Wie groß schreiben Sie den Datenschutz in Ihrer Physiotherapie-Praxis? Offen herumliegende Rezepte, fehlende Privatsphäre – überall lauern Datenschutz-Fallen, die teuer werden, wenn sie auffliegen. Lesen Sie in diesem Beitrag, worauf es beim Datenschutz in der Physiotherapie ankommt!
Physiotherapeuten verarbeiten immer personenbezogene Daten. Sonst können sie ihre Leistung gar nicht anbieten. Datenschutz gehört somit zum Daily Business. Große Physiotherapie-Praxen mit 20 und mehr Mitarbeitern sind grundsätzlich zum Benennen eines Datenschutzbeauftragten verpflichtet..
Obwohl sich kleine Einrichtungen ebenso um den Datenschutz ihrer Patienten und Mitarbeiter kümmern müssen, fehlt ihnen häufig das Expertenwissen. Der Chef muss sich selbst um das Einhalten der DSGVO-Vorgaben kümmern. Besonders bei einer guten Auftragslage lässt sich das schwer mit dem täglichen Business vereinen.
Ab wann braucht Ihre Physiotherapie-Praxis einen Datenschutzbeauftragten?
Viele starten mit der Frage ins Thema, ab wann Unternehmen per Gesetz einen Datenschutzbeauftragten benennen müssen. Das Bundesdatenschutzgesetz gibt Folgendes vor: ab 20 Personen, die sich „ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. Was bedeutet das für den Datenschutz in Physiotherapie-Praxen? Wer verarbeitet „ständig“ dieser Art der Daten?
Im Grunde zählt dazu jeder Ihrer Mitarbeiter, der täglich mit Patientendaten in Kontakt kommt. Sei es beim Aufnahmegespräch, beim Ausfüllen der Therapiedokumentation oder beim Weiterleiten von Rezepten an die Krankenkasse. Sobald mindestens 20 Ihrer Mitarbeiter in diese „Kategorie“ fallen, ist ein interner oder externer Datenschutzbeauftragter laut Bundesdatenschutzgesetz Pflicht. Darunter haben Sie die Wahl: Sie können sich selbst darum kümmern (hier hilft Ihnen der kostenlose Leitfaden am Ende des Beitrags) oder freiwillig einen DSB beauftragen.
Mitarbeiter auch im Datenschutz unterweisen
Für Physiotherapeuten ist es selbstverständlich, beim Thema Behandlungsmethoden immer auf dem aktuellen Stand zu sein. Und beim Datenschutz? Da sieht es leider öfters flau aus. Doch nur mit einem sorgfältig ausgearbeiteten (und eingehaltenen!) Datenschutzkonzept sind Sie auf der sicheren Seite. Zum Beispiel, wenn die Aufsichtsbehörde wegen einer Panne an Ihrer Tür klopft und Einsicht in Ihren Datenschutzmaßnahmen fordert.
Und eine Panne ist schnell passiert. Wenn rauskommt, dass Sie Ihre organisatorischen Pflichten grundsätzlich vernachlässigt haben, wird das Bußgeld entsprechend hoch ausfallen.
Warum sind die in Physiotherapie -Praxen verarbeiteten Daten besonders sensibel?
Personenbezogene Daten sind der Dreh- und Angelpunkt der DSGVO. In Artikel 4 werden sie definiert als
„alle Informationen, die sich auf eine […] identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu […] einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen […] Identität dieser natürlichen Person sind.“
Innerhalb dieser personenbezogenen Daten gibt es eine Kategorie „besonders schützenswerter Daten“, die Rückschluss auf die Lebensführung zulassen. Unter anderem eben auch genetische Informationen oder Krankendaten – also genau solche Informationen, die Ihnen Ihre Kunden offenlegen, wenn sie etwa ein Rezept einlösen oder ihre Beschwerden mit Ihnen besprechen.
Was sind die größten Datenschutz-Fallen in der Physiotherapie?
Dokumentationspflichten, Rechenschaftspflicht, Prozesse für den Umgang mit Betroffenenanfragen und Datenpanne sowie die Unterweisung und Verpflichtung aller Beschäftigten. All das sind organisatorische Verbindlichkeiten, die auch Inhaber einer Physiotherapie-Praxis gemeinsam mit dem Datenschutzberater umsetzen müssen. Dazu kommt noch das Umschiffen typischer Datenfallen, z.B.:
Datenschutz-Falle Nr. 1: Patientendaten werden in den Praxisräumen der Physiotherapie Dritten offengelegt
Beispiel: Patient Hansen hat sein KGG-Rezept am Empfang abgegeben. Dieses wird nicht sofort einsortiert, sondern liegt offen im Anmeldebereich. Jeder Besucher kann das Dokument ohne Aufwand einsehen. Das ist eine Datenpanne. Wenn ein Patient das der Aufsichtsbehörde meldet, haben Sie ein Problem.
Datenschutz-Falle Nr. 2: In Ihrer Praxis fehlt es an Privatsphäre
Ein Therapeut unterhält sich während der Behandlung mit seinem Patienten. Dieser erzählt vertrauliche Dinge über seinen körperlichen Zustand. Auch wenn eine solche Situation in einer Physiotherapie-Praxis üblich ist, ist sie doch ein Datenschutz-Verstoß! Der Patient im anderen Behandlungsraum kann das Gespräch mithören und spricht den Patienten im Anschluss darauf an.
Datenschutz-Falle Nr. 3: Die Webseite als Negativbeispiel
Viele Praxisinhaber vernachlässigen ihre Webseite. Die meisten Internetauftritte sind einige Jahre alt und werden weder inhaltlich noch technisch gepflegt. Das ist schade und kann teuer werden. Schließlich sind Sie auch dafür verantwortlich, dass Ihre Firmenseite die Vorgaben der DSGVO erfüllt. Wer schon bei der Webseite die DSGVO ignoriert, dem wird dies auch schnell mal grundsätzlich unterstellt. Entspricht auch die Webseite den grundlegenden Datenschutz-Anforderungen, erscheint die gesamte Physiotherapie-Prraxis in bestem Licht.
Fazit: Sorgsamer Datenschutz ist auch in der Physiotherapie ein tägliches Muss!
Datenschutz ist ein wichtiges Thema für Physiotherapeuten. Das Thema zu ignorieren, ist bei fortschreitender Digitalisierung und den hohen Strafen keine Option. Praxisinhaber müssen sich der Aufgabe stellen. Wenn Sie sich grundlegend mit dem Thema beschäftigen möchten und erste Maßnahmen treffen wollen, empfehle ich Ihnen meinen kostenlosen Leitfaden. Sie finden darin eine umfassende Checkliste sowie die wichtigsten Datenschutz-Vorgaben für Physiotherapie-Praxen.