersetzt keine individuelle Rechtsberatung – im Zweifel helfen die Aufsichtsbehörde des jeweiligen Bundeslandes oder eine spezialisierte Kanzlei weiter.
Häufige Fragen
Fallen Heilpraktiker unter die DSGVO?
Ja, ohne Ausnahme. Sobald eine Praxis Namen, Kontakt- und Gesundheitsdaten von Patienten erhebt oder speichert, ist sie im Sinne der DSGVO Verantwortlicher (Art. 4 Nr. 7). Gesundheitsdaten gelten nach Art. 9 als besondere Kategorie und unterliegen einem besonders strengen Schutz.
Braucht eine Heilpraktikerpraxis einen Datenschutzbeauftragten?
Für die meisten kleinen Praxen nicht. Nach § 38 BDSG wird ein Datenschutzbeauftragter erst ab in der Regel 20 Personen Pflicht, die ständig mit automatisierter Datenverarbeitung befasst sind. Die Verarbeitung durch einen einzelnen Angehörigen eines Gesundheitsberufs gilt zudem laut Erwägungsgrund 91 nicht als umfangreich.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Es ist eine strukturierte Übersicht darüber, welche Daten die Praxis zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeitet (Art. 30 DSGVO). Weil eine Heilpraktikerpraxis Gesundheitsdaten nach Art. 9 verarbeitet, muss auch die kleinste Einzelpraxis ein solches Verzeichnis führen.
Wie unterscheiden sich Schweigepflicht und Datenschutz?
Die Schweigepflicht regelt, ob und wem gegenüber etwas offenbart werden darf. Der Datenschutz regelt, wie personenbezogene Daten erhoben, gesichert und gelöscht werden. Beide gelten in der Praxis parallel, folgen aber unterschiedlichen Rechtsgrundlagen und unterschiedlichen Sanktionen.
Welche Rechte haben Patienten an ihren Daten?
Patienten haben unter anderem ein Recht auf Auskunft und Kopie (Art. 15), auf Berichtigung (Art. 16), Einschränkung (Art. 18) und Löschung (Art. 17). Das Löschrecht ist jedoch begrenzt: Solange die zehnjährige Aufbewahrungspflicht für die Behandlungsdokumentation läuft, dürfen die Unterlagen nicht gelöscht werden.
Quellen & Literatur
- Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), insb. Art. 9, 15, 17, 30, 37 und 83 sowie Erwägungsgrund 91. Volltext bei EUR-Lex. Abgerufen 2026.
- Bundesdatenschutzgesetz (BDSG), § 38 – Datenschutzbeauftragte nicht-öffentlicher Stellen. Volltext bei gesetze-im-internet.de. Abgerufen 2026.
- Bürgerliches Gesetzbuch (BGB), § 630f – Dokumentation der Behandlung und Aufbewahrungsfrist. Volltext bei gesetze-im-internet.de. Abgerufen 2026.
- Datenschutzkonferenz (DSK), Kurzpapier Nr. 1: Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO). Herausgegeben von den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.


