Fragen und Antworten zum Datenschutz

Die EU-Datenschutzgrundverordnung findet Anwendung, wenn personenbezogene Daten automatisiert verarbeitet werden oder ein Dateisystem verwendet wird. Ein Dateisystem ist z.B. eine Kartei zur Verwaltung von Patientendaten oder nach Namen sortierte Patientenakten, auch wenn diese ausschließlich in Papierform geführt werden. Da Sie für die Führung der Praxis in der Regel ein sortiertes System zum Auffinden der Patientenakten verwenden, sind die Regelungen der EU-Datenschutzgrundverordnung umzusetzen.

• Erheben (Beschaffen)
• Speichern (Erfassen, Aufnehmen, Aufbewahren auf Datenträgern/Papier)
• Verändern (Inhaltliches Umgestalten)
• Übermitteln (Bekanntgabe an Dritte)
• Sperren (Verhindern weiterer Verarbeitung)
• Löschen (Beseitigen)
• Nutzen (jede sonstige Verwendung)

Personenbezogene Daten sind Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität.
Dazu gehören beispielsweise allgemeine Personendaten (Name, Geburtsdatum, Alter, Geburtsort, Adresse, Email-Adresse…), Kennnummern (Steueridentifikationsnummer, Sozialversicherungsnummer, Nummer der Krankenversicherung, Personalausweisenummer…), Bankdaten, Online-Daten (IP-Adresse, Standortdaten…), physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Größe, Statur…), Werturteile (Zeugnisse…).

Besonders schützenswerte Daten sind nach der EU-Datenschutzgrundverordnung Daten, die nur in besonderen Ausnahmefällen erhoben werden dürfen. Hierzu zählen: Angaben über rassische sowie  ethnische Herkunft, politische Ansichten, religiöse sowie philosophische Überzeugung, Gewerkschaftszugehörigkeit, Angaben über die Gesundheit einer Person, Daten zur Sexualität eines Menschen.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es besteht eine Erlaubnis aus einem Gesetz, einer rechtlicher Verpflichtung (privatrechtlicher Vertrag mit einem Privatpatienten) bzw. zur Wahrung von Rechtsansprüchen (z.B. Geltendmachung von Honorarforderungen) oder aus einer Einwilligung des Betroffenen.
Für den Gesundheitsbereich gilt Art. 9 Abs.2 lit. h) DSGVO i.V. mit § 22 Abs. 1 Nr. 1 lit. b) BDSG: Zum Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich ist die Verarbeitung besonderer personenbezogener Daten erlaubt. Erlaubt sind damit alle Datenverarbeitungsvorgänge im Zusammenhang mit Prävention, Diagnostik, Therapie und Nachsorge.

Wenn die Datenverarbeitung auf Grund eines Gesetzes erlaubt ist, dann bedarf es keiner zusätzlichen Einwilligung des Patienten (siehe vorherige Frage). Anderenfalls muss eine Einwilligung eingeholt werden (z.B. für die Abgabe zur Rechnungsstelle an einen Dritten).

Soweit sich die Abmahnung auf einen datenschutzrechtlichen Verstoß auf Ihrer Homepage richtet, sollten Sie die Homepage umgehend offline stellen, unabhängig davon, ob Sie den Vorwurf als berechtigt oder unberechtigt ansehen.
Wenn aus der Abmahnung die Identität des Abmahnenden und der konkrete Vorwurf erkennbar sind, sollten Sie mit der Abmahnung einen Rechtsanwalt aufsuchen. Mit Hilfe des Rechtsanwalts können Sie beurteilen, ob und wie Sie auf diese Abmahnung reagieren können und sollen. Da die Möglichkeit der Abmahnung wegen Verstoßes gegen die DSGVO gesetzlich neu geregelt ist und noch keine gerichtlichen Entscheidungen zur Orientierung vorliegen, können wir Ihnen aktuell nur raten, einen Anwalt aufzusuchen.
In jedem Fall sollten Sie sich an die in der Abmahnung zumeist sehr kurz gesetzten Fristen halten, da Sie ansonsten die Gefahr laufen, dass der Abmahnende ein gerichtliches Verfahren einleitet.

Ausführliche Informationen zu diesem Thema finden Sie hier.

Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten
Weitere Informationen und Muster finden Sie hier: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordung/verzeichnis-von-verarbeitungstaetigkeiten/

Schaffung von internen Regelungen zum Umgang mit sensiblen Daten (sog. technische und organisatorische Maßnahmen) um einen Missbrauch dieser Daten zu verhindern, z.B. Patientendaten nicht unverschlüsselt online versenden, Patientenakten sicher zu verwahren, auf Diskretion in der Praxis achten. Hierfür gibt es keine konkreten Angaben zur Umsetzung in der DSGVO.

Erstellung der Informationen für Patienten zum Datenschutz
Ein Muster für die Patienteninformation finden Sie hier: https://www.lpk-rlp.de/fileadmin/user_upload/Muster_Patienteninformation.pdf

Ggf. Vereinbarungen zur Auftragsverarbeitung mit Software-Anbietern und anderen Dienstleistern
Weitere Informationen finden Sie hier:  <link detail artikel>www.lpk-rlp.de/detail/artikel/datenschutz-bei-externen-dienstleistern-und-neuregelung-der-strafrechtlichen-verschwiegenheitsverpfl.html

Prüfung der Homepage auf Einhaltung der datenschutzrechtlichen Vorgaben (Datenschutzerklärung, Kontaktformular…)
Weitere Informationen und ein Muster für die Datenschutzerklärung finden Sie hier:https://www.bptk.de/uploads/media/20180518_muster-datenschutzerklaerung.pdf

Muster zum Datenschutz finden Sie HIER.

Um eine Einwilligung rechtswirksam zu erhalten, ist eine umfassende Information des Patienten notwendig.  Der Patient muss erkennen können, zu welchem Verarbeitungszweck er eine Einwilligung gibt und gegenüber welchen Personen.
Unzulässig ist eine sogenannte Pauschaleinwilligung („Ich willige ein, dass meine Daten gespeichert und verarbeitet werden“).
Selbstverständlich darf die Einwilligung nur freiwillig und ohne Zwang, Druck oder Täuschung erfolgen. Eine besondere Form muss nicht eingehalten werden. Die Einwilligung ist schriftlich, mündlich oder elektronisch möglich. Ratsam ist jedoch eine schriftliche Einwilligung einzuholen, da der Psychologische Psychotherapeut bei Unklarheiten das Vorliegen der Einwilligung beweisen muss.
Besonderheiten gelten bei Einwilligungen von Minderjährigen. Diese sind nur bei bestehender Einsichtsfähigkeit (noch unklar, eventuell ab 15 Jahren) gültig. Ansonsten ist eine Erklärung der Sorgeberechtigten erforderlich.

Ja, die Patienten müssen allgemein über die Datenverarbeitung und ihre Rechte informiert werden. Folgende Daten müssen den Patienten mitgeteilt werden: Identität und Kontaktdaten des Verantwortlichen für die Datenerhebung, Kontaktdaten des Datenschutzbeauftragten (falls vorhanden), Verarbeitungszweck und Rechtsgrundlage, Rechte des Betroffenen, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, ggf. Empfänger der Daten, Widerrufbarkeit von Einwilligungen, Beschwerderecht bei der Aufsichtsbehörde, Dauer der Speicherung und  Verpflichtung zur Bereitstellung, bzw. Folgen der Nichtbereitstellung erläutern.

Die Patienten sollen in einfacher, verständlicher und klarer Sprache informiert werden. Dies geht mündlich oder schriftlich, z.B. auch durch Aushändigung eines standardisierten Formblatts oder einen deutlich sichtbaren Aushang in der Praxis.

Die Kammer hat Ihnen ein einfach anzupassendes Muster bereitgestellt. Das Muster finden Sie hier.

Bei unverlangt übersandten Daten müssen Sie nicht informieren, wenn diese von Ihnen sogleich wieder gelöscht werden.

Bei Praxisübergabe wird das sogenannte „Zwei-Schrank-Modell“ empfohlen, welches auch die Kriterien des Datenschutzes erfüllt. Die Patientenakten bleiben in einem verschlossenen Schrank in den alten Räumlichkeiten beim Käufer stehen, aber das Eigentum an den Akten bleibt beim Verkäufer. Wenn ein Patient die Praxis aufsucht, dessen Unterlagen sich in dem verschlossenen Schrank befinden, muss er sein Einverständnis dazu erklären, dass der Praxisnachfolger die Behandlungsunterlagen einsehen und nutzen darf. Dies sollte am besten in der Patientenakte dokumentiert werden.
Liegt das Einverständnis vor, kann der Praxisnachfolger die Akte entnehmen und mit seiner laufenden Patientenkartei zusammenführen. Unabhängig vom Datenschutz ist die Praxisveräußerung, einschließlich der Übertragung der Patientenkartei, ohne Einwilligung der Patienten in die Übergabe der Akten an den neuen Praxisinhaber unwirksam.

Verschiedene rechtliche Grundlagen geben Patient*innen einen Auskunftsanspruch beispielsweise nach dem Berufsrecht (§ 11 BO der LPK RLP) oder den Vorschriften über die Patientenrechte (§ 630g BGB). Mit dem Wirksamwerden der Datenschutz-Grundverordnung ist mit Art. 15 DS-GVO eine weitere Grundlage hierfür hinzugekommen.

Den Patient*innen steht ein einklagbarer Rechtsanspruch auf Einsicht in und Auskunft aus sämtlichen sie betreffenden Patientendaten zu, ohne dass dies vor der Behandlung vereinbart werden muss. Der Rechtsanspruch gilt auch über das Ende der Behandlung hinaus.

Die verschiedenen Anspruchsgrundlagen der Patient*innen haben sowohl in der Abwicklung als auch in der Frage der anfallenden Kosten unterschiedliche Konsequenzen. Denn anders als nach § 630g Abs. 2  BGB und § 11 BO LPK RLP vorgesehen, ist eine auf Art. 15 Abs. 3 Satz 1 DS-GVO gestützte Kopie zumindest in der ersten Ausfertigung unentgeltlich. Dies ist nach Ansicht des LfDI Rheinland-Pfalz - aufgrund der besonderen Umstände im Bereich der Heilbehandlung für die vollständige Patientenakte der Fall. Diese Einschätzung wurde durch einen Gerichtsentscheid bestätigt. Unerheblich ist dabei, ob sich die Patient*innen ausdrücklich auf ihr Auskunftsrecht nach Art. 15 DS-GVO berufen oder nicht; hier gilt es das konkrete Begehren der/des Patien*in auszulegen. Die ausführliche Begründung und rechtliche Herleitung hierzu finden Sie unter https://www.mit-sicherheit-gut-behandelt.de/eu-datenschutz-grundverordnung/auskunftsanspruch

Insofern gilt auch weiterhin die ausdrückliche Empfehlung, sich bei den jeweiligen Anfragen auf Akteneinsicht mit dem/der Patient*in in Verbindung zu setzen und abzuklären, aus welchem Grund oder welcher Motivation heraus ein entsprechendes Verlangen geäußert wird. Dies ist sowohl juristisch als auch fachlich sinnvoll und führt zur Klärung der Bedürfnisse des/der Patient*in. In diesem Zusammenhang können Sie dann in Absprache mit dem/der Patient*in entscheiden, ob eine vollständige Akteneinsicht gewährt, diese durch Sie begleitet wird oder vielleicht durch ein klärendes Gespräch ersetzt werden kann. Soweit sich im Rahmen dieser Klärung ergibt, dass der/die Patient*in ausschließlich an den bei Ihnen verarbeiteten und gespeicherten Daten interessiert ist, ist gemäß Art. 15 DS-GVO zu verfahren und eine kostenlose Einsicht/Kopie zu gewähren.

Die Patientendaten sollten Sie nicht auf dem Rechner speichern, mit dem Sie gewöhnlich ins Internet gehen. Falls Sie dies doch machen wollen, müssen die Patientendaten verschlüsselt abgelegt werden.
Es sollten tägliche Sicherungskopien auf geeigneten Datenträgern erstellt werden und dabei sichergestellt sein, dass bei einem eventuellen Systemzusammenbruch die Daten schnell und vollständig wieder hergestellt werden können.
Bei elektronischer Datenübermittlung ist technischer sicherzustellen, dass kein Unbefugter Zugriff hat.

E-Mail-Verkehr erfordert mindestens eine Transportverschlüsselung – auch bei Terminabsprachen. Hierzu finden Sie weitere Informationen unter https://www.mit-sicherheit-gut-behandelt.de/digitale-arztpraxis/email.html

SMS und WhatsApp sind grundsätzlich unsicher und deshalb unzulässig (auch für Terminvereinbarungen!)

Internet-Telefonie (VoIP): keine Bedenken bei Telekom-Unternehmen aus Deutschland und der EU (bei Anbietern außerhalb der EU unzulässig)

Skype: unzulässig

Fax: Sicherstellen, dass nur der „richtige“ Empfänger Kenntnis nehmen kann

Alle Daten die aus der Nutzung der Homepage entstehen und verarbeitet werden, müssen den Datenschutz-Regelungen genügen. Grundlage ist das Telemediengesetz (TMG). Nach §§ 13, 15 TMG muss der Praxisinhaber die Nutzer der Homepage zu Beginn der Nutzung über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten unterrichten. Außerdem muss der Praxisinhaber  die Nutzer darüber informieren, falls die Daten außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums verarbeitet werden. Weiterhin werden Anforderungen an die Gestaltung einer elektronischen Einwilligung gestellt, falls über die Website personenbezogene Daten erhoben werden.

Falls externe Dienstleister Zugriff auf die personenbezogenen Daten der Nutzer haben, müssen die Nutzer der Homepage auch darüber aufgeklärt werden. Dies ist dann der Fall, wenn der Webserver nicht selbst durch die Praxis betrieben wird, sondern auf sogenannte Hosting-Provider zurückgegriffen wird. Im Kern geht es darum, die Nutzer darüber zu informieren, dass ihre personenbezogenen Daten ggf. anderen Stellen als dem Anbieter der Homepage zur Kenntnis gelangen. Dies ist z.B. bei der Erfassung und Auswertung der Zugriffe auf die Homepage bzw. dem Einsatz entsprechender Softwarelösungen wie „Google Analytics“ oder „Piwik“ der Fall. Sollten Sie die Homepage von einem IT-Dienstleister haben erstellen lassen, kann Ihnen dieser die erforderlichen Informationen geben.

Die nötigen Informationen sollten unter der Überschrift „Datenschutzerklärung“ leicht erkennbar und unmittelbar erreichbar auf der Homepage zur Verfügung gestellt werden (dasselbe gilt für das Impressum).
Werden Online-Formulare zur Übertragung von Daten an die Praxis angeboten (z.B. für Terminreservierung, Mitteilungen), so sollte ein Hinweis auf den Sicherheitsstandard der Übermittlung erfolgen (verschlüsselte Übertragung). Ebenso soll über die Verwendung der übermittelten Daten und deren eventuelle Weitergabe informiert werden. Dies ist nicht erforderlich, falls Sie lediglich eine Kontakt-E-Mailadresse verwenden und die hierüber erhaltenen Daten lediglich zur Kontaktaufnahme mit den Patienten nutzen und nicht weiter verarbeiten.
Eine Muster-Datenschutzerklärung finden Sie hier.

Eine rechtswidrige Videoüberwachung kann dazu führen, dass der Betreiber einer Videokamera auf dem Zivilrechtsweg auf Unterlassen in Anspruch genommen wird. Regelmäßig unzulässig sind Videokameras, wenn sie zur Überwachung und Leistungskontrolle der Beschäftigten eingesetzt werden.
Mit Blick auf die potentiell gravierenden Sanktionen empfiehlt es sich, die Installation einer Videoüberwachungsanlage nicht nur technisch, sondern auch rechtlich mit größter Sorgfalt und Umsicht vornehmen zu lassen.
Darüber hinaus sind umfangreiche formelle Anforderungen zu beachten, wenn eine Videoüberwachung betrieben werden soll. Besonders hervorzuheben sind hier die Hinweis- und Informationspflichten gem. Art. 12, 13 DS-GVO. Aber auch die Dokumentationspflichten (Art. 5 Abs. 2 DS-GVO), die technische Sicherheit der Datenverarbeitung (Art. 5 Abs. 1 lit. f, 32 DS-GVO) und nicht zuletzt die überlange Speicherung von Videoaufnahmen – 72 Stunden reichen regelmäßig aus – müssen häufig beanstandet und gegebenenfalls auch mit Geldbußen belegt werden.
Der LfDI informiert Sie online über die wichtigsten Punkte (u.a. Beispiel vorgelagertes Hinweisschild, Beispiel nachgelagertes Hinweisschild). Für die Beratung im konkreten Einzelfall wenden Sie sich bitte an Ihren betrieblichen Datenschutzbeauftragten oder beauftragen entsprechend qualifizierte Dienstleister.