Die Bestimmungen der Datenschutzgrundverordnung – DSGVO gelten ab 25. Mai 2018 – ein kurzer Themenüberblick von DI Michael Ebenbichler
Mit der neuen Datenschutzgrundverordnung – DSGVO wird EU-weit vereinheitlicht, wie personenbezogene Daten erhoben, verarbeitet, an Dritte weitergegeben und gelöscht werden müssen. Die wichtigsten Fragen zu diesem Thema darf ich wie folgt beantworten:
Was sind personenbezogene Daten?
Personenbezogene Daten liegen vor, wenn durch diese eine konkrete Person identifizierbar ist, wie durch Namen oder Adresse, aber auch durch die E-Mailadresse.
Was bedeutet Verarbeitung von Daten?
Jede Art der Handhabung von Daten ist eine Verarbeitung und durch das Datenschutzgesetz geschützt. Auch in Papierform geführte Dokumentationen sind von der Datenschutzgrundverordnung – DSGVO erfasst.
Unter welchen Voraussetzungen darf ich Daten verarbeiten?
Daten dürfen nur dann verarbeitet werden, wenn eine Einwilligung der jeweiligen betroffenen Person vorliegt. TherapeutInnen verarbeiten Daten meist zur Erfüllung der gesetzlich geregelten Dokumentationspflicht – eine separate Einwilligung der PatientInnen zur Verarbeitung ist dann meist nicht erforderlich. Allerdings muss der Zweck der Verarbeitung sehr genau beachtet werden. Wird die E-Mail-Adresse einer Patientin zwecks Terminerinnerung erhoben, darf diese E-Mail-Adresse nicht z.B. für die Bewerbung eines Seminars verwendet werden.
Löschung von personenbezogenen Daten versus Dokumentationspflicht?
Grundsätzlich sieht die Datenschutzgrundverordnung vor, dass Daten zu löschen sind, wenn sie für den jeweiligen Zweck nicht mehr notwendig sind. Darüber hinaus sind Daten solange aufzubewahren, als gesetzliche Regeln die Speicherung vorsehen. Die Dokumentationspflicht verpflichtet zur Speicherung der personenbezogenen Daten für zumindest zehn Jahre. Da die Dokumentationspflicht vorsieht, dass die Unterlagen mindestens zehn Jahre aufzubewahren sind, besteht die Möglichkeit die Daten auch länger zu speichern.
Wann und wie müssen Patientendaten gelöscht werden?
Die Löschung von personenbezogenen Daten muss unmittelbar nach Wegfall des Zwecks erfolgen. Das bedeutet, dass der Therapeut in regelmäßigen Abständen prüfen muss, welche Patientendaten zu löschen sind. Löschen bedeutet, dass die Daten durch niemanden mehr abrufbar sind.
Welche Daten müssen an den Patienten übergeben werden?
Jede betroffene Person (somit jeder Patient) hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche personenbezogenen Daten über den Betroffenen verarbeitet werden. Der Therapeut ist verpflichtet, eine Kopie der gesamten Dokumentation dem Patienten bereitzustellen.
Was ist ein Verarbeitungsverzeichnis?
In Zukunft werden Therapeuten in freier Praxis als datenschutzrechtliche Verantwortliche ein Verzeichnis über die von Ihnen durchgeführten Verarbeitungstätigkeiten führen müssen. In einem solchen Verzeichnis muss beispielsweise dokumentiert werden, woher die Daten stammen, zu welchen Zwecken diese verarbeitet werden und was mit diesen passiert. Nach derzeitigem Wissensstand müssen TherapeutInnen im Rahmen ihrer Tätigkeit keine sogenannten Datenschutzbeauftragten benennen. Ebenfalls abzuwarten bleibt, ob es für kleine Praxen bzw. nur sehr eingeschränkt tätige TherapeutInnen Erleichterungen bei der Verzeichnispflicht geben kann.
Was passiert bei Verstößen gegen die DSGVO?
Die Strafdrohung reicht bis zu EUR 20 Mio., oder 4% des weltweiten Jahresumsatzes. Obwohl die konkreten Strafen geringer sein werden, ist derzeit noch nicht klar, wie hoch die Strafen tatsächlich sein werden.
Mit dem Therapy Observer © arbeiten Sie auf alle Fälle mit dem richtigen Tool, was Datensicherheit und Dokumentation betrifft. Über die aktuellen Neuigkeiten der Datenschutzgrundverordnung – DSGVO werde ich Sie laufend informieren.
Weitere Information
Einsicht in den Gesetzestext der Datenschutz-Grundverordnung
In Österreich das Datenschutzanpassungsgesetz
Muster „Dokumentationspflicht“ (WKO)
Muster „Verarbeitungsverzeichnis“ (WKO)