Stichworte: DSGVO · EU-Datenschutz · Abmahnungen · Bußgelder · Pflichten · Verbraucherrechte

Version 1.1 vom 15.5.2018 · Gerold Kalter

Stichtag 25. Mai 2018

In den vergangenen Wochen überschlagen sich Pressemeldungen, in denen vor einer Bußgeld- und Abmahnwelle ab dem 25. Mai 2018 gewarnt wird. Es geht dabei um die Datenschutzgrundverordnung (DSGVO) als nächste Stufe eines europaweit geltenden Gesetzes zum Schutz personenbezogener Daten und unter anderem auch um das Recht auf "Vergessenwerden". Firmen, Verbänden und Betreibern von Webseiten, die sich nicht an die neuen Normen halten, drohen bei Nichbeachtung empfindliche Bußgelder durch die Aufsichtsbehörden. Noch größer ist aber der Respekt davor, dass nun - durch darauf "spezialisierte" Kanzleien deren Anwälte - eine Abmahnwelle einsetzen wird, von der zunächst alle diejenigen betroffen sein könnten, die öffentlich - d.h. vor allem auf ihren Internetseiten - erkennen lassen, dass sie nicht oder nicht vollständig die Anforderungen der DSGVO erfüllen.

 

Sind selbstständige Logopäden bzw. deren Praxen betroffen?

Klare Antwort: Ja! Nur im rein privaten Bereich gibt es eng umrissene Ausnahmen. Daher muss sich jede Praxis Gedanken über die Erfüllung der DSGVO machen, entsprechende Maßnahmen einleiten und diese umgehend durchführen.

 

Außenwirkung/Innenwirkung

Datenschutz bedeutet, dass Menschen ein Recht darauf haben, über die Übermittlung, Verwendung und Speicherung ihrer persönlichen Daten informiert und aufgeklärt werden. Für die Erfassung von Daten gilt dabei grundsätzlich: Nur so viel wie nötig und so wenig wie möglich.

 

Schritt 1: Check des Internetauftritts

Da mögliche Angriffspunkte sich zunächst in der Außenwirkung und hier durch den Internetauftritt der Praxis präsentieren, sollte zunächst die Praxis-Homepage genau unter die Lupe genommen werden. Nur wer keinen Internetauftritt hat, darf direkt zum Schritt 2 übergehen. Schon eine Web-Visitenkarte kann aber - je nach Provider, bei dem sie gehostet ist - die Speicherung von Cookies auslösen oder im Hintergrund und ggf. sogar ohne das Wissen der Praxis, Trackingaktivitäten auslösen. Tracking bedeutet, dass das Verhalten eines Webseitenbesuchers, also z.B. seine Verweildauer auf einzelnen Seiten oder auch sein Surf-Weg von dort zu anderen Seiten, protokolliert werden. Werden Antwortformulare zur Kontaktaufnahme einstellt oder wird eine Online-Terminvereinbarung angeboten, ergeben sich noch deutlich erweiterte Anforderungen an den Datenschutz.

 

Schritt 2: Check der Prasixorganisation

Die praxisinternen Vorgänge sind für Abmahn-Advokaten kaum direkt zugänglich. Dennoch sollten auch hier alle Prozesse auf den Prüfstand gestellt werden, denn ein "pfiffiger" Patient könnte sich bei den Aufsichtsbehörden darüber beschweren, dass Patientenakten während einer Therapiesitzung einsehbar in seinem Blickfeld liegen oder dass keine Aufklärung über die Verwendung seiner Daten stattgefunden hat.

 

Internet-Präsenz

Grundregel

Ihr seid verpflichtet, in verständlicher Sprache Eure Webseitenbesucher über alle Vorgänge aufzuklären, bei denen Ihr personenbezogene Daten erfasst, verarbeitet oder weitergebt. Diese u.U. sehr umfangreichen Erklärungen sollten über einen Link auf der zuerst aufgerufenen Seite (Indexseite) -  oder besser noch über den Fußbereich und damit auf jeder Seite - aufgerufen werden können.

 

Datenschutzerklärung auf der Homepage einbauen

Da bei jedem Hoster und jeder Provider völlig unterschiedliche Tools und Tracker auf Euerer Website aktiv sein können und auch Ihr selbst ganz unterschiedliche Dinge mit den Daten auf der Website durchführen werdet, kann es für diese Erklärung keine statische Vorlage geben, die allen Situationen gerecht wird. Daher gibt es inzwischen sogenannte "Generatoren" mit denen Ihr Euch die für Eure Site zutreffende Erklärung zusammenstellen könnt. Laut c't (magagzin für computertechnik) entsprechen vieler dieser Generatoren jedoch nicht oder noch nicht der neuen DSGVO. Ein Booklet der c't mit vielen Hintergrundinformationen könnt Ihr hier -> herunterladen. Die Experten der c´t listen auf Ihrer -> Seite unter "weiterführende Links" folgenden kostenlosen -> Generator für eine Datenschutzerklärung, der für Privatpersonen, Kleinunternehmer und Vereine geeignet ist.

 

Die -> Datenschutzerklärung des VDLS (siehe Link ganz unten im Fußbereich der Seite) wurde damit erstellt. Bitte beachtet bei der Nutzung eines solchen Generators, dass in den erzeugten Erklärungen auch ggf. noch bestimmte Variablen – bei uns z.B. der Hinweis auf Clubdesk als Newsletterversender – ergänzt werden müssen. Außerdem werden die Generatoren in den nächsten Tagen und Wochen immer wieder um neue Passagen ergänzt werden. Also in den kommenden Tagen und Wochen immer einmal wieder nachsehen, ob Ergänzungen generiert werden können. Wer seine eigene Website erstellt und bearbeitet, kann die Fragen des Generators schnell und problemlos beantworten. Sollten die befragten Dinge Euch jedoch nicht klar sein, solltet Ihr unbedingt den Rat eins Profis hinzuziehen.

 

Klare Einwilligung nötig

Analog zur Aufnahme von Patientendaten am Telefon oder im Anamnesegespräch ist  auch zur Erfassung von Daten auf der Homepage - zumeist über Formulare - eine rechtliche Grundlage erforderlich. Zumindest die Daten, die auch auf der Gesundheitskarte gespeichert sind, werden zwingend zur Behandlungsdurchführung und zur Kassenabrechnung benötigt. Rechtliche Grundlage sind damit die unter anderem die Rahmenverträge der Kassen mit den Heilmittelerbringern. Aber Vorsicht: In der Regel werden oft weitere Daten erfasst (z.B. Festnetz- und Handy-Nummern, Daten von Eltern etc.). Dafür ist als rechtliche Grundlage die Einwilligung des Auskunftgebenden zwingend erforderlich. Diese Einwilligung muss aktiv, freiwillig und leicht widerrufbar erfolgen. Und der Einwilligende muss in leicht verständlicher Sprache informiert sein, wozu er einwilligt. Details dazu könnte Ihr -> hier nachlesen. Im Zweifel sollte also bei jedem Online-Formular diese Einwilligung aktiv abgefragt werden. Auf den -> Formularen der VDLS-Website haben wir dies bereits umgesetzt.

 

Patienteninformation auch auf Homepage einstellen

Die Patienteninformaiton zum Datenschutz (s. PDF weiter unten) solle auch auf der Praxishomepage eingestellt sein. So können sich Eure Besucher schon vorab über die Datenerfassung und -verarbeitung informieren.

 

Praxisorganisation

Ist ein Datenschutzbeauftragter zu benennen?

Nein, das nachfolgend eingestellte und auf unsere Situation übertragbare Dokument belegt, dass eine solche Bestellpflicht nur dann greift, wenn mehr als 10 Mitarbeiter mit der Datenerfassung beschäftigt sind.

Download
DSB-Bestellpflicht.pdf
Adobe Acrobat Dokument 234.0 KB

Welche organisatorische Maßnahmen sind zu ergreifen?

 

Folgende Dinge sollten aber jetzt geprüfut und - soweit noch nicht praktiziert - sofort umgesetzt werden:

 

1. Rechtliche Grundlagen zur Datenerfassung prüfen bzw. schaffen

Wie bereits weiter oben mit Bezug auf Euren Internetauftritt geschrieben, ist eine klare Einwilligung Eurer Patienten zur Erfassung, Speicherung und Verwendung ihrer Daten erforderlich. Aktiv, freiwillig, leicht widerrufbar und in verständlicher Sprache formuliert. Das sind auch hier die entscheidenden Stichworte. Wir empfehlen daher, die nachfolgend eingestellte Blanko-Patienteninformation des VDLS auszufüllen (Praxisdaten, Aufsichtsbehörde - i.d.R. das Gesundheitsamt) und im Wartezimmer aufzuhängen. Diese Information sollte Ihr dann auch zum Bestandteil Eurer Behandlungsverträge machen und die Überreichung bzw. die Kenntnisnahme explizit unterschreiben lassen.

Download
Patienteninformation zum Datenschutz bla
Adobe Acrobat Dokument 364.7 KB

2. Verträge mit externen Dienstleistern prüfen

Da Ihr alle mit direkt oder indirekt mit Krankenkassen abrechnet, ist es unvermeidlich, dass die Daten Eurer Patienten von zur Abrechnung an außenstehende Unternehmen übermittelt werden. Bitte klärt daher umgehend mit Eurem Abrechnungzentrum bzw. dem Softwareanbieter Eures Abrechnungsprogramms, ob die Datenübertragun zu oder über dies Unternehmen der DSGVO entspricht. Möglicherweise müssen die Verträge mit den Anbietern modifiziert werden. Und last not least: Bindet einen Link zur Datenschutzerklärung des Dienstleisters in die Datenschutzerklärung auf Eurer Homepage ein.

 

3. Checkliste der technischen und organisatorischen Maßnahmen erstellen

Der "gesunde Menschenverstand" war schon immer ein guter Ratgeber. Dass fehlerhafte Therapieberichte und überzählige Verordnungskopien nicht in den Papierkorb des Behandlungsraumes gehören, weiß jedes Kinde. Dennoch sollte jetzt systematisch eine Gesamtliste der TOMs erstellt werden, die von allen Mitarbeitern befolgt wird und deren Kenntnisnahme sich die Praxis per Utnerschrift bestätigen lässt. Die Kollegen von Physio.de haben eine solche Liste erstellt, die unserer Meinung gut auch für Logopädische Praxen verwenbar ist.

 

Download
Checkliste_TOM.pdf
Adobe Acrobat Dokument 70.2 KB

4. Verzeichnis mit Verarbeitungstätigkeiten erstellen, die in der Praxis anfallen

Für jeden Prozess der Datenerfassung, -verarbeitung und -weiterleitung ist ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Da in unseren Praxen i.d.R. ausschließlich die Patienten- und Verordnungsdaten verarbeitet werden, lässt sich dies mit einem Formular "erschlagen". Wir haben dazu ein Formular von physio.de verwendet und für die Sprachtherapie etwas modifiziert.

Download
Verarbeitungstaetigkeit.docx
Microsoft Word Dokument 15.8 KB

5. Von allen Mitarbeitern eine Selbstverpflichtungserklärung unterschreiben lassen

Last not least... Lasst Euch von allen MitarbeiterInnen die nachfolgende Verpflichtungserklärung unterschreiben.

Download
Mitarbeiterverpflichtung_DSGVO.pdf
Adobe Acrobat Dokument 330.5 KB

Fotos: pixabay