Der Datenschutz in Arztpraxen ist anspruchsvoll, denn Gesundheitsdaten sind, gem. Art. 9 DSGVO, eine besonders schützenswerte Kategorie. Gesundheitsdaten sind im Art. 4 Nr. 15 der DSGVO legaldefiniert. Diese Daten können sensibel sein, da sie die physische oder psychische Gesundheit eines Patienten und seiner medizinischen Versorgung beinhalten. Gesundheitsdaten wie Sozialversicherungsnummern, Diagnosen, Medikations- und Behandlungspläne müssen hochsicheren Standards unterliegen. Im Wartebereich sollten z. B. gut sichtbare Betroffeneninformationen, gem. Art. 13 DSGVO, angebracht werden. Wenn diese bereits beim Erstbesuch zusammen mit der Patientendaten-Erfassungsliste übergeben wurden, ist dies nicht nötig. Diese Informationen klären darüber auf, welche personenbezogenen Daten zu welchen Zwecken erfasst werden (Zweck der Verarbeitung), wer für die Datenverarbeitung verantwortlich ist und wer als Ansprechpartner dient. Außerdem wird die Dauer der Datenspeicherung angegeben.
Die Verarbeitung von Gesundheitsdaten durch Ärzt/-innen erfolgt normalerweise gemäß Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO oder Art. 6 Abs. 1 lit. b) DSGVO. Außerdem unterliegen Ärzt/-innen der strafbewehrten Schweigepflicht, gem. § 203 StGB. In manchen Fällen müssen diese an Dritte weitergegeben werden. Datenübertragungen sind nur zulässig, wenn eine rechtliche Grundlage dafür besteht. Diese Grundlage kann entweder eine Einwilligung des Patienten oder eine gesetzliche Bestimmung sein. Anfragen von Krankenkassen, die auf einem vertragsärztlichen Formular basieren, fallen unter einer solchen gesetzlichen Bestimmung und müssen daher beantwortet werden. Ebenso können Anfragen von Gesundheitsämtern, Sozialgerichten oder anderen Stellen auf einer entsprechenden Rechtsgrundlage beruhen, wie beispielsweise das Infektionsschutzgesetz für Gesundheitsämter.