DSGVO für Therapeuten

Hast du dich auch schon gefragt, ob dich die DSGVO (Datenschutzgrundverordnung) betrifft?

Am 25. Mai 2018 tritt die einheitliche europäische Datenschutzgrundverordnung in Kraft. Die Verordnung soll dem Datenschutz dienen, aber auch wirtschaftliche Interessen berücksichtigen.

Dies ist natürlich mit einem höheren Aufwand verbunden, denn die Anforderungen an die Datenschutzdokumentation und die Nachweis- und Rechenschaftspflichten steigen und erhöhen die Verwaltungsaufwand. Um die Umsetzung zu erzwingen sind empfindlich hohe Bußgelder zu erwarten, falls man sie nicht umsetzt.

Was ist das Ziel der DSGVO ?

Ganz knapp zusammengefasst ist die DSGVO ein Schritt zu einer EU-einheitlichen Regulierung. Sie führt jedoch nicht unbedingt zu einer Vereinfachung des Datenschutzrechts.

Wann ist der Stichtag?

Die DSVGO ist bereits in Kraft getreten, entfaltet aber erst nach 2 jährigen Übergangszeit ihre Wirkung am 25.05.2018.

Was ist mit den bisherigen Prinzipien des Datenschutzes?

Die bisherigen Grundprinzipien des Datenschutzes bleiben erhalten und werden im Gesetz besonders betont. Man muss sich diese Prinzipien als die Grundlagen des Gesetzes vorstellen, die bei der Auslegung unklarer Fälle herbeigezogen werden. Dazu gehören entsprechend Art. 5 DSGVO vor allem:

  1. Datenschutzprinzipien: Rechtmäßigkeit du darfst Daten nur entsprechend dem Gesetz verarbeiten, was an sich selbstverständlich ist.
  2. Transparenz: Die Verarbeitung personenbezogener Daten muss für Betroffene nachvollziehbar sein, was zum Beispiel eine verständliche und vollständige Datenschutzerklärung erfordert. Die Informationspflichten wurden mit Art. 13 und 14 DSGVO erhöht und erfordern beispielsweise einen Hinweis auf die Rechtsgrundlage der Verarbeitung.
  3. Verbot mit Erlaubnisvorbehalt: Das bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer wenn sie per Gesetz erlaubt wurde.
  4. Zweckbindung: Das Gebot der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Das heißt man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden und dies dokumentieren. Eine nachträgliche Zweckänderung ist nur zulässig, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art 6 Abs. 4 DSGVO).
  5. Datenminimierung: Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das dem Verarbeitungszweck notwendige Maß beschränken. Eine „Datenerhebung auf Vorrat“ ist verboten (Art. 5 Abs. 1 lit. c DSGVO).
  6. Integrität und Vertraulichkeit: Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

Was ist in Therapiepraxen besonders zu beachten?

Die wichtigste Neuerung im EU-Recht ist die Stärkung der Rechte von Privatpersonen. Dabei gibt es vier Punkte, die Therapiepraxen (aber auch Arztpraxen) in ihren organisatorischen Abläufen berücksichtigen sollten:

  1. Die Einwilligung: Vor jeglicher Datenverarbeitung muss beim Betroffenen eine Einwilligung eingeholt werden. Das gilt auch für Patienten. Am einfachsten lässt sich dies über den Anamnesebogen regeln. Allerdings gilt: Wird die Einwilligung wie hier in Zusammenhang mit anderen Erklärungen/Sachverhalten eingeholt, muss sie deutlich von diesen abgegrenzt werden, damit der Patient erkennt, worin er einwilligt. Außerdem muss sie in klarer, einfacher Sprache verfasst werden. Wer Patienten auch an Termine erinnern will – etwa per Brief, Mail oder SMS – der sollte dies noch einmal getrennt von der Einwilligung zur normalen Verarbeitung der Daten in der Praxis-EDV aufführen.
  2. Zweckbindung der Daten: Die Praxis darf die beim Patienten erhobenen Daten, dazu zählen auch die Diagnosen, immer nur zum Zweck der Leistungserbringung und Abrechnung erheben. Wer bei privatversicherten Patienten die Abrechnung über einen externen Dienstleister laufen lässt, sollte sich hierfür beim Patienten eine getrennte Einwilligungserklärung einholen. Vorsicht ist bei der Weitergabe von Daten zu Studienzwecken geboten. Auf der sicheren Seite sind Logopäden, Ergotherapeuten und Physiotherapeuten nur dann, wenn sie den Patienten auch hierzu vorher um sein Einverständnis bitten. Allerdings bietet das deutsche Datenschutzrecht (Paragraf 27 DSAnpUG-EU) hier dank Öffnungsklausel in der EU-Verordnung für wissenschaftliche Zwecke etwas mehr Spielraum: In diesem Fall kann auf eine gesonderte bzw. erneute Einwilligung verzichtet werden, sofern die Interessen des Verantwortlichen für die Datenverarbeitung die Interessen der jeweils betroffenen Person an seinem Ausschluss „erheblich überwiegen“. Damit scheint der Gesetzgeber vor allem die künftigen Möglichkeiten von Big-Data-Anwendungen im Hinterkopf gehabt zu haben. Diese würden mit einer allzu scharfen Einwilligungspflicht nämlich bereits im Keim erstickt. Besonderes: Vorsicht ist für Ärzte auch beim Datenaustausch in Therapeutennetzen oder Kooperationen geboten: Auch hier sollte vor jeglicher Datenweitergabe der Patient explizit zustimmen.
  3. Das Recht auf Löschen: Hauptsächlich getrieben durch die Entwicklungen im Internet und in den Sozialen Medien mit schnellen Unwahrheitsbehauptungen per Knopfdruck, wurde in der EU-Verordnung das Recht von Privatpersonen auf ein Löschen ihrer Daten gestärkt. Für Therapeutinnen und Therapeuten ist dies insofern relevant, dass sie vor allem bei einer Datenverknüpfung mit anderen Stellen – etwa in Kooperationen oder wenn sie Praxisdaten in gesicherten Clouds ablegen, schauen müssen, wann und welche Daten evtl. zu löschen sind, wenn ein Patient dies wünscht. Nicht davon betroffen sind allerdings Daten, die Therapeuten zum Nachweis der Leistungserbringung oder aus Haftpflichtgründen aufbewahren müssen. Diese Datensicherung darf dann allerdings nur begrenzt und in bestimmten Fällen zugänglich sein.
  4. Portabilität der Daten: Hier werden die Praxis-EDV-Anbieter gefragt sein, geeignete Formate zur Verfügung zu stellen, auch eine Telematikinfrastruktur könnte hier künftig ihren Beitrag leisten. Denn die Patienten haben nach Paragraf 20 der EU-DSGVO das Recht, die sie betreffenden Daten, „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ und diese Daten ohne Medienbrüche an Dritte zu übermitteln. Damit machen sich EU-Parlament und -Rat – sicherlich unwissend – auch für die elektronische Patientenakte stark.

Wie ist es mit den Datensicherungen in der Praxis?

Unbedingt prüfen solltest deine Datensicherungseinstellungen. Denn künftig bist du verpflichtet, Verletzungen des Schutzes personenbezogener Daten – wie sie etwa bei Phishing-Attacken vorkommen können – innerhalb von 72 Stunden nach Bekanntwerden an die Bundesdatenschutzbeauftragte zu melden. Dies gilt nur dann nicht, wenn voraussichtlich keine Gefahr von Rechtsgütern der betroffenen Personen besteht. Die vom Schutz-Leck betroffenen Patienten müssen übrigens, wenn sich aus einem Datenklau Nachteile für sie ergeben könnten, ebenfalls informiert werden.

Das heißt, es sollten die technisch gängigen Vorkehrungen zum Schutz von Praxisdaten erfüllt werden: Also Firewall, aktuelle Version des Betriebssystems und Virenscanner.

Wo möglich, sieht die EU-Verordnung auch eine Anonymisierung oder zumindest Pseudonymisierung von Daten vor – dies sollten Praxen vor allem beim elektronischen Austausch von Patientendaten mit anderen Leistungserbringern beherzigen. Der elektronische Arztbrief über einen Kommunikationsdienst wie KV-Connect etwa (wie in Ärzte nutzen) ist wesentlich sicherer als eine ungeschützte E-Mail oder gar ein Fax.

Als Sanktionen bei Datenschutz-Verstößen drohen nach der EU-Verordnung Unternehmen, zu denen Praxen zu zählen sind, Geldbußen in Höhe von bis zu vier Prozent des gesamten Jahresumsatzes des vorangegangen Geschäftsjahres.

Weiterführende Informationen zur Datenschutzgrundverordnung für Logopädinnen/ Logopäden, Ergotherapeutinnen/ Ergotherapeuten und Physiotherapeutinnen/ Physiotherapeuten

Hier die Quellen und zahlreiche weiterführende Hinweise. Dort kannst du beispielsweise nützliche Vordrucke herunterladen:

Aktuelle Ergänzung