Viele von uns haben zum Thema Datenschutz ein zwiespältiges Verhältnis: einerseits sind wir sehr darauf bedacht, dass wir und unsere eigenen persönlichen Daten nicht permanent ausgeforscht werden.

Andererseits erscheint manchen von uns der zusätzliche Aufwand, den wir seit rund drei Jahren betreiben müssen, mehr als lästig. Als Hilfestellung haben wir im Frühsommer das DATENSCHUTZFORUM neu eingerichtet, das von der Rechtsanwaltsgemeinschaft „activeMind.legal“ betreut wird. Wir möchten Sie ermutigen, es noch viel mehr zu nutzen und die vorhandenen Beiträge zu sichten, inwiefern sie auch Sie betreffen. Dafür folgen gleich ein paar Beispiele. Ungeklärte Fragen können Sie natürlich gerne auch ins DATENSCHUTZFORUM stellen.

Beispiel 1: Hallo, ich habe aus Versehen eine Mail mit Patientendaten (Name/Anschrift/Geburtsdatum sowie Termine und entstandenen Kosten) an eine falsche Mail Adresse geschickt. Wie verhalte ich mich korrekt? Soll ich diesen Fehler irgendwie/irgendwem melden? Und wenn ja wem? Wie verhalte ich mich korrekt dem Patienten gegenüber? Kann ich dafür seitens des Patienten rechtlich belangt werden?
Antwort: Vielen Dank für Ihre Anfrage. Hier ist tatsächlich gegebenenfalls eine schnelle Handlung notwendig. Es könnte sich um einen meldepflichtigen Datenschutzpanne handeln. Die Meldung muss innerhalb von 72 Stunden erfolgen. Angesichts des beruflichen Zusammenhangs ist ein beachtliches Risiko wahrscheinlich gegeben. Ob neben der Datenschutzaufsicht auch der betroffene Patient zu verständigen ist, hängt davon ab, ob das Risiko hoch ist. Dies sollten Sie gegebenenfalls mit fachkundiger Unterstützung klären. Grundsätzlich kann ein Patient natürlich seine Rechte und auch Schadensersatz bzw. Schmerzensgeld geltend machen. Zur Vereinfachung darf ich Sie auf folgende Handlungsanleitung verweisen, insbesondere Punkt 3 dort ist zu beachten: https://www.activemind.de/magazin/datenpanne/

Beispiel 2: Die KK einer privatversicherten Klientin (Debeka) möchte von mir “Kopien der vollständigen Behandlungsdokumentation inklusive aller Untersuchungsergebnisse und Befunde (Krankenakte)“ - um zu entscheiden, ob die von der Klientin eingereichten HP-Rechnungen bewilligt werden. Ist diese Forderung überhaupt zulässig?
Antwort: Ihre Rückfrage ist berechtigt. “Einfach so“ können Sie die Daten keinesfalls herausgeben. Lassen Sie sich von der anfragenden Kasse doch erklären, auf welcher Grundlage die Forderung erfolgt. Im Ergebnis wird eine wirksame Einwilligung des Patienten notwendig sein, die diesen Fall erfasst. Diese muss nicht notwendigerweise Ihnen persönlich gegenüber abgegeben werden, aber doch zumindest Wirkung zu Ihren Gunsten entfalten. Kann die Versicherung nicht liefern, sollten Sie sich mit ihrem Patienten kurzschließen und diesen gegebenenfalls um eine Einwilligung bitten. Viele Grüße - Ihr Team von activeMind.legal

Beispiel 3: Gerne würde ich unseren Patienten die Möglichkeit bieten, online selbstständig Termine bei uns zu buchen. Es gibt viele Anbieter, mache sind auf Ärzte spezialisiert. Mich würde interessieren, ob ich als Heilpraktiker einen beliebigen Anbieter wählen kann oder ob es - neben den Datenschutzangaben zum Anbieter - weitere Besonderheiten zu beachten gibt (wegen Patientendaten etc.). Außerdem wäre interessant ob ich den entsprechenden Kalender z.B. mit Google/Apple synchronisieren kann, wenn dies entsprechend angegeben wird?
Antwort: Der Datenschutzhinweis, also die Informationen gem. Art. 13 DSGVO, ist nur eine Voraussetzung. Solche Dienste sind Verarbeitungen im Auftrag. Es muss daher ein Vertrag geschlossen werden, der Art. 28 DSGVO entspricht, der Anbieter ist zudem anfangs auf seine Tauglichkeit zu untersuchen und dann laufend angemessen zu kontrollieren. Sie finden viele Informationen dazu hier: https://www.activemind.de/datenschutz/auftragsverarbeitung/
Ist der Anbieter willens, eine solche Vereinbarung zu unterschreiben, die die Anforderungen der DSGVO erfüllt und ist er auch tatsächlich in der Lage, die darin versprochenen Maßnahmen zur Erreichung einer angemessenen Datensicherheit zu liefern, können Sie sich grundsätzlich frei entscheiden. Leider ist das bei selbst großen Anbietern teils eine äußerst fordernde Aufgabe. Kommt über den genutzten Dienst allerdings ein Drittland ins Spiel (Google und Apple), wird es nach dem “Schrems II“ Urteil leider nochmals deutlich schwieriger. Es ist, insbesondere in Bezug auf US-Anbieter, aktuell sehr schwierig bis unmöglich, die geforderten “Garantien“ zu schaffen. Hierzu an dieser Stelle Ausführungen zu machen, führt zu weit. Ich möchte daher auf diese Quelle verweisen: https://www.activemind.de/magazin/edsa-drittlandtransfer/
Bitte beachten Sie, dass die direkte Nutzung von Diensten von Google oder Apple im geschäftlichen Bereich mit Kundendaten/Patientendaten regelmäßig bereits an sich solche Auftragsverarbeitungen mit der besagten Drittllandsproblematik sind. Es ist nicht nötig, dass diese erst über einen weiteren Dienst gespeist werden. Spätestens aber eine Synchronisation von Daten über Patienten, macht einen Vertrag wie oben genannt notwendig und erzeugt auch die anderen angesprochenen Probleme. - Viele Grüße, Ihr Team von activeMind.legal

Beispiel 4: Guten Tag, ist es als Heilpraktiker erlaubt, Rechnungen per E-Mail zu versenden? Im Falle, dass dies zutrifft, muss ich diese verschlüsseln und dies vorab explizit im Datenschutzvertrag erwähnen? - Mit freundlichen Grüßen
Antwort: Guten Morgen, grundsätzlich ist es erlaubt, auch in Heilberufen Rechnungen per E-Mail zu versenden. Dabei sollte jedoch insbesondere aufgrund der sensiblen Daten, die hierbei übermittelt werden (Behandlungsart, Verletzungen, Beschwerden, Diagnosen, etc.), auf eine Ende-zu-Ende-Verschlüsselung geachtet werden. Hierzu können Sie Tools wie 7Zip oder einen Datentransferdiesnt wie bsp. TeamBeam einsetzen. - Viele Grüße, Ihr Team von activeMind.legal