Die Datenschutz Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018. Sie regelt die Vearbeitung von personenbezogenen Daten, die elektronisch oder schriftlich, z.B. in Form einer Patientenkartei, erfasst werden. Unter personenenbezogenen Daten versteht man alle Informationen, mit denen sich eine natürliche Person identifizieren lässt, zum Beispiel Namen, Anschrift oder Geburtsdatum. In diesem Blogbeitrag erfährst du, was für dich als Therapeut und Heilpraktiker bezüglich der DSGVO wichtig ist.
„Da wir keine Juristen sind, ist dieser Artikel keine Rechtsberatung, sondern lediglich ein Hinweis auf die DSGVO. Für die hier dargebotenen Informationen wird kein Anspruch auf Vollständigkeit, Aktualität und Richtigkeit erhoben.“
Warum ist die DSGVO für mich wichtig?
In jeder Heilpraktiker-Praxis werden Patientendaten erhoben, verarbeitet und eventuell weitergeleitet. Dies geschieht beispielsweise durch das Führen einer elektronischen Patientenkartei, die Nutzung einer Abrechnungssoftware, die Online-Terminvergabe oder das Kontaktformular auf deiner Praxis-Homepage. Da die DSGVO gesundheitsbezogene Daten als besonders schutzwürdig ansieht, musst du als Heilprakter bei der Datenverarbeitung besondere Sorgfalt walten lassen. Bei Verstößen drohen ansonsten hohe Bußgelder.
Hier findest du einen nützlichen Selbstcheck für Arztpraxen, an dem du dich auch als Heilpraktiker und Therapeut orientieren kannst: https://www.datenschutzzentrum.de/uploads/medizin/arztpraxis/171101_Selbst_Check.pdf
Als praktischer Leitfaden versorgt dich auch die Broschüre "Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine", herausgegeben vom Bayerischen Landesamt für Datenschutzaufsicht; erschienen im C.H.BECK-Verlag, mit allen wichtigen Information rund um das Thema DSGVO.
Erstelle ein Verarbeitungsverzeichnis
Artikel 30 der DSGVO verpflichtet dich als Therapeut dazu, ein Verzeichnis über sämtliche Datenverarbeitungstätigkeiten, die in deiner Praxis durchgeführt werden, zu erstellen.
Damit kannst du als Daten-Verantwortlicher nachweisen, dass die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Diese Grundsätze sind nach Art. 5 Abs. 1 DSGVO
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität und Vertraulichkeit
Das Verzeichnis sollte folgende Punkte enthalten:
(1) Bezeichnung der Verarbeitungstätigkeit
(2) Zweck der Verarbeitung
(3) Rechtmäßigkeit der Verarbeitung
(4) Beschreibung der Kategorien betroffener Personen (Betroffenenkategorie)
(5) Beschreibung der Kategorien der zu verarbeitenden Daten (Datenkategorie)
(6) Beschreibung Datenweitergabe (Empfängerkategorien)
(6.1) Beschreibung der Datenweitergabe
(6.2) Datenweitergabe an Drittländer oder an internationale Organisationen
(7) Löschfristen
(8) Beschreibung der technischen und organisatorischen Maßnahmen (TOMs)
Unter https://www.datenschutzzentrum.de/dokumentation/ findest du Mustervorlagen, die du zum Erstellen des Verarbeitungsverzeichnisses nutzen kannst.
Was du bei der Datenschutzerklärung für deine Praxishomepage beachten musst:
Die DSGVO verpflichtet auch Heilpraktiker und Therapeuten zu einer Datenschutzerklärung auf deiner Website. Sie muss leicht zugänglich sein und Besucher deiner Seite ausführlich darüber informieren, ob und in welcher Form die Erhebung personenbezogener oder anderer sensibler Daten auf der Webseite erfolgt. Nutzer haben das Recht, dies unmittelbar auf der Website nachlesen zu können. Auch die Kontaktdaten zum Datenschutz-Beauftragten (das bist im Falle einer Einzelpraxis du) müssen dort bereit gehalten werden. Ferner musst du auch darüber informieren, wenn deine Wesite extern gehostet wird.
Beachte, dass du auch präzise Auskunft über die Verwendung von Analysetools wie Google Analytics und Social-Media-Plugins, deren Server meist im Ausland liegen, erteilen musst.
Um sicherzugehen, dass deine Datenschutzerklärung rechtskonform gestaltet ist, empfehlen wir dir, juristische Hilfe in Anspruch zu nehmen.
Welche personenbezogenen Daten darfst du als Heilpraktiker und Therapeut verabeiten
Grundsätzlich gilt, dass du personenenbezogene Daten nur mit Erlaubnis deiner Patienten erheben, speichern oder weitergeben darfst. Verarbeitet werden dürfen die allgemeinen Daten, die zur Erfüllung einer rechtlichen Verpflichtung, beispielsweise eines Vertrages, benötigt werden.
Ferner gestattet dir die DSGVO die Datenverarbeitung, um dein berechtigtes Interesse oder das eines Dritten zu wahren.
Die Verarbeitung von sensiblen Gesundheitsdaten ist grundsätzlich untersagt, die DSGVO gestattet dir als Angehöriger eines Gesundheitsberufes eine Ausnahme. Diese Daten dürfen nur von dir oder einer unter deiner Verantwortung tätigen Person, die der Schweigepflicht unterliegt, verarbeitet werden. Auf der sicheren Seite bist du, wenn du dir für die Verarbeitung die Einwilligung deines Patienten einholst.
Zusammenfassend gesagt: Bevor du Daten erhebst, verarbeitest oder weitergibst, solltest du prüfen, ob hierfür eine Rechtsgrundlage besteht und die Datenverarbeitung im Verarbeitungs-verzeichnis dokumentieren.
Was ist eine Auftragsverarbeitung?
Als Heilpraktiker oder Therapeut nutzt du höchstwahrscheinlich eine Online-Abrechnugssoftware und überlässt die Wartung der Praxis-EDV einem externen Dienstleister. In diesem Fall spricht man von einer Auftragsverarbeitung. Um den Datenschutz zu gewährleisten, solltest du mit jedem externen Anbieter einen Vertrag schließen. Ansonstens müsstest du dir die Einwilligung eines jeden einzelnen Klienten einholen.
IT-Sicherheit und Verfügbarkeit der Daten
Die IT-Sicherheit ist ein wichtiges Thema im Datenschutz. Um vertrauliche Daten zu schützen, bist du laut DSGVO dazu verpflichtet, dich gegen mögliche Risiken zu wappnen. Das kann ein Hacking-Angriff sein oder ein System-Absturz mit ungewolltem Datenverlust.
Geeignete Schutzmaßnahmen sind zum Beispiel eine regemäßige Datensicherung und die Datenverschlüsselung. Am besten lässt du dir von einem IT-Fachmann ein Sicherheitskonzept erstellen und umsetzen. Ferner sollte die IT-Sicherheit regelmäßig auf ihre Wirksamkeit hin überprüft werden
Muss ich einen Datenschutzbeauftragten benennen?
Sofern es in deiner Praxis mindestens 10 Personen gibt, die mit der Verarbeitung von pesonenbezogenen Daten beschäftigt sind, musst du einen Datenschutzbeauftragten benennen.
Führst du eine Einzelpraxis, so besagt der Erwägungsgrund 91 der DSGVO folgendes:
"Erfolgt eine Verarbeitung von Patienten-oder Mandantendaten durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufs oder Rechtsanwalt, handelt es sich regelmäßig nicht um eine die Benennungspflicht auslösende umfangreiche Datenverarbeitung.
Welche Rechte haben Personen, deren Daten verarbeitet werden?
Deine Patienten haben jederzeit das Recht, vollumfänglich und transparent zu erfahren, wie und auf welcher Rechtsgrundlage ihre Daten verarbeitet und eventuell Dritten zugänglich gemacht werden. Das kann zum Beispiel in Form eines Merkblatts geschehen, das du dem Klienten zu Beginn einer Behandlung aushändigst. Des Weiteren musst du ihn auch über die Dauer der Datenspeicherung und dem Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde informieren.
Wie oben bereits erwähnt, können Verstöße ein empfindliches Bußgeld nach sich ziehen. Dem Patienten steht zusätzlich noch ein Recht auf Schadenersatz zu.
Ein wichtiger Hinweis zum Schluss
Wir haben diesen kleinen Ratgeber mit wichtigen Punkten zur DSGVO nach sorgfältiger Recherche erstellt – ohne Anspruch auf Vollständigkeit und auf umfassende bzw. vertiefte Information. Der Beitrag ersetzt keinesfalls eine juristische Beratung, die wir dir gerade bei einem solch komplexen Thema empfehlen.
