Videotelefonie in der Arztpraxis

Videotelefonie in der Arztpraxis

In den letzten Jahren stieg die Popularität von Videotelefonie nicht nur in Schulen und Unternehmen, sondern auch in Arztpraxen. Verstärkt wurde dies durch den Covid-19-Ausbruch. So bietet die Videotelefonie Ärzten die Möglichkeit, ihre Patienten kontaktlos behandeln und auf diese Weise helfen zu können. Wie sieht es aber dabei mit dem Datenschutz und der Videotelefonie in der Arztpraxis aus? Ist diese Kommunikationsmittel in einer Arztpraxis mit der DSGVO vereinbar? Was muss ein Praxisinhaber als Verantwortlicher dabei beachten?

Einsatz von Videotelefonie in der Arztpraxis

Die Videotelefonie zwischen einem Arzt – dem Verantwortlichen – und seinem Patienten – dem Betroffenen – läuft wie jegliche anderen Videokonferenzen, Online-Besprechungen o. Ä. ab. Allerdings kommt es hierbei auch zum Austausch von Gesundheitsdaten, also personenbezogenen Daten besonderer Kategorien gem. Art 9 Abs. 1 DSGVO. Wo also schon bei „normalen“ personenbezogenen Daten selbst ein gewisser Schutz durch den Verantwortlichen zu gewährleisten ist, erhöht sich der Schutzbedarf bei solchen Daten. Dies auch aus dem Grund, weil ein Arzt einer Berufsschweigepflicht unterliegt und bei Verstoß dagegen bestraft werden kann (siehe § 203 StGB). Was kann ein Arzt also unternehmen, um sowohl die DSGVO als auch seine ärztlichen Schweigepflichten beim Einsatz von Videotelefonie einzuhalten?

Vor dem Einsatz der Videotelefonie

Bevor ein Arzt einen etwaigen Vertrag mit einem Anbieter überhaupt abschließt und bevor die Videotelefonie zum Einsatz kommt, gibt es verschiedene Aspekte aus Sicht des Datenschutzes zu betrachten:

Sitz des Videotelefonieanbieters

Wir empfehlen, zu betrachten, wo der Anbieter den Sitz und eventuelle Niederlassungen hat. Hier stellen sich beispielsweise folgende Fragen:

1)     Ist der Unternehmenshauptsitz in der EU oder in einem (unsicheren) Drittland?

2)    Bei mehreren Niederlassungen: Wo kann der Verantwortliche die Daten speichern lassen? Gibt es dabei eine Wahl?

3)    Falls sich mindestens eine Niederlassung außerhalb der EU in einem unsicheren Drittland befindet: Können Niederlassungen in unsicheren Drittländern auf die personenbezogenen Daten zugreifen?

Transfer Impact Assessment

Stellt sich heraus, dass es bei Einsatz der Videotelefonie-Software zur Verarbeitung personenbezogener Daten in einem unsicheren Drittland kommen kann, sind die Standardvertragsklauseln abzuschließen. – Mehr zu den Standardvertragsklauseln hier. – Darin enthalten ist auch die Durchführung eines sogenannten Transfer Impact Assessments.

Auftragsverarbeitungsvertrag

Beim Einsatz der Software eines Videotelefonieanbieters handelt es sich um eine Auftragsverarbeitung. Sollte es also zu einem Vertragsabschluss kommen, ist demnach ein entsprechender Auftragsverarbeitungsvertrag gem. Art. 28 Abs. 3 DSGVO abzuschließen. Wir empfehlen, diesen vor Vertragsabschluss zu überprüfen: So kann ein Verantwortlicher herauszufinden, ob eventuell Anpassungsbedarf besteht.

Technische und organisatorische Maßnahmen

Ein Verantwortlicher hat gem. Art 24 Abs. 1 i. V. m. Art. 28 Abs. 1 DSGVO die Pflicht, technische und organisatorische Maßnahmen zu ergreifen, die dem Verarbeitungsprozess und den dabei verarbeiteten Daten angemessen sind. Diese Pflicht besteht auch bei der Wahl des Dienstleisters. Somit erhält der Verantwortliche im Zuge der Überprüfung des Auftragsverarbeitungsvertrages die Möglichkeit, die technischen und organisatorischen Maßnahmen bezüglich der Erbringung der Dienstleistung durch den Videotelefonieanbieter zu kontrollieren.

Technikgestaltung und datenschutzfreundliche Voreinstellungen

Auch nicht zu vernachlässigen sind die technische Gestaltung sowie die datenschutzfreundlichen Voreinstellungen der Software (siehe Art. 25 Abs. 1 und 2 DSGVO). – Näher auf dieses Thema gehen wir in unserem Beitrag „Datenschutz: Technikgestaltung und datenschutzfreundliche Voreinstellungen“ ein. –

Datenschutz-Folgenabschätzung

Die Datenschutzkonferenz (DSK) hat eine Liste erstellt, in der sie Prozesse auflistet, die die Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO verlangen. Diese Pflicht trifft demnach einen Arzt, wenn er personenbezogene Daten gem. Art. 9 Abs. 1 DSGVO mithilfe mobiler Anwendungen (z. B. Webportal, App) verarbeitet. Folglich fällt hierunter auch die Behandlung von Patienten über die Videotelefonie. Die Datenschutz-Folgenabschätzung hilft, mögliche Risiken für die Rechte und Freiheiten Betroffener zu beurteilen und die zur Vermeidung der Risiken getroffenen Maßnahmen sind zu bewerten. Anhand der Ergebnisse lässt sich dann auch einschätzen, ob das Risiko der Videotelefonie tragbar ist, Anpassungen bei den Datenschutzmaßnahmen vorzunehmen sind oder sogar von dieser Verarbeitungstätigkeit abzusehen ist.

Beim Einsatz der Videotelefonie

Entscheidet sich ein Arzt für den Einsatz der Videotelefonie, gibt es weitere Regelungen und Dokumentationen vorzunehmen. Demzufolge sind Datenschutzhinweise zu erstellen und den betroffenen Personen zur Verfügung zu stellen. Des Weiteren ist zu betrachten, auf welcher Rechtsgrundlage ein Arzt die Videotelefonie mit Patienten stützen kann; eventuell zieht es das Einholen von Einwilligungen der betroffenen Personen nach sich. Interne Richtlinien sind zu erstellen. Auch sind interne technische und organisatorische Maßnahmen nicht zu vergessen. Das Verzeichnis von Verarbeitungstätigkeiten ist zu ergänzen.

Zusätzlich ist jegliche datenschutzrechtliche Ausarbeitung zur Videotelefonie zu dokumentieren, um der Nachweis- bzw. Rechenschaftspflicht zur Einhaltung der DSGVO gem. Art. 5 Abs. 2 DSGVO nachzukommen.

TTDSG

Nicht zu vergessen ist übrigens auch die Beachtung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG). Gem. § 2 Abs. 2 Nr. 1 TTDSG gelten Ärzte, die Videotelefonie anbieten, als Telemedienanbieter. Folglich müssen sie nicht nur die DSGVO, sondern auch das TTDSG beachten. – Mehr zu diesem Thema finden Sie auch im Beitrag hier. –

Hilfestellungen der Datenschutzaufsichtsbehörden

Bei der Umsetzung der DSGVO bei Planung und Einsatz von Videotelefonie können auch die Ausarbeitungen der Datenschutzaufsichtsbehörden hilfreich sein (hier eine Auswahl):

1)     „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten“ der Berliner Landesbeauftragten,

2)    „Orientierungshilfe Videokonferenzsysteme“ der Datenschutzkonferenz sowie

3)    „Checkliste Datenschutz in Videokonferenzsystemen“ der Datenschutzkonferenz und

4)    „Videokonferenzsysteme – Hinweise zur praktischen Nutzung“ vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

Wir möchten darauf hinweisen, dass die Dokumente, die bezüglich bestimmten Anbietern spezielle Ausarbeitungen gegebenenfalls nicht mehr ganz aktuell sein könnten. Dies hängt u. a. mit den von den Anbietern vorgenommenen Aktualisierungen zusammen. Wir haben uns dennoch dafür entschieden, die Dokumente zu listen, da sie nützliche Hinweise enthalten.

Fazit

Der Einsatz von Videotelefonie in der Arztpraxis ist nicht ohne Tücken. Es ist genau zu betrachten, ob und wie die Videotelefonie in der Arztpraxis datenschutzkonform eingesetzt werden kann. Hierbei können wir Sie beraten. Kontaktieren Sie uns gern für ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.