Die neue Datenschutz-Grundverordnung (DSGVO) – „Für Therapiepraxen besteht kein Grund zur Panik“

Am 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung in Kraft. Welche Auswirkungen dies auf die Physiotherapiepraxen hat, erläutert Rechtsanwältin Andrea Beckmann-Mebus vom Bundesverband selbstständiger Physiotherapeuten – IFK. Sie weiß: Es besteht kein Grund zur Panik.

Frau Beckmann-Mebus, welches Ziel verfolgt die europäische Datenschutz-Grundverordnung?

Grundsätzlich sollen personenbezogene Daten stärker geschützt werden. Wir leben in Zeiten, in denen derartige Daten ein Handelsgut von nicht unerheblichem Wert darstellen. Ganze Firmen beschäftigen sich damit, Profile zu erstellen, um so zum Beispiel Werbung noch gezielter auf den Verbraucher zuschneiden und platzieren zu können.

Außerdem besteht auch immer die Gefahr zum Beispiel von Identitätsdiebstahl – je mehr persönliche Daten bekannt sind, desto mehr kann damit angestellt werden. Deshalb ist es wichtig, dass Praxisinhaber mit den sensiblen Daten der Patienten und Mitarbeiter sehr sorgfältig umgehen.

Durch die DSGVO soll nun das Datenschutzrecht in den europäischen Mitgliedstaaten vereinheitlicht werden. Bislang hatten einige Staaten, wie Deutschland, schon ein sehr restriktives Datenschutzrecht, in anderen Staaten wurde es etwas laxer geregelt.

Wird das Datenschutzgesetz bundeseinheitlich umgesetzt werden?

Ja. Das bestehende Bundesdatenschutzgesetz wurde entsprechend angepasst und tritt zeitgleich mit der DSGVO in Kraft.

An welchen Stellen müssen Physiotherapiepraxen nun besonders aufpassen?

Grundsätzlich sind Physiotherapeuten vom Berufsstand her zur Verschwiegenheit verpflichtet, sodass Datenschutz in den Praxen sowieso selbstverständlich ist. Durch die neuen Vorschriften wird das Ganze stark „bürokratisiert“, das heißt, der Praxisinhaber muss die Selbstverständlichkeiten in Tabellen und Verzeichnissen aufführen. Er muss also alle Datenverarbeitungsprozesse der Praxis, die personenbezogene Daten betreffen, bis Ende Mai in einem Verzeichnis dokumentiert haben. Daraus muss hervorgehen, welche personenbezogenen Patienten- und Mitarbeiterdaten die Praxis mithilfe welcher Verfahren, auf welche Weise, zu welchem Zweck verarbeitet und welche technisch-organisatorischen Maßnahmen getroffen wurden, um diese Daten zu schützen. So soll Transparenz geschaffen werden, mit der sich die Praxis gegenüber den Aufsichtsbehörden und den Betroffenen rechtlich absichern kann.

Angriffspunkte bestehen natürlich da, wo die Praxis nach außen hin auftritt, etwa beim Internetauftritt. Der Datenschutzhinweis auf der Homepage muss unbedingt den neuen Anforderungen entsprechen. Das sollte zusammen mit dem Ersteller der Homepage passieren. Social-Media-Plugins auf der Homepage sind ein nicht unerhebliches Risiko, mit der Shariff-Lösung kann man diese aber dennoch datenschutzkonform integrieren.

Brauchen Therapiepraxen dafür einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter ist dann zu benennen, wenn ständig zehn Mitarbeiter oder mehr mit den gespeicherten Daten zu tun haben.

Unter zehn Mitarbeitern ist ein Datenschutzbeauftragter nur dann nötig, wenn es sich um eine „umfangreiche“ Datenverarbeitung handelt, die aber nach den in Erwägungsgrund 91 der DSGVO niedergelegten Kriterien bei Einzelpraxen in der Regel nicht erfüllt sein dürfte.

Dennoch kann jede Praxis freiwillig einen Datenschutzbeauftragten benennen.

Der Praxisinhaber ist dazu verpflichtet, die Mitarbeiter zu schulen. Worüber muss er informieren und was ist dabei zu beachten?

Die Schulung der Mitarbeiter dient dazu, diese für datenschutzrechtliche Probleme im Praxisalltag zu sensibilisieren und Hilfestellungen zu datenschutzkonformem Verhalten an die Hand zu geben. Es ist wichtig, dass sie insbesondere über die rechtlichen Rahmenbedingungen und die wesentlichen Begriffe des Datenschutzes sowie über die Betroffenenrechte informiert sind. Der Praxisinhaber sollte auch die technischen und organisatorischen Maßnahmen zur Datensicherung in der Praxis thematisieren und wie sich die Mitarbeiter bei Datenschutzverletzungen und Pannen verhalten sollen. Die Teilnahme an der Schulung sollte optimalerweise schriftlich bestätigt werden.

Sollte eine Physiotherapiepraxis nicht pfleglich mit den Daten umgehen, was können dem Praxisinhaber dann für Strafen drohen?

Der Bußgeldrahmen ist deutlich erhöht worden. Lag bislang die Obergrenze bei 50.000 Euro, so ist das Regelbußgeld jetzt auf 20 Mio. bzw. 4 Prozent des globalen Umsatzes begrenzt.

Wie hoch die Bußgelder nun wirklich ausfallen, muss abgewartet werden. Die DSGVO schreibt vor, dass die Bußgelder im Einzelfall wirksam, abschreckend und verhältnismäßig sein müssen. Fest steht aber, dass es kein Ermessen mehr gibt, ob überhaupt ein Bußgeld verhängt wird. Das ist jetzt zwingend vorgeschrieben.

Was raten Sie Physiotherapiepraxen, um die DSGVO rechtssicher umzusetzen?

Wer ganz sichergehen will, verpflichtet einen externen Datenschutzbeauftragten. Ansonsten hat der IFK ein Merkblatt zum Datenschutz für seine Mitglieder erstellt und Musterformulare erarbeitet, die die Umsetzung erleichtern sollen. Unsere Mitglieder haben die Möglichkeit, jederzeit telefonische Beratung zu diesem Thema zu erhalten, bei der dann auf individuelle Probleme eingegangen werden kann. Hilfe bieten auch Kurzpapiere der deutschen Datenschutzkonferenz (http://bit.ly/Kurzpapiere).

Sollte es in der Praxis zu einer Datenpanne kommen, was ist dann zu tun?

Alle Datenpannen, die in der Praxis passieren, müssen zunächst dokumentiert werden. Kann man nicht ausschließen, dass ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, muss der Praxisinhaber die Datenpanne innerhalb von 72 Stunden aktiv an die zuständige Datenschutzaufsichtsbehörde (die jeweiligen Landesdatenschutzbeauftragten) melden. Besteht ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, muss der Praxisinhaber zusätzlich auch diese über die Datenpanne informieren. Damit die Mitarbeiter wissen, wie ein Meldeprozess abzulaufen hat und was sie zu tun haben, sollte dieser klar definiert und für alle Mitarbeiter sichtbar ausgelegt und ausgehängt werden.

Die Fragen stellte Elke Oldenburg.