Die Datenschutzgrundverordnung – DSGVO
Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Die Datenschutzgrundverordnung ist entwickelt worden, um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sicherzustellen. Die DSGVO betrifft grundsätzlich alle Firmen in der Europäischen Union, die mit personenbezogenen Daten arbeiten. Das gilt natürlich auch für Unternehmen im Medizin-und Gesundheitssektor. Somit muss auch ein Physiotherapeut, Heilpraktiker und Arzt die Datenschutzgrundverordnung berücksichtigen.
Die DSGVO ist von Unternehmen/Praxen zwingend einzuhalten, denn es können horrende Strafen der Aufsichtsbehörden festgesetzt werden. Und natürlich sollte nicht vernachlässigt werden, dass Anwälte sich auf Abmahnungen für Verfehlungen spezialisieren werden.
In Art. 2 der Verordnung wird der sachliche Anwendungsbereich beschrieben. Darin heißt es: „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ (Verordnung (EU) 2016/679, Art. 2, Abs. 1) das bedeutet, wenn beispielsweise ein Patient in eine physiotherapeutische Praxis geht und der Therapeut oder die Therapeutin die persönlichen Daten dieses Patienten aufnimmt und in einer Patienten-Verwaltungssoftware eingibt, gilt die DSGVO! Ein anderes Beispiel, Fitnessstudios sind darauf angewiesen, eine gut organisierte Mitgliederverwaltung zu pflegen. Welche Daten werden hier eingegeben? Natürlich personenbezogene Daten. Hinzu kommt noch das in vielen Studios mittlerweile Trainingsgeräte anbieten, welche die Daten der Kunden über zum Beispiel eine Chipkarte abspeichern. Hier kann es sehr schnell sein, dass hier personenbezogene Daten der besonderen Kategorie, wie zum Beispiel Gesundheitsdaten, zur Anwendung kommen. Dann gelten noch einmal erweiterte Regeln zur Anwendung der DSGVO.
Wir haben uns speziell auf den Bereich von Ärzten, Therapeuten, und Coaches spezialisiert. Schauen wir uns einmal die Forderungen der DSGVO im Detail an.
Die wichtigsten Begriffsbestimmungen
Verarbeitung (Verordnung (EU) 2016/679, Art. 4, Abs. 2)
Mit Verarbeitung ist jeder Vorgang im Umgang mit personenbezogenen Daten gemeint. Das Ganze startet bei der Erhebung, über die Speicherung, bis hin zur Löschung.
Pseudonymisierung (Verordnung (EU) 2016/679, Art. 4, Abs. 5)
Mit dem Begriff Pseudonymisierung ist gemeint, dass zum Beispiel die Identität einer Person hinter einem Pseudonym versteckt wird.
Verantwortlicher (Verordnung (EU) 2016/679, Art. 4, Abs. 7)
Verantwortlicher ist eine natürliche oder juristische Person, eine Behörde oder eine andere Stelle, welche über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter (Verordnung (EU) 2016/679, Art. 4, Abs. 8)
Eine Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Ein Beispiel wäre hier, ihr Internetprovider über den sie ihre E-Mails verschicken die gegebenenfalls personenbezogene Daten enthalten. Aber auch ein Dienstleister, der zu Ihnen in das Unternehmen/Praxis kommt und beispielsweise ihre Computer wartet.
Personenbezogene Daten besonderer Kategorien (Verordnung (EU) 2016/679, Art.9, Abs. 1)
Personenbezogene Daten besonderer Kategorien werden von der DSGVO unter einen besonderen Schutz gestellt. Die Verordnung beschreibt diese Daten und deren Verarbeitung wie folgt: „Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“