Die DSGVO und Telemedizin

Datenschutz beim Online-Coaching und der digitalen Beratung

Die Digitalisierung hat auch im Bereich der Heilpraktikerpraxen Einzug gehalten. Immer mehr Heilpraktiker bieten Telemedizin, Online-Coaching oder digitale Beratung an. Diese Dienste bringen jedoch besondere Herausforderungen in Bezug auf den Datenschutz mit sich, da sensible Gesundheitsdaten digital verarbeitet werden. Die Datenschutz-Grundverordnung (DSGVO) stellt strenge Anforderungen, um den Schutz dieser Daten zu gewährleisten. In diesem Artikel erfahren Sie, was Sie als Heilpraktiker beachten müssen, um den Datenschutz bei Telemedizin und Online-Coaching DSGVO-konform zu gestalten.

1. Einwilligung zur Datenverarbeitung
Bei der digitalen Beratung oder Online-Coaching verarbeiten Sie personenbezogene Daten Ihrer Patienten, insbesondere sensible Gesundheitsdaten. Dies erfordert gemäß der DSGVO eine ausdrückliche Einwilligung des Patienten zur Verarbeitung dieser Daten.

Wichtige Punkte zur Einwilligung:

  • Informierte Einwilligung: Der Patient muss genau wissen, welche Daten zu welchem Zweck verarbeitet werden. Informieren Sie ihn über die Art der Daten, den Verwendungszweck und die Dauer der Speicherung.

  • Schriftliche Einwilligung: Obwohl bei Telemedizin oft online gearbeitet wird, sollten Sie die Einwilligung schriftlich festhalten. Dies kann auch digital geschehen, z.B. durch ein Häkchen im Online-Formular.

  • Widerrufsrecht: Der Patient muss die Möglichkeit haben, seine Einwilligung jederzeit zu widerrufen, und Sie müssen sicherstellen, dass die Daten nach einem Widerruf nicht weiterverarbeitet werden.

2. Datenschutzkonforme Videoplattformen
Für die Durchführung von Telemedizin oder Online-Coaching nutzen Sie häufig Videochat-Tools. Hierbei ist es wichtig, datenschutzkonforme Plattformen zu verwenden, die den Anforderungen der DSGVO gerecht werden.

Kriterien für eine datenschutzkonforme Videoplattform:

  • Verschlüsselte Kommunikation: Die gesamte Kommunikation muss Ende-zu-Ende-verschlüsselt sein, sodass Dritte keinen Zugriff auf die Gespräche haben.

  • Serverstandort: Idealerweise sollte die Plattform ihre Server innerhalb der EU betreiben, damit sie der DSGVO unterliegt. Anbieter mit Servern außerhalb der EU (z.B. in den USA) sollten nur genutzt werden, wenn sie nach den DSGVO-Vorgaben zusätzliche Schutzmaßnahmen (z.B. Standardvertragsklauseln) anbieten.

  • Vertrag zur Auftragsverarbeitung: Da der Anbieter der Videoplattform Daten in Ihrem Auftrag verarbeitet, müssen Sie mit ihm einen Auftragsverarbeitungsvertrag (AVV) abschließen.

Beliebte DSGVO-konforme Videokonferenzlösungen für Telemedizin sind z.B. Jitsi Meet, Whereby oder spezialisierte Anbieter wie CGM ELVI.

3. Verschlüsselte Kommunikation und sichere Datenübertragung
Bei der digitalen Beratung werden häufig vertrauliche Informationen über E-Mail oder Online-Formulare ausgetauscht. Es ist essenziell, dass alle digitalen Kommunikationswege sicher und verschlüsselt sind, um den Datenschutz zu gewährleisten.

Maßnahmen zur Sicherung der Kommunikation:

  • E-Mail-Verschlüsselung: Verwenden Sie Verschlüsselungstechnologien wie S/MIME oder PGP für den E-Mail-Verkehr. So stellen Sie sicher, dass nur der vorgesehene Empfänger die Nachrichten lesen kann.

  • Sichere Online-Formulare: Falls Sie Online-Formulare zur Erfassung von Gesundheitsdaten nutzen (z.B. zur Anamnese), müssen diese Formulare SSL-verschlüsselt sein. Sie erkennen dies an der „https://“-URL und dem Schlosssymbol im Browser.

  • Passwortschutz: Stellen Sie sicher, dass Patientenakten und andere personenbezogene Daten durch sichere Passwörter geschützt sind. Nutzen Sie möglichst lange, komplexe Passwörter und aktualisieren Sie diese regelmäßig.

4. Speicherung und Verarbeitung sensibler Daten
Wenn Sie Telemedizin oder Online-Coaching anbieten, speichern Sie oft sensible Daten wie Krankheitsgeschichte, Behandlungsverlauf oder Diagnosen. Nach der DSGVO gelten für Gesundheitsdaten besonders strenge Regeln.

Sichere Speicherung von Gesundheitsdaten:

  • Verschlüsselte Datenspeicherung: Alle sensiblen Daten, die Sie lokal oder in der Cloud speichern, müssen verschlüsselt werden, um unberechtigten Zugriff zu verhindern.

  • Sichere Cloud-Dienste: Nutzen Sie nur Cloud-Dienste, die DSGVO-konform sind. Dies bedeutet, dass die Daten verschlüsselt in der Cloud gespeichert werden und der Anbieter ebenfalls einen AVV mit Ihnen abschließt.

  • Löschung von Daten: Speichern Sie personenbezogene Daten nur so lange, wie es für den Zweck erforderlich ist. Nach Abschluss der Behandlung oder auf Wunsch des Patienten müssen Sie die Daten sicher löschen.

5. Aufklärung und Information der Patienten
Die DSGVO verpflichtet Sie, Ihre Patienten umfassend über die Datenverarbeitung aufzuklären. Dies gilt auch für Telemedizin und digitale Beratung.

Wichtige Inhalte der Datenschutzerklärung:

  • Art der Datenverarbeitung: Beschreiben Sie, welche Daten Sie erheben und wie diese verarbeitet werden, z.B. Gesundheitsdaten, Kontaktdaten oder Aufzeichnungen von Beratungsgesprächen.

  • Zweck der Verarbeitung: Erläutern Sie, warum die Daten verarbeitet werden (z.B. zur Behandlung, zur Dokumentation oder zur Terminverwaltung).

  • Rechtsgrundlage: Geben Sie an, auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt (meist die Einwilligung des Patienten).
    Dauer der Datenspeicherung: Informieren Sie darüber, wie lange die Daten gespeichert werden und wann sie gelöscht werden.

  • Rechte des Patienten: Weisen Sie den Patienten auf sein Recht auf Auskunft, Berichtigung, Löschung und Widerspruch hin.

Die Datenschutzerklärung sollte den Patienten vor Beginn der Telemedizin oder des Online-Coachings zur Verfügung gestellt werden, z.B. als Teil der Terminbestätigung oder auf Ihrer Website.

6. Umgang mit Datenschutzverletzungen
Trotz aller Vorsichtsmaßnahmen kann es zu Datenschutzverletzungen kommen, z.B. durch einen Hackerangriff oder den versehentlichen Versand von sensiblen Daten an falsche Empfänger.

Was Sie im Fall einer Datenschutzverletzung tun müssen:

  • Meldepflicht: Sie müssen jede Datenschutzverletzung innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden, wenn sie ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.

  • Information der Betroffenen: Wenn durch die Datenschutzverletzung ein hohes Risiko für die Betroffenen entsteht (z.B. durch den Verlust von Gesundheitsdaten), müssen Sie die betroffenen Patienten unverzüglich informieren.

  • Schadensbegrenzung: Ergreifen Sie sofortige Maßnahmen, um den Schaden zu begrenzen, z.B. durch die Sperrung von Zugängen oder die Änderung von Passwörtern.

7. Vertrag zur Auftragsverarbeitung (AVV)
Sobald Sie externe Dienstleister für die Verarbeitung personenbezogener Daten einbeziehen (z.B. Videokonferenzplattformen, Cloud-Dienste, E-Mail-Anbieter), müssen Sie einen Vertrag zur Auftragsverarbeitung abschließen. Dieser Vertrag stellt sicher, dass der Dienstleister die Daten in Ihrem Auftrag DSGVO-konform verarbeitet und schützt.


Die Nutzung von Telemedizin und Online-Coaching erfordert besondere Sorgfalt beim Datenschutz. Als Heilpraktiker müssen Sie sicherstellen, dass alle Daten verschlüsselt übertragen und gespeichert werden, datenschutzkonforme Plattformen genutzt werden und die Einwilligung der Patienten korrekt eingeholt wird. Durch präventive Maßnahmen und die sorgfältige Auswahl externer Dienstleister können Sie den Datenschutz in Ihrer digitalen Praxis gewährleisten und Ihre Patienten vertrauensvoll online betreuen.

 

Dieser Artikel ersetzt keine Rechtsberatung und auch keinen Gang zu einem Spezialisten, wie Steuerberater oder Anwalt.