Donnerstag, 24.April 2025
StartPraxismanagementPraxisorganisationDatenschutz in der Ergotherapie: DSGVO & Patientendaten verständlich erklärt

Datenschutz in der Ergotherapie: DSGVO & Patientendaten verständlich erklärt

Redaktion
Ergo Netz Redaktion
0
111
Symbolbild für Datenschutz

Datenschutz in der Ergotherapie: DSGVO & Patientendaten verständlich erklärt

Geschätzte Lesezeit: 12 Minuten

Key Takeaways

  • Zentral & Pflicht: Datenschutz ist in der Ergotherapie essentiell und gesetzlich vorgeschrieben zum Schutz hochsensibler Patientendaten.
  • DSGVO als Rahmen: Die Datenschutz-Grundverordnung (DSGVO) definiert die Kernprinzipien wie Zweckbindung, Datenminimierung, Transparenz und Sicherheit.
  • Umfang der Daten: Patientendaten umfassen Stamm-, Versicherungs-, Diagnose-, Befund-, Therapie-, Abrechnungs- und Kommunikationsdaten.
  • Rechtsgrundlagen: Die Verarbeitung erfordert eine gültige Rechtsgrundlage (Einwilligung, Vertragserfüllung, rechtliche Verpflichtung).
  • Sicherheitsmaßnahmen (TOMs): Technische und Organisatorische Maßnahmen (z.B. Verschlüsselung, Zugangskontrollen, Schulungen) sind zur Datensicherung unerlässlich.
  • Betroffenenrechte: Patient:innen haben Rechte wie Auskunft, Berichtigung, Löschung (mit Einschränkungen) und Datenübertragbarkeit.
  • Datenschutzbeauftragter (DSB): Die Benennung eines DSB ist für viele Praxen Pflicht, insbesondere wenn die Kerntätigkeit die Verarbeitung von Gesundheitsdaten umfasst.
  • Qualitätsmerkmal: Ein nachweislich guter Datenschutz stärkt das Patientenvertrauen und ist ein Zeichen für Professionalität.

Inhaltsverzeichnis

  1. Einleitung: Warum Datenschutz Ergotherapie unverzichtbar ist
  2. Grundlagen: Was bedeutet Datenschutz Ergotherapie konkret?
  3. Umgang mit Patientendaten in der Ergotherapie: Definition und Rechtsgrundlagen
  4. Praktische Umsetzung der DSGVO in der Ergotherapiepraxis: TOMs und Pflichten
  5. Der Datenschutzbeauftragte in der Ergotherapie: Rolle und Pflichten
  6. Fazit: Datenschutz Ergotherapie als Qualitätsmerkmal
Datenschutz Dokumente in Ordnern

1. Einleitung: Warum Datenschutz Ergotherapie unverzichtbar ist

Der Datenschutz ist in der Ergotherapie ein absolut zentrales Thema. Als Ergotherapeut:innen arbeiten Sie tagtäglich mit hochsensiblen Gesundheitsdaten Ihrer Patient:innen. Anamnesen, Diagnosen, Therapieziele und Verlaufsdokumentationen – all diese Informationen unterliegen strengsten Vertraulichkeitsanforderungen. Das Vertrauen, das Patient:innen Ihnen entgegenbringen, basiert maßgeblich auf der Gewissheit, dass ihre persönlichen und gesundheitlichen Daten bei Ihnen sicher sind. Ein professioneller Umgang mit diesen Daten ist daher nicht nur eine gesetzliche Pflicht, sondern auch ein ethisches Gebot und ein Fundament der therapeutischen Beziehung.

Dieser Artikel widmet sich umfassend dem Thema Datenschutz Ergotherapie. Wir beleuchten die wichtigsten Aspekte, die Sie als Therapeut:in, Praxisinhaber:in oder auch als Auszubildende:r kennen und beachten müssen. Von den rechtlichen Grundlagen der Datenschutz-Grundverordnung (DSGVO) bis hin zur praktischen Umsetzung im Praxisalltag – hier finden Sie die relevanten Informationen gebündelt und verständlich aufbereitet.

Viele Ergotherapeut:innen äußern Unsicherheiten im Umgang mit den komplexen Anforderungen der DSGVO. Fragen zur korrekten Speicherung von Patientendaten, zur Einholung von Einwilligungen oder zur Notwendigkeit eines Datenschutzbeauftragten sind weit verbreitet. Diese Unsicherheit kann nicht nur zu Fehlern führen, die im schlimmsten Fall Bußgelder nach sich ziehen, sondern auch das Vertrauensverhältnis zu den Patient:innen belasten. Die Suchintention vieler Therapeut:innen zielt daher auf klare, praxisnahe Antworten und Handlungsempfehlungen ab.

Ziel dieses Artikels ist es, die Richtlinien der DSGVO speziell für den Kontext der Ergotherapie verständlich zu erklären. Wir möchten Ihnen nicht nur das „Was“ und „Warum“ des Datenschutzes näherbringen, sondern Ihnen auch konkrete, praktische Tipps an die Hand geben, wie Sie die Vorgaben in Ihrer täglichen Arbeit sicher und effizient umsetzen können. So können Sie sich auf Ihre Kernkompetenz – die Therapie – konzentrieren, mit dem Wissen, datenschutzrechtlich auf der sicheren Seite zu sein.

Im Folgenden geben wir Ihnen einen Überblick über die Grundlagen des Datenschutzes im Gesundheitswesen, erläutern den spezifischen Umgang mit Patientendaten in der Ergotherapie, zeigen auf, wie Sie die DSGVO praktisch umsetzen können und klären die Rolle des Datenschutzbeauftragten.

2. Grundlagen: Was bedeutet Datenschutz Ergotherapie konkret?

Datenschutz bezeichnet den Schutz von Individuen davor, dass ihre personenbezogenen Daten unrechtmäßig erhoben, verarbeitet, genutzt oder weitergegeben werden. Es geht darum, das Recht auf informationelle Selbstbestimmung jedes Einzelnen zu wahren – also die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu entscheiden.

Im Gesundheitswesen gelten besonders strenge Regeln, da hier mit Gesundheitsdaten gearbeitet wird. Die DSGVO (Datenschutz-Grundverordnung) definiert Gesundheitsdaten in Artikel 9 als „besondere Kategorien personenbezogener Daten“. Diese Patientendaten gelten als besonders schützenswert, da ihre Verarbeitung tief in die Privatsphäre eingreift und potenzielle Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen birgt (z.B. Diskriminierung). Daher unterliegen sie einem höheren Schutzniveau und strengeren Verarbeitungsbedingungen als andere personenbezogene Daten.

Für die Ergotherapie ist dies von höchster Relevanz. Ergotherapeutische Praxen verarbeiten eine Vielzahl sensibler Patientendaten. Dazu gehören nicht nur Stammdaten wie Name und Adresse, sondern vor allem detaillierte Informationen über den Gesundheitszustand: ärztliche Diagnosen, Anamnesen, Ergebnisse von Befundungen und standardisierten Tests, individuelle Therapiepläne, detaillierte Verlaufsdokumentationen und aussagekräftige Therapieberichte für Ärzte oder Kostenträger. Der konsequente Datenschutz ist somit kein bloßes Add-on, sondern ein integraler Bestandteil der professionellen ergotherapeutischen Arbeit und der Qualitätssicherung in der Praxis.

Die DSGVO basiert auf mehreren Kernprinzipien, die auch und gerade im Umgang mit Patientendaten in der Ergotherapie zu beachten sind:

  • Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Patientendaten dürfen nur für klar definierte, eindeutige und legitime Zwecke erhoben und verarbeitet werden. In der Ergotherapie sind dies primär die Durchführung der Behandlung, die dazugehörige Dokumentation, die Abrechnung mit Krankenkassen oder Patient:innen sowie die Kommunikation mit überweisenden Ärzt:innen (sofern eine Rechtsgrundlage oder Einwilligung vorliegt). Eine Nutzung der Daten für andere Zwecke (z.B. praxisinternes Marketing ohne explizite Einwilligung) ist unzulässig.
  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Es dürfen nur die Patientendaten erhoben und gespeichert werden, die für den jeweiligen Zweck tatsächlich erforderlich sind („Datensparsamkeit“). Fragen Sie sich bei jeder Datenerhebung: Benötige ich diese Information wirklich für die Behandlung, Dokumentation oder Abrechnung? Unnötige Daten sollten gar nicht erst erhoben werden.
  • Transparenz (Art. 5 Abs. 1 lit. a, Art. 12-14 DSGVO): Patient:innen müssen umfassend, klar und verständlich darüber informiert werden, welche ihrer Daten zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeitet werden. Dies geschieht in der Regel durch eine schriftliche Datenschutzerklärung, die den Patient:innen bei Behandlungsbeginn zur Verfügung gestellt wird und auf der Praxis-Website abrufbar ist.
  • Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO): Patientendaten dürfen nur so lange gespeichert werden, wie es für den Zweck der Verarbeitung notwendig ist oder gesetzliche Aufbewahrungsfristen es vorschreiben. Danach sind die Daten sicher zu löschen oder zu anonymisieren.
  • Integrität und Vertraulichkeit (Sicherheit der Verarbeitung, Art. 5 Abs. 1 lit. f, Art. 32 DSGVO): Es müssen geeignete technische und organisatorische Maßnahmen (TOMs) getroffen werden, um die Patientendaten vor unbefugtem Zugriff, Verlust, Zerstörung oder Veränderung zu schützen. Dies umfasst sowohl physische Sicherheit (z.B. abschließbare Aktenschränke) als auch digitale Sicherheit (z.B. Passwortschutz, Verschlüsselung, aktuelle Sicherheitssoftware). Die therapeutische Schweigepflicht ist hierbei ein zentraler Aspekt.

3. Umgang mit Patientendaten in der Ergotherapie: Definition und Rechtsgrundlagen

Unter Patientendaten im Kontext der Ergotherapie fallen sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die Patientin oder den Patienten) beziehen und im Rahmen der Anbahnung, Durchführung oder Nachbereitung der ergotherapeutischen Behandlung anfallen. Dazu gehören insbesondere:

  • Personenstammdaten: Name, Adresse, Geburtsdatum, Geschlecht, Telefonnummer, E-Mail-Adresse.
  • Versicherungsdaten: Krankenkasse, Versichertennummer, Versicherungsstatus.
  • Medizinische Basisdaten: Ärztliche Verordnungen (Heilmittelverordnungen), Überweisungen, Diagnosen laut ICD-10, relevante Vorerkrankungen, Allergien, Medikation.
  • Anamnestische Daten: Informationen zur Krankheitsgeschichte, sozialem Umfeld, beruflicher Situation, bisherigen Therapien, erhoben durch Gespräche oder Fragebögen.
  • Befunddaten: Ergebnisse von ergotherapeutischen Befunderhebungen, standardisierten Tests (z.B. motorische Tests, kognitive Screenings, Selbstversorgungs-Assessments), Beobachtungen zum Verhalten und zur Leistungsfähigkeit.
  • Therapiedokumentation: Therapiepläne, vereinbarte Therapieziele, Dokumentation der einzelnen Therapieeinheiten (Inhalte, Methoden, Reaktionen des Patienten), Verlaufsberichte, Abschlussberichte.
  • Abrechnungsdaten: Abgerechnete Leistungen, Rechnungsnummern, Zahlungsinformationen.
  • Kommunikationsdaten: Schriftverkehr und E-Mails mit Patient:innen, Angehörigen (mit Einwilligung), Ärzt:innen, Krankenkassen oder anderen beteiligten Stellen.
  • Sonstige Daten: Gegebenenfalls Fotos oder Videos zu Dokumentationszwecken (nur mit expliziter, gesonderter Einwilligung).

Die Verarbeitung dieser sensiblen Patientendaten ist nur dann rechtmäßig, wenn eine gültige Rechtsgrundlage gemäß Artikel 6 und Artikel 9 der DSGVO vorliegt. Für Ergotherapiepraxen sind vor allem folgende Rechtsgrundlagen relevant:

  • Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO): Die Patientin oder der Patient hat freiwillig, informiert, spezifisch und unmissverständlich in die Verarbeitung ihrer/seiner Daten für einen oder mehrere bestimmte Zwecke eingewilligt. Dies ist oft erforderlich für Datenweitergaben an Dritte (die nicht direkt zur Vertragserfüllung oder Abrechnung notwendig sind) oder für die Nutzung von Daten zu Zwecken, die über die reine Behandlung hinausgehen (z.B. Nutzung anonymisierter Daten für interne Statistiken, Veröffentlichung von Fallbeispielen nur nach Anonymisierung und mit Einwilligung). Die Einwilligung muss dokumentiert werden und kann jederzeit widerrufen werden.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist für die Anbahnung oder Erfüllung des Behandlungsvertrags zwischen Praxis und Patient:in erforderlich. Dies umfasst die Kernprozesse wie Terminplanung, Anamnese, Befundung, Therapieplanung, Durchführung und Dokumentation der Behandlung sowie die Abrechnung der erbrachten Leistungen. Für Gesundheitsdaten (Art. 9 DSGVO) braucht es zusätzlich eine Bedingung aus Art. 9 Abs. 2, hier oft lit. h (Verarbeitung für Gesundheitsversorgung oder -verwaltung auf Grundlage eines Vertrags mit einem Angehörigen eines Gesundheitsberufs).
  • Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Die Verarbeitung ist notwendig, um gesetzlichen Pflichten nachzukommen. Ein zentrales Beispiel ist die gesetzliche Dokumentationspflicht gemäß § 630f Bürgerliches Gesetzbuch (BGB). Diese verpflichtet Behandelnde, eine Patientenakte zu führen und alle wesentlichen Maßnahmen und Ergebnisse aufzuzeichnen. Auch steuerrechtliche Aufbewahrungspflichten für Rechnungen fallen hierunter.
Sichere digitale Patientenakte

Ein weiterer wichtiger Aspekt ist die Beachtung der Aufbewahrungsfristen. Nach § 630f Abs. 3 BGB müssen medizinische Behandlungsunterlagen, wozu auch die ergotherapeutische Dokumentation zählt, für die Dauer von zehn Jahren nach Abschluss der Behandlung aufbewahrt werden. Dies dient der Nachvollziehbarkeit der Behandlung, der Beweissicherung bei Haftungsfragen und gegebenenfalls der weiteren Behandlung. Es können sich aus anderen Gesetzen (z.B. Steuerrecht für Rechnungen) oder vertraglichen Vereinbarungen mit Kostenträgern auch abweichende Fristen ergeben. Nach Ablauf aller relevanten Fristen müssen die Patientendaten sicher und datenschutzkonform gelöscht oder irreversibel anonymisiert werden, sofern keine spezifischen Gründe (z.B. laufende Rechtsstreitigkeiten) einer Löschung entgegenstehen. Die sichere Vernichtung von Papierakten (z.B. durch Schreddern gemäß DIN 66399, Schutzklasse 2, Sicherheitsstufe P-4 oder höher) und die sichere Löschung digitaler Daten sind dabei essenziell.

Besondere Herausforderungen im Datenschutz der Ergotherapie ergeben sich oft beim Datenaustausch mit Dritten. Die Weitergabe von Patientendaten an überweisende oder weiterbehandelnde Ärzt:innen, an Krankenkassen zur Abrechnung oder an andere Therapeut:innen (z.B. im Rahmen interdisziplinärer Zusammenarbeit) bedarf stets einer klaren Rechtsgrundlage. Meist ist dies die explizite Einwilligung der Patientin oder des Patienten (oft über eine Schweigepflichtentbindungserklärung) oder eine gesetzliche Erlaubnis (z.B. zur Abrechnung mit der gesetzlichen Krankenversicherung). Entscheidend ist nicht nur das „Ob“, sondern auch das „Wie“ der Übermittlung: Der Transportweg der Daten muss sicher sein. Dies bedeutet in der Praxis:

  • Vermeidung unverschlüsselter E-Mails für sensible Inhalte. Stattdessen Nutzung von Ende-zu-Ende-verschlüsselten E-Mails, sicheren Online-Portalen (z.B. KIM – Kommunikation im Medizinwesen) oder passwortgeschützten Dateianhängen (wobei das Passwort auf einem anderen Kanal übermittelt werden sollte).
  • Sichere Faxübertragung (wenn unvermeidbar, vorherige Ankündigung und Empfangsbestätigung).
  • Nutzung sicherer Module innerhalb der Praxissoftware für den Datenaustausch.
  • Persönliche Übergabe oder Versand per Post (Einschreiben bei hoher Sensibilität).

4. Praktische Umsetzung der DSGVO in der Ergotherapiepraxis: TOMs und Pflichten

Die abstrakten Anforderungen der DSGVO müssen in konkrete Maßnahmen im Praxisalltag übersetzt werden. Hierbei spielen die sogenannten Technischen und Organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO eine zentrale Rolle. Ziel ist es, ein angemessenes Schutzniveau für die verarbeiteten Patientendaten sicherzustellen. Die Angemessenheit richtet sich nach Art, Umfang, Umständen und Zwecken der Verarbeitung sowie nach der Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der Patient:innen.

Konkrete Beispiele für TOMs in einer Ergotherapie-Praxis:

  • Organisatorische Maßnahmen:
    • Schulung und Sensibilisierung: Regelmäßige Schulungen aller Mitarbeiter:innen (inklusive Aushilfen, Praktikant:innen) zu den Grundlagen des Datenschutzes, der DSGVO, der internen Datenschutzrichtlinien und der Wahrung der Schweigepflicht. Dokumentation der Teilnahme.
    • Klare Zuständigkeiten: Festlegung, wer in der Praxis für welche Datenschutzaufgaben verantwortlich ist (z.B. Verwaltung der Einwilligungen, Umsetzung der TOMs, Bearbeitung von Betroffenenanfragen).
    • Interne Richtlinien: Erstellung und Kommunikation von klaren Arbeitsanweisungen zum Umgang mit Patientendaten (z.B. „Clean Desk Policy“, Regeln zur Nutzung von Praxis-IT und privaten Geräten, Vorgehen bei Datenpannen).
    • Zugangsbeschränkungen (Need-to-know-Prinzip): Sicherstellen, dass Mitarbeiter:innen nur auf die Patientendaten Zugriff haben, die sie für ihre spezifische Aufgabe benötigen. Differenzierte Zugriffsrechte in der Praxissoftware.
    • Vertraulichkeitsverpflichtungen: Alle Mitarbeiter:innen schriftlich zur Wahrung des Datengeheimnisses und der Schweigepflicht verpflichten.
    • Auftragsverarbeitung: Wenn externe Dienstleister Daten im Auftrag verarbeiten (z.B. externes Abrechnungszentrum, IT-Wartung, Cloud-Software-Anbieter), muss ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen werden.
    • Diskretion in der Praxis: Maßnahmen zur Wahrung der Vertraulichkeit im Wartebereich und an der Rezeption (z.B. Diskretionsabstand, keine Patientennamen laut aufrufen, geschützte Gesprächsbereiche).
  • Technische Maßnahmen:
    • Physische Sicherheit: Abschließbare Aktenschränke und Räume für die Lagerung von Papierakten und Datenträgern. Einbruchschutz für die Praxisräume.
    • Zugangskontrolle IT-Systeme: Starker Passwortschutz für alle Computer, Laptops, Tablets, Smartphones und die Praxissoftware. Regelmäßige Passwortänderungen erzwingen. Bildschirmsperren bei Inaktivität.
    • Datenträgersicherheit: Verschlüsselung von Festplatten (insbesondere bei mobilen Geräten wie Laptops) und USB-Sticks, die Patientendaten enthalten.
    • Netzwerksicherheit: Einsatz einer aktuellen Firewall. Sicheres WLAN (WPA2/WPA3-Verschlüsselung, separates Gäste-WLAN).
    • Schutz vor Schadsoftware: Installation und regelmäßige Aktualisierung von Antivirensoftware auf allen relevanten Geräten. Regelmäßige Installation von Sicherheitsupdates für Betriebssysteme und Software.
    • Datensicherung (Backups): Regelmäßige, automatische Erstellung von Backups aller relevanten Daten. Sichere Aufbewahrung der Backups (z.B. räumlich getrennt, verschlüsselt). Regelmäßige Tests der Wiederherstellbarkeit der Daten.
    • Sichere Kommunikation: Verwendung von verschlüsselten E-Mail-Verfahren (z.B. S/MIME, PGP oder KIM) oder sicheren Kommunikationsplattformen für den Austausch sensibler Patientendaten.
    • Sichere Löschung/Vernichtung: Einsatz von Aktenvernichtern mit ausreichend hoher Sicherheitsstufe (mind. P-4 nach DIN 66399) für Papierakten. Sichere Löschsoftware oder physische Zerstörung von Datenträgern (Festplatten, USB-Sticks etc.) vor deren Entsorgung.

Neben den TOMs ergeben sich aus der DSGVO wichtige Dokumentationspflichten für Ergotherapiepraxen:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) (Art. 30 DSGVO): Jede Praxis muss (sofern nicht die sehr enge Ausnahme für Kleinbetriebe greift, was bei Gesundheitsdaten aber i.d.R. nicht der Fall ist) ein internes Verzeichnis führen, das alle Prozesse dokumentiert, bei denen personenbezogene Daten verarbeitet werden. Dieses VVT muss unter anderem Angaben enthalten zu: den Zwecken der Verarbeitung, den Kategorien der betroffenen Personen (z.B. Patient:innen, Mitarbeiter:innen), den Kategorien der personenbezogenen Daten (z.B. Kontaktdaten, Gesundheitsdaten), den Empfängern der Daten, den vorgesehenen Löschfristen und einer allgemeinen Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen (TOMs). Das VVT dient der Rechenschaftspflicht und muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können.
  • Datenschutzerklärung (Art. 13, 14 DSGVO): Eine verständliche Datenschutzerklärung ist Pflicht, um der Informationspflicht gegenüber Patient:innen nachzukommen. Sie muss auf der Praxis-Website veröffentlicht werden und sollte Patient:innen auch in der Praxis (z.B. als Aushang oder bei der Aufnahme) zugänglich gemacht werden. Sie informiert transparent über die Datenverarbeitung in der Praxis (wer ist verantwortlich, welche Daten werden zu welchen Zwecken auf welcher Rechtsgrundlage verarbeitet, wie lange gespeichert, welche Rechte haben Betroffene, Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten).

Ein weiterer zentraler Aspekt der praktischen Umsetzung ist der professionelle Umgang mit Betroffenenrechten. Patient:innen haben nach der DSGVO verschiedene Rechte bezüglich ihrer Daten, auf deren Anfragen die Praxis angemessen und fristgerecht (in der Regel innerhalb eines Monats) reagieren muss:

  • Recht auf Auskunft (Art. 15 DSGVO): Patient:innen können Auskunft darüber verlangen, ob und welche Daten über sie verarbeitet werden, zu welchen Zwecken, an wen sie weitergegeben wurden und wie lange sie gespeichert werden. Sie haben auch das Recht auf eine Kopie ihrer Daten (z.B. der Patientenakte).
  • Recht auf Berichtigung (Art. 16 DSGVO): Patient:innen können die Korrektur unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten verlangen.
  • Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO): Patient:innen können die Löschung ihrer Daten fordern, wenn diese z.B. für die ursprünglichen Zwecke nicht mehr notwendig sind, eine Einwilligung widerrufen wird oder die Verarbeitung unrechtmäßig war. Dieses Recht ist jedoch eingeschränkt, insbesondere durch gesetzliche Aufbewahrungspflichten (wie die 10-Jahres-Frist für Behandlungsunterlagen). Solange eine Aufbewahrungspflicht besteht, können die Daten nicht gelöscht, aber ggf. in ihrer Verarbeitung eingeschränkt werden.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen (z.B. bei Bestreiten der Richtigkeit der Daten oder während der Prüfung eines Widerspruchs) können Patient:innen verlangen, dass ihre Daten nur noch gespeichert, aber nicht mehr weiter verarbeitet werden.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Patient:innen haben das Recht, die Daten, die sie der Praxis bereitgestellt haben und die automatisiert verarbeitet werden (auf Basis von Einwilligung oder Vertrag), in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren direkte Übermittlung an einen anderen Verantwortlichen (z.B. neue:r Therapeut:in) zu verlangen, soweit technisch machbar.
  • Widerspruchsrecht (Art. 21 DSGVO): Patient:innen können aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer Daten Widerspruch einlegen, wenn die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e (öffentliches Interesse) oder f (berechtigtes Interesse) erfolgt.

Schließlich müssen Praxen auf Datenpannen vorbereitet sein. Eine Datenpanne (Verletzung des Schutzes personenbezogener Daten, Art. 4 Nr. 12 DSGVO) liegt vor, wenn es zu einer Sicherheitsverletzung kommt, die – ob unbeabsichtigt oder unrechtmäßig – zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt. Beispiele: Verlust eines unverschlüsselten USB-Sticks mit Patientendaten, Hackerangriff auf die Praxissoftware, Einbruch mit Diebstahl von Patientenakten, fehlgeleitete E-Mail mit sensiblen Inhalten.

Besteht durch die Datenpanne ein Risiko für die Rechte und Freiheiten der betroffenen Personen, muss die Praxis die Verletzung unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden, an die zuständige Datenschutz-Aufsichtsbehörde melden (Art. 33 DSGVO). Besteht sogar ein hohes Risiko für die Betroffenen, müssen zusätzlich auch die betroffenen Patient:innen unverzüglich informiert werden (Art. 34 DSGVO), damit diese ggf. Schutzmaßnahmen ergreifen können. Interne Prozesse zur Erkennung, Bewertung und Meldung von Datenpannen sind daher unerlässlich.

5. Der Datenschutzbeauftragte in der Ergotherapie: Rolle und Pflichten

Ein Datenschutzbeauftragter (DSB) ist eine Person, die innerhalb oder außerhalb der Organisation benannt wird, um die Einhaltung der Datenschutzvorschriften zu überwachen und zu unterstützen. Die Kernaufgaben eines DSB nach Art. 39 DSGVO umfassen:

  • Unterrichtung und Beratung: Information und Beratung der Praxisleitung (Verantwortlicher) und der Beschäftigten hinsichtlich ihrer Pflichten nach der DSGVO und anderen Datenschutzvorschriften.
  • Überwachung der Einhaltung: Überwachung der Strategien und Prozesse der Praxis zum Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der Mitarbeiter:innen sowie der diesbezüglichen Überprüfungen.
  • Beratung zur Datenschutz-Folgenabschätzung (DSFA): Beratung im Zusammenhang mit der Durchführung einer DSFA (Art. 35 DSGVO), falls diese erforderlich sein sollte (z.B. bei Einführung neuer Technologien mit hohem Risiko).
  • Zusammenarbeit mit der Aufsichtsbehörde: Anlaufstelle für und Zusammenarbeit mit der zuständigen Datenschutz-Aufsichtsbehörde.
  • Anlaufstelle für Betroffene: Ansprechpartner für Patient:innen und andere betroffene Personen bei Fragen zur Verarbeitung ihrer Daten und zur Wahrnehmung ihrer Rechte.

Die Frage, wann eine Ergotherapie-Praxis einen Datenschutzbeauftragten benennen muss, ist nicht pauschal zu beantworten und hängt von den deutschen Regelungen im Bundesdatenschutzgesetz (BDSG-neu) sowie der DSGVO ab.

  • Regulärer Schwellenwert nach BDSG-neu: Gemäß § 38 Abs. 1 BDSG-neu ist ein DSB zu benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig beschäftigt“ bedeutet nicht unbedingt Vollzeit, auch Teilzeitkräfte oder freie Mitarbeiter:innen können zählen, wenn sie regelmäßig Zugriff auf Daten haben und diese verarbeiten. (Hinweis: Ältere Quellen oder spezifische Kontexte nennen manchmal abweichende Zahlen wie „>9“, basierend auf früherer Rechtslage oder anderen Kriterien; die aktuelle Zahl von 20 nach BDSG-neu ist maßgeblich für den allgemeinen Schwellenwert in Deutschland).
  • Wichtige Ausnahme nach DSGVO (Art. 37 Abs. 1 lit. c): Unabhängig von der Mitarbeiterzahl ist ein DSB jedoch immer dann Pflicht, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO (dazu zählen Gesundheitsdaten = Patientendaten) besteht. Da die Behandlung von Patient:innen und die damit verbundene Verarbeitung sensibler Gesundheitsdaten die Kerntätigkeit einer Ergotherapiepraxis darstellt, ist es sehr wahrscheinlich, dass viele, wenn nicht sogar die meisten Ergotherapiepraxen unter diese Regelung fallen und somit zur Benennung eines DSB verpflichtet sind, selbst wenn sie weniger als 20 Personen beschäftigen. Eine genaue Prüfung im Einzelfall unter Berücksichtigung des Umfangs der Datenverarbeitung ist dringend anzuraten.
  • Pflicht bei Datenschutz-Folgenabschätzung (Art. 37 Abs. 1 lit. b DSGVO): Ein DSB ist ebenfalls Pflicht, wenn Verarbeitungen durchgeführt werden, die eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erfordern.

Wenn eine Benennungspflicht besteht, hat die Praxis die Wahl zwischen einem internen und einem externen Datenschutzbeauftragten:

  • Interner DSB: Ein:e Mitarbeiter:in der Praxis wird zum/zur DSB benannt und entsprechend qualifiziert (Nachweis der Fachkunde erforderlich).
    • Vorteile: Kennt die internen Abläufe und Strukturen der Praxis sehr gut. Ist direkt vor Ort ansprechbar.
    • Nachteile: Benötigt ausreichend Zeitressourcen für die DSB-Aufgaben neben der eigentlichen Tätigkeit. Potenzielle Interessenkonflikte müssen vermieden werden (z.B. darf die Praxisleitung nicht gleichzeitig DSB sein). Erfordert kontinuierliche Weiterbildung im Datenschutzrecht. Es besteht ein besonderer Kündigungsschutz.
  • Externer DSB: Ein externer Dienstleister (z.B. spezialisierter Berater, Anwaltskanzlei) wird vertraglich als DSB beauftragt.
    • Vorteile: Hohe Fachkunde und aktuelles Wissen im Datenschutz garantiert. Unabhängigkeit und Vermeidung von Interessenkonflikten. Klare Kostenstruktur. Haftungsrisiken können teilweise ausgelagert werden. Oft kosteneffizienter für kleinere Praxen, da keine internen Ressourcen gebunden werden.
    • Nachteile: Kennt die internen Abläufe möglicherweise anfangs weniger gut als ein interner DSB (Einarbeitung erforderlich). Kommunikation erfolgt ggf. weniger direkt.

Auch wenn eine Praxis nach Prüfung zu dem Schluss kommt, keinen Datenschutzbeauftragten benennen zu müssen, entbindet dies nicht von der Einhaltung aller anderen Pflichten der DSGVO. Die Verantwortung für den Datenschutz liegt weiterhin vollumfänglich bei der Praxisleitung (dem Verantwortlichen). Unterstützung und Beratung können Praxen ohne (oder auch mit) DSB bei verschiedenen Stellen finden:

  • Berufsverbände: Organisationen wie der Deutsche Verband Ergotherapie e.V. (DVE) oder der Bundesverband für Ergotherapeuten in Deutschland e.V. (BED) bieten oft Informationsmaterialien, Leitfäden und Fortbildungen zum Thema Datenschutz an.
  • Externe Datenschutzberater: Auch ohne formelle Benennung als DSB kann man externe Experten für spezifische Beratungsleistungen oder zur Überprüfung der Datenschutzkonformität hinzuziehen.
  • Fachanwälte: Anwälte mit Spezialisierung auf Medizinrecht oder IT-/Datenschutzrecht können bei komplexen Rechtsfragen oder der Erstellung rechtssicherer Dokumente (z.B. Datenschutzerklärung, AV-Verträge) unterstützen.

6. Fazit: Datenschutz Ergotherapie als Qualitätsmerkmal

Die Auseinandersetzung mit dem Thema Datenschutz ist für jede Ergotherapie-Praxis unerlässlich. Der Schutz sensibler Patientendaten ist weit mehr als nur eine lästige Pflicht – er ist ein fundamentaler Bestandteil professionellen Handelns und ethischer Verantwortung im Gesundheitswesen. Die konsequente Einhaltung der DSGVO ist nicht nur gesetzlich vorgeschrieben und schützt vor empfindlichen Bußgeldern, sondern stärkt maßgeblich das notwendige Vertrauensverhältnis zwischen Therapeut:innen und Patient:innen.

Die Kernbotschaft lautet: Ein sorgfältiger, transparenter und sicherer Umgang mit Patientendaten gemäß den Vorgaben der DSGVO ist ein Qualitätsmerkmal Ihrer ergotherapeutischen Praxis. Er schützt die Privatsphäre und die Rechte Ihrer Patient:innen, minimiert rechtliche Risiken für Ihre Praxis und unterstreicht Ihre Professionalität und Ihr Verantwortungsbewusstsein im Umgang mit hochsensiblen Informationen. Datenschutz als gelebte Praxis schafft Sicherheit auf allen Seiten.

Wir ermutigen Sie, die Informationen und Tipps aus diesem Artikel als Anlass zu nehmen, Ihre eigenen Prozesse und Maßnahmen zum Datenschutz kritisch zu überprüfen und gegebenenfalls anzupassen. Implementieren Sie die notwendigen technischen und organisatorischen Maßnahmen, sorgen Sie für transparente Informationen und stellen Sie sicher, dass Sie und Ihr Team die Grundsätze des Datenschutzes im Praxisalltag leben. Zögern Sie nicht, bei Unsicherheiten oder komplexen Fragestellungen professionelle Unterstützung in Anspruch zu nehmen – sei es durch Ihren Berufsverband, einen externen Berater, einen Datenschutzbeauftragten oder einen spezialisierten Fachanwalt. Investitionen in den Datenschutz sind Investitionen in die Zukunft und die Reputation Ihrer Ergotherapie-Praxis.

Häufig gestellte Fragen (FAQ)

Was genau sind Patientendaten in der Ergotherapie?
Patientendaten umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare Person im Rahmen der ergotherapeutischen Behandlung beziehen. Dazu gehören Stammdaten (Name, Adresse), Versicherungsdaten, ärztliche Verordnungen, Diagnosen, Anamnesen, Befundergebnisse, Therapiepläne, Verlaufsdokumentationen, Abrechnungsdaten und Kommunikationsdaten.

Braucht jede Ergotherapiepraxis einen Datenschutzbeauftragten (DSB)?
Nicht zwingend jede, aber sehr wahrscheinlich viele. Ein DSB ist Pflicht, wenn die Kerntätigkeit der Praxis in der umfangreichen Verarbeitung von Gesundheitsdaten besteht (was bei Ergotherapiepraxen meist der Fall ist) oder wenn regelmäßig mindestens 20 Personen mit der automatisierten Datenverarbeitung beschäftigt sind. Eine Einzelfallprüfung wird dringend empfohlen.

Wie lange müssen Patientendaten aufbewahrt werden?
Die gesetzliche Mindestaufbewahrungsfrist für ergotherapeutische Behandlungsunterlagen beträgt nach § 630f BGB zehn Jahre nach Abschluss der Behandlung. Für bestimmte Dokumente (z.B. Rechnungen) können steuerrechtlich abweichende Fristen gelten. Nach Ablauf aller Fristen müssen die Daten sicher gelöscht oder anonymisiert werden.

Was sind Technische und Organisatorische Maßnahmen (TOMs) und warum sind sie wichtig?
TOMs sind konkrete Sicherheitsvorkehrungen zum Schutz von Patientendaten gemäß Art. 32 DSGVO. Technische Maßnahmen umfassen z.B. Passwortschutz, Verschlüsselung, Firewalls und Backups. Organisatorische Maßnahmen beinhalten z.B. Mitarbeiterschulungen, Zugangsbeschränkungen, Vertraulichkeitsvereinbarungen und klare interne Richtlinien. Sie sind entscheidend, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sicherzustellen und Datenpannen vorzubeugen.

Was muss ich bei einer Datenpanne tun?
Bei einer Datenpanne (z.B. Verlust von Patientendaten, Hackerangriff) muss die Praxis prüfen, ob ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Wenn ja, muss die Panne unverzüglich (möglichst binnen 72 Stunden) der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden. Besteht ein hohes Risiko, müssen auch die betroffenen Patient:innen direkt informiert werden.

Vorheriger Artikel
Der detaillierte Ablauf der Ergotherapie: Was Sie erwartet – von Erstgespräch bis Therapieabschluss
Nächster Artikel
Ergotherapie bei Schwindel: Effektive Übungen und Strategien für Ihr Gleichgewicht
- Advertisment -

Auch interessant

Mehr laden

Tips der Redaktion

Beliebte Beiträge

Beliebte Kategorien

Über uns

Ergo-Netz ist ein umfassendes Online-Portal für Ergotherapeutinnen und Ergotherapeuten im deutschsprachigen Raum. Die Plattform bietet praxisnahe Fachinformationen zu Therapieformen, Praxismanagement, Digitalisierung und rechtlichen Aspekten sowie eine Jobbörse und Community-Funktionen.

Kontakt: redaktion@ergo-netz.de

Folgen Sie uns!

© Ergo Netz 2025