Datenschutz & Sicherheit · 14. März 2026Calemio

KVKK-Datenschutz-Compliance für Therapeuten: Klientennotizen Rechtssicher Speichern

Ein praktischer Ratgeber zur KVKK-konformen Speicherung von Klientennotizen für Psychologen und Therapeuten. Behandelt Verschlüsselung, ausdrückliche Einwilligung, Datenspeicherfristen und Bußgeldrisiken, mit einer fertigen Compliance-Checkliste.

KVKK-Datenschutz-Compliance für Therapeuten: Klientennotizen Rechtssicher Speichern

Für einen Psychologen gehört die Sitzungsnotiz eines Klienten zu den sensibelsten Ergebnissen seiner professionellen Tätigkeit. Sie enthält die verletzlichsten Momente einer Person, ihre Beziehungen, ihre Ängste, und bisweilen Informationen, die in einem rechtlichen Kontext relevant werden könnten. Den Schutz dieser Notizen zu gewährleisten ist nicht nur eine ethische Verantwortung; es ist eine gesetzliche Pflicht.

In der Türkei stuft das Gesetz Nr. 6698, KVKK (das türkische Datenschutzgesetz, vergleichbar mit der DSGVO), Gesundheitsdaten als „besondere Kategorie personenbezogener Daten" ein. Die Regeln für diese Kategorie sind erheblich strenger. Unsachgemäße Speicherung, unzulässige Weitergabe oder unzureichende Verschlüsselung können zu Bußgeldern in Millionenhöhe (türkische Lira) führen.

Dieser Artikel beleuchtet, was KVKK-Compliance für freiberufliche Therapeuten und Kliniken bedeutet, welche Schritte unternommen werden müssen und was in der Praxis häufig übersehen wird.

Warum Werden Gesundheitsdaten als „Besondere Kategorie" Eingestuft?

Artikel 6 des KVKK unterscheidet bestimmte Datenkategorien vom Rest. Gesundheitsinformationen, Daten zum Sexualleben, rassische oder ethnische Herkunft, politische Meinungen und religiöse Überzeugungen fallen in diese besondere Kategorie.

Die Verarbeitung dieser Daten erfordert die „ausdrückliche Einwilligung der betroffenen Person". Das bedeutet, der Klient muss klar verstehen und genehmigen, welche seiner Daten verarbeitet werden, zu welchem Zweck, wie lange und mit wem sie geteilt werden können. Ein allgemeines „Ich stimme zu"-Häkchen reicht nicht aus.

Die Sitzungsnotizen eines Therapeuten, Aufnahmeformulare, Zahlungsinformationen und sogar Termindaten fallen in diesen Geltungsbereich. Denn selbst die Information „Herr Müller geht jeden Donnerstag um 14 Uhr zu Psychologe X", wenn sie einem Dritten gegenüber bekannt wird, stellt eine gesundheitsbezogene Schlussfolgerung über diese Person dar.

Wer Ist der Verantwortliche? Sind Sie Es?

Der Begriff des „Verantwortlichen" ist zentral im KVKK. Der Verantwortliche ist die Person oder Organisation, die entscheidet, warum und wie Daten verarbeitet werden.

Wenn Sie als freiberuflicher Therapeut arbeiten, ja, Sie sind der Verantwortliche. Wenn Ihr Jahresumsatz oder Ihre Mitarbeiterzahl bestimmte Schwellenwerte übersteigt, sind Sie außerdem verpflichtet, sich bei VERBİS (dem türkischen Register der Verantwortlichen) zu registrieren.

Wenn Sie unter dem Dach einer Klinik arbeiten, ist die Klinik der Verantwortliche und Sie sind in der Position des „Auftragsverarbeiters". Wenn Sie jedoch Notizen auf Ihrem eigenen Gerät aufbewahren oder zusätzliche Software ohne Wissen der Klinik nutzen, wird die Verantwortung geteilt, und komplizierter.

Wenn Sie eine Terminplanungssoftware verwenden, wird Ihr Softwareanbieter zu Ihrem „Auftragsverarbeiter". In diesem Fall ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Anbieter eine gesetzliche Anforderung.

Welche Datenschutz-Fehler Passieren Therapeuten am Häufigsten?

Bevor es an die Umsetzung geht, lohnt sich ein Blick auf die typischen Stolperfallen, denn sie passieren auch wohlmeinenden Therapeuten.

Einwilligung über WhatsApp einholen. Eine über WhatsApp gesendete Nachricht „Ich habe es gelesen und stimme zu" gilt nach KVKK nicht als gültige ausdrückliche Einwilligung. Ein schriftliches, datiertes und mit verifizierten Identitätsdaten versehenes Dokument ist erforderlich.

Klienten in Telefonkontakten speichern. Einen Klienten mit Namen und einem Vermerk wie „Therapie-Klient" im Telefon gespeichert zu haben, ist bereits ein Datenschutzrisiko. Es reicht, dass jemand Ihr Telefon in die Hand nimmt.

Notizen per unverschlüsselter E-Mail versenden. Notizen per unverschlüsselter E-Mail an einen Supervisor, eine Versicherung oder einen Kollegen weiterzuleiten ist ein ernsthaftes Risiko.

Kein Backup auf einem separaten Gerät. Wenn Ihr Gerät ausfällt, gehen die Daten verloren. Aber auch das Backup muss in einer verschlüsselten, KVKK-konformen Umgebung aufbewahrt werden.

Wie Richtet Man Eine KVKK-Konforme Praxis Ein? 9 Schritte

Die folgende Checkliste umfasst die praktischen Schritte, die ein freiberuflicher Therapeut oder eine kleine Klinik für die KVKK-Compliance unternehmen muss.

1. Bereiten Sie einen Text zur ausdrücklichen Einwilligung vor. Sie benötigen ein Dokument, das in klarer Sprache erklärt, welche Daten des Klienten verarbeitet werden, zu welchem Zweck, wie lange und von wem. Kopieren Sie keine Vorlage aus dem Internet, er muss auf Ihre spezifische Praxis zugeschnitten sein.

2. Halten Sie die Datenschutzerklärung als separates Dokument vor. Unter KVKK sind „ausdrückliche Einwilligung" und „Informationspflicht" zwei separate Verpflichtungen. Die Informationspflicht besteht darin, den Klienten auch ohne vorherige Einwilligung zu informieren.

3. Speichern Sie Daten mit Verschlüsselung. Excel, Word und Telefonnotizen sind nicht zulässig. Sie benötigen ein System mit Ende-zu-Ende-Verschlüsselung nach AES-256-Standard oder besser.

4. Führen Sie Zugriffsprotokolle. Welche Notiz wurde wann von wem geöffnet, dies muss dokumentiert werden. Dieses Protokoll kann bei einer Prüfung angefordert werden.

5. Legen Sie Datenspeicherfristen fest. Für Gesundheitsdaten gelten spezifische Aufbewahrungsfristen (in der Regel 10 Jahre nach der letzten Sitzung). Daten, deren Aufbewahrungsfrist abgelaufen ist, müssen vernichtet werden.

6. Bereiten Sie einen Plan für die Meldung von Datenschutzverletzungen vor. Tritt eine Datenschutzverletzung auf, sind Sie verpflichtet, die KVKK-Behörde innerhalb von 72 Stunden zu benachrichtigen. Das Fehlen eines im Voraus geplanten Verfahrens ist selbst ein Grund für zusätzliche Bußgelder.

7. Schließen Sie mit jeder Drittanbieter-Software einen AVV ab. Jeder Dienst, der Klientendaten berührt, Terminplanungssoftware, Cloud-Backup, E-Mail-Anbieter, erfordert einen Auftragsverarbeitungsvertrag.

8. Halten Sie Daten in der EU oder der Türkei. Die Übertragung von Daten auf Server in den USA erfordert zusätzliche Genehmigungen und Verträge. In der Praxis ist das Vorhalten von Daten innerhalb der EU der sicherste Ansatz.

9. Führen Sie jährliche Überprüfungen durch. KVKK-Entscheidungen und -Vorschriften entwickeln sich weiter. Eine jährliche Compliance-Prüfung ist eine gute Gewohnheit.

Worauf Sollten Sie bei der Wahl der Software Achten? 5 KVKK-Fragen

Wenn Sie ein Terminplanungs- oder Praxisverwaltungsprogramm beurteilen, verlangen Sie klare Antworten auf diese Fragen:

Wo werden die Daten gespeichert? Standorte außerhalb der EU oder der Türkei sind riskant.

Gibt es Ende-zu-Ende-Verschlüsselung und welcher Standard wird verwendet? AES-256 ist der minimal akzeptable Standard.

Wird auf Anfrage ein Auftragsverarbeitungsvertrag unterzeichnet? Lautet die Antwort „nein" oder „noch nicht", suchen Sie eine Alternative.

Werden meine Daten für das Training von KI verwendet? Im Vertrag sollte eine ausdrückliche Klausel vorhanden sein.

Wenn ich kündige, kann ich meine Daten exportieren und vollständig aus dem System löschen lassen? Das „Recht auf Vergessenwerden" nach KVKK muss auch für Sie gelten.

Welche Vorteile Bringt KVKK-Compliance in der Praxis?

KVKK-Compliance kann für Therapeuten wie eine zusätzliche bürokratische Last erscheinen. Aber mit den richtigen Werkzeugen läuft sie nach der Einrichtung weitgehend im Hintergrund ab, und sie bringt konkrete Vorteile:

  • Kein Bußgeldrisiko: Verschlüsselung, dokumentierte Einwilligungen und AVVs schützen Sie vor Sanktionen in Millionenhöhe.
  • Schutz der Klientendaten: Sensible Sitzungsnotizen bleiben auch bei Geräteverlust oder Diebstahl unlesbar.
  • Reibungslose Prüfungen: Zugriffsprotokolle und klare Aufbewahrungsfristen machen eine behördliche Prüfung planbar statt bedrohlich.
  • Stärkeres Vertrauen: Der eigentliche Vorteil ist, Ihren Klienten sagen zu können: „Ihre Daten liegen in meiner Verantwortung und sind wirklich geschützt." Das ist die Grundlage der therapeutischen Beziehung.

Compliance ist damit kein einmaliges Projekt, sondern ein Teil des Berufs, der nach der Einrichtung leise im Hintergrund weiterläuft.

KVKK-Konforme Klientenverwaltung mit Calemio

Calemio ist Ende-zu-Ende verschlüsselt, Daten werden in EU-Rechenzentren gespeichert und die Plattform wurde auf KVKK- und DSGVO-Konformität geprüft. Verschlüsselte Klientenakten halten Sitzungsnotizen, Termine und Dokumente an einem Ort, Zugriffsprotokolle und rollenbasierte Berechtigungen sind bereits eingebaut. Ein Auftragsverarbeitungsvertrag steht allen Fachleuten zur Verfügung, die ihn anfordern. Sie können mit einer kostenlosen Testversion beginnen.

Häufig gestellte Fragen

Was zählt bei Therapeuten als „besondere Kategorie personenbezogener Daten“?

Nach Artikel 6 KVKK gehören Gesundheitsdaten zu den besonders geschützten Datenkategorien. Bei Therapeuten fallen darunter Sitzungsnotizen, Aufnahmeformulare, Diagnosen und sogar Termindaten, weil sich daraus eine gesundheitsbezogene Schlussfolgerung über die Person ergibt. Die Verarbeitung erfordert die ausdrückliche Einwilligung des Klienten.

Wie muss ich Klientennotizen KVKK-konform speichern?

Klientennotizen müssen verschlüsselt gespeichert werden, mindestens nach AES-256-Standard. Excel, Word oder Telefonnotizen sind nicht zulässig. Zusätzlich sollten Zugriffsprotokolle geführt, klare Aufbewahrungsfristen definiert und Daten innerhalb der EU oder der Türkei gehalten werden.

Reicht eine Einwilligung per WhatsApp oder ein Häkchen aus?

Nein. Ein allgemeines „Ich stimme zu“-Häkchen oder eine WhatsApp-Nachricht gilt nach KVKK nicht als gültige ausdrückliche Einwilligung. Erforderlich ist ein schriftliches, datiertes Dokument, das erklärt, welche Daten zu welchem Zweck, wie lange und mit wem verarbeitet werden, mit verifizierter Identität des Klienten.

Brauche ich mit meiner Terminsoftware einen Auftragsverarbeitungsvertrag?

Ja. Sobald eine Software Klientendaten berührt, wird der Anbieter zu Ihrem Auftragsverarbeiter, und ein Auftragsverarbeitungsvertrag (AVV) ist gesetzlich vorgeschrieben. Das gilt für Terminplanung, Cloud-Backups und E-Mail-Dienste gleichermaßen. Bietet ein Anbieter keinen AVV an, sollten Sie eine Alternative wählen.

Wie lange muss ich Klientendaten aufbewahren und wann löschen?

Für Gesundheitsdaten gelten spezifische Aufbewahrungsfristen, in der Regel 10 Jahre nach der letzten Sitzung. Nach Ablauf der Frist müssen die Daten sicher vernichtet werden. Es empfiehlt sich, diese Fristen im System zu hinterlegen und einmal jährlich zu überprüfen.

Muss ich mich als freiberuflicher Therapeut bei VERBİS registrieren?

Als freiberuflicher Therapeut sind Sie der Verantwortliche im Sinne des KVKK. Ob eine VERBİS-Registrierung nötig ist, hängt davon ab, ob Ihr Jahresumsatz oder Ihre Mitarbeiterzahl bestimmte Schwellenwerte übersteigt. Arbeiten Sie unter dem Dach einer Klinik, ist meist die Klinik der Verantwortliche und Sie der Auftragsverarbeiter.

Verwandte Artikel

Diesen Artikel teilen
Mio

Calemio kostenlos testen

Verschlüsselt, konform und einfach. Entwickelt für freie Therapeuten und Kliniken.

Kostenlos starten