Schlagwort: DSGVO

Die Umsetzung der Datenschutzgrundverordnung in der psychotherapeutischen Praxis

In den vergangenen Monaten haben wir uns sowohl als externe Datenschutzbeauftragte der Psychotherapeutenkammer des Saarlandes, als auch im Auftrag von zahlreichen psychotherapeutischen Praxen intensiv mit den Auswirkungen der DSGVO auf niedergelassene Psychotherapeuten beschäftigt. Dabei haben wir immer wieder festgestellt, dass viele Praxisinhaber nicht wissen, von welchen Regelungen der DSGVO sie betroffen sind und wie diese konkret umzusetzen sind. Aus diesem Grund gehen wir im folgenden Überblick noch einmal auf die wichtigsten Regelungen der DSGVO ein und erklären, wo bei niedergelassenen Psychotherapeuten Handlungsbedarf für die Umsetzung der DSGVO besteht.

Datenschutzbeauftragter
Da in psychotherapeutischen Praxis in der Regel weniger als 10 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, ist kein Datenschutzbeauftragter notwendig. Aus diesem Grund sollten sich Praxisbetreiber auch weder in Datenschutzerklärungen, noch an anderer Stelle selbst zum Datenschutzbeauftragten erklären.

Verzeichnis von Verarbeitungstätigkeiten
Jede Praxis muss ein sog. Verzeichnis von Verarbeitungstätigkeiten anlegen. Dabei handelt es sich um eine Dokumentation aller Verfahren, bei denen personenbezogene Daten verarbeitet werden. Das Verfahrensverzeichnis muss nicht veröffentlicht, sondern auf Anfrage an die Aufsichtsbehörde herausgegeben werden. Im Saarland ist die zuständige Aufsichtsbehörde die Landesbeauftragte für Datenschutz und Informationsfreiheit bzw. das unabhängige Datenschutzzentrum Saarland. Wir empfehlen, sich bei der Erstellung des Verzeichnisses an einem Muster des bayerischen Landesamts für Datenschutzaufsicht zu orientieren. Obwohl das Muster für eine Arztpraxis erstellt wurde, ist es größtenteils auf psychotherapeutische Praxen übertragbar und enthält die wichtigsten Punkte. Im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten sind auch die technischen und organisatorischen Maßnahmen zur Datensicherheit zu dokumentieren. Wir empfehlen dafür, zunächst die bestehenden Maßnahmen zur Datensicherheit extern überprüfen zu lassen und anschließend ein IT-Sicherheitskonzept zu erstellen. Dabei unterstützten wir Sie gerne!

Datenschutzverpflichtung von Beschäftigten
Grundsätzlich sind Beschäftigte, die mit personenbezogenen Daten umgehen, auf das Datengeheimnis zu verpflichten. Dies gilt insbesondere für Praxen, in denen neben dem Praxisinhaber auch angestellte Therapeuten arbeiten. Wir empfehlen darüber hinaus, auch Reinigungskräfte in einer gesonderten Datenschutzvereinbarung zu verpflichten. Es ist nicht ausgeschlossen, dass diese bei ihrer Tätigkeit in Kontakt mit personenbezogenen Daten kommen. Muster für diese Verpflichtungen sind Teil unseres Erstberatungsangebots zur DSGVO.

Informations- und Auskunftspflichten
Zunächst müssen die Patienten über den Datenschutz in der Praxis informiert werden. Dazu können wir das Muster zur Patienteninformation der KBV empfehlen. Die Patienteninformation kann entweder in der Praxis ausgehängt oder dem Patienten als Flyer ausgehändigt werden. Wir empfehlen, die Möglichkeit zur Kenntnisnahme in der Patientenakte zu vermerken. Die mitunter gängige Praxis, die Kenntnisnahme und eine entsprechende Unterschrift vom Patienten zu verlangen, ist nach Ansicht der Aufsichtsbehörden unzulässig. Sofern die Praxis eine Webseite betreibt, muss auch dort eine Datenschutzerklärung eingestellt werden. In diesem Zusammenhang raten wir von der Verwendung von generalisierten Online-Generatoren ab, da für die Erstellung einer Datenschutzerklärung genaue technische Kenntnisse der Webseite notwendig sind. Sprechen Sie besser mit dem Betreiber ihrer Webseite oder nehmen Sie Kontakt mit uns auf. Wir bieten die Erstellung einer Datenschutzerklärung zum günstigen Pauschalpreis an.

Löschen von Daten
Ein sicheres Löschen von Daten ist in der Praxis erst notwendig, wenn gesetzliche Aufbewahrungspflichten abgelaufen sind. Die gesetzliche Pflicht zur Aufbewahrung beträgt in der Regel zehn Jahre. Zur Vernichtung von Papierakten empfehlen wir einen Aktenvernichter, der mindestens die Sicherheitsstufe 4 erfüllt. Zur sicheren Löschung von Dateien auf Datenträgern wie Festplatten oder USB-Sticks gibt es spezielle Software.

Datensicherheit
In psychotherapeutischen Praxen werden Gesundheitsdaten verarbeitet, die als „besondere Kategorien von personenbezogenen Daten“ einem erhöhten Schutzniveau unterliegen. Aus diesem Grund müssen Praxisbetreiber im Vergleich zu anderen Unternehmern mehr für die Datensicherheit tun. Welche Maßnahmen genau notwendig sind, sollte im Einzelfall geprüft und am besten direkt dokumentiert werden (→ Stichwort: Verzeichnis von Verarbeitungstätigkeiten). Aufgrund dieses hohen Schutzniveaus ist auch der Einsatz von WhatsApp in der Kommunikation mit Patienten unzulässig. Weitere Informationen zur Problematik von WhatsApp finden Sie bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Ebenso unzulässig ist die Kommunikation mit Patienten mittels unverschlüsselter E-Mail, da diese nicht dem Stand der Technik entspricht. Wenn Sie dennoch mit Patienten per E-Mail kommunizieren wollen, sollten Sie sich über Möglichkeiten zur E-Mailverschlüsselung informieren oder mit uns Kontakt aufnehmen. Wir bieten etwa auch ein Formular für Webseiten an, welches die Daten Ende-zu-Ende-verschlüsselt per E-Mail versendet.

Auftragsverarbeitung
Verträge zur Auftragsdatenverarbeitung sollten zumindest mit dem Betreuer der Praxis-IT und der Praxis-Webseite geschlossen werden. Ob es darüber hinaus auch notwendig ist, mit dem Serverbetreiber (z.B. Strato oder 1&1) einen Vertrag zur Auftragsverarbeitung zu schließen, ist umstritten. So geht die bayerische Datenschutzaufsicht zumindest bei rein statischen Webseiten nicht davon aus, dass eine Auftragsverarbeitung vorliegt. Da inzwischen jedoch fast alle Anbieter eine einfache Möglichkeit zum Abschluss der Vereinbarung anbieten, empfehlen wir dies dennoch in jedem Fall. Sind weitere Dritte in die Datenverarbeitung der Praxis eingebunden, sollte im Einzelfall geprüft werden, ob eine Auftragsverarbeitung vorliegt oder der Dritte selbst verantwortlich ist (in diesem Fall bedarf es einer Rechtsgrundlage für die Übermittlung).

Meldepflicht bei Datenschutzverletzungen
Besteht durch eine Datenschutzverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen, so muss der Praxisinhaber als verantwortliche Stelle unverzüglich und möglichst innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informieren. Ob eine Meldung notwendig ist, sollte stets im Einzelfall geprüft und sorgfältig abgewogen werden. Wir empfehlen, im Fall einer Datenschutzverletzung schnellstmöglich Experten für IT-Sicherheit und Datenschutz hinzuzuziehen.

Bitte beachten Sie, dass dieser Beitrag nur einen Überblick über die Anforderungen der DSGVO gibt und eine persönliche Beratung nicht ersetzen kann.

Neue Entwicklungen rund um die DSGVO

Im Zusammenhang mit der Datenschutz-Grundverordnung gab es in jüngster Vergangenheit zwei Neuerungen, die wir Ihnen nicht vorenthalten wollen.

Informationspflicht nach Art. 13 DSGVO

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länger – kurz DSK – hat in einem Papier klargestellt, welchen Anforderungen die Aufklärung der Patienten einer Arztpraxis genügen muss. Die DSGVO schreibt in Art. 13 vor, dass die verantwortliche Stelle (im vorliegenden Fall die Arztpraxis) die Betroffenen (hier den Patienten) über die Datenverarbeitung und die Betroffenenrechte informiert.

Aufgrund vieler Unklarheiten und fehlender Präzisierung – etwa durch Gerichtsurteile – hat sich eine große Zahl niedergelassener Ärzte und Therapeuten dazu entschieden, die Informationen jedem Patienten auszuhändigen und sich die Kenntnisnahme durch Unterschrift bestätigen zu lassen. Dadurch ist man rechtlich abgesichert und kann im Streitfall belegen, dass der Informationspflicht nach Art. 13 DSGVO nachgekommen wurde. In einigen Fällen hatten Patienten jedoch diese Quittierung abgelehnt und keine Unterschrift abgegeben. Als Folge verweigerten ihnen die Arztpraxen die Behandlung.

Die Datenschutzkonferenz hat nun klargestellt, dass eine derartig bescheinigte Kenntnisnahme nicht zwingend erforderlich ist, um die Behandlung aufzunehmen und damit die Daten der Patienten zu verarbeiten. „Die Informationspflicht […]“ – so das Papier – „bezweckt lediglich, dass der Patientin bzw. dem Patienten die Gelegenheit gegeben wird, die entsprechenden Informationen einfach und ohne Umwege zu erhalten. Sie oder er muss diese jedoch nicht zur Kenntnis nehmen, wenn sie oder er dies nicht möchte.“

Im Ergebnis bedeutet dies eine Erleichterung gerade für kleinere Betriebe wie etwa Arzt- oder Therapiepraxen. Sichergestellt werden muss also „nur“, dass die Informationen den Betroffenen zugänglich sind und sich diese bei Interesse einfach informieren können. Hat der Betroffene sowieso kein Interesse daran, alle Informationen genau zu studieren, soll dies also nicht zum Nachteil des Verantwortlichen sein. Er kann die Daten weiterhin verarbeiten, sofern die Möglichkeit der Kenntnisnahme gewahrt bleibt.

Facebook-Seiten

Im Rahmen des selben Treffens der Datenschutzaufsichtsbehörden wurden neue Bedenken hinsichtlich des Betriebs von Facebook-Seiten (sog. „Fanpages“) laut. Wie der Rechtsanwalt Dr. Thomas Schwenke in einem Blogbeitrag nun berichtet, hat Facebook jedoch schnell reagiert und ein sog. „Page Controller Addendum“ veröffentlicht. Darin soll klar geregelt werden, welche datenschutzrechtlichen Pflichten von Facebook wahrgenommen werden und welche vom Betreiber der Fanpage. Der Blogbeitrag zählt ausführlich auf, welche Probleme damit entschärft werden und welche Schritte Seitenbetreiber unternehmen sollten, um Ärger mit Betroffenen oder den Datenschutzbehörden zu vermeiden.

Zusammenfassend sollten durch diese neue Vereinbarung die größten Probleme beseitigt werden. Nach wie vor ungeklärt ist jedoch, ob die Verarbeitung der Daten im Rahmen der „Insights“ (Analysewerkzeuge, mit denen die Besuche der Seite untersucht und aufgeschlüsselt werden können, etwa nach Herkunft und Interessengebieten der Nutzer) allgemein rechtmäßig ist. Nur dann wäre der Betrieb einer Facebook-Fanpage überhaupt mit der DSGVO vereinbar. Wer auf Nummer Sicher gehen will, wartet also besser noch die diesbezüglich laufenden Gerichtsverfahren ab.

Stellenauschreibung – IT-Hilfskraft – Psychotherapeutenkammer des Saarlandes (verlängert!)

Die Psychotherapeutenkammer des Saarlandes (PKS) sucht zum nächstmöglichen Zeitpunkt eine (studentische) Hilfskraft (m/w) für die Betreuung der IT-Infrastruktur im Umfang von ca. 5 Wochenstunden auf Minijob-Basis.

Aufgabenbereich

  • Betreuung der IT-Infrastruktur der Geschäftsstelle der PKS (2 Rechner-Arbeitsplätze) und gegebenenfalls der Geräte der Vorstandsmitglieder
  • Unterstützung bei der Verwaltung der Webseite (Typo3)
  • Beratung bei technischen Fragen und Problemstellungen
  • Allgemeine Rechercheaufgaben und Unterstützung bei Veranstaltungen

Anforderungsprofil

  • Gute IT-Kenntnisse, insbesondere Microsoft Access und Outlook sowie Windows
  • Bereitschaft, während der Öffnungszeiten der Geschäftsstelle von Montag bis Donnerstag auch kurzfristig Probleme telefonisch, per Remote-Zugriff oder vor Ort zu beheben
  • Fähigkeit, auch komplexe IT-Sachverhalte in einfachen Worten zu erklären
  • Angemessenes Kommunikationsverhalten sowie mindestens gutes Deutsch in Wort und Schrift

Was wir bieten

  • Flexible Arbeitszeiten sowie Vereinbarkeit mit dem Studium o.ä.
  • Angenehme Arbeitsatmosphäre und ein nettes Team
  • Einblick in die Arbeitsweise einer Berufskammer
  • Unterstützung durch die IT-Sicherheits- und Datenschutzexperten der Defendo GbR – Möllers & Hessel (Datenschutzbeauftragte der PKS)
  • Eine Vergütung von 11 € /Stunde
  • Das Bewerbungsverfahren läuft über die Defendo GbR – Möllers & Hessel.

Aussagekräftige Bewerbungsunterlagen (Lebenslauf und kurzes Anschreiben mit Nennung der Vorkenntnisse, speziell im IT-Bereich) sollten per E-Mail bis zum 27.07.2018 an gesendet werden. Reichen Sie die Bewerbungsunterlagen bitte als ein zusammenhängendes PDF-Dokument ein. Alle übermittelten Bewerberunterlagen werden nach Abschluss des Verfahrens gelöscht. Die Datenschutzerklärung der Defendo GbR – Möllers & Hessel finden Sie hier.

DSGVO-Konforme Webserver-Logs

In unserem heutigen Blog-Beitrag möchten wir uns einem Problem widmen, welches vor allem Betreiber kleiner Internet-Dienste betrifft. Gut sichtbar haben in den letzten Wochen und Monaten viele große Dienstleister die Datenschutzerklärungen auf ihren Webseiten angepasst. Bei einigen Anbietern wurden in diesem Zusammenhang auch mal kurzfristig die Speicherfristen für IP-Adressen in Webserver-Logs angepasst. In diesem Zusammenhang stellt sich vielleicht der ein oder andere Webseitenbetreiber die Frage: Wie steht es eigentlich um meine Webserver-Logs?

Die Defendo GbR – Möllers & Hessel hat sich diese Frage gleich zu Beginn gestellt. Ein Unternehmen, welches Datenschutz propagiert und auf diesem Gebiet Kunden berät, sollte schließlich mit gutem Beispiel voran gehen. Unsere Webseite wird auf einem eigenen Server betrieben. Ein einfaches Setup mit Debian Linux und dem Apache Webserver. Doch genau hier lauert der Fallstrick: In der Regel (und dies gilt nicht nur für Debian und Apache) werden Webserver nicht mit DSGVO-konformen Einstellungen ausgeliefert (die Einstellungen sind auch nach „altem“ deutschen Datenschutzrecht nicht konform, aber das nur am Rande). Das heißt: Wer einen Webserver installiert und damit eine Webseite betreiben will, muss (leider) selbst Hand anlegen. Denn oft speichern die Webserver IP-Adressen und Anfragen in ihren Log-Dateien, welche sie für lange oder gar unbegrenzte Zeiträume auf der Festplatte stapeln.

Dem Apache-Webserver ist beispielsweise das „Recht auf Vergessenwerden“ von Haus aus erst einmal ein Fremdwort. Log-Dateien werden unbegrenzt aufbewahrt und enthalten jede einzelne Anfrage inklusive der IP-Adresse, wie folgendes Beispiel zeigt:

192.168.0.1 - - [07/Jun/2018:12:27:59 +0200] "GET /index.html HTTP/1.1" 200 19810 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"

Erste Abhilfe schafft bspw. das Programm logrotate, welches in jeder gut sortierten Linux-Distribution aus den Paketquellen installiert werden kann. Bei der Standard-Einstellung unter Debian wird damit die Apache-Log-Datei jeden Tag „rotiert“ und Logs, die älter als 14 Tage sind, gelöscht. Die Maximaldauer lässt sich problemlos auf 7 Tage heruntersetzen. Wenn man aus einem bestimmten Grund (etwa einer großen Anzahl Angriffe auf die Webseite) IP-Adressen unbedingt speichern muss, genügt dieser Schritt bereits. Natürlich muss dann aber auch ein entsprechender Hinweis in die Datenschutzerklärung auf der Webseite!

Ganz nach dem Gedanken der Datensparsamkeit, welcher in der DSGVO Nennung findet, möchten wir aber einen Schritt weiter gehen. Wie verhindert man, dass Apache überhaupt IP-Adressen speichert? Hierfür muss man die Seiten-Konfiguration im Apache-Verzeichnis (bspw. /etc/apache2/sites-enabled/) anpassen. Die wichtigen Konfigurationsdirektiven hier sind LogFormat und ErrorLogFormat. Das folgende Beispiel zeigt, wie die beiden Formate angepasst werden, um die IP-Adressen aus dem Log herauszulassen.

{% highlight apache %}
ErrorLogFormat „[%{u}t] [%-m:%l] [pid %P] %7F: %E: %M% , referer %{Referer}i“
ErrorLog ${APACHE_LOG_DIR}/error.log
LogFormat „%t „%r“ %>s %b“ anonymised
CustomLog ${APACHE_LOG_DIR}/access.log anonymised
{% endhighlight %}

Sollten Sie noch Fragen zum datenschutzkonformen Betrieb einer Webseite haben, schreiben Sie uns einfach! Wir sind Ihnen gerne behilflich, Ihre Webseite DSGVO-konform zu gestalten.

Eine Woche bis zur DSGVO

In einer Woche, am 25. Mai 2018, wird die Datenschutzgrundverordnung (DSGVO) anwendbar sein. Doch längst nicht alle Unternehmen sind ausreichend vorbereitet. So zeigt eine aktuelle Umfrage des IT-Branchenverbands Bitkom, dass drei von vier Unternehmen die Frist verfehlen werden. Dies liegt nicht etwa daran, dass den deutschen Unternehmern die DSGVO egal wäre, sondern vielmehr daran, dass es sich um ein hochkomplexes Regelwerk handelt und für den Laien kaum zu durchdringen ist. So sind einige Fragen zur DSGVO selbst unter Experten umstritten. Dazu zählt etwa die Frage, ob eine juristische Person zum Datenschutzbeauftragten bestellt werden kann oder ob für ein Tracking von Nutzern zukünftig eine vorherige Einwilligung notwendig ist. Letzteres behauptete, allerdings mit fragwürdiger Begründung, die Konferenz der Datenschutzbehörden kürzlich in einem Positionspapier.

Angesichts dieser zahlreichen Unklarheiten raten wir Unternehmern daher zunächst dazu, Ruhe zu bewahren. Es ist nicht damit zu rechnen, dass die Datenschutzaufsichtsbehörden am 26. Mai die Bussgeldkeule auspacken und auf kleine und mittelständische Unternehmer losgehen werden. Gleichwohl sollten Unternehmer – auch im Hinblick auf die umstrittene Frage, ob Verstöße gegen die DSGVO zu Abmahnungen nach dem UWG berechtigen – spätestens jetzt aktiv werden und mit der Umsetzung der DSGVO beginnen. Dabei empfiehlt es sich, mit den Grundlagen – wie der Erstellung eines Verarbeitungsverzeichnisses oder der Datenschutzerklärung für die Unternehmenswebseite – zu beginnen. Gerade letztere wird, sofern es zu einer Abmahnwelle kommen wird, zu einem wesentlichen Punkt bei der Compliance mit der DSGVO werden.

Vor diesem Hintergrund bietet die Defendo GbR – Möllers & Hessel aktuell zwei spannende Last-Minute-Angebote zur Vorbereitung auf die DSVGO:

  1. Die Telefonberatung zur DSGVO in der wir umfassend und individuell zur DSGVO beraten zum Preis von 90€ pro Stunde.
  2. Die Erstellung von Datenschutzerklärungen für Webseiten kleinerer und mittlerer Größe mit einem Check, ob die jeweilige Webseite technisch überhaupt mit der DSGVO konform ist, zum Pauschalpreis von 200€ pro Erklärung.