Suchen Schließen Pfeil

Fragen und Antworten zum Datenschutz

An dieser Stelle beantwortet die LPK RLP Fragen, die von Kammermitgliedern zum Thema Datenschutz gestellt wurden. Die Liste der Fragen und Antworten wird laufend ergänzt.

Wann findet die EU-Datenschutzgrundverordnung (DSGVO) Anwendung?

Die EU-Datenschutzgrundverordnung findet Anwendung, wenn personenbezogene Daten automatisiert verarbeitet werden oder ein Dateisystem verwendet wird. Ein Dateisystem ist z.B. eine Kartei zur Verwaltung von Patientendaten oder nach Namen sortierte Patientenakten, auch wenn diese ausschließlich in Papierform geführt werden. Da Sie für die Führung der Praxis in der Regel ein sortiertes System zum Auffinden der Patientenakten verwenden, sind die Regelungen der EU-Datenschutzgrundverordnung umzusetzen.

Was ist Verarbeiten von personenbezogenen Daten nach der DSGVO?

  • Erheben (Beschaffen)
  • Speichern (Erfassen, Aufnehmen, Aufbewahren auf Datenträgern/Papier)
  • Verändern (Inhaltliches Umgestalten)
  • Übermitteln (Bekanntgabe an Dritte)
  • Sperren (Verhindern weiterer Verarbeitung)
  • Löschen (Beseitigen)
  • Nutzen (jede sonstige Verwendung)

Was sind personenbezogene Daten nach der DSGVO?

Personenbezogene Daten sind Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität.
Dazu gehören beispielsweise allgemeine Personendaten (Name, Geburtsdatum, Alter, Geburtsort, Adresse, Email-Adresse…), Kennnummern (Steueridentifikationsnummer, Sozialversicherungsnummer, Nummer der Krankenversicherung, Personalausweisenummer…), Bankdaten, Online-Daten (IP-Adresse, Standortdaten…), physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Größe, Statur…), Werturteile (Zeugnisse…).

Was sind besonders schützenswerte Daten nach der DSGVO?

Besonders schützenswerte Daten sind nach der EU-Datenschutzgrundverordnung Daten, die nur in besonderen Ausnahmefällen erhoben werden dürfen. Hierzu zählen: Angaben über rassische sowie  ethnische Herkunft, politische Ansichten, religiöse sowie philosophische Überzeugung, Gewerkschaftszugehörigkeit, Angaben über die Gesundheit einer Person, Daten zur Sexualität eines Menschen.

Warum darf ich als Psychologischer Psychotherapeut trotzdem Gesundheitsdaten verarbeiten?

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es besteht eine Erlaubnis aus einem Gesetz, einer rechtlicher Verpflichtung (privatrechtlicher Vertrag mit einem Privatpatienten) bzw. zur Wahrung von Rechtsansprüchen (z.B. Geltendmachung von Honorarforderungen) oder aus einer Einwilligung des Betroffenen.
Für den Gesundheitsbereich gilt Art. 9 Abs.2 lit. h) DSGVO i.V. mit § 22 Abs. 1 Nr. 1 lit. b) BDSG: Zum Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich ist die Verarbeitung besonderer personenbezogener Daten erlaubt. Erlaubt sind damit alle Datenverarbeitungsvorgänge im Zusammenhang mit Prävention, Diagnostik, Therapie und Nachsorge.

Darf ich ansonsten keine Daten verarbeiten?

Wenn die Datenverarbeitung auf Grund eines Gesetzes erlaubt ist, dann bedarf es keiner zusätzlichen Einwilligung des Patienten (siehe vorherige Frage). Anderenfalls muss eine Einwilligung eingeholt werden (z.B. für die Abgabe zur Rechnungsstelle an einen Dritten).

Wie kann ich eine Einwilligung einholen?

Um eine Einwilligung rechtswirksam zu erhalten, ist eine umfassende Information des Patienten notwendig.  Der Patient muss erkennen können, zu welchem Verarbeitungszweck er eine Einwilligung gibt und gegenüber welchen Personen.
Unzulässig ist eine sogenannte Pauschaleinwilligung („Ich willige ein, dass meine Daten gespeichert und verarbeitet werden“).
Selbstverständlich darf die Einwilligung nur freiwillig und ohne Zwang, Druck oder Täuschung erfolgen. Eine besondere Form muss nicht eingehalten werden. Die Einwilligung ist schriftlich, mündlich oder elektronisch möglich. Ratsam ist jedoch eine schriftliche Einwilligung einzuholen, da der Psychologische Psychotherapeut bei Unklarheiten das Vorliegen der Einwilligung beweisen muss.
Besonderheiten gelten bei Einwilligungen von Minderjährigen. Diese sind nur bei bestehender Einsichtsfähigkeit (noch unklar, eventuell ab 15 Jahren) gültig. Ansonsten ist eine Erklärung der Sorgeberechtigten erforderlich.

Muss ich meine Patienten über die Datenverarbeitung informieren?

Ja, die Patienten müssen allgemein über die Datenverarbeitung und ihre Rechte informiert werden. Folgende Daten müssen den Patienten mitgeteilt werden: Identität und Kontaktdaten des Verantwortlichen für die Datenerhebung, Kontaktdaten des Datenschutzbeauftragten (falls vorhanden), Verarbeitungszweck und Rechtsgrundlage, Rechte des Betroffenen, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, ggf. Empfänger der Daten, Widerrufbarkeit von Einwilligungen, Beschwerderecht bei der Aufsichtsbehörde, Dauer der Speicherung und  Verpflichtung zur Bereitstellung, bzw. Folgen der Nichtbereitstellung erläutern.

Wie informiere ich meine Patienten richtig?

Die Patienten sollen in einfacher, verständlicher und klarer Sprache informiert werden. Dies geht mündlich oder schriftlich, z.B. auch durch Aushändigung eines standardisierten Formblatts oder einen deutlich sichtbaren Aushang in der Praxis.

Die Kammer hat Ihnen ein einfach anzupassendes Muster bereitgestellt. Das Muster finden Sie hier.

Muss ich meiner Informationspflicht auch nachkommen, wenn ich unaufgefordert eine E-Mail eines Patienten erhalte?

Bei unverlangt übersandten Daten müssen Sie nicht informieren, wenn diese von Ihnen sogleich wieder gelöscht werden.

Wie verhalte ich mich richtig bei der Nutzung von Computer, Internet, Fax, Handy usw.?

Die Patientendaten sollten Sie nicht auf dem Rechner speichern, mit dem Sie gewöhnlich ins Internet gehen. Falls Sie dies doch machen wollen, müssen die Patientendaten verschlüsselt abgelegt werden.
Es sollten tägliche Sicherungskopien auf geeigneten Datenträgern erstellt werden und dabei sichergestellt sein, dass bei einem eventuellen Systemzusammenbruch die Daten schnell und vollständig wieder hergestellt werden können.
Bei elektronischer Datenübermittlung ist technischer sicherzustellen, dass kein Unbefugter Zugriff hat.

E-Mail-Verkehr erfordert mindestens eine Transportverschlüsselung – auch bei Terminabsprachen. Hierzu finden Sie weitere Informationen unter https://www.mit-sicherheit-gut-behandelt.de/digitale-arztpraxis/email.html

SMS und WhatsApp sind grundsätzlich unsicher und deshalb unzulässig (auch für Terminvereinbarungen!)

Internet-Telefonie (VoIP): keine Bedenken bei Telekom-Unternehmen aus Deutschland und der EU (bei Anbietern außerhalb der EU unzulässig)

Skype: unzulässig

Fax: Sicherstellen, dass nur der „richtige“ Empfänger Kenntnis nehmen kann




Welche Anforderungen sind an die Homepage zu stellen?

Alle Daten die aus der Nutzung der Homepage entstehen und verarbeitet werden, müssen den Datenschutz-Regelungen genügen. Grundlage ist das Telemediengesetz (TMG). Nach §§ 13, 15 TMG muss der Praxisinhaber die Nutzer der Homepage zu Beginn der Nutzung über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten unterrichten. Außerdem muss der Praxisinhaber  die Nutzer darüber informieren, falls die Daten außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums verarbeitet werden. Weiterhin werden Anforderungen an die Gestaltung einer elektronischen Einwilligung gestellt, falls über die Website personenbezogene Daten erhoben werden.

Was gilt, wenn für die Homepage weitere Dienstleister einbezogen sind?

Falls externe Dienstleister Zugriff auf die personenbezogenen Daten der Nutzer haben, müssen die Nutzer der Homepage auch darüber aufgeklärt werden. Dies ist dann der Fall, wenn der Webserver nicht selbst durch die Praxis betrieben wird, sondern auf sogenannte Hosting-Provider zurückgegriffen wird. Im Kern geht es darum, die Nutzer darüber zu informieren, dass ihre personenbezogenen Daten ggf. anderen Stellen als dem Anbieter der Homepage zur Kenntnis gelangen. Dies ist z.B. bei der Erfassung und Auswertung der Zugriffe auf die Homepage bzw. dem Einsatz entsprechender Softwarelösungen wie „Google Analytics“ oder „Piwik“ der Fall. Sollten Sie die Homepage von einem IT-Dienstleister haben erstellen lassen, kann Ihnen dieser die erforderlichen Informationen geben.

Wie informiere ich die Nutzer meiner Homepage richtig?

Die nötigen Informationen sollten unter der Überschrift „Datenschutzerklärung“ leicht erkennbar und unmittelbar erreichbar auf der Homepage zur Verfügung gestellt werden (dasselbe gilt für das Impressum).
Werden Online-Formulare zur Übertragung von Daten an die Praxis angeboten (z.B. für Terminreservierung, Mitteilungen), so sollte ein Hinweis auf den Sicherheitsstandard der Übermittlung erfolgen (verschlüsselte Übertragung). Ebenso soll über die Verwendung der übermittelten Daten und deren eventuelle Weitergabe informiert werden. Dies ist nicht erforderlich, falls Sie lediglich eine Kontakt-E-Mailadresse verwenden und die hierüber erhaltenen Daten lediglich zur Kontaktaufnahme mit den Patienten nutzen und nicht weiter verarbeiten.
Eine Muster-Datenschutzerklärung finden Sie hier.

Was tue ich, wenn ich eine Abmahnung wegen Verstoßes gegen die DSGVO erhalte?

Soweit sich die Abmahnung auf einen datenschutzrechtlichen Verstoß auf Ihrer Homepage richtet, sollten Sie die Homepage umgehend offline stellen, unabhängig davon, ob Sie den Vorwurf als berechtigt oder unberechtigt ansehen.
Wenn aus der Abmahnung die Identität des Abmahnenden und der konkrete Vorwurf erkennbar sind, sollten Sie mit der Abmahnung einen Rechtsanwalt aufsuchen. Mit Hilfe des Rechtsanwalts können Sie beurteilen, ob und wie Sie auf diese Abmahnung reagieren können und sollen. Da die Möglichkeit der Abmahnung wegen Verstoßes gegen die DSGVO gesetzlich neu geregelt ist und noch keine gerichtlichen Entscheidungen zur Orientierung vorliegen, können wir Ihnen aktuell nur raten, einen Anwalt aufzusuchen.
In jedem Fall sollten Sie sich an die in der Abmahnung zumeist sehr kurz gesetzten Fristen halten, da Sie ansonsten die Gefahr laufen, dass der Abmahnende ein gerichtliches Verfahren einleitet.

Ausführliche Informationen zu diesem Thema finden Sie hier.

Wie gewährleistet man den Datenschutz bei Praxisübergabe?

Bei Praxisübergabe wird das sogenannte „Zwei-Schrank-Modell“ empfohlen, welches auch die Kriterien des Datenschutzes erfüllt. Die Patientenakten bleiben in einem verschlossenen Schrank in den alten Räumlichkeiten beim Käufer stehen, aber das Eigentum an den Akten bleibt beim Verkäufer. Wenn ein Patient die Praxis aufsucht, dessen Unterlagen sich in dem verschlossenen Schrank befinden, muss er sein Einverständnis dazu erklären, dass der Praxisnachfolger die Behandlungsunterlagen einsehen und nutzen darf. Dies sollte am besten in der Patientenakte dokumentiert werden.
Liegt das Einverständnis vor, kann der Praxisnachfolger die Akte entnehmen und mit seiner laufenden Patientenkartei zusammenführen. Unabhängig vom Datenschutz ist die Praxisveräußerung, einschließlich der Übertragung der Patientenkartei, ohne Einwilligung der Patienten in die Übergabe der Akten an den neuen Praxisinhaber unwirksam.

Was sollte ich SOFORT hinsichtlich der DSGVO umsetzen?

Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten
Weitere Informationen und Muster finden Sie hier: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordung/verzeichnis-von-verarbeitungstaetigkeiten/

Schaffung von internen Regelungen zum Umgang mit sensiblen Daten (sog. technische und organisatorische Maßnahmen) um einen Missbrauch dieser Daten zu verhindern, z.B. Patientendaten nicht unverschlüsselt online versenden, Patientenakten sicher zu verwahren, auf Diskretion in der Praxis achten. Hierfür gibt es keine konkreten Angaben zur Umsetzung in der DSGVO.

Erstellung der Informationen für Patienten zum Datenschutz
Ein Muster für die Patienteninformation finden Sie hier: https://www.lpk-rlp.de/fileadmin/user_upload/Muster_Patienteninformation.pdf

Ggf. Vereinbarungen zur Auftragsverarbeitung mit Software-Anbietern und anderen Dienstleistern
Weitere Informationen finden Sie hier:  https://www.lpk-rlp.de/detail/artikel/datenschutz-bei-externen-dienstleistern-und-neuregelung-der-strafrechtlichen-verschwiegenheitsverpfl.html?L=&cHash=f5d687a13db9e79a930cdcaeec3e446a

Prüfung der Homepage auf Einhaltung der datenschutzrechtlichen Vorgaben (Datenschutzerklärung, Kontaktformular…)
Weitere Informationen und ein Muster für die Datenschutzerklärung finden Sie hier:https://www.bptk.de/uploads/media/20180518_muster-datenschutzerklaerung.pdf