Datenübermittlung in Praxen

Für ergotherapeutische Praxen stellt rechtskonformer Datenschutz eine große Herausforderung dar. Werden personenbezogene Daten unerlaubt weitergegeben, haften die Praxisinhaber. Die richtige Herangehensweise minimiert unter Anderem das Risiko behördlicher Bußgelder.

Ob Ergotherapeut, Handwerker oder Dienstleister – in nahezu jedem Unternehmen gehört die Datenübermittlung von personenbezogenen Daten zur täglichen Routine. Oft geschieht dies unbewusst, beispielsweise bei der Ablage von Patientendaten in digitalen Cloudlösungen oder der Weiterleitung eines Kontakts über einen Messenger-Dienst. Datenschutzrechtlich ist dies nicht ohne Weiteres erlaubt, insbesondere wenn es sich dabei um Gesundheitsdaten und somit sensible Daten handelt. 

Was sind personenbezogene Daten?

Die DSGVO erfasst sämtliche Daten mit Personenbezug, angefangen beim Namen, der Telefonnummer bis hin zur Kundennummer. Auch abstrakte Daten, wie IP-Adressen oder Cookies fallen darunter, sofern diese sich einer Person zuordnen lassen. Angaben zur Blutgruppe, genetische Daten oder Diagnosen fallen unter Artikel 9 der DSGVO und sind somit sensitiv, also besonders schützenswert. Die Verarbeitung ist in der Regel ohne ausdrückliche Einwilligung nicht erlaubt.

Weitergabe von Daten – so geht’s 

Bereits vor dem Erheben der Daten sollten Patienten darüber aufgeklärt werden, zu welchem Zweck die Praxis ihre Daten verarbeitet und an wen sie diese gegebenenfalls weitergibt. Wie genau diese Informationen auszusehen hat, definieren die Artikel 13 und 14 der DSGVO.

Ist diese Information erfolgt, kann der Patient der Verarbeitung mit seiner Unterschrift zustimmen. Mit der Dokumentation der Einwilligung darf die Praxis die Daten zu den vereinbarten Zwecken weitergeben.

Weitergabe ohne Einwilligung

In manchen Fällen dürfen personenbezogene Daten auch ohne Einwilligung verarbeitet werden. Artikel 6 Abs. 1 lit. b-f der DSGVO definiert die diesbezügliche Rechtmäßigkeit der Verarbeitung. Daten, die für den Abschluss und die Erfüllung von Verträgen erforderlich sind, dürfen ohne Zustimmung verarbeitet werden – beispielsweise im Arbeitsvertrag.

Auftragsverarbeitung

Die meisten Praxen beschäftigen Dienstleister, beispielsweise Lohnbuchhaltungen oder Software-Anbieter. Um personenbezogene Daten mit einem Dienstleister zu teilen, müssen beide Parteien einen sogenannten “Auftragsverarbeitungsvertrag” abschließen. Er definiert die Rechte und Pflichten des Dienstleisters im rechtskonformen Umgang mit den personenbezogenen Daten.

Über die Datenübermittlung an einen Dienstleister muss der Verantwortliche die betroffene Person informieren. Idealerweise geschieht dies gleich mit der Einwilligungserklärung.  

Technische Voraussetzungen für die Weitergabe von Daten

Neben den formellen Anforderungen gilt es auch die technischen Aspekte zu beachten. So dürfen personenbezogene Daten nicht unverschlüsselt übermittelt werden. Für die Verschlüsselung des Textes einer E-Mail sowie von Anhängen kommen in erster Linie die Standards S/MIME und OpenPGP infrage. Eine alleinige Transportverschlüsselung ist bei sensiblen Daten jedoch nicht ausreichend, eine Ende-zu-Ende-Verschlüsselung ist empfehlenswert. Der Betreff der E-Mail sollte keine personenbezogenen Daten enthalten.

Tags
  • DSGVO
  • Datenschutz
  • Gesundheitswesen
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649