DSGVO-konforme Patientenakten als PDF: Praxisleitfaden für Ärzte
Patientendaten gehören zu den sensibelsten personenbezogenen Daten überhaupt. Die Datenschutz-Grundverordnung klassifiziert Gesundheitsdaten als „besondere Kategorien personenbezogener Daten" nach Art. 9 DSGVO und stellt damit besonders hohe Anforderungen an deren Schutz. Für Ärzte und medizinische Einrichtungen kommt die ärztliche Schweigepflicht nach § 203 StGB hinzu – ein Verstoß kann strafrechtliche Konsequenzen haben. Gleichzeitig schreitet die Digitalisierung in deutschen Arztpraxen schnell voran. Die elektronische Patientenakte (ePA), Telematikinfrastruktur und die zunehmende Kommunikation über digitale Kanäle machen einen sicheren Umgang mit digitalen Dokumenten unverzichtbar. PDF hat sich dabei als Standard für den sicheren Austausch medizinischer Dokumente etabliert – von Arztbriefen über Laborbefunde bis hin zu Röntgenbefunden. In dieser Anleitung erfahren Ärzte und Praxisverwaltungen, wie Patientenakten und medizinische Dokumente DSGVO-konform als PDF aufbereitet, geschützt und archiviert werden. Die beschriebenen Maßnahmen sind mit einfachen, kostenlosen Tools umsetzbar und helfen, sowohl DSGVO als auch die berufsrechtlichen Anforderungen zu erfüllen.
Besondere Schutzanforderungen für medizinische PDFs nach DSGVO
Gesundheitsdaten sind nach Art. 9 DSGVO besonders schützenswert. Das bedeutet, dass für deren Verarbeitung nicht nur die allgemeinen DSGVO-Grundsätze gelten, sondern zusätzliche Schutzmaßnahmen erforderlich sind. Für Arztpraxen, die Patientenakten als PDF digitalisieren, hat das konkrete Auswirkungen. Erstens: Die Verschlüsselung ist keine Option, sondern eine Pflicht. Jede PDF-Datei mit Patientendaten, die die Praxis verlässt – sei es per E-Mail, auf einem USB-Stick oder in einer Cloud – muss verschlüsselt sein. Ein PDF-Passwort ist dabei die Mindestanforderung; für hochsensible Daten empfiehlt sich zusätzlich eine Ende-zu-Ende-Verschlüsselung des Übertragungswegs. Zweitens: Das Verarbeitungsverzeichnis nach Art. 30 DSGVO muss alle digitalen Verarbeitungsprozesse dokumentieren. Auch das Scannen von Papierakten und das Speichern als PDF muss darin vermerkt sein – mit Angabe des Zwecks, der Speicherdauer und der Zugriffsberechtigten. Drittens: Technische Zugriffskontrollen müssen sicherstellen, dass nur Berechtigte auf Patientenakten zugreifen können. Das gilt sowohl für das Praxisverwaltungssystem als auch für lokal gespeicherte PDFs.
Schritt-für-Schritt: Patientenakten digital als PDF archivieren
Die Digitalisierung bestehender Papier-Patientenakten ist ein häufiger Anwendungsfall in Praxen. Dabei müssen mehrere Aspekte beachtet werden: die Qualität des Scans, die Verkleinerung der Dateigröße und der Schutz der Daten. Nach dem Scannen liegen die Dokumente oft als sehr große, unstrukturierte PDFs vor. Mit LazyPDF OCR können gescannte Dokumente in durchsuchbare PDFs umgewandelt werden – das erleichtert die spätere Suche nach Befunden oder Diagnosen erheblich. LazyPDF Compress reduziert die Dateigröße, ohne die medizinisch wichtige Bildqualität zu beeinträchtigen. Für die Archivierung empfiehlt sich ein strukturiertes Ablagesystem: Ordner nach Patienten-ID (niemals nach Namen, um Datenpannen zu minimieren), Unterordner nach Jahr und Dokumenttyp. Alle Akten werden mit einem starken Passwort geschützt – der Passwortschlüssel wird zentral und sicher in der Praxis-IT dokumentiert.
- 1Papierakten scannen (mindestens 200 DPI für gute Lesbarkeit) und als PDF speichern – Dateiname: Patienten-ID + Datum + Dokumenttyp (z. B. 12345_20250315_Laborbefund.pdf)
- 2Mit LazyPDF OCR das gescannte PDF in ein durchsuchbares Dokument umwandeln – Sprache: Deutsch auswählen
- 3Mit LazyPDF Compress die Dateigröße optimieren (Qualitätsstufe 'Hoch' wählen, um Lesbarkeit zu erhalten) – Zielgröße für Laborbefunde: unter 1 MB
- 4Mit LazyPDF Protect ein starkes Passwort setzen, Bearbeitungssperre aktivieren, und Datei im Praxis-Archiv ablegen – Passwort im zentralen Passwortmanager dokumentieren
Arztbriefe und Befunde sicher als PDF versenden
Der Versand von Arztbriefen, Überweisungen und Befunden ist ein täglicher Vorgang in der Praxis. Traditionell erfolgte dies per Post – heute zunehmend digital. Die DSGVO stellt dabei klare Anforderungen an die Sicherheit der Übertragung. Der sicherste Weg ist das Versenden über die Telematikinfrastruktur (TI) mit der Konnektor-Software. Ist das nicht möglich, muss die Datei mindestens passwortgeschützt sein, und Datei und Passwort müssen getrennt übermittelt werden. Unverschlüsselte PDFs per Standard-E-Mail sind für Patientendaten nicht DSGVO-konform. Für Überweisungen an Fachärzte oder Kliniken empfiehlt sich ein standardisiertes Format: Alle relevanten Informationen in einem übersichtlichen PDF zusammengeführt, klar strukturiert und mit dem Praxis-Briefkopf versehen. LazyPDF Merge hilft dabei, Befunde, Laborwerte und Überweisungsschein in einem einzigen, übersichtlichen Dokument zu bündeln. Bei der Weitergabe von PDFs an Patienten selbst gilt ebenfalls Vorsicht: Über das ePA-Portal oder eine sichere Patienten-App ist das sicherste. Alternativ: passwortgeschütztes PDF, Passwort per SMS.
Aufbewahrungsfristen und Löschkonzept für digitale Patientenakten
Das Patientenrechtegesetz in Verbindung mit § 630f BGB schreibt vor, dass Patientenakten mindestens zehn Jahre nach Abschluss der Behandlung aufbewahrt werden müssen. Bei Röntgenaufnahmen gilt nach der Röntgenverordnung eine Frist von zehn Jahren, bei Strahlenschutzaufzeichnungen sogar 30 Jahre. Ein DSGVO-konformes Löschkonzept muss festhalten, wann welche digitalen Dateien zu löschen sind. Für ein PDF bedeutet das: Es muss unwiderruflich vernichtet werden – das sichere Überschreiben oder das Löschen aus einem verschlüsselten Archiv reicht. Ein einfaches "In den Papierkorb werfen" genügt nicht. Praktischer Tipp: Benennen Sie PDFs mit dem Löschdatum im Dateinamen, z. B. 12345_LOESCHEN_2035_Laborbefund.pdf. So können jährliche Löschroutinen einfach und sicher durchgeführt werden. Die Löschung selbst muss dokumentiert werden – ein kurzer Eintrag im Verarbeitungsverzeichnis mit Datum und den gelöschten Akten reicht aus.
Häufig gestellte Fragen
Darf ich Patientenakten in einer Cloud speichern?
Ja, aber nur unter strengen Bedingungen. Der Cloud-Anbieter muss einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO anbieten, der Server muss in der EU oder einem Land mit angemessenem Datenschutzniveau stehen, und die Daten müssen verschlüsselt gespeichert sein. Außerdem muss die technische und organisatorische Sicherheit des Anbieters nachgewiesen sein. Deutsche Anbieter wie die DATEV-Cloud oder auf Gesundheitsdaten spezialisierte Lösungen sind bevorzugt einzusetzen.
Was ist zu tun, wenn ein Patientendaten-PDF verloren geht oder gestohlen wird?
Bei Verlust oder Diebstahl eines PDFs mit Patientendaten handelt es sich um eine Datenpanne nach Art. 33 DSGVO, die der zuständigen Datenschutzbehörde innerhalb von 72 Stunden gemeldet werden muss, wenn ein Risiko für betroffene Patienten besteht. War die Datei durch ein starkes Passwort geschützt, reduziert das das Risiko erheblich und kann unter Umständen dazu führen, dass keine Meldung erforderlich ist. Außerdem sollte die Kassenärztliche Vereinigung informiert werden. Betroffene Patienten sind zu benachrichtigen, wenn ein hohes Risiko besteht.
Können Patienten Auskunft über ihre als PDF gespeicherten Daten verlangen?
Ja. Art. 15 DSGVO gibt Patienten das Recht auf Auskunft über alle verarbeiteten personenbezogenen Daten sowie auf eine kostenlose Kopie. Diese Kopie kann als PDF bereitgestellt werden. Die Auskunft muss innerhalb eines Monats erteilt werden. Eine geringe Gebühr kann für weitere Kopien verlangt werden. Wichtig: Die Auskunft muss verständlich sein – Abkürzungen oder medizinische Fachbegriffe sollten erklärt werden, wenn sie für den Patienten nicht verständlich sind.