Die EU-Datenschutz-Grundverordnung, kurz DSGVO, ist mittlerweile vielen von uns ein Begriff und ein fixer Bestandteil des allgemeinen Wortschatzes geworden. Relevant ist die DSGVO für Therapeuten und Therapeutinnen, die selbstständig tätig sind, ebenso wie für Coaches und Berater*innen aller Arten. Warum (er-)klären wir in diesem Blogbeitrag.
Die DSGVO ist eine EU-Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Und Spoiler Alert: Alle Therapeut:innen müssen sich damit beschäftigen😊!
In dieser zweiteiligen Reihe von Blogbeiträgen zum Thema Datenschutz wollen wir dir zeigen, wie du die Datenschutz-Grundverordnung als selbständige:r Therapeut:in einfach und smart umsetzen kannst und worauf du auf jeden Fall achten solltest.
Teil 1 beschäftigt sich detailliert mit den ersten drei Schritten in diesem Prozess der DSGVO für Therapeuten, falls du überhaupt nicht weißt, womit du anfangen sollst. Wir von synaptos sind für dich da!
Warum überhaupt Datenschutz & DSGVO für Therapeuten?
Generell stellt sich dir vielleicht zuallererst die Frage, warum Datenschutzgesetze und -regelungen – wie die DSGVO – überhaupt existieren.
Persönliche Daten, vor allem in Bezug auf Daten zur eigenen Gesundheit bzw. möglichen Krankheiten, sind sehr sensibel und jede:r von uns hat ein Recht darauf, dass diese Daten nur den von uns befugten Personen zur Verfügung stehen. Außerdem vertrauen wir darauf, dass diese Daten auch unter Einhaltung von definierten Schutzvorrichtungen gespeichert werden.
Diese Daten dürfen keinesfalls an Dritte, die kein Recht auf Einsicht in diese sensiblen Daten haben, weitergegeben werden.
Währenddessen gibt es in Bereichen wie beispielsweise dem Gesundheitswesen, der Wirtschaft und Verwaltung auch die Notwendigkeit zur Verarbeitung und Speicherung personenbezogener Daten.
Aus diesem Grund ist die DSGVO für Therapeuten ebenfalls relevant.
DSGVO-Begriffsklärung
Wir haben jetzt schon mit einigen Fachbegriffen um uns geworfen, von denen in der DSGVO des Öfteren die Rede ist. Zumeist haben wir im Alltag aber mit diesen technischen bzw. rechtlichen Begriffen eher wenig bis gar nichts am Hut und müssen diese quasi erst in die „Normalsprache“ übersetzen.
Deshalb wird es Zeit, ein paar Begriffe, die in diesem Blogbeitrag relevant sind, zu definieren:
Personenbezogene Daten = alle Daten, die sich auf eine Person beziehen. Dazu zählen Name, Kennung bzw. Kennnummer, Sozialversicherungs-Nr., IP-Adresse; Informationen zu physischen, physiologischen, genetischen, psychischen, wirtschaftlichen oder kulturellen Aspekten sowie zur sozialen Identität.
WICHTIG: Die DSGVO bezieht sich nicht auf anonyme Daten!
Sensible Daten = Gesundheitsdaten, genetische & biometrische Daten zur Identifikation von Personen sowie ethnische, religiöse Daten bzw. Daten zur sexuellen Orientierung.
Mehr Details zu den vielen in der DSGVO für Therapeuten relevanten Begriffen, findest du in unserem Blogbeitrag Datenschutz schnell erklärt.
Gilt die DSGVO auch für Therapeuten?
Datenschutzgesetze wie die DSGVO versuchen die Interessen beider Seiten dieser Daten-Medaille zu wahren.
Werden also sensible, personenbezogenen Daten gespeichert und verwendet, müssen von der Datensammler-Seite bestimmte Maßnahmen zur sicheren Speicherung, Nutzung und Verarbeitung dieser Daten getroffen werden. Sollte gegen diese gesetzlichen Vorgaben verstoßen werden, können empfindliche Strafen ausgesprochen werden.
Außerdem müssen jene Personen, deren Daten für einen oder mehrere bestimmte Zwecke gesammelt, gespeichert und verarbeitet werden, diesem Prozess davor ausdrücklich zustimmen und diese Einwilligung mit ihrer Unterschrift bestätigen.
Um sicherzugehen, ob du selbst davon betroffen bist, ob die DSGVO für Therapeuten relevant ist und du sie in deinem Betrieb/deiner Praxis anwenden musst, haben wir folgende Checkliste für dich zusammengestellt:
Frage |
ja |
nein |
Biete ich Dienstleistungen oder Waren in Österreich an? |
||
Biete ich Dienstleistungen oder Waren in der EU an? |
||
Habe ich Mitarbeiter:innen in meinem Unternehmen? |
Hast du auch nur eine dieser Fragen mit JA beantwortet, bedeutet dies:
JA, du musst die DSGVO anwenden bzw. befolgen!
Wie vorgehen bei der DSGVO für Therapeuten?
Eine Schritt-für-Schritt-Anleitung
Schritt 1: Verschaffe dir einen Überblick
Welche Daten werden gesammelt? Was wird mit den Daten gemacht bzw. wozu werden Daten in meinem Betrieb gesammelt?
Essenziell ist, hierfür ein Verzeichnis von Verarbeitungstätigkeiten anzulegen. Es gibt nämlich eine Pflicht zur Erstellung eines solchen Verzeichnisses, die auch Therapeut:innen betrifft.
Dieses Verzeichnis muss auf Wunsch betroffenen Personen bzw. der Aufsichtsbehörde vorgelegt werden. Es kann schriftlich oder elektronisch in deutscher Sprache verfasst werden, allerdings muss es auch laufend aktualisiert werden.
Erforderlicher Inhalt des Verzeichnisses:
- Name und Kontaktdaten des Verantwortlichen;
- Verarbeitungstätigkeiten;
- Zwecke der Verarbeitung;
- Kategorien betroffener Personen;
- Kategorien personenbezogener Daten;
- Kategorien von Empfängern (inkl. Drittstaaten);
- wenn möglich, vorgesehene Fristen zur Löschung.
Wichtige Zwischenschritte
Im Zuge dieses ersten Schrittes sollten auch eine Prozessdefinition zur Abwicklung der Betroffenenrechte (Auskunft, Richtigstellung und Löschung von Daten), Maßnahmen hinsichtlich Datensicherheit & Verfügbarkeit geplant (Technisch und organisatorische Maßnahmen TOM), eine Prozessdefinition für den Fall der Schutzverletzung (Meldung an Behörden & Betroffene) sowie die Etablierung eines Löschkonzeptes entwickelt werden.
Schritt 2: Datenverarbeitung durch Auftragsverarbeiter
Hier ist die Frage zu klären, ob wirklich alle erforderlichen Verträge abgeschlossen wurden. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (= Person, die über den Zweck und die Mittel der Verarbeitung entscheidet) und entspricht dem Begriff „Dienstleister“.
Schritt 3: Welche Daten werden verarbeitet? Wo wird mit personenbezogenen Daten gearbeitet?
Im Falle von Therapeut:innen sind die verarbeiteten Daten wahrscheinlich Daten zu Patient:innen, Ärzt:innen, Mitarbeiter:innen, Lieferant:innen etc.
Sich einmal klar zu machen, wessen Daten gesammelt werden und in welchem Umfang, hilft sich mit der Thematik vertrauter zu machen. Darüber hinaus sollten sich Therapeut:innen die Rechte der Betroffenen (= Personen, deren Daten gespeichert werden) bewusst machen.
Relevante Geschäftsfälle für Therapeut:innen
Um dieses abstrakte Thema etwas greifbarer zu machen, haben wir ein paar relevante Geschäftsfälle und Situationen, in denen du als Therapeut:in Daten sammelst, zusammengestellt. Möglicherweise waren dir einige davon noch gar nicht so klar.
- Therapiedokumentation
- Erfassen der Zuweisung
- Befunderhebung, Dokumentation der Behandlungseinheiten
- Terminmanagement
- Einholen der Zuweisungsbewilligung
- Abrechnung
- Befundanforderung / -übermittlung
- Finanzbuchhaltung, Rechnungswesen, Logistik
DSGVO-Datenempfänger:innen im Praxisalltag
Es ist auch ganz nützlich, dir noch einmal zu verdeutlichen, an wen du als Therapeut:in personenbezogene und/oder sensible Daten weiterleitest – im Sinne der DSGVO für Therapeuten. Dazu gehören:
- Ärzte, Krankenhäuser, Pflegeheime, Gruppenpraxen, nicht-ärztliche Gesundheitsberufe
- (private) Versicherungen, Krankenkassen
- zuständige Verwaltungsbehörden
- Banken
- Rechtsvertreter
- Wirtschaftstreuhänder, Wirtschaftsprüfer
- Inkassounternehmen
- Fremdfinanzierer
- Vertrags- und Geschäftspartner
- Transportunternehmen
- Lieferanten
Welche Aufbewahrungsfristen sind in der DSGVO für Therapeuten rechtlich zu beachten?
Nun bist du dir bewusst darüber, dass du Daten sammelst und aufbewahrst. Doch wie lange müssen Therapeut:innen bestimmte Daten laut DSGVO eigentlich aufbewahren?
- Für die therapeutische Dokumentation gilt laut Regelung der gehobenen medizinisch-technischen Dienste (§ 11a MTD-Gesetz) eine Aufbewahrungspflicht von 10 Jahren.
- Honorarnoten / Rechnungen müssen gemäß § 132 Abs. 2 BAO (= Bundesabgabenordnung) 7 Jahre aufbewahrt werden.
Ausblick: Im nächsten Teil dieser Serie rund um die DSGVO und Datenschutz erklären wir dir, welche Grundsätze der Rechtmäßigkeit sowie Grundsätze für die Datenverarbeitung Therapeut:innen zu beachten haben.
Außerdem definieren wir dann die Rolle, die der Auftragsverarbeiter und der/die Datenschutzbeauftrage in Bezug auf die Verarbeitung von gespeicherten Daten, Datenschutz und Datensicherheit einnehmen.
Bei Schritt 4 in unserem DSGVO-Prozess geht es nämlich um die Prüfung der Zulässigkeit zur Verarbeitung und bei Schritt 5 um das Prüfen auf Notwendigkeit eines Datenschutzbeauftragten. Also bleib dran! #staytuned
Die ganze Verordnung gibt es übrigens hier nachzulesen.