Zurück zum Magazin


Digitale Patientenakte & Abrechnung - rechtlich auf der sicheren Seite

Die Digitalisierung hat längst in Arztpraxen Einzug gehalten – von der elektronischen Patientenakte bis zur digitalen Abrechnung. Damit einher gehen enorme Chancen für effizientere Abläufe und bessere Patientenversorgung. Doch auf dem Weg in die Praxis 2.0 dürfen Ärzt:innen die rechtlichen Leitplanken nicht außer Acht lassen. Insbesondere Datenschutz (Stichwort DSGVO – Datenschutz-Grundverordnung), Dokumentationspflichten und die Regeln der Privat- und Kassenabrechnung (GOÄ bzw. EBM) verdienen besondere Beachtung. Dieser Beitrag bietet einen juristisch fundierten Deep-Dive in die Themen Datenschutz in der digitalen Patientenakte, rechtssichere Dokumentation sowie GOÄ- und EBM-Abrechnung – inklusive der Haftungsrisiken bei Fehlern. So bleiben niedergelassene Ärzt:innen und medizinische Leitungskräfte rechtlich auf der sicheren Seite und können die Vorteile der Digitalisierung beruhigt nutzen.


DSGVO und digitale Patientenakte: Datenschutz als Fundament

Die digitale Patientenakte enthält hochsensible Gesundheitsdaten – ihr Schutz hat oberste Priorität. Gesundheitsdaten unterliegen dem Datenschutzrechtlichen Verbotsprinzip mit Erlaubnisvorbehalt: Gemäß DSGVO ist die Verarbeitung solcher Daten grundsätzlich verboten und nur in Ausnahmefällen zulässig. Jede Speicherung oder Nutzung von Patientendaten braucht also eine Rechtsgrundlage. In der Regel erfolgt die Verarbeitung im Behandlungsverhältnis auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 9 Abs. 2 lit. h DSGVO (Behandlungszwecke durch Berufsgeheimnisträger) – somit ist keine gesonderte Einwilligung nötig, solange die Daten zur Behandlung und Abrechnung verwendet werden. Anders sieht es bei weitergehenden Verwendungen aus (z.B. für Forschungszwecke oder die elektronische Patientenakte der Krankenkassen): Hier ist oft eine ausdrückliche Einwilligung der Patient:innen erforderlich. Grundsätzlich gilt: Es dürfen nur die für den Zweck erforderlichen Daten erhoben und verarbeitet werden (Datenminimierung, Art. 5 Abs. 1 c DSGVO).


Technische und organisatorische Schutzmaßnahmen (TOM)

Sobald Patientendaten digital gespeichert werden, müssen Arztpraxen für ein dem Risiko angemessenes Schutzniveau sorgen (Art. 32 DSGVO). Zugriffsbeschränkungen (rollenbasierte Berechtigungen für Praxispersonal) und Verschlüsselung sensibler Daten sind heute Standard. Moderne Praxissoftware-Lösungen werben damit, höchste Sicherheitsstandards einzuhalten:
Nahaufnahme eines Auges im digitalen Scanprozess als Symbol für biometrische Erkennung in der medizinischen Digitalisierung
So betont etwa Doctolib als Anbieter digitaler Gesundheitsdienste, dass der Schutz von Gesundheitsdaten „Grundvoraussetzung“ sei – Daten würden DSGVO-konform ausschließlich auf sicheren Servern in Deutschland und Frankreich gespeichert, mit regelmäßigen externen Sicherheits-Audits (TÜV, ISO-Zertifizierungen). Zudem kommen aktuelle Verschlüsselungsverfahren und technische Sicherheitsmaßnahmen zum Einsatz, die laufend von IT-Expert:innen gepflegt und von unabhängigen Stellen geprüft werden
Als Praxisinhaber:in sollte man sicherstellen, dass die eingesetzte Software entsprechende Zertifizierungen und Datenschutz-Folgenabschätzungen vorweisen kann.

Auftragsverarbeitung und Patientenrechte:

Nutzt die Praxis einen externen Dienstleister für die digitale Patientenakte oder Terminverwaltung (z.B. Cloud-Lösungen wie Doctolib), ist unbedingt ein schriftlicher Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abzuschließen. Darin wird festgelegt, dass der Dienstleister Daten nur weisungsgebunden und zweckgebunden verarbeitet. Wichtig: Die Verantwortung für die Patientendaten verbleibt bei der Praxis als verantwortliche Stelle – der Anbieter handelt lediglich als Auftragsverarbeiter. Die im System hinterlegten Daten dürfen demnach ausschließlich für den definierten Zweck (etwa Terminmanagement oder Dokumentation) genutzt werden.
Hand hält Smartphone mit Chatverlauf zwischen Patient:innen und KI-Chatbots – Symbolbild für digitale Kommunikation in der Arztpraxis
Patienten sind über den Einsatz solcher Dienste zu informieren (z.B. durch Aushang im Wartezimmer oder Hinweise in der Datenschutzerklärung der Praxis). Unbefugte Weitergaben der Daten sind tabu: Weder die Praxis noch der Dienstleister dürfen Patientendaten für andere Zwecke oder gar zu kommerziellen Zwecken verwenden. Doctolib etwa stellt klar, dass alle Daten bei der medizinischen Einrichtung verbleiben und keine Weitergabe zu kommerziellen Zwecken erfolgt; die Einhaltung der Datenschutzregeln wird regelmäßig unabhängig überprüft
Zusammengefasst sollten Praxen für eine DSGVO-konforme digitale Patientenakte folgende Punkte beachten:
  • Rechtsgrundlage prüfen: Verarbeitung nur im zulässigen Rahmen (Behandlung, Abrechnung) oder mit Einwilligung der Patient:innen.
  • Vertraulichkeit sicherstellen: Technische Zugriffsicherung (Passwort, 2-Faktor-Authentifizierung), Verschlüsselung der Patientendaten und Protokollierung von Zugriffen.
  • Vertragliche Absicherung: Abschluss von Auftragsverarbeitungsverträgen mit Software-Dienstleistern; Verantwortung und Kontrolle über Daten verbleiben beim Arzt.
  • Transparenz und Patienteneinwilligung: Patienten über digitale Verfahren informieren; bei freiwilligen Angeboten (z.B. elektronische Gesundheitsakte der Krankenkasse) aktiv Einwilligungen einholen und Opt-out-Möglichkeiten kommunizieren.
  • Datensparsamkeit & Löschfristen: Nur notwendige Daten erheben und nicht länger als erforderlich aufbewahren; Löschkonzepte gemäß Art. 17 DSGVO implementieren (unter Beachtung berufsrechtlicher Aufbewahrungspflichten, siehe unten).

Rechtssichere Dokumentation in der E-Akte

Eine ordnungsgemäße Patientenakte ist nicht nur gutes ärztliches Handwerk, sondern auch gesetzliche Pflichtgrundlage. Seit dem Patientenrechtegesetz 2013 ist die Dokumentationspflicht im Bürgerlichen Gesetzbuch verankert: § 630f BGB verpflichtet Behandler, „in unmittelbarem zeitlichen Zusammenhang mit der Behandlung“ eine Patientenakte zu führen – entweder in Papierform oder elektronisch. Elektronische Dokumentation ist also ausdrücklich gleichberechtigt zulässig. Wichtig ist jedoch, dass auch eine E-Akte alle gesetzlichen Anforderungen erfüllt:

Vollständigkeit und Inhalt der E-Akte:

Laut § 630f Abs. 2 BGB müssen in der Akte sämtliche aus fachlicher Sicht wesentlichen Maßnahmen und deren Ergebnisse festgehalten werden. Insbesondere gehören dazu: Anamnese (Vorgeschichte), Diagnosen, Untersuchungen und deren Ergebnisse/Befunde, Therapien und Wirkungen, Eingriffe/Operationen und ihre Ergebnisse sowie erteilte Einwilligungen und Aufklärungen. Auch Arztbriefe und Befundberichte sind zur Dokumentation gehörig. Der Gesetzeswortlaut enthält eine beispielhafte Liste – im Zweifel muss der Arzt selbst einschätzen, was im konkreten Fall „wesentlich“ und damit dokumentationspflichtig ist. Eine Überdokumentation ist hingegen nicht erforderlich; Routinemaßnahmen und Selbstverständlichkeiten brauchen nicht in epischer Breite niedergelegt zu werden, solange der Behandlungsverlauf für Fachkolleg:innen nachvollziehbar bleibt.


Zeitnahigkeit und Nachvollziehbarkeit:

Die Eintragungen sollen während oder unmittelbar nach der Behandlung erfolgen. Nachträgliche Ergänzungen sind zwar zulässig, aber nur unter strikter Wahrung der Historie. Das bedeutet: Berichtigungen oder Änderungen in der elektronischen Patientenakte dürfen nie den ursprünglichen Eintrag unkenntlich machen; es muss stets erkennbar bleiben, was ursprünglich dokumentiert war und wann die Änderung vorgenommen wurde.
Praktisch erfüllt wird dies durch Protokollierungen oder Änderungshistorien in der Software – jede Korrektur zieht einen Zeitstempel nach sich. So wird verhindert, dass in einer digitalen Akte nachträglich „geschönt“ oder manipuliert wird. Diese Regel schützt die Integrität der Dokumentation und ist essenziell für die Beweissicherung.
Stethoskop auf Laptop-Tastatur – Symbol für medizinische IT-Sicherheit, digitale Praxissoftware und Datenschutz in der Arztpraxis

Leserlichkeit und Zugänglichkeit:

Elektronische Aufzeichnungen müssen – ebenso wie die herkömmliche Papierdokumentation – für andere behandelnde Ärztinnen und Ärzte lesbar und fachlich nachvollziehbar sein. Abkürzungen und Stichworte sind zulässig, solange ein medizinischer Profi sie verstehen kann. Eine allgemeinverständliche Sprache für Laien ist nicht erforderlich. Allerdings haben Patienten grundsätzlich ein Einsichtsrecht in ihre Akte (§ 630g BGB). Die Praxissoftware sollte daher die Möglichkeit bieten, auf Anfrage unkompliziert einen Ausdruck oder digitalen Export der Patientenakte bereitzustellen. Nur in Ausnahmefällen dürfen einzelne Aufzeichnungen von der Einsicht ausgenommen werden (etwa wenn erhebliche therapeutische Gründe dagegen sprechen).

Aufbewahrungsfristen und Datensicherheit

Ärztliche Aufzeichnungen sind mindestens 10 Jahre nach Abschluss der Behandlung aufzubewahren. Diese Frist kann sich aus Spezialgesetzen verlängern (z.B. Röntgenbilder 30 Jahre nach RöV). Auch ein Wechsel der Praxissoftware oder die Praxisübergabe müssen so gestaltet sein, dass die Patientenakten ordnungsgemäß weiter aufbewahrt werden. Digitale Akten erfordern besondere Schutzmaßnahmen, um Verluste oder unbefugten Zugriff zu verhindern. Die Berufsordnung schreibt vor, dass elektronische Dokumentationen gegen Veränderung, Vernichtung oder unrechtmäßige Verwendung gesichert werden müssen.
Illustration eines Laptops mit digitalen Inhalten – Symbol für digitale Patientenakten, medizinische Abrechnung und rechtssichere Praxissoftware
Praktisch bedeutet das: regelmäßige Backups (Datensicherungen) auf sicheren Speichermedien, Schutz vor Malware, Zugriff nur für Berechtigte und verschlüsselte Speicherung – idealerweise auf Servern mit Standort in der EU. Bei einem Praxiswechsel oder der Aufgabe der Praxis muss der Arzt dafür sorgen, dass die digitalen Aufzeichnungen in geeigneter Obhut bleiben (z.B. Übergabe an Nachfolger oder Hinterlegung bei der Ärztekammer).


Patienteneinwilligungen und besondere Dokumente:

Ein digitaler Workflow kann auch Bereiche wie Einwilligungsformulare (z.B. OP-Aufklärung) oder Behandlungsverträge abdecken. Hier ist zulässig, Unterschriften elektronisch zu erfassen (z.B. auf einem Tablet), solange die Verfahren rechtssicher sind. Es empfiehlt sich, solche elektronisch unterzeichneten Dokumente mit einem Vermerk zu versehen und unveränderbar in der Patientenakte abzulegen. So wird die Beweiskraft einer Unterschrift gewahrt. Im Zweifel kann auf hybride Lösungen zurückgegriffen werden (Unterschrift auf Papier einscannen und zur Akte nehmen). Wichtig ist, dass Einwilligungen zu Eingriffen oder IGeL-Leistungen auch digital die gleiche Sorgfalt erfahren und eindeutig der Patientin/dem Patienten zugeordnet werden können.

Praxis-Tipp Digitale Patientenakte

Moderne Praxisverwaltungssysteme (PVS) unterstützen Ärzt:innen dabei, die Dokumentationspflichten leichter zu erfüllen. Sie erinnern z.B. an fehlende Einträge, protokollieren Änderungen automatisch und erlauben den Scan von Papierdokumenten, damit die Akte vollständig digital bleibt. Eine entsprechende Software kann als Best Practice dienen: Sie kombiniert Terminplanung, digitale Patientenakte und Abrechnung und ist darauf ausgerichtet, rechtssichere Dokumentation und DSGVO-Konformität zu gewährleisten.


Ärztliche Haftung bei Dokumentationsmängeln und Abrechnungsfehlern

Abschließend ist der Blick auf die Haftungsaspekte wichtig: Welche rechtlichen Konsequenzen drohen, wenn die Dokumentation unzureichend ist oder bei der Abrechnung Fehler passieren?
Eine lückenhafte oder fehlerhafte Dokumentation stellt zunächst einen Verstoß gegen die Pflicht aus § 630f BGB dar und kann berufsrechtliche Konsequenzen haben. Vor allem aber wirkt sie sich im Arzthaftungsrecht aus: Kommt es zu einem Gerichtsverfahren wegen eines Behandlungsfehlers, spielt die Patientenakte als Beweismittel eine zentrale Rolle. Nach § 630h Abs. 3 BGB tritt im Prozess eine Beweiserleichterung für den Patienten ein, wenn der Arzt wesentliche Umstände nicht dokumentiert hat. Konkret heißt das: Hat der Arzt eine medizinisch gebotene Maßnahme (und ihr Ergebnis) nicht in der Patientenakte vermerkt oder die Akte gar nicht aufbewahrt, wird vermutet, dass er diese Maßnahme auch nicht durchgeführt hat. Die Gerichte formulieren es oft als Faustregel: “Was nicht dokumentiert ist, gilt als nicht geschehen.”.
Medikamentenkapseln als Symbol für Arzneimitteldokumentation in der digitalen Patientenakte und GOÄ-konforme Abrechnung
Ärzt:innen sollten daher größten Wert auf vollständige und zeitnahe Dokumentation legen – auch aus Eigeninteresse. Die Dokumentation ist die beste Verteidigung im Haftungsfall. Wird dennoch etwas vergessen, kann der Arzt den Anscheinsbeweis theoretisch entkräften, indem er glaubhaft macht, dass die Maßnahme trotz fehlenden Eintrags durchgeführt wurde (z.B. durch Zeugenaussagen oder andere Indizien). In der Praxis ist das jedoch oft schwierig und unsicher. Besser ist, solche Situationen gar nicht aufkommen zu lassen.

Abrechnungsfehler und Konsequenzen

Fehler bei der Abrechnung berühren zunächst das Finanzielle, können aber auch juristische Folgen haben. Unbeabsichtigte Abrechnungsfehler – etwa versehentlich doppelt abgerechnete Leistungen, Vertauschen von Ziffern, Abrechnung nicht genehmigter Leistungen – führen in der Regel zu Rückforderungen oder Kürzungen seitens der Kostenträger. Im privatärztlichen Bereich kann der Patient die Rechnung zurückweisen oder kürzen; im kassenärztlichen Bereich erlässt die KV einen Berichtigungsbescheid und zieht das zu viel gezahlte Honorar ab (ggf. plus Zinsen). Zivilrechtlich können Patienten zu viel gezahltes Honorar zurückfordern, wenn die Rechnung überhöht oder unrechtmäßig war.

 Strafrechtlich relevante Konsequenzen

 Strafrechtlich relevant wird es, wenn der Verdacht besteht, dass Fehlabrechnungen vorsätzlich geschehen, um sich finanziell zu bereichern – dann sprechen wir vom Abrechnungsbetrug (§ 263 StGB). Ein Arzt, der wissentlich Leistungen in Rechnung stellt, die er nicht erbracht hat, oder Kassenleistungen als Privatleistungen abrechnet, erfüllt diesen Tatbestand. Auch das systematische “Tunen” von Leistungen (z.B. bei jedem Patienten höhere Steigerungssätze ohne Grund, oder fingierte Diagnosen zur Auslösung bestimmter GOPs) kann als Betrug gewertet werden, sofern Vorsatz nachweisbar ist.

Die Staatsanwaltschaften haben in den letzten Jahren vermehrt Fälle von Abrechnungsbetrug im Gesundheitswesen verfolgt. Die Strafen sind empfindlich: § 263 Abs. 1 StGB sieht Freiheitsstrafe bis 5 Jahre oder Geldstrafe vor, in besonders schweren Fällen (große Schadenssummen) sogar bis 10 Jahre (§ 263 Abs. 3 StGB). Zusätzlich drohen berufsrechtliche Konsequenzen bis hin zum Entzug der Zulassung oder Approbation.
CT-Aufnahmen eines Schädels als Beispiel für digitale Bildgebung in der elektronischen Patientenakte und rechtssichere Archivierung
Dokumentations- und Abrechnungsfehler
Ärztliche Haftung bei Dokumentations- und Abrechnungsfehlern lässt sich auf einen Nenner bringen – Prävention ist die beste Strategie. Eine gewissenhafte Dokumentation und eine korrekte Abrechnung sind Teil der ärztlichen Sorgfaltspflicht. Damit schützt man nicht nur die Patientenrechte, sondern auch sich selbst vor rechtlichem Ärger. Gerade in Zeiten der Digitalisierung gibt es dafür hilfreiche Tools: Von der Checkliste in der Praxissoftware (die vor Quartalsabrechnung offene Dokumentationen oder Abrechnungsanomalien meldet) bis hin zur verschlüsselten Archivierung aller Dokumente. Wer diese nutzt und die rechtlichen Vorgaben im Blick behält, ist tatsächlich “auf der sicheren Seite”.


Fazit: Digitale Prozesse rechtssicher gestalten

Die digitale Patientenakte und elektronische Abrechnung werden sich durchsetzen - sie erleichtern den Praxisalltag und steigern die Effizienz. Doch Digitalisierung darf nicht auf Kosten der Rechtssicherheit gehen. Mit den folgenden vier Leitplanken können Ärzt:innen die Vorteile moderner Technologien nutzen, ohne rechtliche Risiken einzugehen:
1. Datenschutz first: Von der Einhaltung der DSGVO über den Schutz der Arztgeheimnisse bis zur sicheren Server-Infrastruktur - der vertrauliche Umgang mit Patientendaten ist non-negotiable. Hier lohnt es sich, auf zertifizierte Dienste zu setzen, die Datenschutz by design bieten.
2. Dokumentation ist das A und O: Eine lückenlose, zeitnahe und wahrheitsgemäße Patientenakte schützt Leben und – im Ernstfall – vor Haftungsnöten. Digitale Akten sollten so geführt werden, dass sie den Papierakten in nichts nachstehen, inklusive Änderungshistorie und langfristiger Verfügbarkeit.
Arzt im Gespräch mit Mutter und Kind über digitale Patientenakte in der Praxis
3. GOÄ und EBM im Griff: Beide Abrechnungssysteme haben ihre Tücken. Regelmäßige Schulung des Teams, Nutzung von Abrechnungstools mit Plausibilitätskontrolle und ggf. Beratung durch Abrechnungsspezialisten helfen, Fehler zu vermeiden. Transparenz gegenüber Patienten (z.B. Kostenvoranschläge bei Selbstzahlerleistungen) schafft zusätzlich Vertrauen.

4. Kontrolle und Nachvollziehbarkeit: Führen Sie in der Praxis ein internes Qualitätssicherungsprotokoll: Stichprobenartig Rechnungen prüfen, Dokumentation auf Vollständigkeit checken, und im Team eine Kultur etablieren, in der lieber einmal mehr gefragt wird (“Haben wir die Aufklärung dokumentiert?”) als einmal zu wenig.

Durch den bewussten Umgang mit digitalen Werkzeugen können niedergelassene Ärzt:innen ihre Praxis nicht nur effizient, sondern auch rechtlich sattelfest organisieren. Die Investition in Datenschutz und Abrechnungssicherheit zahlt sich aus – sie bewahrt vor bösen Überraschungen und erhält das wichtigste Kapital jeder Praxis: das Vertrauen der Patienten und die eigene berufliche Reputation. In diesem Sinne: Digitalisieren Sie - aber richtig. Denn dann sind Sie sowohl medizinisch als auch juristisch auf der sicheren Seite.

Arztbörse - Dein Partner für den Arztberuf

Dr. med Dr. jur. Erich Seidenstücker
04.02.2026

Arztbörsen Ratgeber & Broschüren

Standortanalyse & Geomarketing

Arztbörsen Services

Inserieren