Datenschutz für Heilberufe - Diese Fakten musst Du kennen

Seit dem 25. Mai 2018 gilt in Deutschland die neue Datenschutzgrundverordnung (DSGVO), die in vielen Bereichen strenge Schutzvorgaben macht.

Dies gilt insbesondere für die Erhebung und Verarbeitung von sensiblen Daten - selbstverständlich sind auch Heilberufe von dieser Verordnung nicht ausgenommen. 

Welche Rolle spielen DSGVO und Datenschutz für Heilberufe?

Die DSGVO ergänzt und erweitert das bisherige Bundesdatenschutzgesetz (BDSG), das zum selben Zeitpunkt in einer überarbeiteten Fassung neu in Kraft getreten ist. 

Im medizinischen Bereich spielt der Datenschutz schon immer eine große Rolle – die Gründe dafür liegen auf der Hand: In den falschen Händen können die sehr sensiblen Daten über den Gesundheitszustand und eventuelle Erkrankungen von Individuen großen persönlichen Schaden verursachen.

Die immer weiter voranschreitende Digitalisierung unserer Gesellschaft verstärkt diesen Effekt noch, da sie Kriminellen neue und umfassendere Möglichkeiten bietet, um Daten zu stehlen und zu missbrauchen.

Als Heilpraktiker und Physiotherapeut stehst Du daher genau wie jeder Arzt, Therapeut oder Krankenpfleger gesetzlich in der Pflicht, die Daten Deiner Patienten so gut wie möglich zu schützen und für die Einhaltung der neuen DSGVO zu sorgen.

Ebenso liegt es in Deiner Verantwortung, die Einhaltung der Vorgaben zu dokumentieren und im Falle einer Kontrolle nachzuweisen.

Datenschutzmaßnahmen haben immer das Ziel, sensible Informationen vor dem Zugriff unberechtigter Personen zu schützen. Werden die gesetzlichen Vorgaben zum Datenschutz nicht eingehalten, stellt dies eine Verletzung des Persönlichkeitsrechts von Patienten dar und kann im Ernstfall schwerwiegende Strafen nach sich ziehen, wie beispielsweise Geldstrafen in Höhe von bis zu 20 Millionen Euro bzw. 4 Prozent des Jahresumsatzes aus dem letzten Geschäftsjahr.

Solch eine finanzielle Belastung steckt niemand leicht weg und kann in vielen Fällen existenzbedrohend sein.

In unserem Artikel erklären wir Dir, was Du bei Deiner täglichen Arbeit wissen und beachten musst, um alle Vorgaben zu erfüllen, Disziplinarmaßnahmen zu vermeiden und die persönlichen Daten Deiner Patienten bestmöglich zu schützen.

Die Definition von personenbezogenen Daten wird durch Art. 9 der DSGVO geregelt. Nach ihm zählen hierzu:

Diese Daten gelten als höchst vertraulich und dürfen unter keinen Umständen - egal ob absichtlich oder unbeabsichtigt - an Dritte weitergegeben werden.

Laut Bundesverfassungsgericht hat jede Person das Recht selbst darüber zu entscheiden, welche Daten über sie erhoben werden und wofür diese verwendet werden. Um dies zu gewährleisten, verfolgt die DSGVO unter anderem folgende Grundprinzipien:

Verarbeitungsverbot mit Erlaubnisvorbehalt: Personenbezogene Daten dürfen ausschließlich bei Einwilligung der betroffenen Person oder entsprechender gesetzlicher Grundlage erhoben und verarbeitet werden.

Datentransparenz: Jede Person hat das Recht, vollumfänglich über die Art und den Verwendungszweck der über sie erhobenen Daten informiert zu werden.

Zweckgebundene Verarbeitung: Die Datenverarbeitung darf ausschließlich zweckgebunden erfolgen, eine Verwendung der daraus gewonnen Erkenntnisse oder deren Weitergabe für andere Zwecke ist verboten (z.B. die Nutzung von Kontaktdaten für Werbezwecke).

Datenminimierung: Die Datenerfassung hat sich auf ein notwendiges, dem Zweck angemessenes Maß zu beschränken.

Recht auf Richtigkeit der Angaben: Alle personenbezogenen Daten, die erhoben wurden, müssen sachlich richtig und auf dem neuesten Stand sein. Sollte bekannt werden, dass fehlerhafte oder falsche Daten erfasst wurden, müssen diese unverzüglich korrigiert oder gelöscht werden.

Verantwortung und Rechenschaftspflicht: Jeder, der personenbezogene Daten erhebt und/oder verarbeitet ist gesetzlich dazu verpflichtet, die Einhaltung geltender Gesetze und Regelungen zu überwachen und nachzuweisen. 

Begrenzung der Speicherdauer: Der Speicherzeitraum von personenbezogenen Daten ist begrenzt. Die Daten dürfen nur solange aufbewahrt werden, wie es für den Zweck der Verarbeitung unbedingt nötig ist.

Nach DSGVO dürfen personenbezogene Daten erst dann verarbeitet werden, wenn eine rechtliche Grundlage dafür besteht - in diesem Fall ist dies die (schriftliche) Einwilligung des Patienten, die in der Regel mit dem Unterzeichnen eines Behandlungsvertrags erfolgt und durch §630a des BGB geregelt ist – doch Vorsicht: Dieses Dokument bezieht nicht alle Datenverarbeitungsmaßnhamen mit ein!

Ein solcher Vertrag deckt nur die Verwendung von Daten ab, die für die Begründung, Durchführung oder auch Beendigung der medizinischen Behandlung nötig sind.

Alle Verarbeitungsvorgänge, die über die vertraglich festgehaltenen Vereinbarungen hinausgehen, bedürfen einer separaten Einwilligung des Betroffenen.

Hierzu zählen zum Beispiel das Versenden von Termin-Erinnerungen oder Newslettern, aber auch das Weiterreichen personenbezogener Daten an private Verrechnungsstellen.

Die Einwilligung der zu behandelnden Personen muss auf freiwilliger Basis und unter Bereitstellung von verständlichen und umfassenden Informationen erfolgen.

Dies muss nicht zwingend in Schriftform geschehen, allerdings stehst Du als behandelnder Heilpraktiker oder Physiotherapeut im Zweifel in der Pflicht, eine solche Einwilligung nachzuweisen. 

Deshalb empfehlen wir Dir dringend, Dir alle anstehenden Behandlungen und damit einhergehende Dienstleistungen im Vorfeld von Deinen Patienten schriftlich bestätigen zu lassen.

Heilpraktiker und Physiotherapeuten haben gegenüber ihren Patienten umfassende Informationspflichten, die durch den Artikel 13 der DSGVO geregelt sind.

Dieser besagt, dass alle Personen, die sich in Behandlung begeben wollen, vollumfänglich über ihre Rechte in Bezug auf die Verarbeitung ihrer Daten informiert werden müssen.

Dazu zählen unter anderem die folgenden Informationen:

Das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig Holstein spricht die Empfehlung aus, Patienten die benötigten Informationen vor Beginn der Behandlung in Papierform auszuhändigen und diese außerdem auf der praxiseigenen Homepage zugänglich zu machen.

Zudem bist Du nach Artikel 35 der DSGVO dazu verpflichtet, ein Verzeichnis aller Tätigkeiten zu führen, die der Verarbeitung von Daten dienen.

Hierzu zählen beispielsweise auch ArzthelferInnen und anderes medizinisches Hilfspersonal. Wenn Du eine öffentliche Praxis führst, bist du laut Art. 37 Abs. 1a DSGVO sowie § 5 Abs. 1 BDSG unabhängig von der Anzahl Deiner Angestellten dazu verpflichtet, einen Datenschutzbeauftragten zu benennen.

Datenschutzbeauftragte haben die ständige Aufgabe, für die Einhaltung datenschutzrelevanter Gesetze zu sorgen und die Sicherheit der erhobenen Daten bestmöglich zu gewährleisten. Dies geschieht unter anderem durch:

Der Datenschutzbeauftragte einer Heilpraktiker- oder Physiotherapiepraxis muss nicht zwingend ein direkter Angestellter sein, folgende Voraussetzungen müssen jedoch erfüllt sein:

Um die Wahrung der Vertraulichkeit im Umgang mit personenbezogenen Daten zu gewährleisten ist es Vorschrift, dass alle internen und externen Mitarbeiter eine Verschwiegenheitserklärung unterschreiben. 

Davon abgesehen stehen alle Personen, die einen medizinischen Beruf ausüben sowieso unter einer besonderen Schweigepflicht, die neben dem Bundesdatenschutzgesetz auch in verschiedenen Berufsordnungen sowie dem Strafgesetzbuch festgeschrieben ist.

Diese gilt vor, während und nach einer medizinischen Behandlung und umfasst alle medizinischen, persönlichen und beruflichen Angelegenheiten des Patienten. 

Dennoch gibt es Ausnahmen - so kann die Schweigepflicht beispielsweise zugunsten der Vorbeugung von Infektionen oder Seuchen aufgehoben werden, wenn bei einem Patienten der Verdacht auf eine meldepflichtige Krankheit besteht.

Auch wenn die neue DSGVO rechtlich gesehen durchaus Sinn macht, macht sie den Berufsalltag von Heilpraktikern und Physiotherapeuten sowie allen weiteren Heilberufen definitiv um einiges komplizierter. 

Da du es dir leider nicht aussuchen kannst und die Umsetzung der Vorgaben gesetzliche Pflicht ist, solltest du reagieren bevor es zu spät ist und den Datenschutz in deiner Praxis entsprechend prüfen und überarbeiten.

Mit unserem Artikel haben wir dir einen umfassenden Eindruck über Rechte und Pflichten zum Thema Datenschutz im medizinischen Bereich gegeben - da du allerdings dazu verpflichtet bist, entsprechende Maßnahmen in Deiner Praxis umzusetzen, dich jährlich durch Pflichtunterweisungen fortzubilden und dies auch nachzuweisen, reicht dieser erste Überblick allein nicht aus.

Neben der Teilnahme an Präsenzveranstaltungen, die oft teuer sind und mit Reiseaufwand verbunden, hast du ebenfalls die Möglichkeit, deine jährlichen Pflichtunterweisungen als Online-Kurs bequem und wann immer du willst von zu Hause aus zu absolvieren. 

Wir von Was-heilt.de bieten dir diese Möglichkeit mit qualitativ hochwertigen Kursen zu allen jährlichen Pflichtunterweisungen - inklusive Zertifizierung nach erfolgreichem Abschluss.

Neben Datenschutz sind das die Themen Brandschutz, Hygiene, Arbeitsschutz, Gefahrstoffe, Notfälle, Medizinprodukte, Compliance und IT-Sicherheit. 

Zum Start unserer neuen Seminarreihe stellen wir dir unseren Kurs zum Thema Datenschutz völlig kostenlos mit allen Inhalten zur Verfügung - Nutze jetzt unser einmaliges Angebot und mache dich und deine Praxis fit für die Zukunft.