DEEN
Support Beratung anfragen
← Zurück zu News

§203 StGB und IT-Dienstleister: Was sich seit 2017 geändert hat

Datenschutz 22. März 2026 ≈ 6 Min. Lesezeit

Bis 2017 hatten Ärztinnen und Ärzte ein juristisches Problem: Sie durften streng genommen keinen externen IT-Dienstleister an ihre Systeme lassen, weil §203 Strafgesetzbuch (StGB) — die berufliche Schweigepflicht — die Offenbarung von Patient:innen-Geheimnissen unter Strafe stellt. Dass moderner Praxisbetrieb ohne IT-Wartung schlicht nicht funktioniert, ignorierte das Gesetz. Mit der Reform vom 9. November 2017 wurde diese Lücke geschlossen — aber eben nicht durch einen Freifahrtschein, sondern durch ein klar definiertes Regelwerk. Wer als Praxis (oder als IT-Dienstleister) heute zusammenarbeitet, sollte dieses Regelwerk kennen.

Was §203 StGB regelt

§203 StGB stellt die unbefugte Offenbarung fremder Geheimnisse durch bestimmte Berufsträger:innen unter Strafe — namentlich Ärzte und Ärztinnen, Zahnärzte, Psychotherapeut:innen, Anwält:innen, Steuerberater:innen, aber auch deren berufsmäßig tätige Gehilf:innen. Geschützt sind nicht nur „medizinische" Inhalte: schon der Umstand, dass jemand bei Ihnen in Behandlung ist, fällt darunter. Vor 2017 stand die Praxis-IT genau in dieser Grauzone.

Was die Reform 2017 geändert hat

Mit dem Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen wurden im novellierten §203 Abs. 3 Satz 2 StGB die sogenannten mitwirkenden Personen ausdrücklich erfasst. Vereinfacht:

  • Eine Ärztin darf einen externen IT-Dienstleister einbinden und ihm Zugriff auf Daten gewähren — soweit dies für die Erbringung der Dienstleistung erforderlich ist.
  • Im Gegenzug muss sie den Dienstleister vertraglich zur Verschwiegenheit verpflichten und ihn auf §203 StGB hinweisen.
  • Der Dienstleister wird in den Strafrahmen einbezogen: Auch er macht sich nach §203 Abs. 4 StGB strafbar, wenn er gegen die Verschwiegenheitspflicht verstößt.

Nach dem geänderten §203 StGB können niedergelassene (Zahn-)Ärzte, Klinik(zahn-)ärzte sowie Krankenhäuser externen Dienstleistern Zugang zu vertraulichen Daten gewähren, soweit dies für die Erbringung der externen Leistung erforderlich ist.

Warum das gut ist — und warum es Pflichten erzeugt

Die Reform legalisiert, was im Alltag ohnehin notwendig ist. Sie zieht aber gleichzeitig eine klare Linie zwischen „Es ist erlaubt, weil dokumentiert und vertraglich geregelt" und „Es war einfach so". Konkret bedeutet das für Ihre Praxis:

  1. Mit jedem IT-Dienstleister, der Zugriff auf personenbezogene Patient:innen-Daten haben könnte (auch nur theoretisch — z. B. über Fernwartung), brauchen Sie eine schriftliche Verschwiegenheitsverpflichtung.
  2. Sie brauchen einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, der Zwecke, Umfang, Sicherheitsmaßnahmen und Unterauftragsverarbeiter regelt.
  3. Sie sollten den Zugriff auf das technisch Erforderliche begrenzen — kein pauschaler Adminzugriff, wenn ein gezielter Servicezugang reicht.
  4. Sie sollten die Tätigkeiten dokumentieren (Wartungsprotokolle, Ticket-Nachweise). Im Audit-Fall ist das die wichtigste Linie.

Was die Reform nicht regelt — und wo es trotzdem klemmen kann

Die Reform befreit Sie nicht von der Verantwortung, einen seriösen Dienstleister auszuwählen. Und sie reicht nicht in Auslandssachverhalte hinein: ein US-amerikanischer Cloud-Dienst, auf den Sie Patient:innen-Daten legen, ist auch nach Reform nicht automatisch erlaubt. Hier greifen weiterhin Anforderungen aus DSGVO, eHealth-Gesetzgebung und (für Sozialdaten) §75b SGB V.

Woran Sie einen guten AVV erkennen

Ein guter AVV für die IT-Wartung in einer Praxis enthält in der Regel:

  • klare Beschreibung der Tätigkeit (Fernwartung, Backup, Monitoring …);
  • Liste der eingesetzten Subunternehmer (z. B. Hosting-Anbieter) und das Recht, neuen Subunternehmern zu widersprechen;
  • technische und organisatorische Maßnahmen (TOM) — beim Dienstleister hinterlegt, auf Verlangen vorlegbar;
  • Verschwiegenheitsverpflichtung der Mitarbeitenden des Dienstleisters auf §203 StGB;
  • Regelungen zur Datenherausgabe und -löschung am Vertragsende;
  • Meldepflicht bei Sicherheitsvorfällen, mit konkreten Fristen.

Klingt nach viel. Ist aber in einem soliden Vertragsmuster vier bis sechs Seiten — und in der Praxis einmal eingerichtet, danach Routine.

Was wir machen

Wir arbeiten ausschließlich auf Basis eines AVV nach Art. 28 DSGVO und mit Verpflichtung auf §203 StGB. Unsere Mitarbeitenden (auch wenn das bei einer Inhaberfirma derzeit „nur" der Inhaber selbst ist) sind entsprechend belehrt; alle Subunternehmer (z. B. Hetzner als Hoster) haben jeweils einen eigenen AVV. Wenn Sie uns als neuen Dienstleister einbinden, liefern wir die Vertragsdokumente mit; wenn Sie bereits einen Standard nutzen, passen wir uns dem an.

Hinweis: Dieser Artikel ist eine fachlich-orientierende Zusammenfassung, keine Rechtsberatung. Für rechtsverbindliche Auskünfte wenden Sie sich an Ihren juristischen Berater oder die zuständige Ärztekammer.

Quellen

  1. Bundesärztekammer / KBV: Ärztliche Schweigepflicht (2025) — Hinweis- und Informationspapier. bundesaerztekammer.de · PDF
  2. Bundesärztekammer: Stellungnahme zum Regierungsentwurf der Reform von §203 StGB. bundesaerztekammer.de · PDF
  3. Deutsches Ärzteblatt: Verschwiegenheitspflicht — Gesetzgeber regelt Einbindung externer Dienstleister. aerzteblatt.de
  4. IWW: Änderung des §203 StGB regelt Weitergabe geschützter Daten an externe Dienstleister. iww.de
  5. activeMind: Auftragsverarbeitung für Berufsgeheimnisträger. activemind.de
  6. Kanzlei GÖRG: §203 StGB in der Gesundheitsbranche. goerg.de

Weitere Artikel

IT-Sicherheit · 14. Mai 2026

Phishing in der Praxis: Was MFA wirklich verhindert

Weiterlesen IT-Sicherheit · 04. März 2026

Backup ist nicht gleich Backup

Weiterlesen tomedo® · 28. April 2026

KIM 1.5: Was sich für Ihre Praxis ändert

Weiterlesen

AVV und Verschwiegenheit — sauber von Anfang an.

Wir bringen die nötigen Verträge mit. Sie konzentrieren sich auf Ihre Patient:innen.

Beratung anfragen