Datenschutzgrundverordnung in Therapiepraxen der Logopädie und Ergotherapie

memole Interview Gast

Gastbeitrag von Ingrid Yeboah

Die Einführung der Europäischen Datenschutzgrundverordnung oder auch EU-DS-GVO oder DS-GVO sorgt seit ihrer Einführung am 29.05.2018 für viel Aufruhr, Unsicherheiten und ja auch ein wenig Resignation. Dieser Beitrag soll einen kleinen Einblick über die Bedeutung, die erforderlichen Schutzmaßnahmen und Tipps für die Inhaber von Therapiepraxen geben.

Um überhaupt zu verstehen, warum es den Datenschutz gibt, muss erläutert werden, dass dieser auf das Recht der informationellen Selbstbestimmung, als Ausfluss des Persönlichkeitsrechts im Grundgesetz (Art. 2 Absatz 1 und Art. 1 Grundgesetz) zurückzuführen ist. Danach soll jeder Einzelne selbst über die Benutzung und Verarbeitung seiner Daten bestimmen können. Allerdings fällt die Kontrolle im Zuge der Digitalisierung und Automatisierung in einer von uns befindlichen Informationsgesellschaft zunehmend schwerer. Mit dem Regelungswerk des Datenschutzrechts soll dem Einzelnen ein rechtliches Instrument an die Hand gegeben werden, um die Verwendung der Daten nicht über Gebühr zu beanspruchen.
Daher gilt im Datenschutzrecht der Grundsatz, dass eine Verarbeitung personenbezogener Daten verboten ist, es sei denn die Verarbeitung beruht auf einer Einwilligung oder Norm. Die wesentlichen Vorschriften, die eine Verarbeitung begründen, sind hauptsächlich in Art. 6 der DS-GVO geregelt.
Der Grundsatz der Transparenz verlangt von dem Verantwortlichen, also dem Praxisinhaber *in, die Verarbeitung personenbezogener Daten des Betroffenen bzw. der Patienten “präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache” darzulegen. Übersetzt bedeutet dies, dass jeder Verantwortliche dem Betroffenen so genau wie möglich über die einzelnen Prozesse innerhalb der Verarbeitung aufklären soll. Die Aufklärungspflicht beginnt mit der Kategorie der Patientendaten (Name, Geburtsdatum, Telefonnummer etc.) und endet mit der Information über das Recht, die der Betroffene im Zuge seiner Datenverarbeitung hat und geltend machen kann (z.B. Auskunftsanspruch, Widerruf der Datenverarbeitung etc.)

Des Weiteren muss jede Verarbeitung personenbezogener Daten einem Zweck dienen, der rechtmäßig und nicht unerheblich ist. Der Zweck sollte vor Beginn klar definiert und auch gegenüber dem Betroffenen kommuniziert werden. Das ist bei einer Praxis für Logopädie /Ergotherapie/ Physiotherapie der Fall, wenn der Patient*in behandelt werden möchte. Ohne mindestens den Namen des Patient*in zu kennen, kann natürlich keine Therapie begonnen werden. Liegt der Zweck nicht mehr vor, sind auch die Daten zu löschen. Damit zusammen hängt auch der Grundsatz der Datenminimierung. Dadurch soll die Verarbeitung der Daten auf das Mindestmaß reduziert werden. Somit werden keine Daten “in Anspruch” genommen, wenn kein Zweck vorliegt, was zu einer Minimierung und angemessenen Datenverarbeitung führt.

Praxistipp: Kontrollieren noch mal den Anmeldebogen in deiner Praxis, ob wirklich alle erhobenen Daten nötig sind, oder eventuell Fragen gestrichen werden können.

Selbstverständlich müssen personenbezogene Daten richtig und aktuell sein. Zum einem bedeutet das, dass die Daten ihrem Verarbeitungszweck entsprechend richtig und vollständig sein müssen. Zum anderem heißt das aber auch, dass sie auf dem aktuellen Stand zu halten sind. Als Verantwortliche musst Du demnach selbst Maßnahmen schaffen, dass die Daten der Patienten stets richtig sind. Ändert ein Patient seinen Namen oder Wohnsitz, so sind die Daten zu korrigieren und aktualisieren.
Die Löschung der Daten ist ein Kernpunkt des Grundsatzes der Speicherbegrenzung. Sobald der Zweck der Verarbeitung entfällt, bzw. unrichtige/ nicht aktuelle Daten vorliegen, sind diese zu löschen.
Nicht zuletzt bedarf es einer sorgfältigen und sicheren Verarbeitung der Daten. Sowohl sollte der Zugriff vor Unberechtigten geschützt werden als auch ein Verlust sowie eine Schädigung/Zerstörung vermieden werden.
Praxistipp: erstellst du regelmäßig Sicherungen der Daten auf deinem Praxisrechner? Hast du sie schon einmal auf Vollständigkeit geprüft? Für Papier-Daten: Gibt es eine Kopie?

Die Umsetzung bzw. Befolgung der zuvor genannten Datenschutzgrundsätze müssen nachgewiesen werden (Rechenschaftspflicht). Es ist daher von großer Bedeutung, dass Du alle datenschutzrechtlichen Maßnahmen ausführlich dokumentierst.

Praxistipp: Dazu ist es ausreichend, wenn man sein Verzeichnis für Verarbeitungstätigkeiten sorgfältig führt. Sich vielleicht ein individuelles Datenschutzmanagementsystem erstellt, also eigene interne Richtlinien schafft, die im Rahmen der Umsetzung einzuhalten sind. Jede Änderung/ Löschung/ neue Maßnahme festhält. Man muss sich vorstellen, dass die Aufsichtsbehörde an den Praxisinhaber herantreten könnte mit der Bitte nachzuweisen, dass die Grundsätze eingehalten werden. Wenn man also jeden dieser Schritte, in einem zumutbaren Umfang festhält, sollte das als Nachweis ausreichen.

Aus den Grundsätzen lassen sich auch die durchzuführenden Maßnahmen und/oder Pflichten ableiten.
So dient die Datenschutzerklärung bzw. Patienteninformation dem Grundsatz der Aufklärungspflicht, in der dann die Kategorien der Daten, Zweck, die Speicherdauer und die Rechtsgrundlage der Verarbeitung festgehalten werden.
Mit den technischen und organisatorischen Maßnahmen wird sichergestellt, dass Unbefugten der Zugriff verwehrt wird bzw. personenbezogenen Daten unbeschädigt/ unversehrt bleiben.
Das Führen eines Verzeichnis für Verarbeitungstätigkeiten schafft die erforderliche Übersicht, dient der Transparenz und verhilft dem Praxisinhaber Risiken oder auch Hürden der Verarbeitungstätigkeiten zu erkennen und entsprechende Maßnahmen einzuleiten.

Wie eben schon dargetan gilt als Verantwortlicher der/die PraxisinhaberIn. Jeder Verstoß gegen die Grundsätze ist auf den Verantwortlichen zurückzuführen. Daher sollte die Einhaltung des Datenschutzrechtes ernst genommen werden und stiefmütterlich festgehalten werden, damit der Rechenschaftspflicht nachgekommen werden kann.

Welche Maßnahmen nun für den einzelnen zu treffen sind, kann nicht einheitlich bestimmt werden. Aber um die eigene Praxis datenschutzkonform zu machen, empfiehlt es sich zu Beginn einen Status Quo festzuhalten.
Wo werden welche Daten, zu welchem Zweck wie lange gespeichert und warum?
Das fängt bei der Karteikarte der Patienten an und hört womöglich im Computersystem auf.
Wenn die Verarbeitung der Daten ausgelagert oder Tools (Praxisverwaltungssystem, digitale Kalender oder ähnliches) verwendet werden, ist auch dies festzuhalten und gegebenenfalls zu prüfen, ob sich eine Verarbeitung unter Zuhilfenahme von bestimmten Tools mit der DS-GVO vereinbaren lässt. Eine Auslagerung können auch freie Mitarbeiter sein. Dazu gehören bei Vorhandensein einer Homepage Webdesigner/Grafiker. Mit diesen sollte ein Auftragsverarbeitungsvertrag geschlossen werden. Der Abschluss ist deshalb wichtig, weil die Verarbeitung der personenbezogenen Daten auch bei einer Auslagerung in Deiner Verantwortung liegt und mit dem Abschluss eines Vertrages mit Auftragsverarbeiter eine Absicherung geschaffen werden kann, wenn sich die Auftragsverarbeiter vertraglich verpflichten die DS-GVO einzuhalten.

Zur Umsetzung von technischen und organisatorischen Maßnahmen können folgende Fragen als Anhaltspunkte dienen.
Sind die Karteikarten weggesperrt oder kann jeder darauf zugreifen? Wie sieht es mit dem PC aus? Ist er vor Viren oder Hacking geschützt, werden E-Mails verschlüsselt versendet? Sind Mitarbeiter entsprechend gebrieft und haben eine Verschwiegenheitsvereinbarung unterschrieben? Wie ist der Zutritt zu der Praxis?

Allein schon die die Bearbeitung, Beantwortung und Dokumentation dieser Fragen führt einem selbst vor Augen, wo eventuell noch Sicherheitslücken bestehen und wie diese überwunden werden können.

Datenschutzbeauftragter

Wann ein Datenschutzbeauftragter benannt werden muss, ist zum einen davon abhängig , ob die Kerntätigkeit des Verantwortlichen in der Verarbeitung von personenbezogenen Daten liegt oder ob die Kerntätigkeit in der umfangreichen Verarbeitung von besonderer Kategorien personenbezogener Daten liegt. Abzugrenzen ist die Kerntätigkeit von der Nebentätigkeit innerhalb der Praxis. Wenn also die Verarbeitung der personenbezogener Daten lediglich dazu dient, Verwaltungsaufgaben zu erfüllen und nicht für die Umsetzung der Dienstleistung ausschlaggebend ist, liegt die Kerntätigkeit nicht in der Verarbeitung der personenbezogenen Daten. Kopfzerbrechen bereitet bei Praxen eher der Aspekt der Verarbeitung besonderer Kategorien personenbezogener Daten, wozu auch Gesundheitsdaten zählen.
Das Bundesdatenschutzgesetz schränkt zusätzlich die Anzahl der Mitarbeiter ein und schließt die Benennung eines Datenschutzbeauftragten aus, sobald die Schwelle von 10 Mitarbeitern nicht überschritten ist.
Praxen, die unter dieser Schwelle liegen, sind nicht schon deshalb verpflichtet, einen Datenschutzbeauftragten zu nennen, weil sie standardmäßig mit Gesundheitsdaten ihrer Patienten arbeiten. Eine Benennung ist vielmehr danach zu bestimmen, wie risikoreich die Datenverarbeitung für die Rechte des Patienten ist, in welchem Umfang personenbezogene Daten verarbeitet werden, ob sie in der Praxis verbleiben oder auch überregional oder sogar international verarbeitet werden und wie viele Personen bzw. Mitarbeiter letztendlich mit der Verarbeitung der Daten betraut sind.

Ich empfehle bei Unsicherheiten und Fragen auch die zuständige Aufsichtsbehörde für Datenschutz zu konsultieren.

Die Gastautorin

Ingrid Yeboah, ich bin Rechtsanwältin und habe mich im Sommer 2017 mit einer ehemaligen Studienkollegin selbstständig gemacht. Wir beraten Künstler und Menschen aus der Kultur- und Kreativbranche auf den Gebieten des Urheber-, Medien-, Design-, Marken- und Wettbewerbsrecht. Vordergründig geht es um die Erstellung von Lizenzverträgen, AGB oder auch die Anmeldung von Marken oder die gerichtliche Durchsetzung bzw. Verteidigung von Ansprüchen aus geistigem Eigentum. Da mich die Kultur -und Kreativszene privat auch sehr interessiert, bin ich dankbar, dies in meinem Job miteinfließen lassen zu können.

Ingrid Yeboah, LL.M. 
Rechtsanwältin

IY Legal Rechtsanwaltskanzlei
Friedrichstr. 61
10117 Berlin
Fon +49 (0)30 959996390

mail i.yeboah@iy.legal
www.iy.legalhttps://yw-recht.de/

Weiterführender memole Artikel zur DSGVO in Logopädiepraxen und Ergotherapiepraxen. vom Mai 2018.