Einwilligungserklärungen DSGVO-konform als PDF verwalten
Einwilligungserklärungen sind das Fundament der Arzt-Patienten-Beziehung aus datenschutzrechtlicher Sicht. Ohne wirksame Einwilligung des Patienten dürfen Gesundheitsdaten grundsätzlich nicht verarbeitet, weitergegeben oder gespeichert werden – so schreibt es Art. 9 DSGVO für besondere Kategorien personenbezogener Daten vor, zu denen Gesundheitsdaten ausdrücklich gehören. Für Arztpraxen, MVZs und Kliniken bedeutet das: Jede Einwilligungserklärung muss sorgfältig dokumentiert, unveränderbar gespeichert und über die Dauer der Arzt-Patienten-Beziehung hinaus aufbewahrt werden. Die Beweislast liegt dabei beim Arzt – er muss im Streitfall nachweisen, dass eine gültige Einwilligung vorlag. Die digitale Verwaltung dieser Erklärungen als PDF bietet gegenüber Papierformularen erhebliche Vorteile: schnellere Abrufbarkeit, einfachere Integration in die digitale Patientenakte, geringerer Platzbedarf und bessere Durchsuchbarkeit. Allerdings stellt die Digitalisierung auch eigene Anforderungen – an Unveränderbarkeit, Zugangskontrolle und sichere Speicherung. Dieser Beitrag zeigt Ihnen als Arzt oder Praxismanager, wie Sie Einwilligungserklärungen DSGVO-konform als PDF verwalten, welche technischen Maßnahmen notwendig sind und wie Sie häufige Fehler vermeiden.
Was muss eine DSGVO-konforme Einwilligungserklärung enthalten?
Eine wirksame Einwilligung nach Art. 7 DSGVO muss freiwillig, informiert, unmissverständlich und spezifisch sein. Das bedeutet für das Formular: Es muss den genauen Zweck der Datenverarbeitung benennen (z. B. Weitergabe an Labore, Übermittlung an Facharzt), verständlich formuliert sein und darf nicht mit anderen Erklärungen – etwa dem Behandlungsvertrag – vermengt werden. Für Gesundheitsdaten (Art. 9 DSGVO) gilt ein besonders hohes Schutzniveau. Die Einwilligung muss ausdrücklich sein – also aktiv erteilt werden, nicht durch Schweigen oder vorangekreuzte Kästchen. Im PDF-Format bedeutet das: Das Dokument sollte keine vorausgefüllten Zustimmungsfelder enthalten. Handschriftliche Unterschrift oder eine qualifizierte elektronische Signatur sind für die Wirksamkeit erforderlich. Bei Minderjährigen unter 16 Jahren muss die Einwilligung durch die Erziehungsberechtigten erteilt werden. Bei Minderjährigen zwischen 16 und 18 Jahren können Arzt und Kind gemeinsam einwilligen. Diese Besonderheiten sollten im Formular klar gekennzeichnet sein.
- 1Erstellen Sie für jeden Einwilligungszweck ein separates Formular (keine Sammelerklärungen).
- 2Lassen Sie das Formular ausdrucken, handschriftlich unterschreiben und anschließend einscannen.
- 3Schützen Sie das unterschriebene PDF gegen Änderungen mit LazyPDF.
- 4Hinterlegen Sie das Dokument in der digitalen Patientenakte mit Datum und Uhrzeit.
- 5Protokollieren Sie intern, wer Zugriff auf die Einwilligungserklärung hat.
- 6Überprüfen Sie regelmäßig, ob die Einwilligungen noch dem aktuellen Verarbeitungszweck entsprechen.
Einwilligungserklärungen digitalisieren und in PDF konvertieren
Viele Praxen erhalten Einwilligungserklärungen noch auf Papier – handausgefüllt und unterschrieben vom Patienten. Diese Dokumente müssen für die digitale Patientenakte eingescannt und als PDF gespeichert werden. Dabei gelten besondere Anforderungen: Der Scan muss vollständig und lesbar sein, die Originalunterschrift muss deutlich erkennbar sein, und das Datum der Unterzeichnung muss eindeutig aus dem Dokument hervorgehen. Nach dem Einscannen empfiehlt sich eine OCR-Verarbeitung (Optical Character Recognition), um das gescannte PDF durchsuchbar zu machen. LazyPDF bietet ein kostenloses OCR-Tool, das gescannte Dokumente in textdurchsuchbare PDFs umwandelt. Das erleichtert die spätere Auffindbarkeit erheblich. Das fertige, durchsuchbare PDF wird dann unveränderbar gespeichert – entweder durch Passwortschutz oder durch Integration in ein DMS mit Unveränderbarkeitsprotokoll. Das Papiordokument kann danach unter Beachtung der Datenschutzvorschriften vernichtet werden, wenn die digitale Kopie die Anforderungen an die Revisionssicherheit erfüllt.
DSGVO-konforme Speicherung von Einwilligungserklärungen
Die Speicherung von Einwilligungserklärungen muss die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO erfüllen. Für Arztpraxen bedeutet das: Speicherung auf verschlüsselten Servern oder in DSGVO-konformen Praxisverwaltungssystemen (PVS) wie Medistar, TurboMed oder Compugroup. Eine Speicherung auf einfachen USB-Sticks, nicht verschlüsselten Laptops oder kostenlosen Cloud-Diensten ohne AV-Vertrag ist unzulässig. Der Zugang zu den gespeicherten Einwilligungserklärungen muss auf einen kleinen autorisierten Personenkreis beschränkt sein. Jeder Zugriff sollte protokolliert werden. Mitarbeiter müssen auf Vertraulichkeit verpflichtet sein (Datenschutz-Verpflichtungserklärung). Für die Übermittlung an andere Stellen – etwa Facharztpraxen, Krankenhäuser oder Labore – gilt: Die Übermittlung darf nur auf Basis der vorliegenden Einwilligung oder einer anderen Rechtsgrundlage (z. B. zur Erfüllung des Behandlungsvertrags) erfolgen. Sensible Dokumente müssen dabei passwortgeschützt übermittelt werden.
Aufbewahrungsfristen für Einwilligungserklärungen
Die Musterbedingungen der Ärztekammer empfehlen eine Aufbewahrungsfrist von mindestens zehn Jahren für Patientendokumentationen, zu denen auch Einwilligungserklärungen gehören. In Einzelfällen – z. B. bei Minderjährigen – kann die Frist bis zur Vollendung des 28. Lebensjahres laufen, um eventuelle Ansprüche nach Volljährigkeit abzudecken. Nach Ablauf der Aufbewahrungsfrist müssen die Dokumente datenschutzgerecht vernichtet werden. Für digitale PDFs bedeutet das: sichere Löschung nach den Maßgaben des BSI (mindestens dreifaches Überschreiben oder physische Zerstörung des Speichermediums). Ein einfaches Löschen im Papierkorb genügt nicht. Führen Sie ein internes Löschprotokoll, das dokumentiert, wann welche Einwilligungserklärungen vernichtet wurden. Dies kann bei Datenschutzprüfungen durch die Aufsichtsbehörde wichtig sein.
Häufig gestellte Fragen
Kann eine Einwilligung in der Arztpraxis elektronisch eingeholt werden?
Ja, elektronische Einwilligungen sind grundsätzlich möglich, wenn die Anforderungen des Art. 7 DSGVO erfüllt sind: freiwillig, informiert, ausdrücklich und spezifisch. Bei Gesundheitsdaten (Art. 9 DSGVO) ist eine ausdrückliche Einwilligung erforderlich. In der Praxis wird hierfür häufig eine qualifizierte elektronische Signatur oder zumindest eine eindeutig zuordenbare digitale Bestätigung verwendet.
Darf ich Einwilligungserklärungen als einfaches PDF ohne Passwort speichern?
Technisch ist es möglich, aber datenschutzrechtlich problematisch. Art. 32 DSGVO verlangt angemessene Schutzmaßnahmen. Für Gesundheitsdaten – zu denen Einwilligungserklärungen gehören – ist ein erhöhtes Schutzniveau erforderlich. Eine Verschlüsselung der Dateien oder zumindest eine Zugriffskontrolle auf den Speicherort ist daher dringend empfohlen.
Was passiert, wenn ein Patient seine Einwilligung widerruft?
Nach Art. 7 Abs. 3 DSGVO kann eine Einwilligung jederzeit widerrufen werden. Der Widerruf muss genauso einfach sein wie die Erteilung der Einwilligung. Nach dem Widerruf darf die Verarbeitung der Daten nicht weiter auf diese Einwilligung gestützt werden. Die bereits erfolgten Verarbeitungen bleiben wirksam. Die Widerrufserklärung selbst muss dokumentiert und in der Patientenakte vermerkt werden.
Brauche ich separate Einwilligungen für Fotos und Videos von Patienten?
Ja, definitiv. Fotos und Videos von Patienten sind besonders sensible personenbezogene Daten. Für medizinische Zwecke (z. B. Verlaufsdokumentation bei Dermatologie) benötigen Sie eine separate Einwilligung, die den Verwendungszweck genau benennt. Für die Nutzung zu Lehr- oder Marketingzwecken ist eine weitere, explizite Einwilligung erforderlich. Speichern Sie die entsprechenden Einwilligungs-PDFs gemeinsam mit den Bildmaterialien.