"Datenschutz ist kein Endverbraucherprodukt, bei dem man einfach 'akzeptieren' klickt, und dann ist alles gut. Datenschutz ist eher wie Luftqualität oder sicheres Trinkwasser, ein öffentliches Gut, das man nicht effektiv regulieren kann, indem man auf die Weisheit von Millionen individuellen Entscheidungen vertraut." - Zeynep Tufekci

Datenschutz

Zum 25. Mai 2018 ändert sich das Datenschutzrecht. Ab diesem Zeitpunkt gibt es in ganz Europa einen einheitlichen Rechtsstand.

In der Datenschutzgrundverordnung (DSGVO) werden die Rechte und die Pflichten rund um das Thema Datenschutz festgeschrieben.

Die Daten Ihrer Patienten gehören zu den laut dem Bundesdatenschutzgesetz (BDSG) besonders zu schützenden Personendaten.

LEMNISCUS ist dieser Verantwortung gewachsen und stellt Ihnen eine ausgeklügelte EDV-Infrastruktur zur Verfügung, die Ihnen die Aufgabe erleichern soll, die Grundregeln des Datenschutzen zu erfüllen.

Denn als Therapeut wird die Datenverarbeitung besonderer Personendaten automatisch zur Kerntätigkeit, da jeder Therapeut verpflichtet ist, eine Dokumentation über Patient und Behandlung anzulegen.

Begriffsdefinition

Aktuell werden die Begriffe “Verarbeitung” und “Kerntätigkeit” auf der einen oder anderen Weise ausgelegt, sehr oft wird aber übersehen, dass für diese Begriffe Defintionen im DSGVO-Kontext gegeben sind.

Anhand der folgenden Begriffsdefinitionen wollen wir verdeutlichen, dass jeder Therapeut in Deutschland von der DSGVO im höchsten Maße betroffen ist.

Im Sinne der DSGVO bezeichnet der Ausdruck Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

(...)

Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;

Als „Kerntätigkeit“ lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind.

Gleichwohl sollte der Begriff „Kerntätigkeit“ nicht dahingehend interpretiert werden, dass sich dieser nicht auch auf Tätigkeiten erstreckte, bei denen die Verarbeitung von Daten einen untrennbaren Bestandteil der Tätigkeit des Verantwortlichen oder Auftragsverarbeiters darstellt. So besteht beispielsweise die Kerntätigkeit eines Krankenhauses darin, medizinische Versorgung zu leisten. Ohne dabei gesundheitsbezogenen Daten wie etwa Krankenakten von Patienten zu verarbeiten, wäre ein Krankenhaus nicht in der Lage, dies in sicherer und wirksamer Form zu tun. Daher ist die Verarbeitung solcher Daten als Kerntätigkeit eines jeden Krankenhauses anzusehen, weshalb selbige zur Benennung eines DSB verpflichtet sind.

Bedeutung für die Praxis

Der Praxisinhaber ist für die Installation des Datenschutzes verantwortlich. Damit ist gemeint, dass der Praxisinhaber kontinuierlich dafür Sorge zu tragen hat, dass die besonderen Daten der Patienten geschützt sind und es auch bleiben.

Es sind, neben der in der DSGVO vorgeschriebenen Dokumentationspflichten, auch technisch organisatorische Maßnahmen (TOMs) zu erfüllen.

Technische und organisatorische Maßnahmen

Werden personenbezogene Daten in der Praxis verarbeitet oder genutzt, ist die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, darunter zum Beispiel:

  • Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  • zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  • zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  • zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  • zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  • zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  • zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  • zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Lemniscus und die DSGVO

Mit Lemniscus bekommt der Therapeut den “Datenschutz aus der Cloud”: wir bei Lemniscus sind für die Umsetzung der vorgeschriebenen TOMs für die Daten verantwortlich, die bei uns abgelegt werden. Lemniscus befindet sich gegenwärtig im Prozess einer DSGVO-Zertifizierung.

Um die Nutzung von LEMNISCUS rechtssicher und datenschutzkonform zu gestalten, sind Sie gemäß DSGVO verpflichtet, eine sogenannte Auftragsdatenverarbeitungsvereinbarung (kurz ADV) mit Lemniscus abzuschließen.

Sie müssen sich nicht um die Erstellung einer ADV kümmern, das haben wir für Sie gemacht.

Eine ADV ermöglicht es Ihnen, die administrativen Angelegenheiten, wie insbesondere Ihren Kalender und Patientenakten, über LEMNISCUS auszulagern und dabei weiterhin die rechtliche Kontrolle über Ihre Daten zu behalten, so wie dies von § 11 BDSG vorgesehen ist.

Mit dem DSGVO-Paket gehen wir bei Lemniscus noch ein Schritt weiter und unterstützen den Therapeuten bei der Umsetzung der DSGVO mit praktischen Unterlagen und Webinaren.

Auftragsverarbeitungsvertrag

Zu den Dokumentationspflichten des Therapeuten gehört die Führung eines Verzeichnisses der Verarbeitungstätigkeiten. In diesem Verzeichnis ist Lemniscus eine Verarbeitungstätgkeit. Findet eine Verarbeitung der Daten “im Auftrag” - wie bei Lemniscus - dann muss ein Auftragsverarbeitungsvertrag (AVV) zwischen Therapeut und Dienstleister abgeschlossen werden.

Lemniscus Kunden bekommen von uns ein Auftragsverarbeitungsvertrag (AVV) geschickt, das nach der elektronischen Unterschrift ausgedruckt und zu den DSGVO Unterlagen gelegt werden sollte.

In der AVV wird der Gegenstand der AVV, Geltungsbereich, die Datenverarbeitung, die Rechte und Pflichten, Technische und Organisatorische Maßnahmen u.v.m. dokumentiert.

In dem folgendem Video wird der rechtliche Hintergrund zum Thema Auftragsdatenverarbeitung und Auftragsverarbeitungsvertrag erläutert

Wir finden, dass eine professionelle, sichere, und datenschutzbewusste Praxisverwaltung kein Luxus größerer Praxen sein muss.

Wir sind der Meinung, das alltägliche Verwaltungsaufgaben rund um Terminvergabe und Rechnungsstellung nicht nervenaufreibend sein müssen.

Deshalb haben wir LEMNISCUS aus der Praxis und für die Praxis entwickelt.

Mit LEMNISCUS sind Sie gut in der Zeit.

Papick G. Taboada, Geschäftsführer

Perfektion ist nicht dann erreicht,
wenn man nichts mehr hinzufügen,
sondern nichts mehr weglassen kann

— Antoine de Saint-Exupéry

Neugierig? Sofort Ausprobieren  

Innovationspreis-IT 2017 - Best of
Innovationspreis-IT 2018 - Best of
pgt technology scouting GmbH