Gastbeitrag von Ingrid Yeboah

 

Die Einführung der Europäischen Datenschutzgrundverordnung oder auch EU-DS-GVO oder DS-GVO sorgt seit ihrer Einführung am 29.05.2018 für viel Aufruhr, Unsicherheiten und ja auch ein wenig Resignation. Dieser Beitrag soll einen kleinen Einblick über die Bedeutung, die erforderlichen Schutzmaßnahmen und Tipps für die Inhaber von Therapiepraxen geben.

Um überhaupt zu verstehen, warum es den Datenschutz gibt, muss erläutert werden, dass dieser auf das Recht der informationellen Selbstbestimmung, als Ausfluss des Persönlichkeitsrechts im Grundgesetz (Art. 2 Absatz 1 und Art. 1 Grundgesetz) zurückzuführen ist. Danach soll jeder Einzelne selbst über die Benutzung und Verarbeitung seiner Daten bestimmen können. Allerdings fällt die Kontrolle im Zuge der Digitalisierung und Automatisierung in einer von uns befindlichen Informationsgesellschaft zunehmend schwerer. Mit dem Regelungswerk des Datenschutzrechts soll dem Einzelnen ein rechtliches Instrument an die Hand gegeben werden, um die Verwendung der Daten nicht über Gebühr zu beanspruchen.
Daher gilt im Datenschutzrecht der Grundsatz, dass eine Verarbeitung personenbezogener Daten verboten ist, es sei denn die Verarbeitung beruht auf einer Einwilligung oder Norm. Die wesentlichen Vorschriften, die eine Verarbeitung begründen, sind hauptsächlich in Art. 6 der DS-GVO geregelt.
Der Grundsatz der Transparenz verlangt von dem Verantwortlichen, also dem Praxisinhaber *in, die Verarbeitung personenbezogener Daten des Betroffenen bzw. der Patienten “präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache” darzulegen. Übersetzt bedeutet dies, dass jeder Verantwortliche dem Betroffenen so genau wie möglich über die einzelnen Prozesse innerhalb der Verarbeitung aufklären soll. Die Aufklärungspflicht beginnt mit der Kategorie der Patientendaten (Name, Geburtsdatum, Telefonnummer etc.) und endet mit der Information über das Recht, die der Betroffene im Zuge seiner Datenverarbeitung hat und geltend machen kann (z.B. Auskunftsanspruch, Widerruf der Datenverarbeitung etc.)

Des Weiteren muss jede Verarbeitung personenbezogener Daten einem Zweck dienen, der rechtmäßig und nicht unerheblich ist. Der Zweck sollte vor Beginn klar definiert und auch gegenüber dem Betroffenen kommuniziert werden. Das ist bei einer Praxis für Logopädie /Ergotherapie/ Physiotherapie der Fall, wenn der Patient*in behandelt werden möchte. Ohne mindestens den Namen des Patient*in zu kennen, kann natürlich keine Therapie begonnen werden. Liegt der Zweck nicht mehr vor, sind auch die Daten zu löschen. Damit zusammen hängt auch der Grundsatz der Datenminimierung. Dadurch soll die Verarbeitung der Daten auf das Mindestmaß reduziert werden. Somit werden keine Daten “in Anspruch” genommen, wenn kein Zweck vorliegt, was zu einer Minimierung und angemessenen Datenverarbeitung führt.

Praxistipp: Kontrollieren noch mal den Anmeldebogen in deiner Praxis, ob wirklich alle erhobenen Daten nötig sind, oder eventuell Fragen gestrichen werden können.

Selbstverständlich müssen personenbezogene Daten richtig und aktuell sein. Zum einem bedeutet das, dass die Daten ihrem Verarbeitungszweck entsprechend richtig und vollständig sein müssen. Zum anderem heißt das aber auch, dass sie auf dem aktuellen Stand zu halten sind. Als Verantwortliche musst Du demnach selbst Maßnahmen schaffen, dass die Daten der Patienten stets richtig sind. Ändert ein Patient seinen Namen oder Wohnsitz, so sind die Daten zu korrigieren und aktualisieren.
Die Löschung der Daten ist ein Kernpunkt des Grundsatzes der Speicherbegrenzung. Sobald der Zweck der Verarbeitung entfällt, bzw. unrichtige/ nicht aktuelle Daten vorliegen, sind diese zu löschen.
Nicht zuletzt bedarf es einer sorgfältigen und sicheren Verarbeitung der Daten. Sowohl sollte der Zugriff vor Unberechtigten geschützt werden als auch ein Verlust sowie eine Schädigung/Zerstörung vermieden werden.
Praxistipp: erstellst du regelmäßig Sicherungen der Daten auf deinem Praxisrechner? Hast du sie schon einmal auf Vollständigkeit geprüft? Für Papier-Daten: Gibt es eine Kopie?

Die Umsetzung bzw. Befolgung der zuvor genannten Datenschutzgrundsätze müssen nachgewiesen werden (Rechenschaftspflicht). Es ist daher von großer Bedeutung, dass Du alle datenschutzrechtlichen Maßnahmen ausführlich dokumentierst.

Praxistipp: Dazu ist es ausreichend, wenn man sein Verzeichnis für Verarbeitungstätigkeiten sorgfältig führt. Sich vielleicht ein individuelles Datenschutzmanagementsystem erstellt, also eigene interne Richtlinien schafft, die im Rahmen der Umsetzung einzuhalten sind. Jede Änderung/ Löschung/ neue Maßnahme festhält. Man muss sich vorstellen, dass die Aufsichtsbehörde an den Praxisinhaber herantreten könnte mit der Bitte nachzuweisen, dass die Grundsätze eingehalten werden. Wenn man also jeden dieser Schritte, in einem zumutbaren Umfang festhält, sollte das als Nachweis ausreichen.

Aus den Grundsätzen lassen sich auch die durchzuführenden Maßnahmen und/oder Pflichten ableiten.
So dient die Datenschutzerklärung bzw. Patienteninformation dem Grundsatz der Aufklärungspflicht, in der dann die Kategorien der Daten, Zweck, die Speicherdauer und die Rechtsgrundlage der Verarbeitung festgehalten werden.
Mit den technischen und organisatorischen Maßnahmen wird sichergestellt, dass Unbefugten der Zugriff verwehrt wird bzw. personenbezogenen Daten unbeschädigt/ unversehrt bleiben.
Das Führen eines Verzeichnis für Verarbeitungstätigkeiten schafft die erforderliche Übersicht, dient der Transparenz und verhilft dem Praxisinhaber Risiken oder auch Hürden der Verarbeitungstätigkeiten zu erkennen und entsprechende Maßnahmen einzuleiten.

Wie eben schon dargetan gilt als Verantwortlicher der/die PraxisinhaberIn. Jeder Verstoß gegen die Grundsätze ist auf den Verantwortlichen zurückzuführen. Daher sollte die Einhaltung des Datenschutzrechtes ernst genommen werden und stiefmütterlich festgehalten werden, damit der Rechenschaftspflicht nachgekommen werden kann.

Welche Maßnahmen nun für den einzelnen zu treffen sind, kann nicht einheitlich bestimmt werden. Aber um die eigene Praxis datenschutzkonform zu machen, empfiehlt es sich zu Beginn einen Status Quo festzuhalten.
Wo werden welche Daten, zu welchem Zweck wie lange gespeichert und warum?
Das fängt bei der Karteikarte der Patienten an und hört womöglich im Computersystem auf.
Wenn die Verarbeitung der Daten ausgelagert oder Tools (Praxisverwaltungssystem, digitale Kalender oder ähnliches) verwendet werden, ist auch dies festzuhalten und gegebenenfalls zu prüfen, ob sich eine Verarbeitung unter Zuhilfenahme von bestimmten Tools mit der DS-GVO vereinbaren lässt. Eine Auslagerung können auch freie Mitarbeiter sein. Dazu gehören bei Vorhandensein einer Homepage Webdesigner/Grafiker. Mit diesen sollte ein Auftragsverarbeitungsvertrag geschlossen werden. Der Abschluss ist deshalb wichtig, weil die Verarbeitung der personenbezogenen Daten auch bei einer Auslagerung in Deiner Verantwortung liegt und mit dem Abschluss eines Vertrages mit Auftragsverarbeiter eine Absicherung geschaffen werden kann, wenn sich die Auftragsverarbeiter vertraglich verpflichten die DS-GVO einzuhalten.

Zur Umsetzung von technischen und organisatorischen Maßnahmen können folgende Fragen als Anhaltspunkte dienen.
Sind die Karteikarten weggesperrt oder kann jeder darauf zugreifen? Wie sieht es mit dem PC aus? Ist er vor Viren oder Hacking geschützt, werden E-Mails verschlüsselt versendet? Sind Mitarbeiter entsprechend gebrieft und haben eine Verschwiegenheitsvereinbarung unterschrieben? Wie ist der Zutritt zu der Praxis?

Allein schon die die Bearbeitung, Beantwortung und Dokumentation dieser Fragen führt einem selbst vor Augen, wo eventuell noch Sicherheitslücken bestehen und wie diese überwunden werden können.

Wann ein Datenschutzbeauftragter benannt werden muss, ist zum einen davon abhängig , ob die Kerntätigkeit des Verantwortlichen in der Verarbeitung von personenbezogenen Daten liegt oder ob die Kerntätigkeit in der umfangreichen Verarbeitung von besonderer Kategorien personenbezogener Daten liegt. Abzugrenzen ist die Kerntätigkeit von der Nebentätigkeit innerhalb der Praxis. Wenn also die Verarbeitung der personenbezogener Daten lediglich dazu dient, Verwaltungsaufgaben zu erfüllen und nicht für die Umsetzung der Dienstleistung ausschlaggebend ist, liegt die Kerntätigkeit nicht in der Verarbeitung der personenbezogenen Daten. Kopfzerbrechen bereitet bei Praxen eher der Aspekt der Verarbeitung besonderer Kategorien personenbezogener Daten, wozu auch Gesundheitsdaten zählen.
Das Bundesdatenschutzgesetz schränkt zusätzlich die Anzahl der Mitarbeiter ein und schließt die Benennung eines Datenschutzbeauftragten aus, sobald die Schwelle von 10 Mitarbeitern nicht überschritten ist.
Praxen, die unter dieser Schwelle liegen, sind nicht schon deshalb verpflichtet, einen Datenschutzbeauftragten zu nennen, weil sie standardmäßig mit Gesundheitsdaten ihrer Patienten arbeiten. Eine Benennung ist vielmehr danach zu bestimmen, wie risikoreich die Datenverarbeitung für die Rechte des Patienten ist, in welchem Umfang personenbezogene Daten verarbeitet werden, ob sie in der Praxis verbleiben oder auch überregional oder sogar international verarbeitet werden und wie viele Personen bzw. Mitarbeiter letztendlich mit der Verarbeitung der Daten betraut sind.

Ich empfehle bei Unsicherheiten und Fragen auch die zuständige Aufsichtsbehörde für Datenschutz zu konsultieren.

 

 

Die Gastautorin

Ingrid Yeboah, ich bin Rechtsanwältin und habe mich im Sommer 2017 mit einer ehemaligen Studienkollegin selbstständig gemacht. Wir beraten Künstler und Menschen aus der Kultur- und Kreativbranche auf den Gebieten des Urheber-, Medien-, Design-, Marken- und Wettbewerbsrecht. Vordergründig geht es um die Erstellung von Lizenzverträgen, AGB oder auch die Anmeldung von Marken oder die gerichtliche Durchsetzung bzw. Verteidigung von Ansprüchen aus geistigem Eigentum. Da mich die Kultur -und Kreativszene privat auch sehr interessiert, bin ich dankbar, dies in meinem Job miteinfließen lassen zu können.

 

Ingrid Yeboah, LL.M. 
Rechtsanwältin

YW
Yeboah & Wiedemann Rechtsanwältinnen in Partnerschaft

Friedrichstr. 61 in 10117 Berlin
i.yeboah@yw-recht.de
+49 30921004111
+49 173 9736538
https://yw-recht.de/

 

 

Weiterführender memole Artikel zur DSGVO in Logopädiepraxen und Ergotherapiepraxen. vom Mai 2018.

Wir kennen es alle: Gerade als Praxisgründer*in ist jeder Tag viel zu kurz. Wie gestalte ich meine Therapien? Welches Diagnostikmaterial verwende ich für welchen Therapiebereich? Möchte ich mich auf gewisse Patienten*innen spezialisieren und bestimmte Störungsbilder anlocken? Dann kommt auch noch der finanzielle Bereich dazu: Wie werde ich Herr bzw. Frau der (finanziellen) Lage und welche Abrechnungssoftware eignet sich am besten für meine Bedürfnisse? Hinzu kommt die Angst irgendetwas falsch zu machen oder gegen verschiedene Gesetze und Richtlinien zu verstoßen ohne sich dessen überhaupt bewusst zu sein. Das trifft bei uns Heilmittelerbringern*innen vermutlich am ehesten auf den Bereich Werbung zu. Möglicherweise hast du es noch von deiner Ausbildung im Hinterkopf: „Du darfst keine Werbung machen!“ Das stimmt jedoch gar nicht. Du darfst auch als Heilmittelerbringer*in Werbung betreiben, wenn du gewisse Punkte berücksichtigst. Aber was genau gilt es zu berücksichtigen?

Die Basis der Praxiswerbung

Im Bereich der Werbung gelten für dich als Heilmittelerbringer*in in Deutschland grundsätzlich zwei Gesetze. Diese zwei Gesetze sind das HWG, das Heilmittelwerbegesetz, und das UWG, das Bundesgesetz gegen unlauteren Wettbewerb. Beide zielen darauf ab irreführende Werbung zu verhindern und deine Kunden*innen vor falschen bzw. vagen Behauptungen und Aussagen zu schützen. Die beste Hilfe zur Einschätzung, ob deine geplante Werbung nun irreführend ist oder nicht, ist dein eigener gesunder Sachverstand. Frage dich einfach selbst, ob das was du in der Werbung anpreist unter allen Umständen eintrifft oder ob das nur unter den günstigsten Bedingungen möglich ist? Deine Patienten*innen müssen sich auf die Aussage deiner Werbung zu 100% verlassen können.

Hier ein Beispiel, wie du es NICHT machen solltest:
Du möchtest dein Stottern endlich los werden? Dann lass mich dir helfen. Nach 5 Sitzungen gehört dein Stottern der Vergangenheit an.

Diese Werbung wäre definitiv irreführend, da damit versprochen wird, dass deine zukünftigen Patienten*innen nach 5 Sitzungen – komme was wolle – stotterfrei sind. Aus deiner persönlichen Erfahrung weißt du selbst, dass diese Garantie schlichtweg nicht gegeben werden kann und somit auch nicht in der Werbung verwendet werden darf. (§3 Abs. 2 HWG)

Ein weiteres Beispiel der Irreführung ist es, wenn unwahre oder täuschende Angaben gemacht werden. Spezielle Therapiemethoden oder Behandlungsabläufe, welche keiner Aus- oder Weiterbildung zugrunde liegen, dürfen daher nicht für Werbung verwendet werden. Zukünftige Patienten*innen könnten dadurch fälschlicherweise davon ausgehen, dass das dafür nötige Know-How vorhanden ist.

Weise deine Gutachten, Zeugnisse und Empfehlung vor

Wenn du mit deinen Dokumenten werben möchtest, musst du laut §6 HWG nachweisen, dass diese von wissenschaftlich oder fachlich berufenen Personen bzw. Instituten (Akademien) ausgestellt worden sind. Im Laufe deiner Karriere wirst du bereits einige Gutachten, Zeugnisse oder Empfehlungen und Bescheinigungen erhalten haben. Indem du diese vorweist und beweist, dass sie von wissenschaftlich oder fachlich anerkannten Personen oder Instituten ausgestellt wurden, kannst du sie auch für Praxiswerbung nutzen.

Bei Erwähnung solcher Dokumente in Werbetexten gilt es daher alle nötigen Informationen wie Ersteller*in mit Namen und Adresse sowie dem Ausstellungsjahr anzugeben. So können auch deine Patienten*innen sicher sein, dass du das Wissen, welches z.B. durch ein Zertifikat bestätigt wird, auch tatsächlich erworben hast. Du schaffst somit nicht nur Vertrauen, sondern kannst dich auch von deinen Mitbewerbern*innen abheben.

Warum hängst du nicht Fortbildungsbescheingungen und Zertifikate in deiner Praxis aus? Viele Ärzt*innen machen das genau so.

 

Fazit: Praxiswerbung als Heilmittelerbringer*in ist nicht schwer

Wie du siehst, ist Werbung für deine Praxis als Heilmittelerbringer*in nicht so kompliziert, wie es der Keine-Werbung-Mythos erahnen lässt. Das Wichtigste ist: Du darfst Werbung betreiben. Jene Punkte, die du laut Gesetz berücksichtigen musst, kannst du eher als gute Manieren zusammenfassen. In den letzten Jahren hat sich viel getan und auch die Gesetze sind liberaler und leichter anwendbar geworden. Du musst also keine Angst mehr vor dem Betreiben von Praxiswerbung haben. Halte dich im Bereich Praxiswerbung einfach an folgende drei Grundsätze:

  1. Gib nicht vor jemand zu sein, der/die du nicht bist.
  2. Versprich nichts, was du nicht zu 100% halten kannst.
  3. Und beweise dein Wissen und deine Fähigkeiten umgehend.

Wenn du das befolgst, bist du auf einem guten Weg zur gesetzeskonformen Praxiswerbung.

Hier findest du die Gesetzestexte

Gesetz gegen den unlauteren Wettbewerb

Gesetz über die Werbung auf dem Gebiete des Heilwesens (Heilmittelwerbegesetz – HWG)