DSGVO - Was muss ich wirklich, wirklich tun?

“Datenschutz ist kein Endverbraucherprodukt, bei dem man einfach ‘akzeptieren’ klickt, und dann ist alles gut. Datenschutz ist eher wie Luftqualität oder sicheres Trinkwasser, ein öffentliches Gut, das man nicht effektiv regulieren kann, indem man auf die Weisheit von Millionen individuellen Entscheidungen vertraut.” - Zeynep Tufekci

 

Seit dem 25. Mai 2018 hat sich das Datenschutzrecht geändert. Seit diesem Zeitpunkt gibt es in ganz Europa einen einheitlichen Rechtsstand. In der Datenschutzgrundverordnung (DSGVO) werden die Rechte und die Pflichten rund um das Thema Datenschutz festgeschrieben.

  • Aus Sicht der Betroffenys (in unserem Fall der Patientys) ist die DSGVO ein willkommener Schritt in Richtung Datenschutz.

  • Aus Sicht der Betreibys, (hier der Therapeuts), ist die DSGVO ein weiterer Schritt aus der Komfortzone: wir dürfen uns mehr als nur Gedanken über den Umgang mit den Daten machen und Verantwortung für den Schutz der Patientendaten übernehmen.

Und das ist gut so.

 

Was bedeutet das für Praxisinhaber in Deutschland?

Sicherlich hat jeder schon hier und dort ein wenig aufgeschnappt: teilweise apokalyptische Beiträge in den Medien sorgen dafür, dass die DSGVO in aller Munde ist. Besonders medienwirksam ist es, dass sich das Strafmaß für Datenschutzverletzungen drastisch erhöht hat.

Die Klagemöglichkeit von Betroffenen (Mitarbeitys, Patientys) wird sich stark vereinfachen, und die Landesaufsichtsbehörde kann unvermutet oder durch Angabe betroffener Mitarbeitys und Patientys das Therapeuty direkt prüfen.

Das Praxisinhaby verarbeitet berufsbedingt besonders zu schützende Personendaten. Aus der analogen Welt ist der korrekte Umgang mit der Papierakte verstanden und zumindest theoretisch verinnerlicht: Akten gehören in verschließbare Schränke, dürfen nicht rumliegen, müssen mit Bedacht geführt und schließlich auch mit Schredder entsorgt werden.

Muss ich eine Akte transportieren oder vorübergehend auf einem Schreibtisch parken, dann immer so, dass der Inhalt nicht sofort sichtbar, erkennbar ist. Dafür gibt es dann Umschläge, Mappen.

Und jetzt übertragen wir einfach das Gleiche auf die digitale Welt: wir bekommen Regeln vorgeschrieben, an die wir uns halten müssen. Tun wir es nicht, handeln wir vorsätzlich - und das kann unangenehme Folgen haben.

 

Was muss ich wirklich, wirklich tun, damit ich nicht vorsätzlich handle?

Jeder Therapeut in Deutschland wird sich mit dem Thema Datenschutz auseinandersetzen müssen.

1) Die Rechte der Mitarbeitys und besonders der Patientys sichern

Rechte und Pflichten: Auskunftspflicht, Löschung, Berichtigung, Widerspruch… die Rechte der Betroffenys werden gestärkt - und das ist gut.

Damit das Praxisinhaby dieses zeitgerecht erfüllen kann, hat er im Vorfeld diese Rechte, besonders auf Seiten seiner IT, einzurichten. Es muss eine Dokumentation vorgezeigt werden können, in der aufgestellt ist, welche Daten, wie lange, mit welchem System, von wem verarbeitet werden.

Wo kommen die Daten her und wo gehen die Daten hin? Solch ein “Verzeichnis der Verarbeitungstätigkeit” hat ein jeder zu führen und aktuell zu halten.

Hier müssen wir noch in Betracht ziehen, dass das Therapeuty eine Dokumentationspflicht hat, sodass das die Pflicht, Daten zu löschen in Bezug auf die behandlungs- und abrechnungsrelevanten Informationen für die Dauer der Aufbewahrungspflichten nicht erfüllt werden kann.

2) Auftragsdatenverarbeitungs-Vertrag (ADV-Vertrag)

Mit jedem Auftragnehmy, das Daten im Auftrag verarbeitet, muss ein schriftlicher Auftragsdatenverarbeitungs-Vertrag (ADV) abschlossen werden. Lemniscus Anwender kennen das schon - jeder Anwendy bekommt von uns einen ADV zugeschickt. Das ist eine besondere Serviceleistung von lemniscus, dass wir diese ADV vorbereitet haben. Denn in Punkt Datenschutz haben wir eine verdrehte Vertragssituation: es sind wir, die bei den Therapeutys unter Vertrag genommen werden. Eigentlich muss also die ADV vom lemniscus-User erstellt werden und an uns - lemniscus - geschickt werden. Natürlich nicht nur bei lemniscus! Ein solcher Vertrag muss mit jedem anderen Softwarebetreiber ebenfalls abgeschlossen werden.

Genau wie mit anderen Dienstleistern, zum Beispiel

  • Druckereien
  • sonstige IT-Dienstleister
  • Call-Center / Erreichbarkeitsservice
  • Abrechnungsstelle

In dem ADV sind unter anderem auch die technischen und organisatorischen Maßnahmen aufzulisten, die umgesetzt werden, damit der Datenschutz eingehalten wird.

3) Datenschutzerklärung auf der Homepage

Die Datenschutzerklärung innerhalb des Internetauftritts muss eindeutig darlegen, welche Daten, wie lange, mit welchem System, von wem verarbeitet werden.

Die DSGVO geht auch so weit vorzuschreiben, dass Personendaten nur noch verschlüsselt übertragen werden dürfen. In der analogen Welt ist es jedem sofort klar, dass sensible Daten in Umschlägen oder Mappen sichtgeschützt transportiert werden. In der digitalen Welt nennt man das Verschlüsselung.

4) Datenpannen

Das Praxisinhaby hat bei allen Neuerungen zu ermitteln, welche Folgen entstehen können, wenn eine Datenpanne passieren würde. Entsprechend dieser Einschätzung sind Maßnahmen einzuführen, damit so eine Panne gar nicht erst passiert.

Und falls doch was passiert, dann hat das Praxisinhaby innerhalb von 72 Stunden die zuständige Aufsichtsbehörde für den Datenschutz und bei Vorliegen eines hohen Risikos zusätzlich das Betroffeny zu unterrichten.

Ein Beispiel aus der Praxis: ein Therapeuty speichert eine Kopie seiner Daten auf einen USB Stick, den es bei sich trägt. Natürlich will das Therapeuty diesen Stick nicht verlieren. Will es aber nicht fahrlässig handeln, so muss es Maßnahmen ergreifen und dokumentieren, die ein Abhandenkommen des USB-Sticks verhindern sollen. Geht ein Stick trotzdem verloren, dann hat das Therapeuty 72 Stunden (ab Verlust des Sticks) Zeit, die Aufsichtsbehörde zu informieren. Waren die Daten nicht verschlüsselt, dann sollten aufgrund des hohen Risikos, dass die Daten problemlos ausgelesen werden können, auch die betroffenen Patientys informiert werden. Das hat zur Folge, dass ein Therapeuty eine Liste aller möglichen Betroffenys stets zu führen hat. Sind auf dem Stick 8000 Patientenakten gespeichert, dann müssen 8000 Patienten benachrichtigt werden.

5) Sensibilisierung und Weiterbildung

Sensibilisierung der Mitarbeitys: Die beste Technik und das ausgeklügelste Verfahren greifen nicht, wenn die Mitarbeitys kein Gefühl für Datenschutz haben, bzw. diesen nicht beachten.

Die Verantwortung für den Datenschutz trägt das Praxisinhaby Diese Pflicht kann es nicht delegieren!

Wichtig: geschulte Mitarbeitys schützen das Praxisinhaby vor privatrechtlicher Haftung.

6) Datenschutzbeauftragty

Überprüfen, ob ein Datenschutzbeauftragty bestellt werden muss. Viele verstehen diesen Punkt so, dass nur die, die ein Datenschutzbeauftragtey bestellen müssen, sich auch um Datenschutz kümmern müssen. Das ist falsch, und eigentlich genau anders herum zu verstehen.

Muss kein Datenschutzbeauftragty bestellt werden, dann hat das Therapeuty nicht weniger Datenschutz zu betreiben - ganz im Gegenteil! Ohne Datenschutzbeauftragty bleibt die Umsetzung des kompletten Datenschutzes beim Therapeuty hängen, sprich: für jedes Therapeuty gilt, egal, ob es Solist ist oder Teil eines Orchesters: es muss aktiv werden.

Eine Kausalkette in der DSGVO führt dazu, dass jeder, der besondere Daten umfangreich verarbeitet, letztendlich ein Datenschutzbeauftragty zu stellen hat, unabhängig davon, wie viele Mitarbeitys beschäftigt werden.

Interessanterweise werden Einpersonen-Praxen explizit von der Pflicht, einen Datenschutzbeauftragty zu bestellen, entbunden.

Ob eine Praxis mit 2 bis 9 Mitarbeitys ein Datenschutzbeauftragty bestellen muss, ist noch nicht sicher - in der DSGVO ist “umfangreiche Datenverarbeitung” nicht näher definiert. Allerdings wird ein Datenschutzbeauftragty bereits ab 10 Mitarbeitys verlangt, also ist zu vermuten, dass weniger die Betriebsgröße und mehr die Qualität der Daten ausschlaggebend ist. Hier sollte unbedingt die für einen zuständige, beaufsichtigende Behörde um eine Stellungnahme gebeten werden - am besten schriftlich.

Wenn die Praxis mehr als 9 Mitarbeitys beschäftigt, die die Möglichkeit haben auf Daten zuzugreifen, ist ein Datenschutzbeauftragty definitiv zu bestellen.

 

Wie kann mir Lemniscus helfen?

Für lemniscus-Anwendys ist es tatsächlich an verschiedenen Stellen einfacher, die DSGVO umzusetzen:

  • Die Daten sind nicht auf der eigenen EDV Infrastruktur gespeichert, so dass weniger Maßnahmen umgesetzt und Dokumentiert werden müssen
  • Einige geforderte Unterlagen können bereits vorausgefüllt werden

Diese Vereinfachung ist leider nur auf lemnsicus-Anwendys im ursprünglichen Sinn anwendbar und greift bei den folgenden Voraussetzungen:

  • es handelt sich um eine Einpersonen-Praxis, also keine Mitarbeitys (bis auf Rezeptionskraft)
  • Patientys und Abrechnungsdaten sind in lemniscus abgelegt

Partnerschaft mit der interev GmbH

Wir bei lemniscus können nicht die notwendige Beratungsleistung in dem notwendigen Umfang und Qualität liefern. Aus diesem Grund haben wir einen kompetenten Partner gesucht und mit interev gefunden.

Die interev GmbH berät und betreut Organisationen aus dem Gesundheitswesen im Bereich Datenschutz und Sozialdatenschutz.

DSGVO Kurs

Der DSGVO Kurs ist ein Spezialpaket von Claudia Hönig für die Einzeltherapeutys, die lemniscus einsetzen. 

 

 

Positive Nebeneffekte

Datenschutz ist gut und wichtig - letztendlich wird man sich in der modernen multimedialen Welt sicherer in Bezug auf Daten und Datenschutz fühlen.

Datenschutz ist wichtig für die eigene Praxis und wird auch von den Patientys erwartet, schließlich vertrauen die Patientys ihre sensiblen persönlichen Daten dem Therapeuty an.

Die Umsetzung der Anforderungen der DSGVO führen dazu, dass die Datenströme und Prozesse in der Praxis von den Therapeutys unter die Lupe genommen werden. Das ist vielleicht der richtige Moment sich nochmal über den Praxisablauf Gedanken zu machen und eventuell Prozesse zu optimieren.

 

Außerhalb von lemniscus

Auch außerhalb von lemniscus müssen viele Dinge beachtet werden und alles auf dem aktuellen Stand der Technik gehalten werden. Herr RA Dr. Sasse hat die Liste des Landesdatenschutzaufsicht Bayern, in der sehr konkret aufgeführt, was unter "aktueller Stand der Technik" zu verstehen ist, für IT-Laien zusammengefasst:

https://lemniscus.de/downloads/it-liste-sasse-lemniscus-2022.pdf