Datenschutz für die Praxis
Datenschutz für die Praxis: Folgen abschätzen und Risiken erkennen
Ist deine Praxis schon fit für die neue EU-Verordnung zum Datenschutz? Ab 25. Mai müssen nicht nur Unternehmen, sondern auch alle Therapeutinnen und Therapeuten und deren Praxen die neuen Bestimmungen umsetzen. Damit du bis dahin gut gerüstet bist ist es sinnvoll, sich bereits jetzt mit den möglichen To-dos zu beschäftigen. Aber was ist eigentlich genau zu unternehmen? Eines ist klar: Je eher eine Praxis die organisatorischen und technischen Maßnahmen zum Datenschutz ergreift, umso besser ist sie gegen mögliche strafrechtliche Konsequenzen geschützt. Und die sind nicht ohne: Bei Verstößen gegen die Verordnung kann im schlimmsten Fall bis zu 4 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahres eingezogen werden. Es können auch Geldbußen bis zu 20 Millionen Euro fällig werden. Aber das ist wirklich der absolute Worst Case. Hier soll es jetzt nicht um Panikmache gehen, sondern um einen hilfreichen Überblick, was in den nächsten Monaten zum Datenschutz für die Praxis wichtig ist.
Worum geht es beim Datenschutz für die Praxis?
Die Datenschutz-Grundverordnung dient dazu, Menschen mehr Kontrolle über ihre eigenen Daten zu geben. Wenn wir Angaben zu unserer Person machen haben wir in Zukunft auch mehr Rechte, wie mit diesen Angaben umzugehen ist. Verantwortliche, die mit solchen Daten tagtäglich arbeiten, haben also die gesetzliche Verpflichtung diesen Schutz auch einzuhalten. Wie wird das erreicht? In therapeutischen Praxen ist es wichtig zu wissen, dass hier mit sensiblen Daten gearbeitet wird. Gerade solche Gesundheitsdaten sind sehr schützenswert. Damit TherapeutInnen die Daten ihrer Klientel gewissenhaft verarbeiten, helfen bestimmte Maßnahmen. Diese Schritte sehen wie folgt aus:
1. Das Führen eines Verzeichnisses von Verarbeitungstätigkeiten
2. Das Planen einer Datenschutz-Folgenabschätzung
3. Das Durchführen einer Risikoanalyse
Mit diesen drei konkreten Tätigkeiten wird Datenschutz für die Praxis kompetent und einfach vorgenommen. Wer jetzt denkt, dass da jede Menge Aufwand dahintersteckt, sei beruhigt: Die Schritte sollen keine Schikane für TherapeutInnen sein, sondern einen lohnenden Überblick für eine moderne Praxisführung bieten.
Was ist das Verzeichnis von Verarbeitungstätigkeiten?
Im Grunde genommen fordert die neue Verordnung, dass Therapeutinnen und Therapeuten ein Verzeichnis über alle Verarbeitungstätigkeiten führen müssen, die in der eigenen Praxis durchgeführt werden. In der Vergangenheit wurden diese Verarbeitungsvorgänge beim Datenverarbeitungsregister gemeldet. In Zukunft müssen TherapeutInnen als datenschutzrechtliche Verantwortliche selbst ein Verzeichnis über die von ihnen durchgeführten Verarbeitungstätigkeiten führen. Dieses Verzeichnis ist nicht öffentlich. Es dient neben der eigenen Qualitätskontrolle ausschließlich dafür, der Aufsichtsbehörde den transparenten und rechtmäßigen Umgang mit personenbezogenen Daten vorzuweisen.
Wie siehst so ein Verzeichnis aus?
Die Erstellung eines solchen Verzeichnisse erfolgt nach bestimmten Kriterien. Zum Beispiel ist es in deutscher Sprache zu verfassen. Auch die Regelmäßigkeit spielt eine Rolle. Es sollte also laufend aktualisiert werden. Das heißt, dass Änderungen nicht einfach überschrieben werden sollten. Die alten Eintragungen sollten nach wie vor ersichtlich sein. Dabei macht es übrigens keinen Unterschied, ob in der Praxis elektronisch oder mit Papier gearbeitet wird. Das Verzeichnis kann sowohl schriftlich, als auch mit Tablet und Co erstellt werden. Die richtige Dokumentation ist hier wichtig. Es muss festgehalten werden, woher die Daten stammen, zu welchem Zweck sie verarbeitet werden und was mit ihnen passiert.
Die Datenschutz-Folgenabschätzung
Ein weiterer wichtiger Punkt im Datenschutz für die Praxis ist das Abschätzen von Folgen. Dabei erfolgt durch die TherapeutInnen eine Prüfung, welche personenbezogenen Datenarten überhaupt verarbeitet werden und ob die rechtliche Grundlage dafür sichergestellt ist. Das kann zum Beispiel in Form einer Checkliste passieren, die grundsätzliche Fragen abdeckt. Werden in umfangreicher Art und Weise sensible Daten verarbeitet? In therapeutischen Praxen gehören die Arbeit mit sensiblen Daten und im speziellen mit Gesundheits-Daten zum Alltagsgeschäft. Deshalb ist hier schon einmal ein Prüfkriterium voll erfüllt und erfordert besondere Beachtung beim Datenschutz.
Die Prinzipien des Datenschutzes
Beim Abarbeiten der Checkliste spielt die Einhaltung bestimmter Prinzipien zum Datenschutz eine Rolle. Es braucht demzufolge immer eine Rechtsgrundlage, um Daten überhaupt verarbeiten zu können. Zum Beispiel dürfen nicht mehr Daten abgefragt werden als wirklich notwendig und die Daten müssen auf dem aktuellen Stand sein. Im Datenschutz für die Praxis muss die Integrität und Vertraulichkeit gewährleistet sein und die Daten dürfen nur so lange gespeichert werden, wie sie tatsächlich benötigt werden.
Die Risikoanalyse
Neben dem Verzeichnis und der Folgenabschätzung hilft eine Risikoanalyse, mögliche Gefährdungen beim Datenschutz für die Praxis zu erkennen. Die TherapeutInnen ermitteln zuerst, welche möglichen Risiken in ihrer Praxis vorkommen. Anschließende Fragestellungen verhelfen dazu, die potenziellen Gefahren besser zu erkennen. Welches Risiko kann von wem ausgehen? Was sind die Besonderheiten der Risiken? Was können die Ursachen für die Bedrohungen sein? Gerade für therapeutische Praxen ist zum Beispiel der Umgang mit Diebstahl abzuklären. Was passiert, wenn mein Tablet gestohlen wird oder ein Brand meine Papierdokumente vernichtet? Die Risikoanalyse ermöglicht schließlich das Aufstellen weiterer Maßnahmen, um vorhandene Sicherheits-Lücken zu schließen. Wie sieht so ein Maßnahmen-Plan aus? Was ist da für meine Praxis wichtig? Erfahre mehr dazu gibt es im nächsten Blogartikel.
