Datenschutz • Aktualisiert: 19. Februar 2026

DSGVO im Praxisalltag: Was MFA bei der mobilen Datenerfassung beachten müssen

Mobile Dokumentation bei Hausbesuchen spart Zeit – aber sie betrifft besonders schützenswerte Gesundheitsdaten. Dieser Beitrag zeigt praxisnah, welche organisatorischen und technischen Maßnahmen wirklich zählen.

Hinweis: Dieser Artikel bietet praxisorientierte Informationen und ersetzt keine Rechtsberatung. Verantwortliche Praxisinhaber sollten die konkrete Umsetzung (z. B. AV-Verträge, Löschfristen, TOMs) mit Datenschutzbeauftragten/IT-Sicherheitsdienstleistern abstimmen.

Die digitale Erfassung von Patientendaten während des Hausbesuchs verhindert Übertragungsfehler und reduziert Doppelarbeit. Doch sobald Gesundheitsdaten die Praxisräume verlassen, steigen die Anforderungen an Datenschutz und IT-Sicherheit deutlich. Für MFA, VERAH® und NÄPA stellt sich daher die Frage: Wie kann ich mobil arbeiten, ohne die DSGVO zu verletzen?

1) Kurz erklärt: Warum Hausbesuche datenschutzrechtlich besonders anspruchsvoll sind

Bei Hausbesuchen werden regelmäßig Gesundheitsdaten verarbeitet – also eine „besondere Kategorie personenbezogener Daten“. Diese Verarbeitung ist grundsätzlich verboten und nur unter engen Voraussetzungen erlaubt. In der Versorgungspraxis ist häufig die Ausnahme für Behandlung/Versorgung relevant (Art. 9 Abs. 2 lit. h DSGVO), kombiniert mit einer passenden Rechtsgrundlage nach Art. 6 DSGVO.

Praxis-Tipp: Einwilligungen sind nicht automatisch die beste Lösung – im medizinischen Kontext sind andere Rechtsgrundlagen oft passender, stabiler und weniger fehleranfällig.

2) Rollen klären: Praxis, Team, Dienstleister

In fast allen Setups gilt:

  • Die Praxis ist Verantwortlicher (entscheidet über Zwecke und Mittel der Verarbeitung).
  • Software-/Hosting-Anbieter ist meist Auftragsverarbeiter → es braucht einen Auftragsverarbeitungsvertrag (AVV) inkl. technischer und organisatorischer Maßnahmen (TOMs).
  • MFA/VERAH®/NÄPA arbeiten weisungsgebunden im Auftrag der Praxis und müssen auf Vertraulichkeit/Geheimhaltung verpflichtet sein (insb. bei Gesundheitsdaten).

3) Der Hausbesuch als „Datenschutz-Risikozone“

Vor Ort entstehen viele Daten: Diagnosen, Medikationspläne, Vitalparameter, Assessments – manchmal auch Fotos (z. B. Wunden). Typische Risiken entstehen nicht nur digital, sondern auch organisatorisch: Gespräche im Treppenhaus, Notizen im Auto, offene Displays, ungesicherte Geräte. Deshalb braucht es klare Regeln und wirksame technische Schutzmaßnahmen.

4) Die größten Datenschutz-Fallen im Alltag

Vermeiden Sie unbedingt folgende Praktiken, die in vielen Praxen leider noch vorkommen:

  • Fotos mit dem privaten Smartphone: Bilder in privater Galerie oder Consumer-Cloud (z. B. automatische Foto-Backups) sind hochriskant.
  • Consumer-Messenger: Patientennamen, Befunde oder Fotos über ungeeignete Messenger zu senden ist ein häufiger, schwerer Fehler.
  • Ungesicherte Notizen / „Zettelwirtschaft“: Papier mit Klarnamen im Fahrzeug oder in der Tasche kann verloren gehen oder eingesehen werden.
  • Offene Bildschirme: Kein Auto-Lock, keine Displaysperre, keine Sichtschutz-Regeln (z. B. im Wartebereich oder Hausflur).
  • BYOD ohne Regeln: „Bring your own device“ ohne MDM, ohne Trennung privat/beruflich und ohne Löschkonzept ist organisatorisch kaum beherrschbar.

5) Was „DSGVO-konform“ in der Praxis wirklich bedeutet (TOMs)

DSGVO-Konformität ist kein einzelnes Feature, sondern eine Kombination aus Organisation und Technik. Gute Praxis orientiert sich an Schutzzielen (Vertraulichkeit, Integrität, Verfügbarkeit) und an konkreten Maßnahmen – gerade bei mobilen Endgeräten.

A) Geräteschutz (Minimum für Hausbesuche)

  • Gerätesperre: PIN/Passcode + Biometrie, kurze Auto-Sperre.
  • Updates: Betriebssystem und App regelmäßig aktualisieren.
  • Kein Jailbreak/Root: Solche Geräte dürfen nicht für Patientendaten genutzt werden.
  • Trennung privat/beruflich: Container-/Managed-App-Ansatz oder Dienstgerät statt Privatgerät.

B) Mobile-Device-Management (MDM) & Richtlinie

In vielen Praxis-Setups ist ein MDM sinnvoll bzw. in größeren Praxen faktisch Standard: Geräte registrieren, Richtlinien erzwingen, Apps verwalten, Compliance prüfen und bei Verlust Remote Wipe durchführen.

  • Remote Wipe / Sperre: Daten aus der Ferne löschen, wenn ein Gerät verloren geht.
  • Richtlinie „Mobile Geräte“: Verbindliche Regeln: Aufbewahrung, Transport, Nutzung, Verlust-Prozess.
  • App-Whitelisting: Nur freigegebene Apps in der beruflichen Umgebung.

C) Verschlüsselung – korrekt formuliert

  • Transportverschlüsselung: Datenübertragung über TLS.
  • Verschlüsselung ruhender Daten: Daten sind auf dem Gerät/Server verschlüsselt gespeichert (insb. Offline-Fälle).
  • Optional: Ende-zu-Ende-Verschlüsselung ist möglich, wenn sie technisch wirklich umgesetzt und klar abgegrenzt ist (z. B. für definierte Kommunikationsmodule).

D) Zugriff, Protokollierung, Datenminimierung

  • Rollen & Rechte: MFA sehen nur, was sie für den Einsatz brauchen (Need-to-know).
  • Protokollierung: Nachvollziehbarkeit, wer wann auf welche Akte zugegriffen hat (Audit Trail).
  • Datenminimierung: Nur notwendige Daten mobil, möglichst kurze Offline-Zeiten, automatische Bereinigung.

6) Wie digitale Tools (z. B. MARA Assist) in der Praxis helfen können

Spezialisierte Praxis-Apps sind darauf ausgelegt, typische Fehlerquellen zu vermeiden – vorausgesetzt, sie sind korrekt konfiguriert und organisatorisch eingebettet. Typische Bausteine einer „praxisgerechten“ Lösung:

  • Geschützte App-Umgebung: Daten verbleiben in der App, statt in systemweiten Ordnern (Galerie/Dateimanager).
  • Gerätebindung & Login-Schutz: App-PIN/Biometrie, optional 2-Faktor, Sitzungs-Timeout.
  • Synchronisation & Offline-Regeln: Offline nur wenn nötig; Synchronisation bei sicherer Verbindung; definierte Lösch-/Cache-Strategie.
  • Hosting/Backend: Serverstandort Deutschland/EU (nach Vertrag), AVV, definierte TOMs, Backups und Berechtigungskonzepte.
Wichtig: DSGVO-Konformität entsteht nicht allein durch „die App“. Entscheidend sind auch: AVV, mobile Geräte-Richtlinie, Schulung, Rollen & Rechte, Löschkonzept und ein klarer Prozess bei Verlust/Incidents.

7) Sonderfall Fotos (z. B. Wunddokumentation) – so bleibt es sicher

Fotos können medizinisch notwendig sein, sind aber datenschutzrechtlich besonders sensibel. Gute Praxis ist:

  • Keine Privatgeräte und keine Speicherung in Galerie/Cloud-Backups.
  • Direkt in der Fach-App erfassen (sofern vorgesehen) und nach dem Upload lokal minimieren/löschen.
  • Zweck klar dokumentieren: Warum ist das Foto erforderlich? Wer bekommt Zugriff?
  • Übermittlung nur über sichere Kanäle: Keine Consumer-Messenger.

8) Wenn etwas passiert: Verlust, Diebstahl, Fehlversand

  1. Sofort melden: An Praxisleitung/IT/Datenschutzbeauftragten.
  2. Gerät sperren & remote löschen (MDM/Account-Sperre), Passwörter/Token zurücksetzen.
  3. Risiko bewerten & dokumentieren: Welche Daten? Welche Schutzmaßnahmen? War Verschlüsselung aktiv?
  4. Weitere Schritte: Je nach Bewertung können Melde-/Informationspflichten relevant werden (Fristen/Anforderungen sind strikt).

9) Checkliste für den sicheren Hausbesuch (kurz & alltagstauglich)

  1. Dienstgerät oder gemanagtes Gerät? (Kein Privatgerät ohne Regeln.)
  2. Gerätesperre aktiv (Passcode/biometrisch), Auto-Lock kurz eingestellt.
  3. Keine Patientennamen „außen“ (Mappen, Notizbücher, sichtbare Listen).
  4. Bildschirm immer sperren, sobald das Gerät weggelegt wird.
  5. Keine Patientengespräche in Treppenhaus/Aufzug/ÖPNV.
  6. Fotos nur in der Fach-App – nie in Galerie/Cloud.
  7. Nur sichere Kommunikation (freigegebene Kanäle, keine Consumer-Messenger).
  8. Verlust-Prozess bekannt? Wer wird informiert, wie wird gesperrt/gelöscht?

Fazit: Datenschutz ist machbar – mit klaren Regeln und passenden Tools

Mobile Dokumentation muss kein Risiko sein. Wenn Rollen geklärt sind (Verantwortlicher/AV), mobile Geräte professionell abgesichert werden (Richtlinie/MDM/Remote Wipe) und die App korrekt konfiguriert ist (Verschlüsselung, Rechte, Protokollierung), wird Datenschutz zur Routine – auch im Außendienst.

Sicher digital dokumentieren? Werden Sie Pilotpraxis →

← Zurück zur Blog-Übersicht