Recht Magazin 4

Datenschutz: Worauf Physiotherapie-Praxen achten müssen

Diagnosen und Behandlungen, Adresse und Geburtsdatum: Beim Besuch in einer Physiopraxis oder Rehaklinik geben Patientinnen und Patienten viele private Informationen preis. Diese gilt es vor fremden Augen zu schützen. Um hierbei klare Standards zu setzen, hat das EU-Parlament die Datenschutzgrundverordnung (DSGVO) erlassen. Das Gesetz verpflichtet seit 2018 Unternehmen, Behörden und Praxen, sich datenschutzkonform aufzustellen. Unser Experte erklärt, wie Sie die Verordnung in der Praxis bestmöglich umsetzen.

Nenad Birek. Foto: privat

Datenschutz ist seit 2018 Pflicht – für kleine Physiopraxen genauso wie für große Rehazentren. Laut Datenschutzgrundverordnung (DSGVO) muss seither jede Praxis ein Datenschutzkonzept vorweisen können. „Menschen in Heilberufen – also auch in der Physiotherapie – haben mit sensiblen Gesundheitsdaten zu tun. Diese sind nach der DSGVO in einer besonderen Kategorie personenbezogener Daten eingeordnet. Sie erfordern höhere Schutzmaßnahmen, um die Privatsphäre der Personen zu gewährleisten“, erklärt Nenad Birek. Als selbständiger Datenschutzbeauftragter hat er sich auf die Gesundheitsbranche spezialisiert, berät Physiopraxen und Rehazentren ebenso wie Ärzte und Apothekerinnen.

Da er selbst aus der Heilmittelbranche kommt, kennt Birek die Gegebenheiten in Physiopraxen aus langjähriger Erfahrung. „Die Umsetzung der DGSVO ist nicht einfach eine lästige Pflicht“, betont er. „Es geht dabei um die Patienten und um ihr Vertrauen. Der verantwortungsvolle Umgang mit personenbezogenen Daten ist also auch ein Qualitätsmerkmal und ein Wettbewerbsvorteil.“ Auf der anderen Seite warnt der Experte davor, das Thema aufzubauschen: „Man muss einen Plan haben und seine Hausaufgaben machen, aber man muss vor der DSGVO keine Angst haben.“

Die wichtigsten Pflichten in Sinne der DSGVO

Physiotherapeutische Praxen und Rehaeinrichtungen sind verpflichtet, die Privatsphäre ihrer Patienten zu schützen. Die Verantwortung hierfür trägt der Praxisinhaber. Damit sich alle Mitarbeitenden datenschutzkonform verhalten, ist es sinnvoll, klare Datenschutzrichtlinien aufzustellen und das Personal regelmäßig zu schulen. Vorlagen für einfache Richtlinien gibt es bei den Branchenverbänden, den Landesdatenschutzbehörden und auch im Internet. Wenn es allerdings darum geht, solche Vorlagen für die eigene Praxis zu individualisieren, empfiehlt sich die Unterstützung eines Datenschutzexperten.

Eine weitere wichtige Pflicht ist die Dokumentation der Datennutzung. Hier muss festgehalten werden, wie, wo und wie lange personenbezogene Daten erhoben, genutzt und gespeichert werden. Dies mag banal klingen, umfasst aber viele ganz unterschiedliche Aspekte wie beispielsweise:

  • Wer hat Zugang zur Praxis, d. h. wer besitzt einen Schlüssel?
  • Gibt es Sicherheits-Türschlösser, Fenstersicherungen, verschließbare Aktenschränke und/oder Videoüberwachung?
  • Wer hat Zugriff auf Akten und Computer?
  • Gibt es sichere und verschlüsselte Speicher- und Datenübertragungssysteme?
  • Werden die Daten innerhalb der gesetzlichen Fristen gelöscht?
Foto: iStock/Ralf Geithe

In 5 Schritten zum Datenschutz in der Praxis


Um eine Praxis datenschutzkonform aufzustellen, geht man am besten in 5 Schritten vor:

  • Analyse der Datenschutzlage
  • Entwicklung individueller Datenschutzrichtlinien
  • Verzeichnis der Verarbeitungstätigkeiten
  • Technische und organisatorische Datenschutzmaßnahmen
  • Löschkonzept und Notfallkonzept für den Fall eines Datenschutzverstoßes
Foto: iStock/Manuel-F-O

Sensible Bereiche: Patientendaten und Online-Präsenz

Im Sinne der Patientinnen und Patienten macht die DSGVO eines klar: Personenbezogene Daten dürfen keinem Dritten ohne Rechtsgrundlage zugänglich gemacht werden. Daraus ergeben sich klare Regeln, wie Daten gespeichert und verarbeitet werden sollen und müssen. Dies gilt für die Speicherung auf dem Praxis-PC ebenso wie für die Ablage analoger Unterlagen. Auch der Online-Auftritt einer Physiopraxis muss datenschutzkonform sein. Hierzu zählen Aspekte wie Datenschutzhinweise auf der Website, korrekte Kontaktformulare oder auch das Double-Opt-in-Verfahren bei Newsletter-Abonnements.

Auf den Schutz persönlicher Daten sollte auch beim Gespräch mit Patientinnen und Patienten geachtet werden. Nicht jeder muss mitbekommen, unter welcher Erkrankung die betreffende Person leidet. Ebenso muss der Datenschutz bei der Kommunikation mit anderen Gesundheitsdienstleistern, wie etwa Abrechnungszentren, gewährleistet sein. Hierzu bedarf es meistens einer Einwilligung durch den Patienten. „Zu den größten Fehlern in Sachen Datenschutz gehört, dass nicht alle notwendigen Patienteneinwilligungen vorliegen“, betont Nenad Birek. „Welche Einwilligungen notwendig sind, ist bei jeder Praxis anders. Der tatsächliche Bedarf sollte im Zuge der Datenschutzanalyse gewissenhaft geklärt und die Einwilligungen dann natürlich auch konsequent eingeholt werden.“ Dies gilt beispielsweise dann, wenn Informationen über den Patienten mit einem weiteren Arzt besprochen werden sollen.

Praktische Tipps zum Schutz von Patientendaten
 

  • DSGVO-konforme Hard- und Software
  • PC mit Passwort schützen
  • Bildschirmschoner mit Passwort, wenn Rezeption nicht durchgängig besetzt ist
  • Abstandszonen an der Rezeption
  • Krankenakten oder Rezepte niemals offen herumliegen lassen
  • Sichere Ablageorte für analoge Unterlagen (abschließbarer Schrank oder Raum)
  • Gesundheitsrelevante Gespräche möglichst in einem separaten Raum führen (Vorsicht bei Behandlungskabinen ohne feste Wand!)
Foto: iStock/SVPhilon

Wann ist ein Datenschutzbeauftragter Pflicht?

Wenn in einem Unternehmen mehr als 20 Mitarbeitende regelmäßig Kontakt mit personenbezogenen Daten haben, müssen Sie laut DSGVO einen Datenschutzbeauftragten benennen. Dies kann ein Mitarbeiter oder eine Mitarbeiterin sein oder auch ein externer Datenschutzprofi. Letzterer kostet zwar etwas Geld, spart aber auch eine Menge Zeit und Nerven. Er analysiert jeden einzelnen Ablauf in der Praxis, identifiziert eventuelle Schwachstellen und zeigt dann, wie sich die Betriebsabläufe so anpassen lassen, dass sie den Datenschutzvorgaben entsprechen. Auch wenn Sie sich beim Datenschutz für Expertise von außen entscheiden, muss jeder Mitarbeiter und jede Mitarbeiterin sich im Praxisalltag datenschutzkonform verhalten. Es ist also durchaus sinnvoll, auch intern jemanden mit der Überwachung zu beauftragen.

Zu den Aufgaben des/der Datenschutzbeauftragten zählen:
 

  • Sensibilisierung, Schulung und Beratung der Mitarbeitenden über alle relevanten Datenschutzvorschriften
  • Überwachung der Einhaltung der Datenschutzvorschriften und der damit verbundenen Betriebsabläufe
  • Zusammenarbeit mit den Aufsichtsbehörden

Viele Datenschutzmaßnahmen lassen sich ganz einfach im Praxisalltag umsetzen. Um jedoch ein DSGVO-konformes Konzept zu etablieren, empfiehlt sich auf jeden Fall professionelle Unterstützung: „Es reicht nicht aus, sich Datenschutzhinweise aus dem Netz zu kopieren und den Patienten zukommen zu lassen“, betont Nenad Birek. „Man muss sich mit der Thematik wirklich befassen und einmal alle Arbeitsprozesse der Praxis hinterfragen, analysieren und dann festlegen, wie man sensible Daten DSGVO-konform absichert. Das braucht Zeit und Feinarbeit, denn man muss hier wirklich sehr genau arbeiten.“ Viele Praxen entscheiden sich deshalb, eine Expertin oder einen Experten zu Rate zu ziehen, um die Praxis in Sachen Datenschutz rechtssicher aufzustellen. Schließlich widmen die meisten Physios ihre wertvolle Zeit lieber ihren Patientinnen und Patienten als dem Amtsschimmel.