Welche Vorgaben folgen aus dem Datenschutzrecht?

Setzt ein Heilpraktiker eine Technologie (z. B. Videotelefonie) ein, um Patienten telemedizinisch zu behandeln ist er Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO). Wird ein Web-Portal genutzt, kann eine gemeinsame Verantwortlichkeit des Heilpraktikers und des Plattformbetreibers in Betracht kommen.

Bei einer Fernbehandlung werden Gesundheitsdaten des Patienten verarbeitet. Die Vorgaben der DSGVO und des BDSG sind zu beachten. Da Gesundheitsdaten nach Art. 9 DSGVO besonders geschützt sind, sollten Heilpraktiker eine ausdrückliche Einwilligung in die Verarbeitung dieser Daten einholen. Ob die gesetzlichen Ausnahmeregelungen des Art. 9 DSGVO von der Einwilligungspflicht auch für Heilpraktiker gelten, ist weiterhin unklar.  

Bei einer Datenverarbeitung in Form einer Fernbehandlung sind sämtliche Vorgaben der DSGVO zu beachten. Dies sind insbesondere:

  • Auftragsdatenverarbeitungsvertrag,
  • Liste der TOM erstellen,
  • Informationspflichten erfüllen,
  • Einwilligung einholen,
  • Datenschutzerklärung ergänzen,
  • ggfs. Datenschutz-Folgenabschätzung,
  • Verarbeitungsverzeichnis ergänzen.

Für die Einzelheiten wird auf das Modul zur „DSGVO“ bei Heilpraktikerrecht.COM verwiesen.

Bei der Durchführung der Fernbehandlung ergeben sich erhebliche datenschutzrechtliche Probleme, weil die Vertraulichkeit des Gesprächs bei Programmen wie Skype, Facebook oder WhatsApp nicht umfassend gewährleistet ist. Diese Anbieter scheiden in der Regel aus. Allerdings existieren bereits datenschutzkonforme Angebote für den ärztlichen Bereich. Auf diese können auch Heilpraktiker zurückgreifen. Datenschutzrechtlich unproblematisch sind telefonische Fernbehandlungen. 

Fraglich ist, ob bei Fernbehandlungsangeboten eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist. Eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten i. S. v. Art. 9 Abs. 1 DSGVO soll eigentlich nach Erwägungsgrund 91 S. 4 zur DSGVO nicht vorliegen „wenn die Verarbeitung personenbezogener Daten von Patienten durch einen einzelnen Arzt erfolgt“. Allerdings haben die Aufsichtsbehörden eine Liste von Verarbeitungsvorgängen erstellt, für die sie eine Datenschutz-Folgenabschätzung für notwendig erachten. Diese Liste sieht den „Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten“ als Anwendungsfall vor. Nach meiner Auffassung liegt diese Voraussetzung bei einer reinen Videosprechstunde nicht vor, erforderlich ist eine Telemedizin-Anwendung, die auch die detaillierte Bearbeitung der Patientendaten umfasst.

Eine Datenschutz-Folgenabschätzung ist für innovative Formen der Fernbehandlung, die ein hohes Risiko für das Persönlichkeitsrecht des Patienten bergen in Betracht zu ziehen. Die Datenschutzaufsichtsbehörden führen folgendes Beispiel an:

„Ein Arzt nutzt ein Webportal oder setzt eine App an, um mit Patienten mittels Videotelefonie zu kommunizieren und Gesundheitsdaten durch Sensoren beim Patienten (z.B. Blutzucker, Sauerstoffmaske) detailliert und systematisch zu erheben und zu verarbeiten.“

In diesem Fall müssen die anbietenden Heilpraktiker gemeinsam mit den Plattformbetreibern eine DSFA durchführen. Nutzt ein Heilpraktiker für die Fernbehandlung ein Web-Portal, kann der Plattformbetreiber die DSFA im Rahmen der gemeinsamen Verarbeitung durchführen. Besteht die Verpflichtung, eine DSFA durchzuführen, muss auch ein Datenschutzbeauftragter benannt werden.