Datenschutzinformation in der Therapiepraxis

Was muss in die Datenschutzinformation für Patientinnen und Patienten? Alles zur DSGVO für Therapeutinnen und Therapeuten mit Checkliste und Vorlagen.

In jeder therapeutischen Praxis spielt der sensible Umgang mit personenbezogenen Daten eine zentrale Rolle. Spätestens seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) ist klar geregelt, wie mit den (besonders geschützten) Gesundheitsdaten von Patientinnen und Patienten umzugehen ist. Therapeutinnen und Therapeuten in Österreich und Deutschland müssen ihre Patientinnen und Patienten transparent über die Erhebung, Verarbeitung und Speicherung ihrer Daten informieren. Doch was genau muss diese Datenschutzinformation beinhalten, und wie kann sie rechtssicher und patientenfreundlich gestaltet werden? Wir haben uns den rechtlichen Rahmen angesehen und eine übersichtliche Checkliste für dich zusammengestellt.

Inhalt

Rechtliche Grundlagen: DSGVO und nationale Gesetze
Pflichtangaben: Diese Inhalte muss deine Datenschutzinfo enthalten
Praktische Umsetzung: So integrierst du die Datenschutzinfo in deinen Praxisalltag
Vorlagen und Muster: Hier findest du gute Beispiele

Rechtliche Grundlagen: DSGVO und nationale Gesetze

Die DSGVO bildet die europäische Grundlage für den Datenschutz. Sie wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) und in Österreich durch das Datenschutzgesetz (DSG) ergänzt. Je nach Berufsgruppe gelten darüber hinaus spezifische gesetzliche Regelungen:

Psychotherapie: Deutschland: Psychotherapeutengesetz | Österreich: Psychotherapiegesetz
Psychologie: Österreich: Psychologengesetz 2013 | Deutschland: teilweise Länderregelungen
Physiotherapie/Ergotherapie/Logopädie/Diätologie: Berufsgesetze wie das MTD-Gesetz (Österreich) | Heilmittelwerbegesetz (Deutschland) | Berufsausübungsregelungen

Unabhängig von der Berufsgruppe zählen Gesundheitsdaten laut Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und unterliegen daher einem besonders strengen Schutz.

Therapeutinnen und Therapeuten sind verpflichtet, ihre Patientinnen und Patienten spätestens beim Erstkontakt – also noch vor Beginn der Behandlung – in verständlicher Form darüber zu informieren, welche Daten zu welchem Zweck verarbeitet werden. Aus diesem Grund sollte die Datenschutzinformation auch gut sichtbar im Wartebereich und auf der Website der Praxis platziert werden. Beim Erstkontakt mit den Patientinnen und Patienten sollte diese Information nochmals schriftlich erfolgen, von den Patientinnen und Patienten zur Kenntnis genommen und von ihnen unterzeichnet werden. Eine solche Einwilligung ist in vielen Fällen keine Pflicht, doch die Information an sich ist es und du kannst dich mit einer Einwilligung und einem Hinweis auf die Datenverarbeitung auch in deinen AGB rechtlich besser absichern.

Pflichtangaben: Diese Inhalte muss deine Datenschutzinfo enthalten

Die Datenschutzinformation für Patientinnen und Patienten sollte strukturiert, nachvollziehbar und leicht verständlich sein. Idealerweise wird sie bei der Anmeldung oder im Erstgespräch übergeben und erklärt.

Checkliste für deine PatientInnen-Information

Name und Kontaktdaten der verantwortlichen Praxis
Kontaktdaten eines ggf. vorhandenen Datenschutzbeauftragten
Zwecke der Datenverarbeitung – z. B. Diagnostik, Behandlung, Abrechnung, Dokumentation
Rechtsgrundlagen der Verarbeitung – z. B. Art. 6 Abs. 1 lit. b DSGVO für Vertragserfüllung; Art. 9 Abs. 2 lit. h DSGVO für Gesundheitsdaten
Kategorien verarbeiteter Daten – Stammdaten, Gesundheitsdaten, Kommunikationsdaten etc.
EmpfängerInnen oder Kategorien von EmpfängerInnen der Daten – z. B. Krankenkasse, Abrechnungsdienstleister, ärztliche Kolleginnen und Kollegen mit Einwilligung
Dauer der Speicherung – therapeutische Dokumentation 10 Jahre nach Abschluss der Behandlung | Honorarnoten und Rechnung 7 Jahre nach Ausstellung
Hinweis auf Betroffenenrechte – Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit
Hinweis auf das Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde
Information zu technischen und organisatorischen Schutzmaßnahmen – z. B. Aktenverwahrung, EDV-Sicherung, Zugangsschutz
Hinweis auf das Bestehen oder Nichtbestehen einer automatisierten Entscheidungsfindung inkl. Profiling

Spezielle Hinweise für unterschiedliche Therapieberufe

Psychotherapie und Psychologie: Besondere Verschwiegenheitspflichten gemäß § 203 StGB (Deutschland) bzw. § 45 Psychotherapiegesetz (Österreich). Hier sollte besonders auf die Vertraulichkeit und eingeschränkte Weitergabe an Dritte hingewiesen werden.
Physiotherapie, Ergotherapie, Logopädie, Diätologie: Bei Zusammenarbeit mit Ärztinnen und Ärzten (z. B. Überweisung) oder interdisziplinären Teams sollte auf mögliche Datenweitergabe hingewiesen werden – mit Hinweis auf gesetzliche Grundlage oder Einwilligung.

Praktische Umsetzung: So integrierst du die Datenschutzinfo in deinen Praxisalltag

Die Datenschutzinformation kann als separates Informationsblatt gestaltet und Patientinnen und Patienten zur Unterschrift vorgelegt werden. Sie sollte klar von etwaigen Einwilligungserklärungen getrennt sein. Eine gut sichtbare Auslage im Wartebereich sowie die Verfügbarkeit auf der Praxiswebsite tragen zur Transparenz bei. Auch digital gestützte Prozesse (z. B. Tablet-Ausfüllung oder Online-Formulare) sind möglich, sofern die Datenschutzbestimmungen eingehalten werden.

Es empfiehlt sich, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen, in dem alle Datenverarbeitungsschritte dokumentiert sind. Dieses muss auf Anfrage der Aufsichtsbehörde vorgelegt werden können. Die verpflichtenden Angaben in einem solchen VVZ sind Name und Kontaktdaten des Verantwortlichen, Verarbeitungstätigkeiten, Verarbeitungszwecke, Kategorien betroffener Personen und Daten, Empfängerinnen und Empfänger der Daten (inkl. Drittstaaten) und Löschfristen.

Vorlagen und Muster: Hier findest du gute Beispiele

Auf der Website der Wirtschaftskammer findest du Vorlagen für Verarbeitungsverzeichnisse und Auftragsverarbeitungen für Gesundheitsberufe. Du musst die Punkte lediglich auf deinen speziellen Therapie-Bereich umformulieren.

Die Data Privacy Doctors wiederum bieten eine Vorlage für Psychotherapeutinnen und -therapeuten, die sich aber auch gut für alle anderen Therapieberufe als Vorlage heranziehen lässt.