- Online-Abrechnung
- Software
- Preise
- Für wen?
- Wissen
- Blog
Im letzten Artikel zur DSGVO haben wir die Grundsätze des Datenschutz vorgestellt. Doch im Kern bietet die Datenschutz-Grundverordnung viel mehr Vorgaben, die den Umgang mit personenbezogenen Daten – insbesondere von Kund:innen und Patient:innen – festlegen. Ein besonderes Stichwort ist: Auftragsverarbeitung.
Datenschutz richtig umsetzen: Auftragsverarbeitungsverträge für alle externen Dienstleister
Wer Patient:innen befördert oder Pflegebedürftige umsorgt, wird vermutlich oft mit externen Dienstleistern zu tun haben, die zur Durchführung ihrer Arbeit auf die personenbezogenen Daten zugreifen müssen. Das können z. B. Lieferanten für Pflegehilfsmittel sein oder externe Unternehmen für Rechnungs- und Forderungsmanagement oder Dienstleister für Abrechnungen – wie DMRZ.de einer ist – sein.
Was musst Du also tun? Einfach so personenbezogene Daten – vor allem jene der „besonderen Kategorie“ wie es Gesundheitsdaten sind – weitergeben, ist ein Datenschutzverstoß. Du benötigst also die konkrete Einwilligung des:der Patient:in zur Weitergabe. Einfacher ist es, mit den jeweiligen Dienstleistern sogenannte Auftragsverarbeitungsverträge abzuschließen. Diese Verträge sind laut Artikel 28 DSGVO unter anderem für solche Dienstleistungen notwendig:
Wartung von Hard- und Software und Multifunktionsgeräten
Clouddienste für Officeanwendungen (wie z. B. Office 365 von Microsoft)
Rechenzentren, Server und externe Mailanbieter
Aktenvernichtung oder Entsorgung von Datenträgern
Onlinebuchhaltung (wie z. B. Datev)
Subunternehmer oder externe Arbeitskräfte (z. B. selbstständige Fahrer:innen, Therapeut:innen oder Pflegekräfte)
Nutzt Du hingegen die Unterstützung von Steuerberater:innen, Rechtsanwält:innen oder Notar:innen, ist für diese speziellen Beratungen kein Auftragsverarbeitungsvertrag notwendig.
Die ärztliche Schweigepflicht als alte Grundregel abseits der DSGVO
Für Heilmittelpraxen und Pflegedienste ist auch noch eine weitere Regel wichtig, die abseits des Datenschutzes gilt. Gemeint ist die ärztliche Schweigepflicht. Diese besondere Verschwiegenheitspflicht ist weit älter als die ältesten Datenschutzgesetze und für alle, die im medizinischen Bereich arbeiten eine ethische Grundregel. Wird die Schweigepflicht verletzt, besteht die Gefahr einer Geldstrafe oder bis zu einem Jahr Freiheitsstrafe (Quelle: § 203 Strafgesetzbuch).
Nun ist es ja nicht ungewöhnlich, unter Kolleg:innen Informationen über den Gesundheitszustand oder den Therapieablauf von Patient:innen weiterzugeben. Das ist sogar zwingend notwendig, wenn z. B. eine Schichtablösung ist oder jemand krankheitsbedingt einspringen muss. Doch muss gesichert sein, wer genau die Informationen erhält – und wie.
Worauf Deine Beschäftigten mit Blick auf den Datenschutz achten müssen
Die folgenden Tipps helfen Dir bei der Planung eines datenschutzkonformen Umgangs unter Deinen Mitarbeiter:innen.
Regel direkt im Arbeitsvertrag den Umgang mit den schützenswerten Daten.
Deinen Mitarbeiter:innen sollte klar sein, aufzupassen, wann, wie und mit wem sie über Patient:innen sprechen. Das betrifft nicht nur externe Personen, sondern auch Kolleg:innen, die für ihre eigene Arbeit die mitgeteilten Informationen gar nicht benötigen. In der Pflege beispielsweise ist ein professionelles und datenschutzkonformes Übergabebuch wie das von DMRZ.de empfehlenswert. (Darüberhinaus hast Du auch die Möglichkeit, jeden einzelnen Mitarbeiterzugang für DMRZ.de zu verwalten und genau festzulegen, wer genau was sehen und bearbeiten darf. Mitarbeiterzugänge lassen sich ohne Aufpreis oder versteckte Kosten unbegrenzt anlegen!)
Selbst bei einwandfrei konfigurierten Datenschutzeinstellungen in der App WhatsApp ist der beliebte Messaging-Dienst zum Austausch von Gesundheitsdatennicht zu empfehlen. Du kannst nie sicher sein, wie gut geschützt die geteilten Informationen wirklich sind. Nutze stattdessen DSGVO-konforme Messenger.
Auch Angehörige eines:einer Patient:in sind per se nicht befugt, Informationen über die Person zu erhalten. Die betroffene Person muss eine klare Einwilligung geben, dass ein:e Angehörige:r Auskunft erhalten oder bei Besprechungen anwesend sein darf. Eine Einwilligung ist natürlich auch über eine Vorsorgevollmacht möglich.
Weise Deine Mitarbeiter:innen an, Datenschutzverstöße nicht – z. B. aus Scharm oder auch Gründen des Unternehmens-Images – geheimzuhalten, sondern umgehend zu melden.
Je nach Unternehmen (mehr dazu unten) ist die Ernennung eines:einer Datenschutzbeauftragten notwendig. Wer mit personenbezogenen Daten zu tun hat, sollte von der:dem Datenschutzbeauftragten regelmäßig Weiterbildungen oder Ratschläge zum korrekten Umgang mit personenbezogenen Daten erhalten.
Es empfiehlt sich, regelmäßig Besprechungen einzuplanen, in denen die Herausforderungen der Umsetzung des Datenschutzs behandelt werden. Das klärt Fragen, macht Probleme sichtbar und verdeutlicht die Wichtigkeit des Themas Datenschutz im Betrieb.
Übrigens: Trotz DSGVO oder ärztlicher Schweigepflicht gibt es auch Ausnahmen, Daten weiterzugeben. Und zwar an staatliche Stellen. Das kann dann sein, sollte ein:e Patient:in eine Straftat planen oder sollte eine Infektionskrankheit die öffentliche Gesundheit bedrohen. In diesen Fällen dürfen und müssen die Polizei bzw. das Gesundheitsamt die streng geschützten Daten erhalten.
Datenschutzbeauftragte: Notwendig?
Ob Du in Deinem Betrieb eine:n Datenschutzbeauftragten hast oder nicht, ist keine Frage des Wollens. Die Vorgaben sind streng geregelt. In kleinen Betrieben unter 10 Beschäftigte oder in mittelständischen Betrieben, wenn man nicht mit personenbezogenen Daten aggiert, ist ein:e Datenschutzbeauftragte:r ggf. nicht notwendig. Im Falle von Gesundheitsdaten aber ist die Schwelle von 10 Beschäftigten aber irrelevant: „Praxen, die unter dieser Schwelle liegen, sind nicht schon deshalb verpflichtet, einen Datenschutzbeauftragten zu nennen, weil sie standardmäßig mit Gesundheitsdaten ihrer Patienten arbeiten“, erklärt die Anwältin Ingrid Yeboah. „Ich empfehle bei Unsicherheiten und Fragen auch die zuständige Aufsichtsbehörde für Datenschutz zu konsultieren.“
Der Posten des:der Datenschutzbeauftragten kann an eine angestellte Person gehen oder extern vergeben werden. Ist der Träger einer Einrichtung kirchlich, stellt in der Regel die Kirche den:die Datenschutzbeauftragte.
Das Verzeichnis für Verarbeitungstätigkeiten und für technische und organisatorische Maßnahmen (TOM)
Die personenbezogenen Daten müssen nicht nur bestens geschützt sein – es muss darüber auch Buch geführt werden. Bei einer Prüfung durch eine Datenschutzbehörde besteht eine Rechenschaftspflicht. Deswegen ist es notwendig, alle datenschutzrechtlichen Maßnahmen ausführlich zu dokumentieren. „Das Führen eines Verzeichnis für Verarbeitungstätigkeiten schafft die erforderliche Übersicht, dient der Transparenz und verhilft dem Praxisinhaber Risiken oder auch Hürden der Verarbeitungstätigkeiten zu erkennen und entsprechende Maßnahmen einzuleiten“, so Yeboah.
Im Verzeichnis der Verarbeitungstätigkeiten werden auch die sogenannten TOM, kurz für „technische und organisatorische Maßnahmen“ gemäß Artikel 30 DSGVO, beschrieben. Hier wird genau festgehalten, was Du und Deine Mitarbeiter:innen genau tut, um personenbezogene Daten zu schützen. „Die Darstellung der TOM wird immer öfter von Kunden / Geschäftspartner verlangt“, erklärt beispielsweise das Datenschutzportal für Taxi, Mietwagen & Transportunternehmen.
Wie genau werden z. B. Patient:innendaten verwaltet? Sind Aktenschränke ausreichend gesichert? Liegen die Daten sicher und bestens geschützt in einer Cloud? Können theoretisch auch Gäste auf Plantafeln einsehen, wer wann welche Krankenfahrt oder welchen Pflegetermin hat? Oder dürfen nur befugte Personen sicher und datenschutzkonform die aktuellen Schichtpläne und Touren einsehen? Vielleicht ist für Deinen Betrieb die sichere, DSGVO-konforme Krankentransport-Software, Pflegesoftware oder Therapeutensoftware von DMRZ.de die richtige Lösung.
Weniger ist mehr
Das Thema Datenschutz solltest Du also nicht auf die leichte Schulter nehmen. Grundsätzlich empfiehlt es sich, regelmäßig zu prüfen, welche Daten für die Arbeit wirklich relevant sind und welche nicht. Denn je mehr Daten Du erhebst, desto größer ist auch der Datenschutzaufwand – und auch die Gefahr, einen datenschutzrelevanten Fehler zu machen.
Demnächst erfährst Du im DMRZ.de-Blog, was es mit dem Auskunftsrecht von verarbeiteten Daten oder mit dem „Recht auf Vergessenwerden“ auf sich hat.
Allgemeiner Hinweis: Unsere Ratgebertexte zum Datenschutz und zur Datensicherheit dienen lediglich zur Information und bieten einen Überblick über das Thema. Sie stellen keine Rechtsberatung dar. Für konkrete Hilfestellung – angepasst an Deine berufliche Lebenslage – wendest Du Dich bitte an eine:nFachanwält:in.