CuraDeskCuraDesk
CuraDesk wird in wenigen Tagen veröffentlicht. Bei Interesse: kontakt@curadesk.at
Alle Artikel

Datenschutz in der psychotherapeutischen Praxis. Was wirklich Pflicht ist

DSGVO und PThG 2024 für Psychotherapeut:innen in Österreich: Verarbeitungsverzeichnis, DSB, DSFA, AV-Vertrag, Schweigepflicht und Online-Therapie — mit belegten Quellen.

Von Christian Glatz · Mai 2026

Geschlossener Aktenschrank in einer psychotherapeutischen Praxis als Symbol für Datenschutz

Rund um den Datenschutz in der Therapiepraxis kursieren viele Halbwahrheiten — von der angeblichen Pflicht zur:m Datenschutzbeauftragten bis zur "Einwilligung in die Behandlung als DSGVO-Grundlage". Dieser Artikel klärt acht zentrale Punkte für die Einzelpraxis in Österreich anhand der aktuellen Rechtslage (DSGVO, PThG 2024 und DSFA-Ausnahmenverordnung der österreichischen Datenschutzbehörde).

1. Verarbeitungsverzeichnis nach Art. 30 DSGVO: Pflicht

Die in Art. 30 Abs. 5 DSGVO vorgesehene KMU-Ausnahme (Unternehmen unter 250 Beschäftigten) greift nicht, sobald regelmäßig besondere Kategorien personenbezogener Daten im Sinne von Art. 9 verarbeitet werden. Gesundheitsdaten fallen darunter — und in jeder therapeutischen Praxis werden sie regelmäßig verarbeitet. Auch eine Einzelpraxis muss deshalb ein Verarbeitungsverzeichnis führen.

Das Verzeichnis dokumentiert für jede Verarbeitungstätigkeit Zweck, Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen, Löschfristen und technisch-organisatorische Maßnahmen. Es ist intern zu führen und auf Anforderung der Datenschutzbehörde vorzulegen.

2. Datenschutzbeauftragte:r (DSB): in der Einzelpraxis nicht erforderlich

Eine Bestellpflicht nach Art. 37 DSGVO besteht nur, wenn die Kerntätigkeit eine umfangreiche Verarbeitung besonderer Datenkategorien beinhaltet. Erwägungsgrund 91 stellt klar, dass die Verarbeitung durch eine:n einzelne:n Ärzt:in, Angehörige:n eines anderen Gesundheitsberufs oder eine:n Rechtsanwält:in nicht als umfangreich gilt. Die Einzelpraxis ist damit von der DSB-Pflicht ausgenommen. In Gemeinschaftspraxen oder größeren Versorgungseinrichtungen ist im Einzelfall zu prüfen.

3. Datenschutz-Folgenabschätzung (DSFA): in der Einzelpraxis nicht erforderlich

Die österreichische Datenschutzbehörde hat in der DSFA-Ausnahmenverordnung (DSFA-AV, BGBl. II Nr. 108/2018) eine sogenannte "Whitelist" veröffentlicht. Anlage DSFA-A12 nimmt die "Patienten- bzw. Klientenverwaltung und Honorarabrechnung einzelner Angehöriger gesetzlich geregelter Gesundheits- und Pflegeberufe" ausdrücklich von der DSFA-Pflicht aus. Für die typische Einzelpraxis ist daher keine DSFA erforderlich.

Vorsicht: Sobald zusätzliche Verarbeitungen ins Spiel kommen (z. B. KI-gestützte Sprachverarbeitung, umfangreiches Profiling, Verarbeitung im großen Maßstab), kann eine DSFA wieder verpflichtend werden.

4. AV-Vertrag mit jedem Software-Anbieter: Pflicht

Art. 28 DSGVO verlangt einen Auftragsverarbeitungsvertrag mit jedem externen Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet — Praxissoftware, Videoplattform, Cloud-Speicher, E-Mail-Dienst, Zahlungsdienstleister. Der AV-Vertrag ist auch dann Pflicht, wenn die Inhalte Ende-zu-Ende-verschlüsselt sind, weil bereits die Verarbeitung von Metadaten (IP, Verbindungszeiten, Termine, Honorarnoten) der DSGVO unterliegt.

Seriöse Anbieter stellen den Vertrag standardmäßig bereit. Wer auf Nachfrage keinen liefert, ist als Auftragsverarbeiter ungeeignet.

5. Datenschutzinformation an Klient:innen (Art. 13): Pflicht

Klient:innen sind vor der Erhebung über Verantwortliche:n, Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer und Betroffenenrechte zu informieren. Ein verständliches, einseitiges Informationsblatt — schriftlich oder digital — erfüllt diese Pflicht. Eine Unterschrift ist nicht nötig: Es handelt sich um eine Informationspflicht, nicht um eine Einwilligung.

6. Rechtsgrundlage Behandlungsdaten: Art. 9 Abs. 2 lit. h DSGVO

Die Verarbeitung von Gesundheitsdaten zum Zweck der Gesundheitsvorsorge, medizinischen Diagnostik, Versorgung oder Behandlung durch berufsmäßig zur Verschwiegenheit verpflichtete Personen ist nach Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO zulässig. Die Verschwiegenheitspflicht ergibt sich für Psychotherapeut:innen aus § 45 PThG 2024.

Eine DSGVO-Einwilligung zur Datenverarbeitung der Kernbehandlung ist deshalb nicht erforderlich — und wäre auch heikel, weil sie jederzeit widerrufbar wäre. Davon klar zu trennen ist die Einwilligung in die Behandlung selbst (Behandlungsvertrag, informed consent) — das ist ein berufs- und zivilrechtlicher Vorgang, keine datenschutzrechtliche Grundlage.

7. Dokumentation und Aufbewahrung: § 44 PThG 2024

§ 44 PThG 2024 verpflichtet zur fortlaufenden Dokumentation des Behandlungsverlaufs (Anamnese, diagnostische Einschätzung, Verlauf, Ergebnis) und legt eine Aufbewahrungsfrist von zehn Jahren ab Behandlungsende fest. Danach sind die Daten nachweislich zu vernichten. Für digitale Dokumentation bedeutet das: Die Software muss Löschfristen verlässlich nachverfolgen und Löschungen protokollieren.

Verschwiegenheitspflicht: § 45 PThG 2024 (nicht § 37, wie es in älteren Quellen aus dem PThG 1990 mitunter falsch zitiert wird).

8. Online-Psychotherapie: § 39 PThG 2024 korrekt darstellen

Online-Psychotherapie ist im PThG 2024 ausdrücklich geregelt — aber nicht als pauschal anerkannte Behandlungsform ohne Voraussetzungen. § 39 stellt darauf ab, dass die digitale oder mediale Durchführung nur dann zulässig ist, wenn sie klinisch oder geografisch begründet notwendig ist (z. B. eingeschränkte Erreichbarkeit, besondere Lebensumstände der Klient:innen), wenn das Einvernehmen mit der Klient:in besteht und wenn die fachliche Eignung des Settings sowie die Indikation dokumentiert begründet werden. Voraussetzung ist außerdem eine technische Umsetzung, die Vertraulichkeit und Datenschutz gewährleistet.

Die routinemäßige Verlagerung der gesamten Praxis in den Online-Raum, ohne Begründung pro Fall, ist davon nicht gedeckt.

Quellen

  • DSGVO konsolidierte Fassung: eur-lex.europa.eu
  • DSFA-Ausnahmenverordnung (BGBl. II Nr. 108/2018), Anlage DSFA-A12: RIS
  • Psychotherapiegesetz 2024 (PThG 2024, BGBl. I Nr. 49/2024), §§ 39, 44, 45: RIS
  • Erwägungsgrund 91 DSGVO (DSB-Pflicht "umfangreich"): eur-lex.europa.eu
  • Datenschutzbehörde Österreich, Leitlinien zu Art. 30 und Art. 28: dsb.gv.at
  • WKO, Datenschutz in Gesundheitsberufen: wko.at

Stand: Juni 2026. Dieser Artikel ist eine fachliche Orientierung und ersetzt keine individuelle Rechtsberatung.