← Zurück zum Blog

DSGVO Art. 15 in der Heilpraktiker-Praxis: Auskunftspflicht rechtssicher erfüllen

Ralf Heßlinger14. Mai 20266 Min. Lesezeit
DSGVOAuskunftsrechtArt. 15DatenschutzHeilpraktiker

Es kommt eine E-Mail: „Sehr geehrte Frau Müller, ich bitte Sie nach Art. 15 DSGVO um Auskunft über alle bei Ihnen gespeicherten Daten zu meiner Person." Und jetzt? Viele Heilpraktiker-Praxen sind auf diesen Moment nicht vorbereitet — dabei läuft ab dem Eingang der Anfrage eine harte Frist von einem Monat. Dieser Artikel zeigt kompakt, was Art. 15 DSGVO konkret verlangt, welche Daten typischerweise herauszugeben sind und wie eine digitale Praxissoftware die Auskunft auf Knopfdruck liefert.

Was Art. 15 DSGVO konkret fordert

Art. 15 DSGVO gewährt jeder betroffenen Person das Recht, vom Verantwortlichen Auskunft über alle zu ihrer Person gespeicherten personenbezogenen Daten zu erhalten. Dazu gehören nicht nur die Daten selbst, sondern auch eine Reihe von Metainformationen.

Pflichtinhalte einer DSGVO-Auskunft

  • Alle gespeicherten personenbezogenen Daten der anfragenden Person
  • Verarbeitungszwecke (warum diese Daten verarbeitet werden)
  • Kategorien der verarbeiteten Daten
  • Empfänger oder Empfängerkategorien (z. B. PKV, Steuerberater, IT-Dienstleister)
  • Geplante Speicherdauer oder Kriterien dafür
  • Hinweis auf Berichtigungs-, Löschungs-, Einschränkungs- und Widerspruchsrechte
  • Beschwerderecht bei der Aufsichtsbehörde
  • Herkunft der Daten, soweit nicht direkt erhoben
  • Information über automatisierte Entscheidungsfindung, soweit zutreffend

Die Auskunft erfolgt grundsätzlich kostenlos (Art. 15 Abs. 1 DSGVO) und in einem allgemein gebräuchlichen elektronischen Format, wenn die Anfrage elektronisch gestellt wurde (Art. 15 Abs. 3 DSGVO). Üblich und akzeptiert ist ein strukturiertes PDF mit allen Pflichtinhalten. Die Frist beträgt einen Monat ab Eingang der Anfrage (Art. 12 Abs. 3 DSGVO), in Ausnahmefällen verlängerbar auf bis zu drei Monate.

Wichtig: Vor der Auskunftserteilung müssen Sie die Identität der anfragenden Person mit zumutbarem Aufwand prüfen (Art. 12 Abs. 6 DSGVO). Bei bestehender Klientenbeziehung reicht in der Regel die bekannte E-Mail-Adresse; im Zweifel ein Rückruf unter der hinterlegten Telefonnummer. Eine pauschale Ausweis-Kopie ist datenschutzrechtlich nicht ohne Weiteres zulässig.

Was in der Heilpraktiker-Praxis typischerweise betroffen ist

In einer Heilpraktiker- oder HP-Psych-Praxis fallen zahlreiche Datenarten an, die unter Art. 15 DSGVO zu offenbaren sind:

Stammdaten — Name, Anschrift, Geburtsdatum, Kontaktdaten, Krankenversicherung, ggf. Beruf und Familienstand.

Anamnese und Diagnosen — die strukturierte Ersterhebung sowie alle im Verlauf erhobenen Befunde und Einschätzungen. Diese gehören nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und unterliegen erhöhtem Schutz.

Sitzungsdokumentation — die einzelnen Behandlungseinträge nach § 630f BGB, inklusive aller Versionen und Nachträge. Auch gelöschte oder archivierte Einträge müssen offenbart werden, soweit sie noch existieren.

Rechnungen und Zahlungseingänge — Rechnungsdaten, Beträge, Zahlungsstatus, ggf. Mahnungen.

Hochgeladene Dokumente — von der Klientin selbst übermittelte Befunde, Arztbriefe, Vorbefunde sowie eigene Aufzeichnungen wie Anamnesebögen oder Fragebögen.

E-Mail-Korrespondenz — sofern noch vorhanden, fallen auch Mails mit personenbezogenem Inhalt unter Art. 15 DSGVO.

Termin- und Kalenderdaten — Datum, Uhrzeit, Status (wahrgenommen, abgesagt) der vergangenen Sitzungen.

Typische Fallstricke in der Praxis

Daten in mehreren Tools verstreut. Stammdaten in der Praxissoftware, Notizen in OneNote, Rechnungen in Excel, E-Mails in Outlook, Anamnesebögen auf Papier. Eine vollständige Auskunft zusammenzustellen wird so zur Tagesaufgabe — und Lücken sind fast unvermeidbar.

Frist versäumt. Die einmonatige Frist ist hart. Wer drei Wochen nicht reagiert und dann „in den Urlaub" geht, hat ein Problem — Beschwerde bei der Datenschutzaufsicht, Aufforderung zur Stellungnahme, Bußgeldrisiko.

Zu viel rausgegeben. In Sitzungsnotizen finden sich oft auch Erwähnungen Dritter — Partner/innen, Familienangehörige, andere Behandler/innen. Diese Daten dürfen nicht ungeprüft in die Auskunft an die anfragende Person übermittelt werden; im Zweifel müssen sie geschwärzt oder paraphrasiert werden (Art. 15 Abs. 4 DSGVO: Rechte und Freiheiten anderer Personen).

Identitätsprüfung übersprungen. Eine Auskunft an eine vermeintlich berechtigte Person, die in Wahrheit nicht autorisiert ist, ist ihrerseits ein Datenschutzverstoß — und ein potenziell schwerwiegender, weil Gesundheitsdaten betroffen sind.

Wie digitale Praxissoftware die Auskunft vereinfacht

Wenn alle relevanten Daten in einem System liegen, reduziert sich der Aufwand für eine DSGVO-Auskunft von Stunden auf Minuten. Eine spezialisierte Praxissoftware kann auf Knopfdruck einen strukturierten Bericht erzeugen, der alle Pflichtinhalte nach Art. 15 DSGVO enthält.

PraxisCloud — DSGVO-Auskunft auf Knopfdruck

Mit einem Klick erzeugt PraxisCloud ein vollständiges Art.-15-Auskunfts-PDF: Stammdaten, Diagnosen, Termine, Rechnungen, Anamnese-Hinweis, vollständige Sitzungsdokumentation inklusive aller Versionsstände und hochgeladene Dokumente — ergänzt um die rechtlichen Pflichtangaben zu Zwecken, Speicherdauer, Empfängern und Betroffenenrechten. Serverstandort Frankfurt, AVV inklusive, 30 Tage kostenlos testbar.

Jetzt kostenlos testen

Fazit

Art. 15 DSGVO verpflichtet jede Heilpraktiker-Praxis dazu, auf Anfrage einer betroffenen Person innerhalb eines Monats eine vollständige Auskunft über alle gespeicherten Daten zu erteilen — kostenlos, in elektronischer Form und mit allen vorgeschriebenen Pflichtinhalten. Wer seine Klientendaten in mehreren Office-Werkzeugen verteilt, riskiert Lücken, Fristverletzungen oder Schadensersatzansprüche. Eine zentrale digitale Praxissoftware mit eingebauter Auskunfts-Funktion senkt den Aufwand auf wenige Klicks und schützt zugleich vor den klassischen Fallstricken. Wichtig bleibt die Identitätsprüfung vor der Herausgabe — Gesundheitsdaten sind besonders geschützt, und eine versehentlich falsch adressierte Auskunft ist selbst ein meldepflichtiger Datenschutzvorfall.

Häufige Fragen

Wie lange habe ich für eine DSGVO-Auskunft Zeit?
Die Frist beträgt nach Art. 12 Abs. 3 DSGVO einen Monat ab Eingang der Anfrage. Bei besonderer Komplexität oder einer Vielzahl gleichzeitiger Anfragen kann die Frist um weitere zwei Monate verlängert werden — die betroffene Person muss innerhalb des ersten Monats über die Verlängerung und die Gründe informiert werden. In der typischen Heilpraktiker-Praxis ist die einmonatige Frist regelmäßig ausreichend, sofern die Daten zentral abrufbar sind.
Muss die Auskunft kostenlos sein?
Grundsätzlich ja. Art. 15 Abs. 1 DSGVO sieht ein unentgeltliches Auskunftsrecht vor. Nur bei offensichtlich unbegründeten oder exzessiven Anfragen — typischerweise mehrfach wiederholten identischen Anfragen derselben Person innerhalb kurzer Zeit — darf ein angemessenes Entgelt erhoben oder die Auskunft verweigert werden (Art. 12 Abs. 5 DSGVO). Die Beweislast für „exzessiv" liegt beim Verantwortlichen.
Was passiert wenn ich die Frist verpasse?
Theoretisch drohen nach Art. 83 Abs. 5 DSGVO Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes — in der Praxis bei einer Einzelpraxis aber meist eine Beschwerde bei der Datenschutzaufsicht, gefolgt von einer Abmahnung mit Nachbesserungspflicht. Wiederholte oder vorsätzliche Verstöße werden härter geahndet. Zusätzlich kann die betroffene Person Schadensersatz nach Art. 82 DSGVO geltend machen.
Kostenlose Checkliste

Die richtige Praxissoftware finden

Systematisch vergleichen — DSGVO, Funktionen, Anbieter, Warnsignale.

Jetzt herunterladen
← Zurück zum Blog