Datenschutz & Compliance

Branchenspezifische Compliance: Was Arztpraxen, Banken und Kanzleien beachten müssen

7 Min. Lesezeit
Kurze Antwort

Gesundheitswesen: Patientendaten nach Art. 9 DSGVO, Schweigepflicht § 203 StGB. Finanzsektor: BaFin-Regularien, BAIT/VAIT. Kanzleien und Steuerberater: berufsrechtliche Verschwiegenheit und Mandantendaten-Schutz. Jede Branche braucht branchenspezifische Beratung.

Die DSGVO ist der gemeinsame Nenner — aber je nach Branche kommen Dutzende weitere Pflichten hinzu. Wer nur die DSGVO kennt, kennt nur die halbe Wahrheit.

Gesundheitswesen: Wenn Datenschutz Leben schützt

Patientendaten gehören zu den sensibelsten Informationen überhaupt. Die DSGVO stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten (Art. 9) ein — das bedeutet: erhöhte Schutzpflichten, strengere Rechtsgrundlagen, praktisch keine Möglichkeit auf berechtigtes Interesse als Grundlage. Für die Verarbeitung in Arztpraxen, Kliniken und Pflegeeinrichtungen gilt ausschließlich Einwilligung oder gesetzliche Grundlage.

Hinzu kommt die ärztliche Schweigepflicht nach § 203 StGB: Wer als Arzt, Zahnarzt oder psychologischer Psychotherapeut Patientengeheimnisse unbefugt offenbart, macht sich strafbar. Das gilt auch für Praxismitarbeiter — und es erstreckt sich auf digitale Kommunikation. Patientendaten per unverschlüsselter E-Mail zu versenden verstößt sowohl gegen die DSGVO als auch gegen § 203 StGB. Die Nutzung von Cloud-Diensten ohne entsprechende Verträge und Sicherheitsnachweise ist für Arztpraxen daher besonders riskant.

Seit 2021 gibt es mit der elektronischen Patientenakte (ePA) eine neue Dimension: Arztpraxen sind verpflichtet, an die Telematikinfrastruktur (TI) angeschlossen zu sein. Wer digitale Patientenverwaltungssysteme einsetzt, muss sicherstellen, dass diese TI-kompatibel, verschlüsselt und zertifiziert sind. Die Kassenärztliche Bundesvereinigung (KBV) veröffentlicht dazu Technische Anlagen, die konkrete IT-Sicherheitsanforderungen definieren — verbindlich für alle Vertragsarztpraxen.

Finanzsektor: BaFin, BAIT und was das technisch bedeutet

Banken und Finanzdienstleister unterliegen neben der DSGVO einem eigenen Compliance-Regime, das von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) definiert wird. Zentral sind die Bankaufsichtlichen Anforderungen an die IT (BAIT) für Kreditinstitute und die entsprechenden VAIT für Versicherungsunternehmen. Diese Regelwerke definieren detailliert, was IT-Governance, Informationssicherheit und Outsourcing im Finanzsektor bedeuten.

Praktisch heißt das: Wer eine Banking-App oder ein Finanzportal entwickelt, muss deutlich höhere IT-Sicherheitsstandards erfüllen als bei einer normalen Unternehmenswebseite. BAIT verlangt u.a. ein Informationssicherheits-Managementsystem (ISMS), klare Verantwortlichkeiten, Penetrationstests, Business-Continuity-Pläne und strenge Anforderungen an Cloud-Dienste. Outsourcing an externe IT-Dienstleister muss der BaFin gemeldet werden, wenn es wesentliche Funktionen betrifft.

Seit 2025 kommt DORA (Digital Operational Resilience Act) hinzu — ein EU-Regelwerk das Finanzunternehmen zu umfassenden IT-Resilienz-Maßnahmen verpflichtet: Incident-Reporting innerhalb enger Fristen, Third-Party-Risk-Management für alle kritischen IT-Dienstleister, regelmäßige Resilienztests. Für Finanzunternehmen ist IT-Sicherheit damit endgültig zur regulatorischen Kernpflicht geworden.

Häufige Compliance-Lücken je Branche

  • Arztpraxen: Unverschlüsselte Patientenkommunikation per E-Mail oder WhatsApp — § 203 StGB-Risiko wird unterschätzt
  • Arztpraxen: Praxisverwaltungssoftware ohne TI-Zertifizierung oder ohne aktuelle KBV-Technische-Anlagen-Konformität
  • Banken/Finanzdienstleister: Cloud-Dienste ohne BaFin-konforme Outsourcing-Meldung und ohne vertragliche BAIT-Absicherung
  • Banken/Finanzdienstleister: Fehlende oder veraltete Business-Continuity- und Notfallpläne für kritische IT-Systeme
  • Kanzleien: Mandantendaten in Standard-Cloud-Diensten (Dropbox, Google Drive) ohne berufsrechtliche Prüfung
  • Kanzleien: Nutzung von KI-Tools für die Mandatsarbeit ohne Prüfung der Verschwiegenheitspflicht und ohne AVV
  • Steuerberater: Digitale Belege und DATEV-Daten in Umgebungen ohne ausreichende Zugriffskontrollen
  • Alle Branchen: Fehlende Datenschutzschulungen für Mitarbeiter trotz Pflicht zur Nachweisbarkeit nach Art. 5 Abs. 2 DSGVO

Kanzleien und Steuerberater: Wenn Verschwiegenheit auf Cloud trifft

Rechtsanwälte, Notare und Steuerberater unterliegen einer berufsrechtlichen Verschwiegenheitspflicht, die über die DSGVO-Anforderungen hinausgeht. Für Rechtsanwälte ergibt sich das aus § 43a BRAO und dem Berufsgeheimnis nach § 203 StGB. Die Nutzung von Cloud-Diensten für Mandantendaten ist nicht per se verboten — aber sie erfordert eine sorgfältige berufsrechtliche Prüfung, die viele Kanzleien nicht durchführen.

Die Bundesrechtsanwaltskammer (BRAK) hat dazu eine Stellungnahme veröffentlicht: Cloud-Dienste sind zulässig, wenn der Anbieter ausreichende technische und organisatorische Maßnahmen nachweist, ein Auftragsverarbeitungsvertrag vorliegt und die Daten verschlüsselt gespeichert werden. US-Anbieter ohne ausreichende Datenschutzsicherungen sind für Mandantendaten problematisch — hier greifen Berufsrecht und DSGVO gleichzeitig.

Für Steuerberater gelten ähnliche Grundsätze. Die DATEV als zentrales IT-System der deutschen Steuerberater ist entsprechend abgesichert — aber viele Kanzleien nutzen daneben weitere Tools für Kommunikation, Dokumentenverwaltung und Mandatsabrechnung, die diese Standards nicht erfüllen. Besonders kritisch: Die Nutzung von Standard-KI-Tools für die Mandatsarbeit, ohne dass geprüft wurde, ob Mandantendaten dabei an Dritte übertragen werden.

Praxisbeispiel: Eine mittelgroße Rechtsanwaltskanzlei nutzte Dropbox Business für die Mandatsverwaltung — ohne AVV und ohne berufsrechtliche Prüfung. Nach einem Datenschutz-Audit musste die gesamte Infrastruktur umgestellt werden. Kosten: mehrere Tausend Euro für Migration, neue Software-Lizenzen und Datenschutzberatung. Hätte die Kanzlei von Anfang an eine DSGVO- und berufsrechtlich geprüfte Lösung eingesetzt, wäre der Aufwand ein Bruchteil davon gewesen. Compliance ist immer günstiger als Remediation.

So geht branchenspezifische Compliance-Prüfung

  1. Branchenspezifisches Regelwerk identifizieren

    Erstellen Sie eine Liste aller für Ihre Branche relevanten Regelwerke über die DSGVO hinaus: Für Gesundheit sind das KBV-Technische Anlagen, SGB V, Musterberufsordnung, für Finanzen BAIT/VAIT/DORA, für Kanzleien BRAO/StBerG/berufsrechtliche Stellungnahmen. Oft hilft ein Blick auf die Webseite des Berufsverbands oder der Aufsichtsbehörde.

  2. IT-Systeme und Cloud-Dienste inventarisieren

    Erfassen Sie alle eingesetzten IT-Systeme, Software und Cloud-Dienste mit Anbieter, Serverstandort und Art der verarbeiteten Daten. Für jedes System: Gibt es einen AVV? Entspricht der Anbieter den branchenspezifischen Anforderungen? Sind Zertifizierungen vorhanden (z.B. ISO 27001, BSI C5)?

  3. Kritische Lücken schließen — priorisiert

    Nicht alles kann gleichzeitig geändert werden. Priorisieren Sie nach Risiko: Was kann zu Strafbarkeit führen (§ 203 StGB, regulatorische Verstöße)? Was kann zu Bußgeldern führen (DSGVO-Verstöße)? Was ist Reputationsrisiko? Lösen Sie die kritischsten Punkte zuerst — oft sind das unverschlüsselte Kommunikationskanäle und nicht-abgesicherte Cloud-Dienste mit Mandanten- oder Patientendaten.

  4. Technische Maßnahmen dokumentieren (Art. 25, 32 DSGVO)

    Privacy by Design (Art. 25 DSGVO) und technische Schutzmaßnahmen (Art. 32 DSGVO) müssen nicht nur umgesetzt, sondern auch dokumentiert werden. Für branchenspezifische Anforderungen gilt dasselbe: Dokumentieren Sie welche Maßnahmen Sie getroffen haben, warum und wann. Diese Dokumentation ist Ihr Schutzschild bei Audits.

  5. Mitarbeiter schulen und Prozesse verankern

    Die beste technische Lösung nützt nichts, wenn Mitarbeiter Patientendaten trotzdem per WhatsApp versenden oder Mandantenunterlagen in private Cloud-Accounts laden. Schulungen müssen branchenspezifisch sein, regelmäßig stattfinden und dokumentiert werden. Für regulierte Branchen ist das keine Kür, sondern Pflicht.

  6. Externe Expertise einbinden — technisch und rechtlich

    Branchenspezifische Compliance ist komplex genug um Fehler zu machen, die teuer werden. INREMA berät auf der technischen Seite: datenschutzkonforme Webprojekte, sichere IT-Infrastruktur, DSGVO-konforme Integrationen. Für die rechtliche Bewertung — insbesondere Berufsrecht, BaFin-Compliance und strafrechtliche Aspekte — empfehlen wir spezialisierte Kanzleien und zertifizierte Datenschutzbeauftragte.

Der schnellste Weg zum branchenspezifischen Überblick: Suchen Sie nach dem Merkblatt oder Leitfaden Ihres Berufsverbands zum Thema Datenschutz und Cloud-Nutzung. BRAK (Rechtsanwälte), BStBK (Steuerberater), KBV (Kassenärzte) und BaFin (Finanzsektor) haben alle öffentlich zugängliche Dokumente zu diesen Themen veröffentlicht. Diese Dokumente sind Ihre erste Orientierung — bevor Sie eine externe Beratung einschalten.
Zusammenfassung
  • DSGVO ist Basisanforderung — Gesundheit, Finanzsektor und Kanzleien haben darüber hinaus berufsrechtliche und aufsichtsrechtliche Pflichten
  • Häufigste Lücken: unverschlüsselte Kommunikation, nicht-zertifizierte Cloud-Dienste, fehlende Mitarbeiterschulungen
  • INREMA berät auf der technischen Ebene — für berufsrechtliche und strafrechtliche Fragen sind spezialisierte Anwälte und DSBs der richtige Ansprechpartner

Häufige Fragen

Darf eine Arztpraxis Patientendaten per E-Mail versenden?
Nur verschlüsselt. Unverschlüsselte E-Mails mit Patientendaten verstoßen gegen Art. 32 DSGVO und können § 203 StGB tangieren. Für die sichere Patientenkommunikation sind KIM (Kommunikation im Medizinwesen) oder Ende-zu-Ende-verschlüsselte Systeme vorgeschrieben.
Was ist BAIT und wen betrifft es?
BAIT (Bankaufsichtliche Anforderungen an die IT) ist ein BaFin-Rundschreiben das IT-Governance und Informationssicherheit für Kreditinstitute regelt. Es betrifft alle Banken und Finanzdienstleister unter BaFin-Aufsicht — und damit auch alle IT-Dienstleister, die für diese arbeiten.
Können Steuerberater Mandantendaten in der Cloud speichern?
Ja, wenn der Anbieter ausreichende technische und organisatorische Maßnahmen nachweist, ein AVV vorliegt und die berufsrechtlichen Anforderungen erfüllt sind. DATEV ist als etabliertes System für Steuerberater geprüft — bei anderen Anbietern ist Sorgfalt gefragt.
Was bedeutet DORA für Finanzunternehmen?
DORA (Digital Operational Resilience Act) ist seit Januar 2025 anwendbar. Es verpflichtet Finanzunternehmen zu IT-Resilienz-Maßnahmen: Incident-Reporting, Third-Party-Risk-Management und regelmäßige Resilienztests. Auch wichtige IT-Dienstleister von Finanzunternehmen fallen unter DORA.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Compliance Management im Mittelstand: Mehr als nur Regelkonformität
9 Min. Lesezeit
Datenschutz & Compliance
Datenschutzbeauftragter: intern oder extern bestellen – was passt für Ihr Unternehmen?
8 Min. Lesezeit
Datenschutz & Compliance
DSGVO-Bußgelder: Wie groß ist das Risiko wirklich — und wie schützt man sich?
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen