5 Irrtümer zur DSGVO, die du als Psychotherapeut kennen solltest
Seit einem knappen Jahr ist die neue EU-DSGVO (Datenschutz-Grundverordnung) in Kraft und noch immer gibt es viele ungeklärte Fragen. „Aus Datenschutzgünden geht das nicht/darf ich das nicht/muss ich das ...“ – das hört man seit Mai 2018 häufig. Aber oft stimmt das nicht. Rechtsanwalt Jan Frederichs hat 5 besonders verbreitete Mythen zum Datenschutz aus dem Bereich Psychotherapie und Coaching gesammelt – und klärt auf, was wirklich gilt.
Irrtum 1: Das Einhalten der Schweigepflicht reicht aus, um die DSGVO zu erfüllen
Das mag im Ergebnis faktisch stimmen. Aber die DSGVO erfordert von dir auch Dokumentationen darüber, dass und wie der Datenschutz rechtlich und technisch in deiner Praxis gewährleistet wird. Gerade weil die verarbeiteten Daten an sich wegen der Schweigepflicht von einer Datenschutzbehörde nicht überprüft werden können, gewinnt – quasi ersatzweise – die Dokumentation über die Einhaltung der DSGVO (und des Bundesdatenschutzgesetzes BDSG) an Bedeutung.
Um das sogenannte Verzeichnis der Verarbeitungstätigkeiten, die Darstellung der technischen und organisatorischen Maßnahmen, ein Datenschutzkonzept usw. wirst du daher nicht herumkommen.
Irrtum 2: Ich brauche immer eine Einwilligung
Das ist häufig nicht nötig. Zwar bedarf jede Datenverarbeitung eines Rechtsgrunds. Aber die Einwilligung deines Patienten ist nur ein möglicher Rechtsgrund. Viel häufiger dürfte in der Praxis der Rechtsgrund der Vertragserfüllung vorliegen: In einem Vertrag über eine psychologische Dienstleistung ist das Erheben von personenbezogenen Daten ein wesentlicher Teil der Dienstleistung. Du kannst und solltest ggf. in einer Datenschutzerklärung näher beschreiben, dass und wie du diese Daten beruflich erhebst und verarbeitest. Das beugt Missverständnissen und Unklarheiten vor.
Manchmal kann gleichwohl eine zusätzliche Einwilligung deines Patienten nötig werden. Alt bekannt ist das bereits unter dem Stichwort Schweigepflichtsentbindung, die ggf. auch weiterhin nötig sein kann, zugleich aber auch datenschutzrechtlich als Einwilligung zu verstehen ist.
In einem Vertrag über eine psychologische Dienstleistung ist das Erheben von personenbezogenen Daten ein wesentlicher Teil der Dienstleistung.
Irrtum 3: Veröffentlichte Daten darf ich frei verwenden
Nein. Dass personenbezogene Daten veröffentlicht worden sind, heißt nicht, dass für eine weitere eigene Verwendung kein Rechtsgrund vorliegen müsste. Wer veröffentlichte Daten für eigene Zwecke verarbeitet, muss dies rechtfertigen können. Weil häufiger kein persönlicher Bezug zu den Betroffenen besteht, gewinnt der Rechtsgrund des „berechtigten Interesses“ an Bedeutung. Allerdings darf dieser Rechtsgrund nicht leichtfertig angenommen werden, sondern bedarf sorgfältiger Überprüfung.
Irrtum 4: Erhobene Daten darf ich speichern, weil ich das muss
Dass erhobene Daten aufbewahrt werden müssen, ist nicht die Regel, sondern eher die Ausnahme. Bekannteste Aufbewahrungspflicht ist gemäß dem Patientenrechtegesetz die zehnjährige Speicherung der Behandlungsdokumentation. In vielen anderen Fällen gibt es aber keine nachvertragliche Aufbewahrungs- oder Speicherpflicht. Es kann also durchaus sein und ist tendenziell datenschutzrechtlich erwünscht, dass nach Vertrags- bzw. Zweckerfüllung kein Zweck für die Speicherung mehr besteht und du die Daten deswegen löschen musst. Andererseits kann nachvertraglich der Zweck der Rechenschafts- und der Verteidigungsmöglichkeit bis zum Ablauf von Verjährungsfristen als berechtigtes Interesse ein Rechtsgrund für die Speicherung sein.
Irrtum 5: Eine Datenschutzerklärung berechtigt automatisch zur Datenverarbeitung
Die Datenschutzerklärung an sich ist kein Rechtsgrund und kein Verarbeitungszweck. Sie allein rechtfertigt keine Datenverarbeitung. Sondern sie ist als Information nötig und wenn der Rechtsgrund z.B. eine Einwilligung ist. Dann dient sie dazu, die nötige „Informiertheit“ der Einwilligung herzustellen.
Die Datenschutzerklärung ist also kein Rechtsgrund und ersetzt auch keinen solchen. Sie ist ggf. zusätzlich zum Vorliegen eines Rechtsgrunds für die Datenverarbeitung nötig.
Hast du weitergehende Fragen zum Thema Datenschutz?
Rechtsanwalt Jan Frederichs ist Justiziar des Berufsverbands Deutscher Psychologinnen und Psychologen e.V. (BDP) und auf das Recht der Psychologen sowie der Psychotherapeuten spezialisiert. Daher ist er mit den typischen Rechtsproblemen in der Berufsausübung sehr vertraut. Als Mitglied des BDP kannst du seine Beratung zum Datenschutz, aber auch zu Themen wie Arbeits- und Tarifrecht, Einschätzung von Arbeitszeugnissen, Leistungsabrechnung, Schweigepflicht oder Aspekte beim Praxisverkauf in Anspruch nehmen. Weitere Informationen dazu findest du auf der Homepage des BDP.