DSGVO und Schweigepflicht: worauf Therapeut:innen bei digitalen Tools achten müssen
Was § 203 StGB und die DSGVO von digitalen Werkzeugen in der Praxis verlangen, was in den Auftragsverarbeitungsvertrag gehört und woran Sie einen geeigneten Anbieter erkennen.

Digitale Tools in der eigenen Praxis sind datenschutzrechtlich unproblematisch, wenn drei Dinge stimmen. Es braucht eine tragfähige Rechtsgrundlage für die Verarbeitung, einen Auftragsverarbeitungsvertrag mit dem Anbieter nach Art. 28 DSGVO und eine vertragliche Verpflichtung des Anbieters zur Verschwiegenheit. Fehlt eines dieser drei Elemente, wird es rechtlich eng, unabhängig davon, wie nützlich das Tool ist. Dieser Beitrag ordnet Schweigepflicht und DSGVO für den Praxisalltag ein. Rechtsstand ist Juli 2026, eine Rechtsberatung im Einzelfall ersetzt dieser Text nicht.
Schweigepflicht nach § 203 StGB: was für digitale Tools gilt
Die Schweigepflicht ist älter als jedes Softwareprodukt, aber sie entscheidet mit, welche Software überhaupt infrage kommt.
| Berufsgruppe | Erfasst von § 203 StGB? | Grundlage der Schweigepflicht |
|---|---|---|
| Approbierte Psychotherapeut:innen | Ja, Absatz 1 Nummer 1 | Staatlich geregelte Ausbildung nach § 203 StGB |
| Berufspsycholog:innen mit staatlich anerkannter Abschlussprüfung | Ja, Absatz 1 Nummer 2 | § 203 StGB |
| Heilpraktiker:innen für Psychotherapie | Nein, kein Katalogberuf | Vertragliche Nebenpflicht aus dem Behandlungsvertrag und den Berufsordnungen der Fachverbände |
Wer fällt unter die Schweigepflicht nach § 203 StGB?
Approbierte Psychotherapeut:innen und Berufspsycholog:innen mit staatlich anerkannter Abschlussprüfung fallen unter § 203 StGB, Heilpraktiker:innen für Psychotherapie nicht. § 203 StGB stellt die unbefugte Offenbarung eines fremden Geheimnisses unter Strafe, begangen durch bestimmte Berufsgruppen. Approbierte Psychotherapeut:innen fallen als „Angehörige eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert" unter Absatz 1 Nummer 1, Berufspsycholog:innen mit staatlich anerkannter Abschlussprüfung unter Nummer 2. Für Heilpraktiker:innen für Psychotherapie gilt das nicht in derselben Form. Die Erlaubnis nach dem Heilpraktikergesetz beruht auf einer Kenntnisprüfung, nicht auf einer staatlich geregelten Ausbildung. Deshalb zählt dieser Beruf nicht zu den in § 203 StGB benannten Katalogberufen Verband Freier Psychotherapeuten, Heilpraktiker für Psychotherapie und Psychologischer Berater, 2015. Eine Schweigepflicht besteht trotzdem, als vertragliche Nebenpflicht aus dem Behandlungsvertrag und über die Berufsordnungen der Fachverbände. Wer sie verletzt, riskiert keine Strafanzeige nach § 203 StGB, aber zivilrechtliche Ansprüche und berufsrechtliche Konsequenzen. Für die DSGVO spielt dieser Unterschied ohnehin keine Rolle: Sie gilt unabhängig vom Berufsstatus für jede Verarbeitung personenbezogener Daten.
Dürfen Berufsgeheimnisträger digitale Tools und IT-Dienstleister einsetzen?
Ja: § 203 StGB erlaubt in Absatz 3, Geheimnisse gegenüber „sonstigen mitwirkenden Personen" zu offenbaren, soweit das für deren Tätigkeit erforderlich ist, und das schließt IT-Dienstleister und Software-Anbieter ausdrücklich ein. Diese Klarstellung stammt aus dem Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter, verkündet im November 2017 BGBl. I 2017 S. 3618. Es hat Outsourcing an externe Dienstleister für Berufsgeheimnisträger erst rechtssicher ermöglicht. Im Gegenzug verlangt Absatz 4: Wer als Psychotherapeut:in eine mitwirkende Person einsetzt, muss dafür sorgen, dass diese zur Geheimhaltung verpflichtet wird. Unterbleibt das, macht sich die Praxisinhaberin oder der Praxisinhaber selbst strafbar, nicht nur der Anbieter. In der Praxis heißt das: Der Vertrag mit einem Software-Anbieter für Praxisdaten sollte neben dem Auftragsverarbeitungsvertrag eine ausdrückliche Verpflichtung auf § 203 StGB enthalten. Die allgemeine Verschwiegenheitsklausel, die Art. 28 DSGVO ohnehin vorschreibt, reicht dafür allein nicht aus. Musterformulierungen dafür haben unter anderem Branchenverbände veröffentlicht Bitkom, 2018.
DSGVO-Grundlagen: warum Gesundheitsdaten besonders geschützt sind
Therapiedaten gehören zu den „besonderen Kategorien personenbezogener Daten" nach Art. 9 DSGVO, der Gesundheitsdaten ausdrücklich nennt. Die Verarbeitung ist grundsätzlich untersagt, außer eine der in Absatz 2 aufgeführten Ausnahmen greift Verordnung (EU) 2016/679, Art. 9.
Welche Rechtsgrundlage gilt für die Verarbeitung von Therapiedaten?
Für die psychotherapeutische Behandlung selbst ist meist Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 Buchstabe b BDSG einschlägig. Danach ist die Verarbeitung zulässig, wenn sie der Gesundheitsversorgung dient und durch Fachpersonal erfolgt, das einer Geheimhaltungspflicht unterliegt. Eine gesonderte Einwilligung ist für die Kernbehandlung dann nicht zwingend erforderlich, weil die Rechtsgrundlage bereits im Behandlungsverhältnis liegt. Das entbindet nicht von der Informationspflicht. Nach Art. 13 DSGVO müssen Patient:innen wissen, welche Daten zu welchem Zweck verarbeitet werden und welche Anbieter beteiligt sind. Anders sieht es aus, wenn ein Tool über die reine Aktenführung hinausgeht, etwa eine Transkriptions- oder KI-Funktion. Dann ist häufig eine eigene, ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a sinnvoll oder sogar erforderlich, weil der Zweck über die unmittelbare Behandlung hinausgeht. Wie das für den KI-Einsatz im Detail aussieht, haben wir im Beitrag KI in der Therapie: Was ist erlaubt und was nicht? eingeordnet.
Welche Pflichten ergeben sich aus Ihrer Rolle als Verantwortliche?
Bei einem Software-Anbieter, der Praxisdaten im Auftrag verarbeitet, sind Sie in aller Regel die Verantwortliche, der Anbieter der Auftragsverarbeiter, eine Rolle, die Pflichten mit sich bringt, die sich nicht an den Anbieter delegieren lassen. Eine dieser Pflichten wird in kleinen Praxen häufig übersehen: das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Es listet auf, welche Daten zu welchem Zweck verarbeitet werden, wer sie erhält und wie lange sie aufbewahrt werden. Für Einrichtungen mit weniger als 250 Beschäftigten gibt es zwar eine Ausnahme. Sie gilt aber ausdrücklich nicht, wenn besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet werden Verordnung (EU) 2016/679, Art. 30. Da Therapiedaten genau darunterfallen, muss auch eine Einzelpraxis dieses Verzeichnis führen, unabhängig von der Praxisgröße. Es lohnt sich, diesen Punkt gleich bei der Einrichtung der Praxis-IT mitzudenken, nicht erst, wenn eine Aufsichtsbehörde danach fragt.
Der Auftragsverarbeitungsvertrag: was reingehört
Sobald ein externer Anbieter personenbezogene Daten im Auftrag verarbeitet, schreibt Art. 28 DSGVO einen schriftlichen Auftragsverarbeitungsvertrag vor, kurz AVV.
Was muss der Auftragsverarbeitungsvertrag mindestens regeln?
Absatz 3 listet den Mindestinhalt abschließend auf Verordnung (EU) 2016/679, Art. 28. Der Vertrag muss demnach regeln:
- dass der Anbieter nur auf dokumentierte Weisung verarbeitet,
- dass die eingesetzten Personen zur Vertraulichkeit verpflichtet sind,
- dass angemessene technisch-organisatorische Maßnahmen nach Art. 32 DSGVO umgesetzt werden,
- wie mit Unterauftragsverarbeitern umgegangen wird,
- wie der Anbieter bei Anfragen betroffener Personen unterstützt, und
- was nach Vertragsende mit den Daten geschieht, also Löschung oder Rückgabe.
Worauf sollten Sie bei der Qualität des Vertrags achten?
Standardformulare sind nicht automatisch vollständig, deshalb lohnt sich ein nüchterner Blick auf die Qualität dieser Verträge. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat eine Prüfcheckliste veröffentlicht, die genau diese Punkte systematisch abfragt Berliner Beauftragte für Datenschutz und Informationsfreiheit, 2022. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit stellt eine Mustervereinbarung zur Orientierung bereit BfDI. Wer einen AVV unterschreibt, ohne die Anlage zu den technischen und organisatorischen Maßnahmen tatsächlich zu lesen, unterschreibt im Kern ein Versprechen, das er nicht überprüft hat. Bei Gesundheitsdaten ist genau das der Punkt, an dem sich später zeigt, ob der Anbieter seriös arbeitet. Für approbierte Psychotherapeut:innen kommt, wie oben beschrieben, ein zweiter Baustein hinzu: die ausdrückliche Verpflichtung des Anbieters und seiner Mitarbeitenden auf § 203 StGB. Ein AVV allein deckt die strafrechtliche Schweigepflicht nicht automatisch ab, auch wenn beide Regelungen inhaltlich in dieselbe Richtung zielen.
Technisch-organisatorische Maßnahmen: worauf es ankommt
Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen", kurz TOMs, die ein Schutzniveau gewährleisten, das dem Risiko der Verarbeitung angemessen ist Verordnung (EU) 2016/679, Art. 32. Als Beispiele nennt die Vorschrift ausdrücklich die Pseudonymisierung und Verschlüsselung personenbezogener Daten sowie die Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit der Systeme dauerhaft sicherzustellen. Dazu kommen die Fähigkeit zur raschen Wiederherstellung nach einem Zwischenfall und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit dieser Maßnahmen.
Für die eigene Praxis lässt sich das auf wenige konkrete Fragen herunterbrechen: Ist die Übertragung verschlüsselt, etwa über TLS? Ist die Speicherung verschlüsselt? Gibt es eine rollenbasierte Zugriffskontrolle, sodass nicht jede Person im System alles sieht? Gibt es regelmäßige, getrennt aufbewahrte Backups? Existiert ein dokumentiertes Verfahren, mit dem der Anbieter seine eigenen Maßnahmen überprüft? Checklisten, die genau diese Punkte für kleine Praxen aufbereiten, stellen mehrere Landesdatenschutzbehörden bereit, etwa das Bayerische Landesamt für Datenschutzaufsicht BayLDA. Wie eng Dokumentation und Datensicherheit zusammenhängen, zeigt auch unser Beitrag zur Therapiedokumentation: Pflicht, Umfang und wie viel Zeit sie wirklich kostet. Eine elektronische Akte ist eben nur so sicher wie die TOMs dahinter.
Serverstandort: warum Deutschland und die EU den Unterschied machen
Muss der Praxis-Server in Deutschland stehen?
Nein, die DSGVO schreibt keinen Serverstandort in Deutschland vor. Entscheidend ist, ob personenbezogene Daten in ein Land außerhalb der EU oder des EWR übermittelt werden, ein sogenanntes Drittland, und wenn ja, unter welchen Bedingungen. Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs von 2020 reichen Standardvertragsklauseln allein oft nicht mehr aus. Verantwortliche müssen zusätzlich prüfen, ob im Zielland ein Zugriff durch Behörden droht, der das europäische Schutzniveau unterläuft, und gegebenenfalls zusätzliche technische Maßnahmen ergreifen BfDI, Auswirkungen des Schrems-II-Urteils.
Bedeutet ein deutscher Server, dass Daten lokal in der Praxis bleiben?
Nein: Verarbeitung auf deutschen oder europäischen Servern bedeutet, dass die Daten nicht in ein Drittland übermittelt werden, nicht, dass sie ausschließlich lokal in der Praxis liegen. Bei Gesundheitsdaten wiegt dieses Risiko besonders schwer, weil ein Zugriff durch Drittstaat-Behörden hier kaum zu rechtfertigen wäre. Deshalb ist ein Anbieter, der seine Verarbeitung nachweislich in Deutschland oder der EU hält, keine reine Marketingaussage, sondern reduziert einen Teil der rechtlichen Prüfpflicht, die sonst bei Ihnen liegt. Auch bei europäischer Serverstandortwahl bleibt die Verarbeitung cloudbasiert, mit allen Pflichten aus AVV und TOMs, die oben beschrieben sind. So betreibt beispielsweise auch clarathy die Software auf zertifizierten Servern in Deutschland; nur die KI-Modelle werden in der europäischen Region genutzt. Vor jedem Modellaufruf werden die Inhalte deidentifiziert, Namen also entfernt, sodass die KI-Anbieter keine unmittelbar identifizierenden Daten erhalten. Die Einzelheiten regelt die Datenschutzerklärung der Software.
Einwilligung der Patient:innen: wann sie nötig ist
Für die klassische Behandlungsdokumentation reicht in der Regel die Rechtsgrundlage aus dem Behandlungsverhältnis selbst, ergänzt um die Informationspflicht nach Art. 13 DSGVO. Eine separate Einwilligung wird vor allem dann relevant, wenn ein Tool über die reine Dokumentation hinausgeht. Das Gleiche gilt, wenn Daten für einen Zweck verwendet werden, der nicht unmittelbar der Behandlung dient, etwa eine optionale KI-gestützte Funktion.
Eine wirksame Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO muss ausdrücklich, informiert und freiwillig sein. Für die Praxis heißt das konkret: Patient:innen sollten in verständlicher Sprache erfahren, welches Tool eingesetzt wird und wozu. Sie sollten außerdem wissen, dass sie die Nutzung ablehnen können, ohne dass ihnen daraus ein Nachteil in der Behandlung entsteht. Freiwilligkeit setzt voraus, dass eine Ablehnung tatsächlich folgenlos möglich ist. Optionale, abschaltbare Funktionen sind deshalb datenschutzrechtlich robuster als Tools, die sich nicht deaktivieren lassen.
Checkliste: worauf Sie bei der Tool-Auswahl achten sollten
Bevor ein digitales Werkzeug in die Praxis kommt, lassen sich die wichtigsten Punkte in wenigen Fragen zusammenfassen:
- Bietet der Anbieter einen vollständigen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO an, inklusive Anlage zu den technisch-organisatorischen Maßnahmen?
- Verpflichtet der Vertrag den Anbieter und seine Mitarbeitenden ausdrücklich auf § 203 StGB, zusätzlich zur allgemeinen Vertraulichkeitsklausel?
- Wo werden die Daten verarbeitet, und findet eine Übermittlung in ein Drittland außerhalb der EU oder des EWR statt?
- Sind Übertragung und Speicherung verschlüsselt, und gibt es eine rollenbasierte Zugriffskontrolle?
- Werden Unterauftragsverarbeiter benannt, und wie werden sie vertraglich eingebunden?
- Was passiert mit den Daten nach Vertragsende, konkret bei Kündigung oder Anbieterwechsel?
- Lassen sich optionale Funktionen, etwa KI-gestützte Auswertungen, tatsächlich abschalten, ohne die Kernfunktion zu verlieren?
- Kann der Anbieter auf Nachfrage konkret erklären, wo verarbeitet wird und welche Daten das System sieht, statt nur allgemein auf „DSGVO-konform" zu verweisen?
Ein Anbieter, der diese Fragen ohne Ausweichen beantwortet, hat die Grundlagen verstanden. Wer nur mit Schlagworten wirbt, ohne sie zu belegen, hat die Beweislast nicht erfüllt, und dann lohnt sich weiteres Nachfragen, bevor Patient:innendaten anvertraut werden. Der Aufwand für diese Prüfung steht in einem klaren Verhältnis zum Risiko.
Welche Bußgelder drohen bei Verstößen gegen diese Pflichten?
Verstöße gegen Auftragsverarbeitung und technisch-organisatorische Maßnahmen können mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden, bei besonders schweren Verstößen bis zu 20 Millionen Euro oder 4 Prozent Verordnung (EU) 2016/679, Art. 83 Abs. 4.
| Verstoßart | Bußgeldrahmen | Rechtsgrundlage |
|---|---|---|
| Verstöße gegen Art. 28 und Art. 32 DSGVO (Auftragsverarbeitung, technisch-organisatorische Maßnahmen) | Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher liegt | Art. 83 Abs. 4 DSGVO |
| Besonders schwere Verstöße, etwa gegen Art. 9 DSGVO (besondere Datenkategorien) | Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes | Art. 83 DSGVO |
Für eine Einzelpraxis ist nicht die Höhe dieser Obergrenze relevant, sondern das Signal dahinter: Die Aufsichtsbehörden nehmen die Anbieterauswahl bei Gesundheitsdaten ernst.
FAQ
Dürfen approbierte Psychotherapeut:innen Cloud-Software nutzen?
Ja, seit der Reform von § 203 StGB im Jahr 2017 dürfen Berufsgeheimnisträger Geheimnisse gegenüber mitwirkenden Personen wie IT-Dienstleistern offenbaren, soweit das für deren Tätigkeit erforderlich ist. Voraussetzung sind ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und eine vertragliche Verpflichtung des Anbieters zur Geheimhaltung.
Brauche ich für jede Software einen eigenen Auftragsverarbeitungsvertrag?
Ja, sobald ein Anbieter personenbezogene Daten im Auftrag verarbeitet, schreibt Art. 28 DSGVO einen schriftlichen Vertrag vor. Das gilt für Praxissoftware ebenso wie für Terminbuchung, E-Mail-Versand oder Buchhaltungstools, wenn dort personenbezogene Daten verarbeitet werden.
Reicht ein Server in Deutschland aus, um datenschutzkonform zu sein?
Nein, der Serverstandort ist nur ein Baustein. Ein Anbieter braucht zusätzlich einen vollständigen Auftragsverarbeitungsvertrag, nachgewiesene technisch-organisatorische Maßnahmen nach Art. 32 DSGVO und, bei approbierten Psychotherapeut:innen, eine Verpflichtung auf § 203 StGB. Der Serverstandort reduziert vor allem das Risiko bei Drittlandübermittlungen.
Gilt die Schweigepflicht auch für Heilpraktiker:innen für Psychotherapie?
Strafrechtlich sanktioniert nach § 203 StGB ist sie nicht, weil die Heilpraktikererlaubnis keine staatlich geregelte Ausbildung im Sinne der Norm ist. Eine Schweigepflicht besteht trotzdem als vertragliche Nebenpflicht aus dem Behandlungsvertrag und über die Berufsordnungen der Fachverbände. Die DSGVO gilt unabhängig davon in vollem Umfang.
Was passiert bei einer Datenpanne, zum Beispiel wenn ein Anbieter gehackt wird?
Nach Art. 33 DSGVO muss eine Datenschutzverletzung, die ein Risiko für Patient:innen darstellt, unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Ein guter Auftragsverarbeitungsvertrag verpflichtet den Anbieter, Sie als Verantwortliche unverzüglich zu informieren, damit diese Frist eingehalten werden kann.
Fazit
Digitale Tools und Schweigepflicht schließen sich nicht aus. Seit der Reform von § 203 StGB ist die Zusammenarbeit mit externen Anbietern ausdrücklich erlaubt, solange die Praxis dafür sorgt, dass diese Anbieter vertraglich zur Geheimhaltung verpflichtet sind. Die DSGVO ergänzt das um konkrete Pflichten: einen vollständigen Auftragsverarbeitungsvertrag, nachgewiesene technisch-organisatorische Maßnahmen und Klarheit darüber, wo Daten verarbeitet werden. Wer diese drei Bausteine bei der Anbieterauswahl prüft, statt sich auf Werbeaussagen zu verlassen, trifft eine Entscheidung, die im Zweifel auch einer Prüfung standhält.
Über den Autor
Yunus Demirel ist Mitgründer von clarathy, einer Praxissoftware für Psychotherapeut:innen. Sein Schwerpunkt liegt auf sicherer, datenschutzkonformer Software im Gesundheitswesen und auf der Frage, wie digitale Werkzeuge Behandler:innen entlasten, ohne die Anforderungen von Datenschutz und Schweigepflicht zu verletzen.
