Beiträge

Gastbeitrag von Ingrid Yeboah

 

Die Einführung der Europäischen Datenschutzgrundverordnung oder auch EU-DS-GVO oder DS-GVO sorgt seit ihrer Einführung am 29.05.2018 für viel Aufruhr, Unsicherheiten und ja auch ein wenig Resignation. Dieser Beitrag soll einen kleinen Einblick über die Bedeutung, die erforderlichen Schutzmaßnahmen und Tipps für die Inhaber von Therapiepraxen geben.

Um überhaupt zu verstehen, warum es den Datenschutz gibt, muss erläutert werden, dass dieser auf das Recht der informationellen Selbstbestimmung, als Ausfluss des Persönlichkeitsrechts im Grundgesetz (Art. 2 Absatz 1 und Art. 1 Grundgesetz) zurückzuführen ist. Danach soll jeder Einzelne selbst über die Benutzung und Verarbeitung seiner Daten bestimmen können. Allerdings fällt die Kontrolle im Zuge der Digitalisierung und Automatisierung in einer von uns befindlichen Informationsgesellschaft zunehmend schwerer. Mit dem Regelungswerk des Datenschutzrechts soll dem Einzelnen ein rechtliches Instrument an die Hand gegeben werden, um die Verwendung der Daten nicht über Gebühr zu beanspruchen.
Daher gilt im Datenschutzrecht der Grundsatz, dass eine Verarbeitung personenbezogener Daten verboten ist, es sei denn die Verarbeitung beruht auf einer Einwilligung oder Norm. Die wesentlichen Vorschriften, die eine Verarbeitung begründen, sind hauptsächlich in Art. 6 der DS-GVO geregelt.
Der Grundsatz der Transparenz verlangt von dem Verantwortlichen, also dem Praxisinhaber *in, die Verarbeitung personenbezogener Daten des Betroffenen bzw. der Patienten “präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache” darzulegen. Übersetzt bedeutet dies, dass jeder Verantwortliche dem Betroffenen so genau wie möglich über die einzelnen Prozesse innerhalb der Verarbeitung aufklären soll. Die Aufklärungspflicht beginnt mit der Kategorie der Patientendaten (Name, Geburtsdatum, Telefonnummer etc.) und endet mit der Information über das Recht, die der Betroffene im Zuge seiner Datenverarbeitung hat und geltend machen kann (z.B. Auskunftsanspruch, Widerruf der Datenverarbeitung etc.)

Des Weiteren muss jede Verarbeitung personenbezogener Daten einem Zweck dienen, der rechtmäßig und nicht unerheblich ist. Der Zweck sollte vor Beginn klar definiert und auch gegenüber dem Betroffenen kommuniziert werden. Das ist bei einer Praxis für Logopädie /Ergotherapie/ Physiotherapie der Fall, wenn der Patient*in behandelt werden möchte. Ohne mindestens den Namen des Patient*in zu kennen, kann natürlich keine Therapie begonnen werden. Liegt der Zweck nicht mehr vor, sind auch die Daten zu löschen. Damit zusammen hängt auch der Grundsatz der Datenminimierung. Dadurch soll die Verarbeitung der Daten auf das Mindestmaß reduziert werden. Somit werden keine Daten “in Anspruch” genommen, wenn kein Zweck vorliegt, was zu einer Minimierung und angemessenen Datenverarbeitung führt.

Praxistipp: Kontrollieren noch mal den Anmeldebogen in deiner Praxis, ob wirklich alle erhobenen Daten nötig sind, oder eventuell Fragen gestrichen werden können.

Selbstverständlich müssen personenbezogene Daten richtig und aktuell sein. Zum einem bedeutet das, dass die Daten ihrem Verarbeitungszweck entsprechend richtig und vollständig sein müssen. Zum anderem heißt das aber auch, dass sie auf dem aktuellen Stand zu halten sind. Als Verantwortliche musst Du demnach selbst Maßnahmen schaffen, dass die Daten der Patienten stets richtig sind. Ändert ein Patient seinen Namen oder Wohnsitz, so sind die Daten zu korrigieren und aktualisieren.
Die Löschung der Daten ist ein Kernpunkt des Grundsatzes der Speicherbegrenzung. Sobald der Zweck der Verarbeitung entfällt, bzw. unrichtige/ nicht aktuelle Daten vorliegen, sind diese zu löschen.
Nicht zuletzt bedarf es einer sorgfältigen und sicheren Verarbeitung der Daten. Sowohl sollte der Zugriff vor Unberechtigten geschützt werden als auch ein Verlust sowie eine Schädigung/Zerstörung vermieden werden.
Praxistipp: erstellst du regelmäßig Sicherungen der Daten auf deinem Praxisrechner? Hast du sie schon einmal auf Vollständigkeit geprüft? Für Papier-Daten: Gibt es eine Kopie?

Die Umsetzung bzw. Befolgung der zuvor genannten Datenschutzgrundsätze müssen nachgewiesen werden (Rechenschaftspflicht). Es ist daher von großer Bedeutung, dass Du alle datenschutzrechtlichen Maßnahmen ausführlich dokumentierst.

Praxistipp: Dazu ist es ausreichend, wenn man sein Verzeichnis für Verarbeitungstätigkeiten sorgfältig führt. Sich vielleicht ein individuelles Datenschutzmanagementsystem erstellt, also eigene interne Richtlinien schafft, die im Rahmen der Umsetzung einzuhalten sind. Jede Änderung/ Löschung/ neue Maßnahme festhält. Man muss sich vorstellen, dass die Aufsichtsbehörde an den Praxisinhaber herantreten könnte mit der Bitte nachzuweisen, dass die Grundsätze eingehalten werden. Wenn man also jeden dieser Schritte, in einem zumutbaren Umfang festhält, sollte das als Nachweis ausreichen.

Aus den Grundsätzen lassen sich auch die durchzuführenden Maßnahmen und/oder Pflichten ableiten.
So dient die Datenschutzerklärung bzw. Patienteninformation dem Grundsatz der Aufklärungspflicht, in der dann die Kategorien der Daten, Zweck, die Speicherdauer und die Rechtsgrundlage der Verarbeitung festgehalten werden.
Mit den technischen und organisatorischen Maßnahmen wird sichergestellt, dass Unbefugten der Zugriff verwehrt wird bzw. personenbezogenen Daten unbeschädigt/ unversehrt bleiben.
Das Führen eines Verzeichnis für Verarbeitungstätigkeiten schafft die erforderliche Übersicht, dient der Transparenz und verhilft dem Praxisinhaber Risiken oder auch Hürden der Verarbeitungstätigkeiten zu erkennen und entsprechende Maßnahmen einzuleiten.

Wie eben schon dargetan gilt als Verantwortlicher der/die PraxisinhaberIn. Jeder Verstoß gegen die Grundsätze ist auf den Verantwortlichen zurückzuführen. Daher sollte die Einhaltung des Datenschutzrechtes ernst genommen werden und stiefmütterlich festgehalten werden, damit der Rechenschaftspflicht nachgekommen werden kann.

Welche Maßnahmen nun für den einzelnen zu treffen sind, kann nicht einheitlich bestimmt werden. Aber um die eigene Praxis datenschutzkonform zu machen, empfiehlt es sich zu Beginn einen Status Quo festzuhalten.
Wo werden welche Daten, zu welchem Zweck wie lange gespeichert und warum?
Das fängt bei der Karteikarte der Patienten an und hört womöglich im Computersystem auf.
Wenn die Verarbeitung der Daten ausgelagert oder Tools (Praxisverwaltungssystem, digitale Kalender oder ähnliches) verwendet werden, ist auch dies festzuhalten und gegebenenfalls zu prüfen, ob sich eine Verarbeitung unter Zuhilfenahme von bestimmten Tools mit der DS-GVO vereinbaren lässt. Eine Auslagerung können auch freie Mitarbeiter sein. Dazu gehören bei Vorhandensein einer Homepage Webdesigner/Grafiker. Mit diesen sollte ein Auftragsverarbeitungsvertrag geschlossen werden. Der Abschluss ist deshalb wichtig, weil die Verarbeitung der personenbezogenen Daten auch bei einer Auslagerung in Deiner Verantwortung liegt und mit dem Abschluss eines Vertrages mit Auftragsverarbeiter eine Absicherung geschaffen werden kann, wenn sich die Auftragsverarbeiter vertraglich verpflichten die DS-GVO einzuhalten.

Zur Umsetzung von technischen und organisatorischen Maßnahmen können folgende Fragen als Anhaltspunkte dienen.
Sind die Karteikarten weggesperrt oder kann jeder darauf zugreifen? Wie sieht es mit dem PC aus? Ist er vor Viren oder Hacking geschützt, werden E-Mails verschlüsselt versendet? Sind Mitarbeiter entsprechend gebrieft und haben eine Verschwiegenheitsvereinbarung unterschrieben? Wie ist der Zutritt zu der Praxis?

Allein schon die die Bearbeitung, Beantwortung und Dokumentation dieser Fragen führt einem selbst vor Augen, wo eventuell noch Sicherheitslücken bestehen und wie diese überwunden werden können.

Wann ein Datenschutzbeauftragter benannt werden muss, ist zum einen davon abhängig , ob die Kerntätigkeit des Verantwortlichen in der Verarbeitung von personenbezogenen Daten liegt oder ob die Kerntätigkeit in der umfangreichen Verarbeitung von besonderer Kategorien personenbezogener Daten liegt. Abzugrenzen ist die Kerntätigkeit von der Nebentätigkeit innerhalb der Praxis. Wenn also die Verarbeitung der personenbezogener Daten lediglich dazu dient, Verwaltungsaufgaben zu erfüllen und nicht für die Umsetzung der Dienstleistung ausschlaggebend ist, liegt die Kerntätigkeit nicht in der Verarbeitung der personenbezogenen Daten. Kopfzerbrechen bereitet bei Praxen eher der Aspekt der Verarbeitung besonderer Kategorien personenbezogener Daten, wozu auch Gesundheitsdaten zählen.
Das Bundesdatenschutzgesetz schränkt zusätzlich die Anzahl der Mitarbeiter ein und schließt die Benennung eines Datenschutzbeauftragten aus, sobald die Schwelle von 10 Mitarbeitern nicht überschritten ist.
Praxen, die unter dieser Schwelle liegen, sind nicht schon deshalb verpflichtet, einen Datenschutzbeauftragten zu nennen, weil sie standardmäßig mit Gesundheitsdaten ihrer Patienten arbeiten. Eine Benennung ist vielmehr danach zu bestimmen, wie risikoreich die Datenverarbeitung für die Rechte des Patienten ist, in welchem Umfang personenbezogene Daten verarbeitet werden, ob sie in der Praxis verbleiben oder auch überregional oder sogar international verarbeitet werden und wie viele Personen bzw. Mitarbeiter letztendlich mit der Verarbeitung der Daten betraut sind.

Ich empfehle bei Unsicherheiten und Fragen auch die zuständige Aufsichtsbehörde für Datenschutz zu konsultieren.

 

 

Die Gastautorin

Ingrid Yeboah, ich bin Rechtsanwältin und habe mich im Sommer 2017 mit einer ehemaligen Studienkollegin selbstständig gemacht. Wir beraten Künstler und Menschen aus der Kultur- und Kreativbranche auf den Gebieten des Urheber-, Medien-, Design-, Marken- und Wettbewerbsrecht. Vordergründig geht es um die Erstellung von Lizenzverträgen, AGB oder auch die Anmeldung von Marken oder die gerichtliche Durchsetzung bzw. Verteidigung von Ansprüchen aus geistigem Eigentum. Da mich die Kultur -und Kreativszene privat auch sehr interessiert, bin ich dankbar, dies in meinem Job miteinfließen lassen zu können.

 

Ingrid Yeboah, LL.M. 
Rechtsanwältin

YW
Yeboah & Wiedemann Rechtsanwältinnen in Partnerschaft

Friedrichstr. 61 in 10117 Berlin
i.yeboah@yw-recht.de
+49 30921004111
+49 173 9736538
https://yw-recht.de/

 

 

Weiterführender memole Artikel zur DSGVO in Logopädiepraxen und Ergotherapiepraxen. vom Mai 2018.

Hast du dich auch schon gefragt, ob dich die DSGVO (Datenschutzgrundverordnung) betrifft?

Am 25. Mai 2018 tritt die einheitliche europäische Datenschutzgrundverordnung in Kraft. Die Verordnung soll dem Datenschutz dienen, aber auch wirtschaftliche Interessen berücksichtigen.

Dies ist natürlich mit einem höheren Aufwand verbunden, denn die Anforderungen an die Datenschutzdokumentation und die Nachweis- und Rechenschaftspflichten steigen und erhöhen die Verwaltungsaufwand. Um die Umsetzung zu erzwingen sind empfindlich hohe Bußgelder zu erwarten, falls man sie nicht umsetzt.

Was ist das Ziel der DSGVO ?

Ganz knapp zusammengefasst ist die DSGVO ein Schritt zu einer EU-einheitlichen Regulierung. Sie führt jedoch nicht unbedingt zu einer Vereinfachung des Datenschutzrechts.

Wann ist der Stichtag?

Die DSVGO ist bereits in Kraft getreten, entfaltet aber erst nach 2 jährigen Übergangszeit ihre Wirkung am 25.05.2018.

Was ist mit den bisherigen Prinzipien des Datenschutzes?

Die bisherigen Grundprinzipien des Datenschutzes bleiben erhalten und werden im Gesetz besonders betont. Man muss sich diese Prinzipien als die Grundlagen des Gesetzes vorstellen, die bei der Auslegung unklarer Fälle herbeigezogen werden. Dazu gehören entsprechend Art. 5 DSGVO vor allem:

  1. Datenschutzprinzipien: Rechtmäßigkeit du darfst Daten nur entsprechend dem Gesetz verarbeiten, was an sich selbstverständlich ist.
  2. Transparenz: Die Verarbeitung personenbezogener Daten muss für Betroffene nachvollziehbar sein, was zum Beispiel eine verständliche und vollständige Datenschutzerklärung erfordert. Die Informationspflichten wurden mit Art. 13 und 14 DSGVO erhöht und erfordern beispielsweise einen Hinweis auf die Rechtsgrundlage der Verarbeitung.
  3. Verbot mit Erlaubnisvorbehalt: Das bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer wenn sie per Gesetz erlaubt wurde.
  4. Zweckbindung: Das Gebot der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Das heißt man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden und dies dokumentieren. Eine nachträgliche Zweckänderung ist nur zulässig, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art 6 Abs. 4 DSGVO).
  5. Datenminimierung: Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das dem Verarbeitungszweck notwendige Maß beschränken. Eine „Datenerhebung auf Vorrat“ ist verboten (Art. 5 Abs. 1 lit. c DSGVO).
  6. Integrität und Vertraulichkeit: Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

Was ist in Therapiepraxen besonders zu beachten?

Die wichtigste Neuerung im EU-Recht ist die Stärkung der Rechte von Privatpersonen. Dabei gibt es vier Punkte, die Therapiepraxen (aber auch Arztpraxen) in ihren organisatorischen Abläufen berücksichtigen sollten:

  1. Die Einwilligung: Vor jeglicher Datenverarbeitung muss beim Betroffenen eine Einwilligung eingeholt werden. Das gilt auch für Patienten. Am einfachsten lässt sich dies über den Anamnesebogen regeln. Allerdings gilt: Wird die Einwilligung wie hier in Zusammenhang mit anderen Erklärungen/Sachverhalten eingeholt, muss sie deutlich von diesen abgegrenzt werden, damit der Patient erkennt, worin er einwilligt. Außerdem muss sie in klarer, einfacher Sprache verfasst werden. Wer Patienten auch an Termine erinnern will – etwa per Brief, Mail oder SMS – der sollte dies noch einmal getrennt von der Einwilligung zur normalen Verarbeitung der Daten in der Praxis-EDV aufführen.
  2. Zweckbindung der Daten: Die Praxis darf die beim Patienten erhobenen Daten, dazu zählen auch die Diagnosen, immer nur zum Zweck der Leistungserbringung und Abrechnung erheben. Wer bei privatversicherten Patienten die Abrechnung über einen externen Dienstleister laufen lässt, sollte sich hierfür beim Patienten eine getrennte Einwilligungserklärung einholen. Vorsicht ist bei der Weitergabe von Daten zu Studienzwecken geboten. Auf der sicheren Seite sind Logopäden, Ergotherapeuten und Physiotherapeuten nur dann, wenn sie den Patienten auch hierzu vorher um sein Einverständnis bitten. Allerdings bietet das deutsche Datenschutzrecht (Paragraf 27 DSAnpUG-EU) hier dank Öffnungsklausel in der EU-Verordnung für wissenschaftliche Zwecke etwas mehr Spielraum: In diesem Fall kann auf eine gesonderte bzw. erneute Einwilligung verzichtet werden, sofern die Interessen des Verantwortlichen für die Datenverarbeitung die Interessen der jeweils betroffenen Person an seinem Ausschluss „erheblich überwiegen“. Damit scheint der Gesetzgeber vor allem die künftigen Möglichkeiten von Big-Data-Anwendungen im Hinterkopf gehabt zu haben. Diese würden mit einer allzu scharfen Einwilligungspflicht nämlich bereits im Keim erstickt. Besonderes: Vorsicht ist für Ärzte auch beim Datenaustausch in Therapeutennetzen oder Kooperationen geboten: Auch hier sollte vor jeglicher Datenweitergabe der Patient explizit zustimmen.
  3. Das Recht auf Löschen: Hauptsächlich getrieben durch die Entwicklungen im Internet und in den Sozialen Medien mit schnellen Unwahrheitsbehauptungen per Knopfdruck, wurde in der EU-Verordnung das Recht von Privatpersonen auf ein Löschen ihrer Daten gestärkt. Für Therapeutinnen und Therapeuten ist dies insofern relevant, dass sie vor allem bei einer Datenverknüpfung mit anderen Stellen – etwa in Kooperationen oder wenn sie Praxisdaten in gesicherten Clouds ablegen, schauen müssen, wann und welche Daten evtl. zu löschen sind, wenn ein Patient dies wünscht. Nicht davon betroffen sind allerdings Daten, die Therapeuten zum Nachweis der Leistungserbringung oder aus Haftpflichtgründen aufbewahren müssen. Diese Datensicherung darf dann allerdings nur begrenzt und in bestimmten Fällen zugänglich sein.
  4. Portabilität der Daten: Hier werden die Praxis-EDV-Anbieter gefragt sein, geeignete Formate zur Verfügung zu stellen, auch eine Telematikinfrastruktur könnte hier künftig ihren Beitrag leisten. Denn die Patienten haben nach Paragraf 20 der EU-DSGVO das Recht, die sie betreffenden Daten, „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ und diese Daten ohne Medienbrüche an Dritte zu übermitteln. Damit machen sich EU-Parlament und -Rat – sicherlich unwissend – auch für die elektronische Patientenakte stark.

Wie ist es mit den Datensicherungen in der Praxis?

Unbedingt prüfen solltest deine Datensicherungseinstellungen. Denn künftig bist du verpflichtet, Verletzungen des Schutzes personenbezogener Daten – wie sie etwa bei Phishing-Attacken vorkommen können – innerhalb von 72 Stunden nach Bekanntwerden an die Bundesdatenschutzbeauftragte zu melden. Dies gilt nur dann nicht, wenn voraussichtlich keine Gefahr von Rechtsgütern der betroffenen Personen besteht. Die vom Schutz-Leck betroffenen Patienten müssen übrigens, wenn sich aus einem Datenklau Nachteile für sie ergeben könnten, ebenfalls informiert werden.

Das heißt, es sollten die technisch gängigen Vorkehrungen zum Schutz von Praxisdaten erfüllt werden: Also Firewall, aktuelle Version des Betriebssystems und Virenscanner.

Wo möglich, sieht die EU-Verordnung auch eine Anonymisierung oder zumindest Pseudonymisierung von Daten vor – dies sollten Praxen vor allem beim elektronischen Austausch von Patientendaten mit anderen Leistungserbringern beherzigen. Der elektronische Arztbrief über einen Kommunikationsdienst wie KV-Connect etwa (wie in Ärzte nutzen) ist wesentlich sicherer als eine ungeschützte E-Mail oder gar ein Fax.

Als Sanktionen bei Datenschutz-Verstößen drohen nach der EU-Verordnung Unternehmen, zu denen Praxen zu zählen sind, Geldbußen in Höhe von bis zu vier Prozent des gesamten Jahresumsatzes des vorangegangen Geschäftsjahres.

Weiterführende Informationen zur Datenschutzgrundverordnung für Logopädinnen/ Logopäden, Ergotherapeutinnen/ Ergotherapeuten und Physiotherapeutinnen/ Physiotherapeuten

Hier die Quellen und zahlreiche weiterführende Hinweise. Dort kannst du beispielsweise nützliche Vordrucke herunterladen:

Aktuelle Ergänzung