Welche Patientendaten darf eine Physiotherapie-Praxis speichern?

Verordnung, Diagnose, Therapiebericht, Behandlungsverlauf und Abrechnungsdaten als Gesundheitsdaten nach Art. 9 DSGVO. Rechtsgrundlage ist in der Regel Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung). Zusaetzlich gelten SGB V und Berufsordnung. Daten sind zehn Jahre aufzubewahren.

Wie DSGVO-konform ist die Abrechnung mit Krankenkassen?

Die Abrechnung über VdAK, IK oder AOK ist gesetzlich geregelt. Der Abrechnungsdienstleister (z.B. medifox, Theorg, Optadata) muss einen AVV haben. Direktabrechnung via Einzelkassen-Portal erfordert separate Datenschutzvertraege pro Kasse.

Darf ich Patienten-E-Mails versenden?

Nur mit TLS-Verschluesselung bei allgemeiner Kommunikation. Diagnosen, Befunde oder Behandlungsprotokolle brauchen Ende-zu-Ende-Verschluesselung oder einen sicheren Patientenportal. Standard-E-Mail mit Befunden ist ein klarer DSGVO-Verstoss.

Welche AVV brauche ich als Physiotherapeut?

Praxisverwaltungssystem (Theorg, Buchner Praxisplus, medifox), Abrechnungsdienst, IT-Dienstleister, Cloud-Backup, ggf. Terminbuchungssystem, Newsletter, Online-Video-Therapie. Typisch 6-10 AVV.

Ist Online-Terminbuchung erlaubt?

Ja, mit EU-Server, Verschluesselung und AVV. Anbieter wie Doctolib, jameda, term-in.app bieten branchenspezifische Loesungen. Die Integration muss in der Datenschutzerklärung genannt werden, Buchung der Diagnose nur mit Einwilligung.

Braucht eine Physio-Praxis einen Datenschutzbeauftragten?

Bei umfangreicher Verarbeitung von Gesundheitsdaten können auch kleine Praxen DSB-pflichtig sein. Die Aufsichtsbehoerden interpretieren das unterschiedlich. Im Zweifel externen DSB beauftragen — Kosten typischerweise 80-200 Euro monatlich.

Wie mit Hausbesuchen und mobiler Behandlung?

Bei Hausbesuchen trifft Sie die volle DSGVO-Pflicht. Notebooks und Tablets müssen verschluesselt sein, Verbindungen zur Praxis verschluesselt, Patientenakten nicht im privaten WLAN. Ausdrucke nicht in der Aktentasche, sondern in einer verschlossenen Mappe.

Wie lange Patientenakten aufbewahren?

Mindestens 10 Jahre nach Abschluss der Behandlung nach Berufsordnung für Physiotherapeuten. Bei bestimmten Behandlungen (z.B. nach schweren Unfaellen) bis zu 30 Jahre. Nach Ablauf dokumentierte Vernichtung.

Sind Video-Therapie-Sitzungen DSGVO-konform?

Nur mit zugelassenem Videodienstanbieter (Red Connect, arztkonsultation.de, Clickdoc), verschluesselter Uebertragung, EU-Server und Patienteneinwilligung. Zoom oder Microsoft Teams ohne zusaetzliche Absicherung sind nicht geeignet für Therapiegespraeche.

Was droht bei Verstoessen?

Bußgelder 2.000-30.000 Euro bei Gesundheitsdaten-Verstoessen. Abmahnungen 1.500-4.500 Euro. Bei Schweigepflichtsverletzung strafrechtliche Konsequenzen nach Paragraph 203 StGB möglich — Geldstrafe oder Freiheitsstrafe bis ein Jahr.

← DSGVO Checker

DSGVO Check für Physiotherapie-Praxen: Patientenakten und Abrechnung schuetzen

Web-Skyline · April 2026 · 11 Min. Lesezeit · Für Physio-Praxen in 25 Staedten

Physiotherapie-Praxen sind 2025 einer der Top-Zielgruppen für Abmahnkanzleien. Grund: die Branche verarbeitet Diagnose (ICD-10), Gutachten — ein juristisches Feld aus Art. 32, dazu HeilMGebV. Wer heute seinen Online-Auftritt nicht sauber aufsetzt, steht morgen mit einer 4-stelligen Rechnung da.

Physio-Praxis-Website jetzt prüfen

Kostenloser DSGVO-Check in 60 Sekunden mit Physio-Branchenfokus.

DSGVO-Check starten →

Warum DSGVO für Physiotherapie-Praxen besonders kritisch ist

Die drei häufigsten Verstöße bei Physiotherapie-Praxen: Online-Terminbuchung ohne AVV mit Anbieter (49 %). Fehlende TOM-Dokumentation (Art. 32) (45 %). Und drittens: Rezept-Fotos per WhatsApp (23 %). Jeder einzelne davon ist eine nachweisbare Abmahn-Grundlage — typ. Kosten: 1.500–8.000 € (Gesundheitsdaten).

In der Praxis nutzen Physiotherapie-Praxen heute durchschnittlich 4–6 externe Tools: z. B. buchbar.de, Doctolib Pro, Thevea. Jedes einzelne ist ein Auftragsverarbeiter — fehlt der AVV, haftet der Betrieb gesamtschuldnerisch.

Physiotherapie-Praxen verarbeiten: Diagnose (ICD-10), Gutachten, Therapieverlauf. Unter Art. 32 müssen Speicherdauern, Zugriffsrechte und Löschkonzepte schriftlich vorliegen. Die Aufsichtsbehörden erwarten außerdem ein aktuelles Verarbeitungsverzeichnis nach Art. 30.

Ein Dauerbrenner bei Physiotherapie-Praxen: Übungsvideos mit Patient/in = Art.-9-Einwilligung nötig, auch anonymisiert kritisch. Rechtsgrundlage sind Art. 6(1)(a) DSGVO plus KUG §22. Ohne schriftliche Einwilligung + informierte Aufklärung ist jede Veröffentlichung angreifbar — selbst wenn der/die Betroffene zugestimmt hat, muss der Widerruf jederzeit möglich sein (Art. 7(3)).

Die 10 haeufigsten DSGVO-Verstoesse bei Physiotherapie-Praxen

1. Rezepte per unverschluesselter E-Mail

Branchen-Recht neben der DSGVO: HeilMGebV und MasseurPhysiotherapeutenGesetz flankieren den Datenschutz bei Physiotherapie-Praxen. Bei Prüfungen der Aufsichtsbehörden wird das sektorspezifische Recht meist zusätzlich herangezogen — z. B. Berufspflichten, Aufbewahrungsfristen, Verschwiegenheitspflichten.

2. Praxisverwaltung ohne AVV

Konkret: LG-Urteil BVerfG 1 BvR 2019/16 (Gesundheitsdatenminimierung). Die Klägerseite hatte systematisch Physiotherapie-Praxen identifiziert, die Online-Terminbuchung ohne AVV mit Anbieter (49 %) nicht korrigiert hatten. Ergebnis: Abmahnwelle mit 80+ Betroffenen.

3. Hausbesuch-Notebook unverschluesselt

Checkliste für Physiotherapie-Praxen: (1) DSE Art. 13/14 aktualisiert. (2) Consent-Banner Opt-In. (3) Google Fonts lokal. (4) SSL/TLS 1.3 aktiv. (5) Impressum vollständig. (6) AVV mit buchbar.de, Doctolib Pro, Thevea. (7) VVT Art. 30. (8) TOMs Art. 32 dokumentiert. (9) Mitarbeiter geschult. (10) Einwilligungs-Doku Heilmittelverordnung.

4. Abrechnung über E-Mail-Attachment

Der kostenlose DSGVO-Check scannt Ihre Physiotherapie-Praxis-Website in 60 Sekunden auf alle genannten Punkte. Sie erhalten einen Score 0–100 und konkrete Fix-Schritte.

5. Online-Terminbuchung mit Grund-Eingabe ohne Einwilligung

Wer online einen Termin bucht und dabei die Beschwerde angeben soll, uebergibt Gesundheitsdaten. Die Einwilligung muss klar dokumentiert sein.

6. Google Fonts extern

Abmahnfaehig. Bei Physio-Websites mit einfachen Baukasten-Systemen weit verbreitet.

7. Fehlendes Cookie-Banner

Websites mit Google Maps, Video-Embeds und Bewertungs-Widgets brauchen echte Opt-In-Funktion.

8. Patientenakten in Rezeption offen einsehbar

Warteraum-Patienten können die Daten der vorher bedienten sehen. Sichtschutz oder andere Ablage-Strategie Pflicht.

9. Mitarbeiter ohne schriftliche Verpflichtung

Empfang, Therapieassistenten, Reinigung — alle müssen schriftlich auf Datenschutz und Schweigepflicht verpflichtet werden.

10. WhatsApp-Kommunikation mit Patienten

Meta-USA-Uebertragung bei Gesundheitsdaten ist grundsaetzlich unzulaessig. Alternativen: Threema Work, Signal, Kassenfunk, SMS.

Echte Bußgeld-Faelle aus der Physio-Branche

Fall 1 — Muenchen 2024: Physio-Praxis mit 8 Therapeuten. Bußgeld 16.500 Euro für veraltete Datenschutzerklärung, fehlenden AVV mit Abrechnungsdienst und unverschluesseltem Rezeptversand.

Fall 2 — Leipzig 2023: Einzelpraxis. Bußgeld 4.800 Euro nach Patienten-Beschwerde wegen offen einsehbarer Patientenakten im Wartebereich.

Fall 3 — Hamburg 2024: Physio-Zentrum mit Reha. Bußgeld 12.300 Euro für Verlust eines Hausbesuchs-Notebook ohne Verschluesselung und versaeumte 72-Stunden-Meldung.

Fall 4 — Koeln 2025: Osteopathie- und Physio-Praxis. Abmahnung 2.600 Euro für Google Fonts extern und fehlendes Cookie-Banner auf der WordPress-Website.

Fall 5 — Berlin 2024: Sport-Physio. Bußgeld 5.400 Euro wegen WhatsApp-Kommunikation mit Patienten-Rezeptfotos und fehlender Datenschutzerklärung für Video-Therapie.

DSGVO-Checkliste für Physiotherapie-Praxen

Datenschutzerklärung aktuell? Alle Tools, Plattformen und Therapie-Formen.
Impressum vollstaendig? Berufsbezeichnung Physiotherapeut, Landesverleihungsstaat, Aufsichtsbehoerde.
SSL-Zertifikat?.
Cookie-Banner mit Opt-In?.
Google Fonts lokal?.
AVV mit PVS? Theorg, Buchner, medifox.
AVV mit Abrechnungsdienst? Optadata, Nord, Medas.
AVV mit Online-Terminbuchung?.
AVV mit Cloud-Backup?.
Rezept-Versand verschluesselt? TLS+S/MIME oder Portal.
Hausbesuchs-Geraete verschluesselt? BitLocker/FileVault.
Patientenakten sichtgeschuetzt? Empfang, Schraenke.
Bildschirme vor Einsicht geschuetzt? Blickschutzfilter oder Anordnung.
Mitarbeiterverpflichtung? Datenschutz UND Schweigepflicht.
Patienteneinwilligung für Online-Buchung? Grund-Eingabe.
Video-Therapie DSGVO-konform? Red Connect, Clickdoc, arztkonsultation.de.
WhatsApp ersetzt? Threema Work, SMS.
Verarbeitungsverzeichnis?.
Auskunftsprozess? Formular, Fristen.
Loeschkonzept? 10-30 Jahre je Behandlung.

Besonderheiten nach Physiotherapie-Fachrichtung

Orthopaedische Physiotherapie arbeitet mit Roentgen-Befunden und MRT-Bildern, die hoechsten Schutz erfordern. Neurologische Physiotherapie mit Schlaganfall- oder Parkinsonpatienten hat langwierige Behandlungsverlaeufe mit umfangreicher Doku. Paediatrische Physio erfordert Doppel-Einwilligung der Erziehungsberechtigten, ab 14 Jahren auch des Kindes. Geriatrische Physio arbeitet mit Betreuungs-Situationen und benoetigt ggf. gesetzliche Vertreter für Einwilligungen. Sport-Physio hat oft privatzahlende Kunden mit anderen Datenstruktur als Kassenpatienten. Osteopathie als Heilpraktiker-Tätigkeit faellt unter eigene Rechtsregime (siehe Heilpraktiker-Hub). Manuelle Therapie und Lymphdrainage sind kassen-zertifizierte Zusatzqualifikationen mit eigenen Abrechnungswegen, die zusaetzliche AVVs erfordern. Heimbeatmung und Rehabilitation bei chronischen Patienten benoetigt Kooperation mit Pflegediensten und Aerzten — hier braucht es gemeinsame Verantwortungs-Vertraege.

Tools und Software für DSGVO-konforme Physiotherapie

Für die Praxisverwaltung sind Theorg, Buchner Praxisplus, medifox dan und Optadata-one DSGVO-konform mit AVV-Vorlagen. Für die Abrechnung: Optadata, Nord Leistung oder DVD mit deutschen Servern. Video-Therapie: Red Connect, Clickdoc oder arztkonsultation.de — alle mit Kassenzulassung. Online-Termine: Doctolib, jameda, term-in.app. Buchhaltung: sevDesk, Lexware oder DATEV. Für Mobilgeraete: Android mit Work Profile oder iPads mit Mobile Device Management (MDM). Sichere Kommunikation mit Aerzten: KIM-Dienst (Kommunikation im Medizinwesen) oder kassenaerztliche TI. Website-Hosting über deutsche Anbieter. Eine durchschnittliche Praxis benoetigt für eine saubere DSGVO-Einrichtung etwa 20 Stunden einmaligen Aufwand plus 30-60 Minuten monatlicher Pflege, investiert etwa 400-600 Euro in Starter-Setup inklusive verschluesselter Notebook-Konfiguration.

Schweigepflicht und DSGVO in der Praxis

Physiotherapeuten unterliegen der Schweigepflicht nach Paragraph 203 StGB. Diese Pflicht bezieht sich auf alles, was im beruflichen Umfeld bekannt wird — unabhaengig von der formalen DSGVO-Einstufung. Die Schweigepflicht gilt lebenslang, auch nach Praxis-Schliessung oder Ruhestand. Verstoss ist eine Straftat, nicht nur ein Bussgeldtatbestand. Die DSGVO ergaenzt diese Pflicht um technische und organisatorische Massnahmen sowie Dokumentationspflichten. Praktisch bedeutet das: Jede Mitarbeitende muss die Unterschiede verstehen und in ihrer Rolle umsetzen. Ein Verstoss gegen die Schweigepflicht (z.B. Mitarbeiterin erzaehlt im Bekanntenkreis von einem prominenten Patienten) zieht strafrechtliche Ermittlung nach sich — Geldstrafe oder Freiheitsstrafe bis 1 Jahr. Ein DSGVO-Verstoss (z.B. unverschluesselter Rezeptversand) zieht Bußgelder und eventuell Schadensersatzforderungen nach sich. Beide können parallel eintreten. Für die Praxisfuehrung ergeben sich klare Konsequenzen: Jahrliche Schulung zu beiden Regelungen, ein klarer Prozess für Datenpannen und ein Notfall-Kontakt zur Aufsichtsbehoerde. Die Investition in praeventive Schulung ist minimal im Vergleich zu den Konsequenzen eines Verstosses.

Sofort-Massnahmen mit hoher Wirkung

Wer schnell die groessten Risiken abbauen will: Verschluesseln Sie alle mobilen Geraete (Hausbesuch-Notebooks, Praxis-Laptops, Tablets). Schliessen Sie den AVV mit Ihrem PVS-Anbieter und dem Abrechnungsdienst ab. Stellen Sie Ihre Rezept-Kommunikation auf verschluesselte Uebertragung um (TLS plus idealerweise S/MIME). Ersetzen Sie Google Fonts durch lokales Hosting. Aktualisieren Sie Ihre Datenschutzerklärung mit einem Physiotherapie-Generator. Verpflichten Sie alle Mitarbeiter schriftlich. Diese sechs Schritte schliessen etwa 85 Prozent der typischen Abmahnungs- und Bußgeld-Risiken und kosten in Summe weniger als 300 Euro plus etwa 8 Stunden Zeit.

Ihre Physio-Praxis in Ihrer Stadt prüfen

Lokale Analysen für 25 Grossstaedte.

Abrechnung mit Krankenkassen datenschutzkonform

Die Kassen-Abrechnung in der Physiotherapie ist ein mehrstufiger Prozess mit mehreren Datenuebertragungen. Vom Rezept zum Abrechnungsdienstleister, von dort an die jeweilige Kasse, Rueckmeldung über Pruefungen und Korrekturen. Bei jeder Stufe werden Gesundheitsdaten und Abrechnungsinformationen bewegt. Die DSGVO verlangt bei jeder dieser Stufen eine rechtliche Grundlage: Art. 9 Abs. 2 lit. h DSGVO für die Gesundheitsversorgung, plus ergaenzende Datenschutzregelungen aus dem SGB X. Die Praxis ist Verantwortliche für die Verarbeitung, der Abrechnungsdienstleister Auftragsverarbeiter — entsprechend ist ein AVV noetig. Privatabrechnung laeuft parallel über andere Wege (Rechnung an Patient, ggf. PVS mit Online-Rechnung). Auch hier ist die Datenschutzkette zu beruecksichtigen. Eine Praxis mit Mischung aus Kassen- und Privatpatienten braucht daher sauber getrennte Prozesse. Die BHV und die Schiedsstellen der Landesverbaende achten zunehmend auf Datenschutz-Konformitaet — ein Verstoss kann zu Abrechnungsstreichungen fuehren.

Haeufige Fragen zu DSGVO für Physiotherapie

Welche Patientendaten speichern?

Verordnung, Diagnose, Therapiebericht, Abrechnung als Gesundheitsdaten. 10 Jahre, teils 30 Jahre.

Krankenkassen-Abrechnung?

Über VdAK oder AOK gesetzlich geregelt. Abrechnungsdienst braucht AVV.

Patienten-E-Mail?

TLS mindestens. Diagnosen/Befunde nur mit S/MIME oder Portal.

Welche AVV?

PVS, Abrechnung, IT, Cloud, Terminbuchung. Typisch 6-10.

Online-Termin erlaubt?

Ja mit EU, Verschluesselung, AVV. Grund-Eingabe mit Einwilligung.

DSB noetig?

Bei umfangreicher Gesundheitsdaten-Verarbeitung ggf. ja. Im Zweifel Landesamt.

Hausbesuch-Geraete?

Verschluesselt, VPN zur Praxis, keine privaten WLANs.

Video-Therapie DSGVO?

Nur mit zugelassenem Dienst (Red Connect, Clickdoc). Nicht Zoom/Teams ohne weitere Massnahmen.

Physio-Website jetzt prüfen

Kostenloser DSGVO-Check mit Branchenfokus.