Schritt-für-Schritt: DSGVO für selbstständige Therapeuten – Teil 2
In Teil 1 zur smarten und einfachen Schritt-für-Schritt-Umsetzung der DSGVO für selbstständige Therapeut:innen, haben wir ein paar Begriffserklärungen und -definitionen vorgenommen, dich in die Welt der Datenschutzgesetze eingeführt und anschließend eine Schritt-für-Schritt-Anleitung zur Implementierung der DSGVO in deiner Praxis bzw. in deinem Betrieb vorgestellt.
Was bisher geschah ... Schritt-für-Schritt zur DSGVO
Dabei war es essenziell, zu eruieren, welche Daten du überhaupt sammelst und in welchem Umfang dies geschieht. Schritt 1 lautete nämlich: Verschaffe dir einen Überblick. Dazu zählte auch die Pflicht, ein Verzeichnis aller Verarbeitungstätigkeiten anzulegen.
Außerdem haben wir wichtige Zwischenschritte für dich definiert, wie etwa die Prozessdefinition für den Fall der Schutzverletzung (Meldung an Behörden & Betroffene) sowie die Etablierung eines Löschkonzeptes.
Schritt 2 bei der Etablierung der Datenschutz-Grundverordnung der Europäischen Union (auch GDPR) in deiner Praxis bzw. deinem Betrieb befasste sich dann mit der Datenverarbeitung durch Auftragsverarbeiter.
In Schritt 3 haben wir schließlich definiert, welche Daten eigentlich von dir verarbeitet werden und wo in deiner Praxis mit personenbezogenen Daten gearbeitet wird. Dazu haben wir ein paar relevante Geschäftsfälle aus dem Therapeut:innen-Alltag als Beispiele herangezogen.
Anschließend haben wir auch relevante Datenempfänger:innen aufgelistet und die gesetzlichen Aufbewahrungsfristen, die es für selbstständige Therapeut:innen zu beachten gilt, thematisiert.
Schritt-für-Schritt: DSGVO-Checkliste
Zusammengefasst ist also in Bezug auf die Verarbeitung von Daten grundsätzlich Folgendes zu tun – hier ist unsere EU Datenschutzverordnung Checkliste:
- Erstellen eines Verarbeitungsverzeichnisses
- Schließen von Auftragsverarbeiter-Vereinbarungen
- Bestellen eines/einer Datenschutzbeauftragten (nicht zwingend notwendig – siehe unten)
- Risiko & Folgenabschätzung
- Prozessdefinition zur Abwicklung der Betroffenenrechte (Auskunft, Richtigstellung und Löschung von Daten)
- Maßnahmen hinsichtlich Datensicherheit & Verfügbarkeit (Technisch und organisatorische Maßnahmen TOM)
- Prozessdefinition für den Fall der Schutzverletzung (Meldung an Behörden & Betroffene)
- Löschkonzept
Jetzt geht es in unserer Schritt-für-Schritt-DSGVO-Anleitung weiter mit Schritt 4 und 5.
Schritt 4: Rechtmäßigkeit
Schritt 4 im DSGVO-Prozess bezieht sich auf die Grundsätze der Rechtmäßigkeit für Therapeut:innen
Generell gilt im Rahmen der Datenschutz-Grundverordnung das Verbot mit Erlaubnisvorbehalt. Was das nun wieder bedeutet?
Dies meint lediglich, dass grundsätzlich niemand personenbezogene Daten verarbeiten darf, außer: die Erlaubnis dazu wurde explizit erteilt. Deshalb ist es so wichtig, dass die Patient:innen und/oder Klient:innen in deiner Praxis dir – schriftlich! – eine Erlaubnis erteilen, dass du ihre Daten verarbeiten, sammeln und aufbewahren darfst.
Wenn sie dir einmal diese Erlaubnis erteilt haben und diese nicht zu einem bestimmten Zeitpunkt widerrufen, bist du rechtlich abgesichert.
Rechtlich basiert dieses Verbot mit Erlaubnisvorbehalt auf:
- einer Rechtsgrundlage (z.B. § 11a MTD Gesetz)
- der dezidierten Einwilligung des/der Betroffenen (z.B. für Newsletter)
- zur Vertragserfüllung (z.B. Zuweisung oder Beauftragung zur Prophylaxe)
In der DSGVO der Europäischen Union stellt sich dies übrigens in DSG §9 Abs. 12 dergestalt dar, dass Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder -behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich sind, und die Verwendung dieser Daten durch ärztliches Personal oder sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.
Dementsprechend dürfen Therapeut:innen – nach vorheriger Einwilligung – sensible, gesundheitsbezogene Daten verarbeiten, sammeln und speichern.
DSGVO: Dokumentation ist Pflicht
Es gibt allerdings gewisse Grundsätze, die bei der/für die Verarbeitung von Daten eingehalten werden müssen:
Zweckbindung: Die Datenverarbeitung darf nur für den konkret festgelegten Zweck erfolgen.
Richtigkeit der Daten: Die Daten müssen sachlich richtig und immer am aktuellsten Stand sein.
Rechenschaftspflicht: Seit der DSGVO im Mai 2018 neu, denn die bisherigen Punkte waren bereits im vorherigen Datenschutzgesetz geregelt. Zusätzlich muss nun also die Einhaltung gegenüber der Aufsichtsbehörde nachgewiesen werden können.
Wer hier keinerlei Dokumentation (schriftlich oder elektronisch) vorweisen kann, hat ein Problem mit dem Gesetzgeber! Deshalb MUSS das Verarbeitungsverzeichnis erstellt und ständig aktualisiert, also regelmäßig auf den neuesten Stand gebracht werden. Dieses dient der Dokumentation und kann auf Nachfrage vorgewiesen werden.
Schritt 5: Auftragsverarbeiter
In unserer Schritt-für-Schritt-DSGVO-Anleitung fokussieren wir uns nun auf den Auftragsverarbeiter. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (= Person, die über den Zweck und die Mittel der Verarbeitung entscheidet) und entspricht dem Begriff des „Dienstleisters“.
Die Pflichten dieses Dienstleisters, den du als selbstständige:r Therapeut:in beauftragst, sind laut § 11 DSG unter anderem:
- Auftragsgemäße Datenverwendung
- Datensicherheitsmaßnahmen (§ 14 DSG)
- Weitere Dienstleister nur mit Zustimmung des Auftraggebers
- Übergabe, Aufbewahrung, Vernichtung nach Auftragsbeendigung
Außerdem sollte der Auftragsverarbeiter eine schriftliche Vereinbarung zur Auftragsverarbeitung vorlegen.
Im Rahmen dieser Auftragserteilung sollte ein Auftragsverarbeitungsverzeichnis erstellt werden. Dieses wiederum sollte in seinem Aufbau eine Liste aller Auftragsverarbeiter und aller Einzelverträge mit jedem Auftragsverarbeiter berücksichtigen.
Falls du dich nun fragst, wer als Auftragsverarbeiter infrage kommt, haben wir hierzu auch wieder eine Liste für dich zusammengestellt.
Mögliche Auftragsverarbeiter:
- IT-Support Unternehmen, die Zugriff auf personenbezogene Daten haben
- Softwarehersteller, wenn diese Zugriff auf personenbezogene Daten haben
- E-Mail-Provider
- Unternehmen, die Direktwerbung anbieten (etwa: E-Mail-Versand)
- Callcenter
- Online-Terminvereinbarungen
Datenschutzbeauftragte/r
Das Rollenbild sieht dabei vor, dass diese:r im Falle umfangreicher Verarbeitung sensibler Daten zu nominieren ist. Diese Person – vielleicht du selbst, wenn du selbstständig tätig bist, oder eine:r deine:r Mitarbeiter:innen – ist dann die zentrale Ansprechperson zum Datenschutzrecht in der Praxis – auch für die Aufsichtsbehörde.
Der/die Datenschutzbeauftragte überwacht und überprüft die Einhaltung der DSGVO, hat eine beratende Funktion innerhalb der Praxis, kann aber auch eine externe Person mit einer gewissen Expertise im Bereich „Sensible Daten“ sein.
Benötige ich unbedingt eine:n Datenschutzbeauftragte:n?
Nein, dies ist in der therapeutischen Praxis nicht zwingend erforderlich und ist in DS-GVO Erwägungsgrund 91 Satz 4 geregelt: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogener Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“
In diesem Absatz wird auch schon auf die Datenschutz-Folgenabschätzung kurz eingegangen und darauf, dass diese für Therapeut:innen in kleinen Praxen oder als Selbstständige nicht immer notwendig ist. Dennoch möchten wir dir diese Folgenabschätzung auch noch kurz vorstellen.
Was ist eine Datenschutz-Folgenabschätzung überhaupt?
Es handelt sich dabei um eine Prozessdefinition mit folgenden Inhalten:
- Beschreibung der Verarbeitungstätigkeit
- Prüfung der Rechtmäßigkeit
- Identifizieren und bewerten von Risiken der Verarbeitung
- Definition von Maßnahmen zur Risikominderung
- Bewertung des verbleibenden Restrisikos
Damit schließen wir unsere Schritt-für-Schritt-DSGVO-Anleitung ab und hoffen, dass du nun einen besseren Überblick darüber hast, was du tun musst, um die Datenschutz-Grundverordnung umzusetzen und worauf du achten musst, damit alles gesetzeskonform ist.
In den nächsten Blogbeiträgen zum Thema Datenschutz erläutern wir dann die Betroffenenrechte sowie die Datensicherheit, Technische & organisatorische Maßnahmen und etwaige Verletzungen des Datenschutzes von betroffenen Personen noch etwas ausführlicher!
In diesem Sinne #staytuned.