1. Lemniscus Helpdesk
  2. Hilfeartikel und Video-Tutorials
  3. Wissensbuffet: lemniscus Aufbauwissen
  4. Sicherheit

DSGVO - Was musst du wirklich, wirklich tun?

“Datenschutz ist kein Endverbraucherprodukt, bei dem man einfach ‘akzeptieren’ klickt, und dann ist alles gut. Datenschutz ist eher wie Luftqualität oder sicheres Trinkwasser, ein öffentliches Gut, das man nicht effektiv regulieren kann, indem man auf die Weisheit von Millionen individuellen Entscheidungen vertraut.” - Zeynep Tufekci

Seit dem 25. Mai 2018 gilt in der EU die Datenschutzgrundverordnung (DSGVO). Klingt trocken, ist aber wichtig - gerade für uns in der Heilbehandlung. Denn: wir arbeiten mit hochsensiblen Daten. Und das bringt Verantwortung mit sich.

Warum ist die DSGVO wichtig?

Was bedeutet das für dich als Praxisinhaby konkret?

Was muss ich wirklich, wirklich tun, damit ich nicht vorsätzlich handle?

1. Die Rechte der Mitarbeitys und Klientys wahren

2. Auftragsverarbeitungsverträge (AVV)

3. Datenschutzerklärung auf deiner Homepage

4. Umgang mit Datenpannen

5. Mitarbeitys sensibilisieren

6. Brauchst du ein Datenschutzbeauftragty?

Wie hilft dir lemniscus?

Datenschutz: Partnerschaft mit der interev GmbH

Bonus: Datenschutz macht schlauer

Technik-Tipp: "Stand der Technik"?

 

 

Warum ist die DSGVO wichtig?

Für Patientys ist sie ein großer Schritt hin zu mehr Schutz der eigenen Daten. Für dich als Therapeuty bedeutet sie: raus aus der Komfortzone - rein in die Verantwortung. Und das ist gut so.

Aber keine Sorge, wir gehen das Schritt für Schritt durch. Und vieles ist halb so wild, wenn man weiß, worauf man achten muss.

 

Was bedeutet das für dich als Praxisinhaby konkret?

Du hast es wahrscheinlich schon öfter gehört: Die DSGVO wird manchmal mit dramatischen Worten in den Medien behandelt. Und ja - das Strafmaß bei Datenschutzverstößen ist dramatisch gestiegen.

Was sich geändert hat:

  • Klientys und Mitarbeitys können leichter klagen, wenn ihre Daten nicht gut behandelt werden.
  • Die Landesaufsichtsbehörden dürfen Praxen auch ohne Vorankündigung prüfen, z.B., wenn sich jemand beschwert.

Als Therapeuty verarbeitest du von Berufs wegen besonders sensible Daten. In der analogen Welt weißt du längst:

  • Akten gehören in verschließbare Schränke.
  • Sie sollen nicht offen herumliegen.
  • Sie müssen ordentlich geführt und am Ende z.B. mit einem Schredder vernichtet werden.
  • Beim Transport oder auf einem Schreibtisch geparkt: Umschlag oder Mappe, damit nichts sichtbar ist.

-> Übertrag das einfach auf die digitale Welt.

Auch hier gibt es Regeln. Wer sich nicht daran hält, handelt vorsätzlich - und das kann juristische Folgen haben.

 

Aber was heißt eigentlich vorsätzlich?

In der DSGVO wird davon ausgegangen, dass du dich aktiv um Datenschutz kümmern musst. Wenn du es nicht tust - auch aus Unwissen - kann das schnell als grobe Fahrlässigkeit oder sogar Vorsatz gewertet werden.

Das heißt: Es reicht nicht, einfach nichts zu wissen oder nichts gehört zu haben. Du musst dich mit den Grundregeln vertraut machen.

 

Was muss ich wirklich, wirklich tun, damit ich nicht vorsätzlich handle?

Jedes Therapeuty in Deutschland muss sich mit dem Thema Datenschutz auseinandersetzen.

1. Die Rechte der Mitarbeitys und Klientys wahren

Die DSGVO stärkt die Rechte aller Betroffenen - also sowohl deiner Klientys als auch deiner Mitarbeitys.

Dazu gehören zum Beispiel

  • das Recht auf Auskunft,
  • das Recht auf Berichtigung oder Löschung
  • und das Recht auf Widerspruch gegen die Verarbeitung.

Damit du als Praxisinhaby diese Rechte zeitgerecht erfüllen kannst, musst du im Vorfeld die technischen und organisatorischen Voraussetzungen schaffen - besonders auf Seiten deiner IT. Du brauchst eine saubere Struktur und Dokumentation, die zeigt,

  • welche Daten verarbeitet werden,
  • wie lange du sie speicherst,
  • mit welchem System du arbeitest,
  • woher sie kommen,
  • wohin sie gehen,
  • wer darauf Zugriff hat.

Das Ganze dokumentierst du in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten - und das musst du aktuell halten.

Wichtig: Du hast eine gesetzliche Aufbewahrungsfrist, z.B. für Abrechnungen und Behandlungsdokumentation. Diese Pflicht steht über dem Löschwunsch und muss sauber dokumentiert werden.

 

2. Auftragsverarbeitungsverträge (AVV)

Mit jedem Auftragnehmy/Dienstleisty, das für dich personenbezogene Daten verarbeitet, brauchst du einen schriftlichen Vertrag - den sogenannten AVV.

Bei lemniscus bekommst du diesen Vertrag direkt von uns - die Vorbereitungs des Vertrags als Serviceleistung inclusive. Eigentlich wärest du als Praxisinhaby in der Pflicht, uns diesen Vertrag zu schicken. Aber wir machen`s dir einfacher und drehen den Spieß um. Wenn du dich bei uns registrierst, schicken wir dir eine E-Mail mit AGB und fertigem AVV im Anhang.

 

Einen solchen Vertrag musst du auch mit jedem anderen Softwarebetreiby und Dienstleistungsanbiety schließen, wie zum Beispiel

  • Druckereien
  • sonstige IT-Dienstleistys
  • Call-Center / Erreichbarkeitsservice
  • Abrechnungsstellen

Im AVV sind unter anderem auch die technischen und organisatorischen Maßnahmen (TOM) aufzulisten, die den Datenschutz sichern.

 

3. Datenschutzerklärung auf deiner Homepage

Wenn du eine Website hast, brauchst du eine klare Datenschutzerklärung:

  • Welche Daten werden verarbeitet?
  • Wie lange?
  • Mit welchen Tools?
  • Wer hat Zugriff?

Wenn du z.B. ein Kontaktformular hast, muss die Übertragung der Daten verschlüsselt (SSL) erfolgen.

-> Stell dir vor, die Daten reisen wie ein Brief - digital bitte nur im verschlossenen Umschlag.

 

4. Umgang mit Datenpannen

Was tun, wenn etwas schiefläuft?

Zuerst gilt:
Du musst im Vorfeld einschätzen, welche Folgen (auch bei Neuerungen) entstehen können, wenn eine Datenpanne passiert.

Je nach Risiko musst du dann technische und organisatorische Maßnahmen (TOMs) einführen, um genau das zu verhindern.

Das Zeil ist: Datenpannen sollen möglichst gar nicht passieren. Und falls doch, bist du vorbereitet.

 

Beispiel aus der Praxis

Ein Therapeuty speichert eine Kopie seiner Daten auf einem USB-Stick, den es unterwegs bei sich trägt. Natürlich will das Therapeuty diesen Stick nicht verlieren. Will es aber nicht fahrlässig handeln, muss es Maßnahmen ergreifen - und auch dokumentieren, wie der Stick geschützt ist (z.B. durch Verschlüsselung, Aufbewahrung, Zugriffsschutz).

Geht der Stick trotzdem verloren, gilt Folgendes:

  • Therapeuty hat 72 Stunden (ab Verlust des Sticks) Zeit, die zuständige Aufsichtsbehörde zu informieren.
  • Waren die Daten unverschlüsselt, liegt ein hohes Risiko vor; dann muss es zusätzlich die betroffenen Klientys informieren.
  • Wichtig: Dafür muss Therapeuty stets eine Liste aller potentiell betroffenen Personen parat haben.

Das hieße im Beispiel: Wären auf dem Stick 8000 Akten gespeichert, dann muss Therapeuty im Ernstfall auch 8000 Personen benachrichtigen.

Das zeigt: Wer seine Daten sicher speichert (z.B. mit lemniscus), spart sich im Ernstfall jede Menge Stress.

 

5. Mitarbeitys sensibilisieren

Deine Mitarbeitys müssen wissen, worauf sie achten müssen - regelmäßig und dokumentiert.

Denn die beste Technik bringt nichts, wenn sie nicht richtig angewendet wird. Selbst das ausgeklügelste Verfahren greift ins Leere, wenn die Mitarbeitys kein Bewusstsein für Datenschutz haben oder ihn im Alltag nicht beachten.

Die Verantwortung für den Datenschutz liegt immer bei dir als Praxisinhaby - sie lässt sich nicht delegieren!

Was du aber tun kannst: Deine Mitarbeitys gut schulen.

Denn gut geschulte Mitarbeitys schützen dich aktiv vor Fehlern - und vor rechtlichen Konsequenzen.

 

6. Brauchst du ein Datenschutzbeauftragty?

Das hängt von mehreren Faktoren ab, aber du musst dich in jedem Fall um den Datenschutz kümmern.

Wann musst du ein Datenschutzbeauftragty ernennen?

Die DSGVO verlangt ein Datenschutzbeauftragty u.a. dann, wenn 

  • du mehr als 9 Mitarbeitys hast, die regelmäßig mit personenbezogenen Daten arbeiten, oder
  • umfangreich besonders schützenwerte Daten verabeitet werden.

Gerade im Gesundheitsbereich mit besonders sensiblen Daten ist das oft der Fall.

 

Aber was heißt "umfangreich"?

Die DSGVO definiert das leider nicht genau. Das führt zu Unsicherheit - vor allem in Praxen mit 2 bis 9 Mitarbeitys.

Im Zweifel frage bei deiner Aufsichtsbehörde nach - schriftlich, damit du etwas in der Hand hast.

 

Ausnahmen

Einpersonen-Praxen sind explizit von der Pflicht zur Benennung eines Datenschutzbeauftragtys befreit. Aber auch hier gilt: Du musst dich selbst um alle Vorgaben kümmern und bist dafür voll verantwortlich. Muss kein Datenschutzbeauftragty bestellt werden, dann hast du nicht weniger Datenschutz zu betreiben - ganz im Gegenteil! 

 

Wie hilft dir lemniscus?

Für lemniscus-Nutzys ist es tatsächlich an verschiedenen Stellen einfacher, die DSGVO umzusetzen:

  • Deine Daten liegen sicher bei uns - nicht auf deiner eigenen Technik.
  • Du bekommst AVV und Dokumentationsteile vorausgefüllt.
  • du kannst dir diese auch jederzeit nochmals in der Kachel "Vertragsdaten" herunterladen.
  • Du musst dich um weniger Technik selbst kümmern.

Diese Vereinfachung gilt besonders dann, wenn

  • du eine Einpersonen-Praxis betreibst (mit maximal einer Rezeptionskraft)
  • und Klienty- sowie Abrechnungsdaten ausschließlich in lemniscus abgelegt sind.

Datenschutz: Partnerschaft mit der interev GmbH

Wir selbst dürfen keine vollständige Datenschutzberatung machen, aber wir haben einen kompetenten Partner gesucht und mit der interev GmbH gefunden.

Die interev GmbH berät und betreut Organisationen aus dem Gesundheitswesen im Bereich Datenschutz und Sozialdatenschutz.

 

DSGVO Kurs von Claudia Hönig

Der DSGVO Kurs ist ein Spezialpaket von Claudia Hönig - speziell für Einzeltherapeutys, die lemniscus einsetzen. 

 

Bonus: Datenschutz macht schlauer

Datenschutz ist nicht nur Pflicht - Datenschutz ist gut.

Denn wer sich damit auseinandersetzt, versteht die eigene Praxis plötzlich viel besser:

  • Welche Daten fließen wo lang?
  • Wie sind Abläufe organisiert?
  • Wer hat Zugriff, und warum?

Die Umsetzung der DSGVO zwingt dich dazu, genau hinzuschauen - und hier ist die Chance zur Praxisoptimierung. Du bringst Ordnung in deine Datenströme und bekommst ein neues Bewusstsein für deine Prozesse.

Ganz nebenbei kann das auch ein guter Moment sein, um mal aufzuräumen, zu verschlanken und veraltete Abläufe zu modernisieren.

Und:

Klientys erwarten, dass du ihre sensiblen Informationen schützt. Schließlich vertrauen sie dir Gesundheitsdaten an - das Persönlichste überhaupt.

Ein sauber umgesetzter Datenschutz schafft deshalb nicht nur Klarheit für dich, sondern auch Vertrauen auf Seiten deiner Klientys.

 

Technik-Tipp: "Stand der Technik"?

Was bedeutet eigentlich "Stand der Technik", wenn alles auf dem aktuellen Stand der Technik gehalten werden muss?

Was unter "Stand der Technik" zu verstehen ist, bleibt im DSGVO bewusst vage - umso wichtiger ist eine praxisnahe Orientierung auch außerhalb von lemniscus.

Rechtsanwalt Dr. René Sasse hat genau dafür auf der Basis der Anforderungen der bayrischen Datenschutzaufsicht eine kompakte Zusammenfassung für IT-Laien erstellt. Darin findest du leicht umsetzbare Empfehlungen zur IT-Sicherheit in der Praxis.


https://lemniscus.de/downloads/it-liste-sasse-lemniscus-2022.pdf