Skip to main content

Datenschutz in der Physiotherapie

Das brauche ich alles nicht als Therapeut!

Als Physiotherapeut(in) brauche ich doch diese DSGVO nicht!
Ich brauche auch schon mal gar nicht einen Datenschutzbeauftragten!

Oder vielleicht doch???

Sie arbeiten mit "Gesundheitsdaten", somit arbeiten Sie mit sensibelen Daten (DSGVO, Art. 9, Abs. 1)
und brauchen daher nach (DSGVO, Art. 37, Abs.1, lit. f) 'zwingend' einen Datenschutzbeauftragten.

Die Datenschutzgrundverordnung DSGVO gilt für Physiotherapeuten

Als Physiotherapeut(in) in eigener Praxis egal wie viele Angestellte Sie haben, müssen Sie die Datenschutzgrundverordnung beachten!

Warum ist das so?

Die Datenschutzgrundverordnung oder auch DSGVO regelt den Umgang mit personenbezogenen Daten von natürlichen Personen. Das bedeutet, wenn sie als Physiotherapeut bzw. im Rahmen einer freiberuflichen Tätigkeit als Physiotherapeut oder in ihrer physiotherapeutischen Praxis mit personenbezogenen Daten von natürlichen Personen arbeiten, dann müssen Sie die Forderungen der DSGVO berücksichtigen!

Die Verordnung beschreibt das konkret: „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“ (DSGVO, Art. 2, Abs. 1)

Im Detail bedeutet das für eine physiotherapeutische Praxis, dass wenn ein Patient zu Ihnen kommt und sie die personenbezogenen Daten dieses Patienten aufnehmen, dabei spielt es keine Rolle, ob sie diese in eine Software eintragen oder mit sortierten Karteikarten verwalten, es gilt in jedem Fall die Datenschutzgrundverordnung.

Erschwerend kommt im Gesundheitsbereich noch hinzu, dass die Datenschutzgrundverordnung einen besonderen Schutz für Gesundheitsdaten festlegt. Diese Daten beschreibt die Datenschutzgrundverordnung als personenbezogene Daten „besonderer Kategorien“.

Was bedeutet konkret die Verarbeitung von Daten?

Mit Verarbeitung ist gemeint jeder Umgang mit personenbezogenen Daten mit oder ohne Hilfe automatisierter Verfahren. Dazu zählt schon im speziellen das Aufnehmen von Patienten bzw. der Daten von Patienten. Welche Daten erheben sie konkret in ihrer Praxis, wenn sie neue Patienten aufnehmen? Wie verwalten Sie bestehende Patienten? Aus diesen beiden Fragen ist schon zu erkennen, dass für sie als Physiotherapeut kein Weg an der Datenschutzgrundverordnung vorbeigeht.

Brauche ich in meiner Praxis einen Datenschutzbeauftragten als Physiotherapeut oder physiotherapeutischer Praxis?

Das ist eine interessante Frage! Das Bundesdatenschutzgesetz regelt in § 38 wann nichtöffentliche Stellen, wie beispielsweise ein Unternehmen oder eine Praxis, einen Datenschutzbeauftragten brauchen. Darin heißt es „ergänzend zu Art. 37 Abs. 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.[…]“ (BDSG, § 38, Abs. 1)

Das Bundesdatenschutzgesetz würde somit vorschreiben, dass sie in einer physiotherapeutischen Praxis erst ab zehn Mitarbeitern, die regelmäßig mit personenbezogenen Daten zu tun haben bzw. diese verarbeiten, Sie einen Datenschutzbeauftragten brauchen. Wenn Sie also in ihrer Praxis mehr als zehn Mitarbeiter haben, die mit Patienten arbeiten, dann erheben diese auf automatisch personenbezogene Daten, indem ihre Mitarbeiter beispielsweise Therapien bzw. Indikationen in ihrer Patientenverwaltung, oder auf Karteikarten, eintragen.

Die DSGVO hat hier jedoch noch eine Besonderheit geregelt! „[…] die die Kerntätigkeit des verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilung und Straftaten gemäß Art. 10 besteht.“ (DSGVO, Art. 37, Abs. 1, lit. f)

Aus der Datenschutzgrundverordnung geht nun raus hervor, wenn sie mit Gesundheitsdaten arbeiten, diese fallen in die besonderern Kategorien, sind Sie verpflichtet einen Datenschutzbeauftragten zu stellen bzw. einen zu beauftragen. Jetzt wäre nur noch zu klären, was der Begriff umfangreich bedeutet? Mit umfangreich könnte man speziell in der physiotherapeutischen Praxis verstehen, dass diese Daten zum einen regelmäßig und zum anderen bei nahezu allen Patienten erfasst werden. Und streng genommen ist dies ja auch der Fall! Bei welchen ihrer Patienten erheben sie oder ihre Mitarbeiter keine Gesundheitsdaten, wie zum Beispiel Krankheitsbilder oder Therapien?

Sie sollten sich somit dringend mit dem Thema Datenschutzbeauftragter befassen.

Unabhängig davon ob sie einen Datenschutzbeauftragten nun tatsächlich brauchen bzw. einen stellen, müssen Sie dennoch die Anforderungen der DSGVO in Bezug auf den Umgang mit personenbezogenen Daten, wie Patientendaten, erfüllen!

Sie benötigen zum Beispiel ein Verfahrensverzeichnis, aus dem hervorgeht an welcher Stelle sie personenbezogene Daten erheben und zum welchen Zweck dieses geschieht. Weiter müssen sie gewährleisten, dass unbefugte Dritte keinen Zugang oder Zugriff auf die Daten ihrer Patienten erhalten können. Durch den Umgang mit Daten der besonderen Kategorien, müssen sie auch eine Risikofolgeabschätzung durchführen, in der sie beurteilen, wie hoch das Risiko und der Schaden ist, falls personenbezogene Daten ihrer Patienten in falsche Hände gelangen. Dies ist nur ein kleiner Auszug aus den, was sie als Physiotherapeut oder Inhaber einer physiotherapeutischen Praxis in Bezug auf die Datenschutzgrundverordnung umsetzen und erfüllen müssen.

Jetzt die eigenen Praxis absichern!

Mit einem prozessorientierten Datenschutzmanagementsystem sind Sie gegenüber den Forderungen der DSGVO abgesichert!