Digitale Klientenakte für Heilpraktiker Psychotherapie: DSGVO-sicher statt OneNote & Co.
Die ehrliche Bestandsaufnahme: Viele Heilpraktiker/innen für Psychotherapie führen ihre Klientenakten in OneNote, Word-Dokumenten oder als Foto-Notizen auf dem Handy. Verständlich — das sind die Werkzeuge, die jeder schon kennt und die scheinbar nichts extra kosten. Rechtlich ist diese Praxis jedoch ein doppeltes Risiko: gegenüber der DSGVO und gegenüber § 630f BGB. Dieser Artikel zeigt, wo die Probleme liegen und wie eine konforme digitale Klientenakte aussehen sollte.
Warum OneNote, Word & Handyfotos ein DSGVO-Risiko sind
Gesundheitsdaten zählen nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich verboten — mit eng umrissenen Ausnahmen. Wer sie dennoch verarbeitet, trägt eine erhöhte Nachweispflicht (Art. 5 Abs. 2 DSGVO: Rechenschaftspflicht) und muss technische und organisatorische Maßnahmen nach Art. 32 DSGVO ergreifen.
OneNote und Word der Microsoft-365-Privatlizenz synchronisieren standardmäßig in die Microsoft-Cloud. Microsoft betreibt zwar EU-Rechenzentren, der Konzernsitz liegt jedoch in den USA — und damit fällt das Unternehmen unter den US CloudAct. Seit dem Schrems-II-Urteil des EuGH (16. Juli 2020) besteht für die USA kein valider Angemessenheitsbeschluss mehr; das nachträglich geschlossene EU-US Data Privacy Framework (Juli 2023) ist rechtlich umstritten und wird voraussichtlich erneut vor dem EuGH landen.
Handy-Fotos von handschriftlichen Notizen sind aus DSGVO-Sicht besonders kritisch: Die Bilder landen automatisch in iCloud (USA) oder Google Photos (USA), oft auch in WhatsApp-Backups. Die Verschlüsselung ist nicht Ende-zu-Ende, der Speicherort weltweit verteilt und ein Löschkonzept gibt es nicht — Apple und Google geben in der Regel keinen AVV für Privatkunden aus.
Word-Dokumente auf der lokalen Festplatte sind nicht per se unzulässig — wenn der Rechner verschlüsselt ist (BitLocker, FileVault), keine Cloud-Synchronisation aktiv ist und ein nachweisbares Backup existiert. In der Praxis sind diese Voraussetzungen aber selten lückenlos erfüllt; und schon ein automatisches OneDrive-Backup zerstört die rechtliche Basis.
Konkrete Risiken
- ✗ Drittlandübermittlung ohne Rechtsgrundlage (Art. 44 ff. DSGVO)
- ✗ Fehlender AVV nach Art. 28 DSGVO — persönliche Haftung
- ✗ Keine Zugriffskontrolle nach Art. 32 DSGVO
- ✗ Kein Löschkonzept — Daten bleiben über Backups dauerhaft erhalten
- ✗ Beweislastumkehr nach § 630h Abs. 3 BGB bei fehlender Dokumentation
Was eine konforme digitale Klientenakte braucht
Aus DSGVO, § 630f BGB und der Berufspraxis ergeben sich fünf Anforderungen, die eine digitale Klientenakte mindestens erfüllen muss:
1. Serverstandort in Deutschland oder der EU. Die Verarbeitung von Gesundheitsdaten gehört auf Server, die nicht dem US CloudAct unterliegen. Frankfurt am Main ist der typische deutsche Standort führender Cloud-Anbieter (AWS Frankfurt, Microsoft Azure Germany, Supabase Frankfurt). Lassen Sie sich den Standort vertraglich bestätigen — eine Marketing-Aussage „Server in Europa" reicht nicht.
2. Verschlüsselung in Transport und Ruhezustand. TLS für die Übertragung (Art. 32 DSGVO), AES-256 oder vergleichbar für die Speicherung. Bei Cloud-Lösungen sollte zusätzlich geprüft werden, wer die Schlüssel hält — bei Anbietern mit Sitz in den USA kann eine US-Behörde die Herausgabe verlangen, auch wenn die Daten in Frankfurt liegen.
3. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Der AVV ist nicht optional. Er regelt die Pflichten des Anbieters, Meldewege bei Vorfällen, Subunternehmer und Löschfristen. Spezialisierte Praxissoftware stellt den AVV zum Abschluss bereit; bei generischen Cloud-Lösungen müssen Sie selbst einen Business-Tarif buchen, um überhaupt einen AVV abschließen zu können.
4. § 630f-konforme Audit-Spuren. Jede Änderung an einem Behandlungseintrag muss zeitstempelig und unveränderbar protokolliert werden. Ein abgeschlossener Sitzungseintrag darf nicht stillschweigend überschrieben werden — Nachträge erscheinen als eigene, datierte Versionen mit Begründung. Word-Dokumente erfüllen das ohne separates Versionsystem nicht.
5. Auskunfts- und Export-Funktion nach Art. 15 DSGVO. Klient/innen haben das Recht, eine vollständige Auskunft über alle gespeicherten Daten zu erhalten — typischerweise als strukturiertes PDF. Mit OneNote oder Word ist diese Auskunft nur händisch erzeugbar und in der Praxis oft lückenhaft; spezialisierte Lösungen exportieren auf Knopfdruck einen rechtskonformen Auskunftsbericht.
Vergleich: OneNote vs. Word vs. PraxisCloud
| Anforderung | OneNote (M365) | Word (lokal) | PraxisCloud |
|---|---|---|---|
| Serverstandort | USA / global | Lokal (PC) | Frankfurt |
| Verschlüsselung | TLS, MS-Schlüssel | Nur mit BitLocker | TLS + AES-256 |
| AVV vorhanden | Nur Business-Tarif | Nicht erforderlich | Standardmäßig |
| § 630f-konform | Nein | Nein (ohne Versionsystem) | Ja, mit Audit-Log |
| DSGVO-Export (Art. 15) | Nur händisch | Nur händisch | PDF auf Knopfdruck |
Die Tabelle zeigt einen klaren Befund: Office-Werkzeuge sind nicht für Gesundheitsdaten konstruiert. Sie können in eng begrenzten Konstellationen (lokal, BitLocker, kein Cloud-Sync, separates Versionsystem) rechtssicher betrieben werden — der organisatorische Aufwand übersteigt jedoch in der Regel den einer spezialisierten Praxissoftware.
Migration aus OneNote & Co. — wie geht das praktisch?
Wichtig vorweg: Altdaten dürfen nicht einfach gelöscht werden. § 630f Abs. 3 BGB verpflichtet zur Aufbewahrung der Behandlungsdokumentation für mindestens zehn Jahre nach Behandlungsende. Auch dann, wenn Sie Ihre Praxis schließen oder die Software wechseln.
Schritt 1 — Bestandsaufnahme. Welche Daten liegen wo? OneNote-Notizbücher, Word-Dokumente, Excel-Tabellen mit Klientenlisten, Foto-Notizen auf dem Handy, Kalender-Einträge, Email-Korrespondenz. Erstellen Sie ein einfaches Inventar — das ist gleichzeitig der erste Schritt zum Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.
Schritt 2 — Schrittweise Migration. Übertragen Sie nicht alle Altdaten auf einmal. Beginnen Sie mit aktiven Klient/innen und legen Sie deren Akten in der neuen Software an. Altdaten archivieren Sie verschlüsselt und unverändert — sie müssen nur auf Anfrage abrufbar sein, nicht aktiv im täglichen Zugriff.
Schritt 3 — Migrationsdokumentation. Halten Sie schriftlich fest, wann Sie welche Daten aus welcher Quelle übernommen haben. Diese Dokumentation ist Teil Ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und schützt Sie im Streitfall.
Schritt 4 — Altsysteme stilllegen. Erst wenn die Klientendaten vollständig in der neuen Software verfügbar sind, schalten Sie OneNote-Sync, OneDrive-Backup und ähnliche Cloud-Dienste für die alten Speicherorte ab. Die archivierten Altdaten bleiben verschlüsselt — bis die Aufbewahrungsfrist abläuft und sie gelöscht werden dürfen.
PraxisCloud 30 Tage kostenlos testen
Die rechtssichere digitale Klientenakte für Heilpraktiker/innen für Psychotherapie: Serverstandort Frankfurt, AVV inklusive, § 630f-konformer Sitzungsverlauf mit Audit-Log und DSGVO-Auskunft per Knopfdruck. Voller Funktionsumfang, ohne Zahlungsmittel-Hinterlegung.
Jetzt kostenlos testenFazit
OneNote, Word und Handy-Fotos sind in der Heilpraktiker-Praxis verbreitete, aber rechtlich riskante Werkzeuge für die Klientendokumentation. Sie verletzen in der Regel die Anforderungen aus Art. 9 DSGVO (Gesundheitsdaten), Art. 28 DSGVO (AVV), Art. 32 DSGVO (technische Maßnahmen) und § 630f BGB (Unveränderbarkeit). Eine konforme digitale Klientenakte braucht fünf Bausteine: deutschen/EU-Serverstandort, Verschlüsselung in Transport und Speicher, AVV, § 630f-konforme Audit-Spuren und eine Art-15-Exportfunktion. Eine spezialisierte Praxissoftware wie PraxisCloud bringt diese Bausteine systemseitig mit — wer auf Office-Werkzeugen bleibt, trägt die organisatorische und rechtliche Last allein.
Häufige Fragen
Ist OneNote DSGVO-konform für Heilpraktiker?▾
Was schreibt § 630f BGB vor?▾
Brauche ich einen AVV für meine Praxissoftware?▾
Die richtige Praxissoftware finden
Systematisch vergleichen — DSGVO, Funktionen, Anbieter, Warnsignale.