DSGVO - Was muss ich wirklich, wirklich tun?

am 09.02.2018 in News gepostet.

“Datenschutz ist kein Endverbraucherprodukt, bei dem man einfach ‘akzeptieren’ klickt, und dann ist alles gut. Datenschutz ist eher wie Luftqualität oder sicheres Trinkwasser, ein öffentliches Gut, das man nicht effektiv regulieren kann, indem man auf die Weisheit von Millionen individuellen Entscheidungen vertraut.” - Zeynep Tufekci

Zum 25. Mai 2018 ändert sich das Datenschutzrecht. Ab diesem Zeitpunkt gibt es in ganz Europa einen einheitlichen Rechtsstand.

In der Datenschutzgrundverordnung (DSGVO) werden die Rechte und die Pflichten rund um das Thema Datenschutz festgeschrieben.

  • Aus Sicht der Betroffenen (in unserem Fall der Patienten) ist die DSGVO ein willkommener Schritt in Richtung Datenschutz.

  • Aus Sicht der Betreiber, (hier der Therapeuten), ist die DSGVO ein weiterer Schritt aus der Komfortzone: wir dürfen uns mehr als nur Gedanken über den Umgang mit den Daten machen und Verantwortung für den Schutz der Patientendaten übernehmen.

Und das ist gut so.

Die im Video angegebenen Preise gelten nicht für Lemniscus-Kunden, weitere Informationen weiter unten.

Was bedeutet das für Praxisinhaber in Deutschland?

Sicherlich hat jeder schon hier und dort ein wenig aufgeschnappt: teilweise apokalyptische Beiträge in den Medien sorgen dafür, dasss die DSGVO in aller Munde ist. Besonders medienwirksam ist es, dass sich das Strafmaß für Datenschutzverletzungen drastisch erhöht hat.

Die Klagemöglichkeit von Betroffenen (Mitarbeiter, Patienten) wird sich stark vereinfachen, und die Landesaufsichtsbehörde kann unvermutet oder durch Angabe betroffener Mitarbeiter und Patienten den Therapeuten direkt prüfen.

Der Praxisinhaber verarbeitet berufsbedingt besonders zu schützende Personendaten. Aus der analogen Welt ist der korrekte Umgang mit der Papierakte verstanden und zumindest theoretisch verinnerlicht: Akten gehören in verschließbare Schränke, dürfen nicht rumliegen, müssen mit Bedacht geführt und schliesslich auch mit Schredder entsorgt werden.

Muss ich eine Akte transportieren oder vorübergehend auf einem Schreibtisch parken, dann immer so, dass der Inhalt nicht sofort sichtbar, erkennbar ist. Dafür gibt es dann Umschläge, Mappen.

Und jetzt übertragen wir einfach das Gleiche auf die digitale Welt: Wir bekommen Regeln vorgeschrieben, an die wir uns halten müssen. Tun wir es nicht, handeln wir vorsätzlich - und das kann unangenehme Folgen haben.

Was muss ich wirklich, wirklich tun, damit ich nicht vorsätzlich handle?

Jeder Therapeut in Deutschland wird sich mit dem Thema Datenschutz auseinandersetzen müssen.

1) Die Rechte der Mitarbeiter und besonders der Patienten sichern

Neue Rechte und Pflichten: Auskunftspflicht, Löschung, Berichtigung, Widerspruch… die Rechte der Betroffenen werden gestärkt - und das ist gut.

Damit der Praxisinhaber das zeitgerecht erfüllen kann, hat er im Vorfeld diese Rechte, besonders auf Seiten seiner IT, einzurichten. Er muss eine Dokumentation vorzeigen können, in der aufgestellt ist, welche Daten, wie lange, mit welchem System, von wem verarbeitet werden.

Wo kommen die Daten her und wo gehen die Daten hin? Solch ein “Verzeichnis der Verarbeitungstätigkeit” hat ein jeder zu führen und aktuell zu halten.

Hier müssen wir noch in Betracht ziehen, dass der Therapeut eine Dokumentationspflicht hat, sodass das die Pflicht, Daten zu löschen in Bezug auf die behandlungs- und abrechnungsrelevanten Informationen für die Dauer der Aufbewahrungspflichten nicht erfüllt werden kann.

2) Auftragsdatenverarbeitungs-Vetrag (ADV-Vertrag)

Mit jedem Auftragnehmer, der Daten im Auftrag verarbeitet, muss ein schriftlicher Auftragsdatenverarbeitungs-Vertrag (ADV) abschlossen werden. Lemniscus Anwender kennen das schon - jeder Anwender bekommt von uns eine ADV zugeschickt. Das ist eine besondere Serviceleistung von Lemniscus, dass wir diese ADV vorbereitet haben. Denn in Punkt Datenschutz haben wir eine verdrehte Vertragssituation: es sind wir, die beim Therapeuten unter Vertrag genommen werden. Eigentlich muss also die ADV vom Lemniscus-User erstellt werden und an uns - Lemniscus - geschickt werden. Natürlich nicht nur bei Lemniscus! Ein solcher Vertrag muss mit jedem anderen Softwarebetreiber ebenfalls abgeschlossen werden.

Genau wie mit anderen Dienstleistern, zum Beispiel

  • Druckereien
  • sonstige IT-Dienstleister
  • Call-Center / Erreichbarkeitsservice
  • Abrechnungsstelle

In der ADV sind unter anderem auch die technischen und organisatorischen Maßnahmen aufzulisten, die umgesetzt werden, damit der Datenschutz eingehalten wird.

3) Datenschutzerklärung auf der Homepage

Die Datenschutzerklärung innerhalb des Internetauftritts muss eindeutig darlegen, welche Daten, wie lange, mit welchem System, von wem verarbeitet werden.

Die DSGVO geht auch so weit vorzuschreiben, dass Personendaten nur noch verschlüsselt übertragen werden dürfen. In der analogen Welt ist es jedem sofort klar, dass sensible Daten in Umschlägen oder Mappen sichtgeschützt transportiert werden. In der digitalen Welt nennt man das Verschlüsselung.

4) Datenpannen

Der Praxisinhaber hat bei allen Neuerungen zu ermitteln, welche Folgen entstehen können, wenn eine Datenpanne passieren würde. Entsprechend dieser Einschätzung sind Maßnahmen einzuführen, damit so eine Panne gar nicht erst passiert.

Und falls doch was passiert, dann hat der Praxisinhaber innerhalb von 72 Stunden die zuständige Aufsichtsbehörde für den Datenschutz und bei Vorliegen eines hohen Risikos zusätzlich den Betroffenen zu unterrichten.

Ein Beispiel aus der Praxis: ein Therapeut speichert eine Kopie seiner Daten auf einen USB Stick, den er bei sich trägt. Natürlich will ein Therapeut diesen Stick nicht verlieren, will er aber nicht fahrlässig handeln, so muss er Maßnahmen ergreifen und dokumentieren, die ein Abhandenkommen des USB-Sticks verhindern sollen. Geht ein Stick trotzdem verloren, dann hat der Therapeut 72 Stunden (ab Verlust des Sticks) Zeit, um die Aufsichtsbehörde zu informieren. Waren die Daten nicht verschlüsselt, dann sollten aufgrund des hohen Risikos, dass die Daten problemlos ausgelesen werden können, auch die betroffenen Patienten informiert werden. Das hat zur Folge, dass ein Therapeut eine Liste aller möglichen Betroffen stets zu führen hat. Sind auf dem Stick 8000 Patientenakten gespeichert, dann müssen 8000 Patienten benachrichtigt werden.

5) Sensibilisierung und Weiterbildung

Sensibilisierung der Mitarbeiter: Die beste Technik und das ausgeklügelste Verfahren greifen nicht, wenn die Mitarbeiter kein Gefühl für Datenschutz haben, bzw. den nicht beachten.

Die Verantwortung für den Datenschutz trägt der Praxisinhaber. Diese Pflicht kann er nicht delegieren!

Wichtig: geschulte Mitarbeiter schützen den Verantwortlichen vor privatrechtlicher Haftung.

6) Datenschutzbeauftragter

Überprüfen, ob ein Datenschutzbeauftragter bestellt werden muss. Viele verstehen diesen Punkt so, dass nur die, die einen Datenschutzbeauftragten bestellen müssen, sich auch um Datenschutz kümmern müssen. Das ist falsch, und eigentlich genau anders zu verstehen.

Muss kein Datenschutzbeauftragter bestellt werden, dann hat der Therapeut nicht weniger Datenschutz zu betreiben - ganz im Gegenteil! Ohne Datenschutzbeauftragten bleibt die Umsetzung des kompletten Datenschutzes beim Therapeuten hängen,sprich: jeder Therapeut hat, egal, ob er Solist ist oder Teil eines Orchesters: er muss aktiv werden.

Eine Kausalkette in der DSGVO führt dazu, dass jeder, der besondere Daten umfangreich verarbeitet, letztendlich einen Datenschutzbeauftragten zu stellen hat, unabhängig davon, wie viele Mitarbeiter beschäftigt werden.

Interessanterweise werden Einperson-Praxen explizit von der Pflicht, einen Datenschutzbeauftragten zu bestellen, entbunden.

Ob eine Praxis mit 2 bis 9 Mitarbeitern einen Datenschutzbeaftragten bestellen muss, ist noch nicht sicher - in der DSGVO ist “umfangreiche Datenverabeitung” nicht näher definiert. Allerdings wird ein Datenschutzbeauftragter bereits ab 10 Mitarbeiter verlangt, also ist zu vermuten, dass weniger die Betriebsgröße und mehr die Qualität der Daten ausschlaggebend ist. Hier sollte unbedingt die für einen zuständige, beaufsichtigende Behörde um eine Stellungnahme gebeten werden - am besten schriftlich.

Wenn die Praxis mehr als 9 Mitarbeiter beschäftigt, die die Möglichkeit haben, auf Daten zuzugreifen, ist ein Datenschutzbeauftragter definitiv zu bestellen.

Wie kann mir Lemniscus helfen?

Für Lemniscus-Anwender ist tatsächlich an verschiedenen Stellen einfacher, die DSGVO umzusetzen:

  • Die Daten sind nicht auf der eigenen EDV Infrastruktur gespeichert, so dass weniger Massnahmen umgesetzt und Dokumentiert werden müssen
  • Einige geforderte Unterlagen können bereits vorausgefüllt werden

Diese Vereinfachung ist leider nur auf Lemnsicus-Anwender im ursprünglichen Sinn anwendbar, und greift bei den folgenden Vorraussetzungen:

  • es handelt sich um eine Einperson-Praxis, also keine Mitarbeiter (bis auf Rezeptionskraft)
  • Patienten und Abrechnungsdaten sind in Lemniscus abgelegt

Partnerschaft mit der interev GmbH

Wir bei Lemniscus können nicht die notwendige Beratungsleistung in dem notwendigen Umfang und Qualität liefern. Aus diesem Grund haben wir einen kompetenten Partner gesucht und mit interev gefunden.

Die interev GmbH berät und betreut Organisationen aus dem Gesundheitswesen im Bereich Datenschutz und Sozialdatenschutz.

DSGVO Survival Pack

Unser DSGVO Survival Pack ist ein Spezialpaket für die Einzeltherapeuten, die Lemniscus einsetzen.

Auf unserer Paket-Seite gibr es weitere Informationen und ein Bestellformular.

Positive Nebeneffekte

Datenschutz ist gut und wichtig - letztendlich wird man sich in der modernen multimedialen Welt sicherer in Bezug auf Daten und Datenschutz fühlen.

Datenschutz ist wichtig für die eigene Praxis und wird auch von den Patienten erwartet, schliesslich vertrauen die Patienten ihre sensible persönliche Daten dem Therapeuten an.

Die Umsetzung der Anforderungen der DSGVO führen dazu, dass die Datenströme und Prozesse in der Praxis von den Therapeuten unter die Lupe genommen werden. Das ist vielleicht der richtige Moment sich nochmal über den Praxisablauf Gedanken zu machen und eventuell Prozesse zu optimieren.

Wir finden, dass eine professionelle, sichere, und datenschutzbewusste Praxisverwaltung kein Luxus größerer Praxen sein muss.

Wir sind der Meinung, das alltägliche Verwaltungsaufgaben rund um Terminvergabe und Rechnungsstellung nicht nervenaufreibend sein müssen.

Deshalb haben wir LEMNISCUS aus der Praxis und für die Praxis entwickelt.

Mit LEMNISCUS sind Sie gut in der Zeit.

Papick G. Taboada, Geschäftsführer

Perfektion ist nicht dann erreicht,
wenn man nichts mehr hinzufügen,
sondern nichts mehr weglassen kann

— Antoine de Saint-Exupéry

Neugierig? Sofort Ausprobieren  

Innovationspreis-IT 2017 - Best of
Innovationspreis-IT 2018 - Best of
pgt technology scouting GmbH