In den vergangenen Monaten haben wir uns sowohl als externe Datenschutzbeauftragte der Psychotherapeutenkammer des Saarlandes, als auch im Auftrag von zahlreichen psychotherapeutischen Praxen intensiv mit den Auswirkungen der DSGVO auf niedergelassene Psychotherapeuten beschäftigt. Dabei haben wir immer wieder festgestellt, dass viele Praxisinhaber nicht wissen, von welchen Regelungen der DSGVO sie betroffen sind und wie diese konkret umzusetzen sind. Aus diesem Grund gehen wir im folgenden Überblick noch einmal auf die wichtigsten Regelungen der DSGVO ein und erklären, wo bei niedergelassenen Psychotherapeuten Handlungsbedarf für die Umsetzung der DSGVO besteht.
Datenschutzbeauftragter
Da in psychotherapeutischen Praxis in der Regel weniger als 10 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, ist kein Datenschutzbeauftragter notwendig. Aus diesem Grund sollten sich Praxisbetreiber auch weder in Datenschutzerklärungen, noch an anderer Stelle selbst zum Datenschutzbeauftragten erklären.
Verzeichnis von Verarbeitungstätigkeiten
Jede Praxis muss ein sog. Verzeichnis von Verarbeitungstätigkeiten anlegen. Dabei handelt es sich um eine Dokumentation aller Verfahren, bei denen personenbezogene Daten verarbeitet werden. Das Verfahrensverzeichnis muss nicht veröffentlicht, sondern auf Anfrage an die Aufsichtsbehörde herausgegeben werden. Im Saarland ist die zuständige Aufsichtsbehörde die Landesbeauftragte für Datenschutz und Informationsfreiheit bzw. das unabhängige Datenschutzzentrum Saarland. Wir empfehlen, sich bei der Erstellung des Verzeichnisses an einem Muster des bayerischen Landesamts für Datenschutzaufsicht zu orientieren. Obwohl das Muster für eine Arztpraxis erstellt wurde, ist es größtenteils auf psychotherapeutische Praxen übertragbar und enthält die wichtigsten Punkte. Im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten sind auch die technischen und organisatorischen Maßnahmen zur Datensicherheit zu dokumentieren. Wir empfehlen dafür, zunächst die bestehenden Maßnahmen zur Datensicherheit extern überprüfen zu lassen und anschließend ein IT-Sicherheitskonzept zu erstellen. Dabei unterstützten wir Sie gerne!
Datenschutzverpflichtung von Beschäftigten
Grundsätzlich sind Beschäftigte, die mit personenbezogenen Daten umgehen, auf das Datengeheimnis zu verpflichten. Dies gilt insbesondere für Praxen, in denen neben dem Praxisinhaber auch angestellte Therapeuten arbeiten. Wir empfehlen darüber hinaus, auch Reinigungskräfte in einer gesonderten Datenschutzvereinbarung zu verpflichten. Es ist nicht ausgeschlossen, dass diese bei ihrer Tätigkeit in Kontakt mit personenbezogenen Daten kommen. Muster für diese Verpflichtungen sind Teil unseres Erstberatungsangebots zur DSGVO.
Informations- und Auskunftspflichten
Zunächst müssen die Patienten über den Datenschutz in der Praxis informiert werden. Dazu können wir das Muster zur Patienteninformation der KBV empfehlen. Die Patienteninformation kann entweder in der Praxis ausgehängt oder dem Patienten als Flyer ausgehändigt werden. Wir empfehlen, die Möglichkeit zur Kenntnisnahme in der Patientenakte zu vermerken. Die mitunter gängige Praxis, die Kenntnisnahme und eine entsprechende Unterschrift vom Patienten zu verlangen, ist nach Ansicht der Aufsichtsbehörden unzulässig. Sofern die Praxis eine Webseite betreibt, muss auch dort eine Datenschutzerklärung eingestellt werden. In diesem Zusammenhang raten wir von der Verwendung von generalisierten Online-Generatoren ab, da für die Erstellung einer Datenschutzerklärung genaue technische Kenntnisse der Webseite notwendig sind. Sprechen Sie besser mit dem Betreiber ihrer Webseite oder nehmen Sie Kontakt mit uns auf. Wir bieten die Erstellung einer Datenschutzerklärung zum günstigen Pauschalpreis an.
Löschen von Daten
Ein sicheres Löschen von Daten ist in der Praxis erst notwendig, wenn gesetzliche Aufbewahrungspflichten abgelaufen sind. Die gesetzliche Pflicht zur Aufbewahrung beträgt in der Regel zehn Jahre. Zur Vernichtung von Papierakten empfehlen wir einen Aktenvernichter, der mindestens die Sicherheitsstufe 4 erfüllt. Zur sicheren Löschung von Dateien auf Datenträgern wie Festplatten oder USB-Sticks gibt es spezielle Software.
Datensicherheit
In psychotherapeutischen Praxen werden Gesundheitsdaten verarbeitet, die als „besondere Kategorien von personenbezogenen Daten“ einem erhöhten Schutzniveau unterliegen. Aus diesem Grund müssen Praxisbetreiber im Vergleich zu anderen Unternehmern mehr für die Datensicherheit tun. Welche Maßnahmen genau notwendig sind, sollte im Einzelfall geprüft und am besten direkt dokumentiert werden (→ Stichwort: Verzeichnis von Verarbeitungstätigkeiten). Aufgrund dieses hohen Schutzniveaus ist auch der Einsatz von WhatsApp in der Kommunikation mit Patienten unzulässig. Weitere Informationen zur Problematik von WhatsApp finden Sie bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Ebenso unzulässig ist die Kommunikation mit Patienten mittels unverschlüsselter E-Mail, da diese nicht dem Stand der Technik entspricht. Wenn Sie dennoch mit Patienten per E-Mail kommunizieren wollen, sollten Sie sich über Möglichkeiten zur E-Mailverschlüsselung informieren oder mit uns Kontakt aufnehmen. Wir bieten etwa auch ein Formular für Webseiten an, welches die Daten Ende-zu-Ende-verschlüsselt per E-Mail versendet.
Auftragsverarbeitung
Verträge zur Auftragsdatenverarbeitung sollten zumindest mit dem Betreuer der Praxis-IT und der Praxis-Webseite geschlossen werden. Ob es darüber hinaus auch notwendig ist, mit dem Serverbetreiber (z.B. Strato oder 1&1) einen Vertrag zur Auftragsverarbeitung zu schließen, ist umstritten. So geht die bayerische Datenschutzaufsicht zumindest bei rein statischen Webseiten nicht davon aus, dass eine Auftragsverarbeitung vorliegt. Da inzwischen jedoch fast alle Anbieter eine einfache Möglichkeit zum Abschluss der Vereinbarung anbieten, empfehlen wir dies dennoch in jedem Fall. Sind weitere Dritte in die Datenverarbeitung der Praxis eingebunden, sollte im Einzelfall geprüft werden, ob eine Auftragsverarbeitung vorliegt oder der Dritte selbst verantwortlich ist (in diesem Fall bedarf es einer Rechtsgrundlage für die Übermittlung).
Meldepflicht bei Datenschutzverletzungen
Besteht durch eine Datenschutzverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen, so muss der Praxisinhaber als verantwortliche Stelle unverzüglich und möglichst innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informieren. Ob eine Meldung notwendig ist, sollte stets im Einzelfall geprüft und sorgfältig abgewogen werden. Wir empfehlen, im Fall einer Datenschutzverletzung schnellstmöglich Experten für IT-Sicherheit und Datenschutz hinzuzuziehen.
Bitte beachten Sie, dass dieser Beitrag nur einen Überblick über die Anforderungen der DSGVO gibt und eine persönliche Beratung nicht ersetzen kann.