Sicher und gesetzeskonform: Der umfassende Leitfaden zur DSGVO in der Videosprechstunde 

DSGVO-konforme Videosprechstunde: Ihr umfassender Leitfaden

Ein Beitrag von M. Sc. Psych. Jana Schneider

  • Erfahren Sie alles, zur Identifizierung eines sicheren Videodienstanbieters
  • So informieren Sie Ihre Patient:innen DSGVO konform
  • Hier finden Sie die wichtigsten Vorlagen und Formulare zur Nutzung der Videosprechstunde zum Ausdrucken und Einreichen

Ohne die datenschutzkonforme Durchführung der Videosprechstunde können sensible personenbezogene Daten ganz einfach durch Unbefugte eingesehen werden. Auf den ersten Blick nicht gerade das spannendste Thema – die Folgen mangelnden Datenschutzes werden jedoch häufig unterschätzt. Software-Expert:innen der Gruppe “Zerforschung” haben 2022 eine Sicherheitslücke aufgedeckt in einer viel genutzten Praxissoftware. 60 000 Patient:innen von mehr als 270 Praxen seien laut des Berliner Datenschutzbeauftragten betroffen gewesen. E-Mail-Verläufe zwischen Ärzt:innen und Patient:innen, Befunde, Laborwerte, Atteste und persönliche Patient:innendaten seien ein leichtes Spiel für die Gruppe gewesen. Höchst sensible Daten waren im Handumdrehen für Dritte zugänglich. In diesem Fall hat die Praxissoftware Glück gehabt, durch die Gruppe “Zerforschung” aufgedeckt worden zu sein. Wie können Sie sich also schützen und DSGVO konform die Videosprechstunde anbieten? Wir helfen Ihnen das Thema besser zu verstehen um die Daten Ihrer Patient:innen gut und sicher zu schützen. Die wichtigsten Infos zur DSGVO konformen Videosprechstunde erfahren Sie in diesem Beitrag.

DSGVO in der Praxis – So gewährleisten Sie den Datenschutz Ihrer Patient:innen in der Videosprechstunde

Bevor wir uns den konkreten Maßnahmen zur Gewährleistung des Datenschutzes widmen, ist es wichtig, die rechtlichen Grundlagen zu verstehen. Die Datenschutz-Grundverordnung (DSGVO) legt die Vorgaben für den Schutz personenbezogener Daten fest. Insbesondere in der ärztlichen und psychologischen Psychotherapie gelten besondere Anforderungen, da es sich um sensible Gesundheitsdaten handelt. Ein Verstoß gegen den Datenschutz kann nicht nur zu rechtlichen Konsequenzen führen, sondern auch das Vertrauen der Patient:innen beeinträchtigen. Das neue EU-Datenschutzrecht ist so gesehen “ein Update für die Freiheit” jedes und jeder Einzelnen. Patient:innen müssen sowohl mündlich als auch schriftlich über ihre Rechte informiert werden:

1. Recht auf Information und Auskunft

2. Recht auf Widerspruch, Berichtigung, Löschung und Einschränkung

3. Einwilligung

4. Recht auf Widerruf

5. Recht auf Widerspruch

6. Rechte bei automatisierter Entscheidungsfindung im Einzelfall

7. Recht auf Mitnahme Ihrer Daten (Datenübertragbarkeit)

8. Ansprechpartner:in: Datenschutzbehörden und Verbraucherzentralen

Zusätzlich zur mündlichen Aufklärung können Sie die Datenschutzrechte Ihrer Patient:innen mit Hilfe kurzer Videos noch anschaulicher gestalten.

DSGVO konform durch die Auswahl des richtigen Videodienstanbieters

Für die mündliche Aufklärung Ihrer Patient:innen nach DSGVO sind Sie jetzt also gewappnet. Wie geht es nun aber weiter? Der Datenschutz ist ganz klar als eine Voraussetzung nach 31b BMV-Ä geregelt. Was müssen Sie demnach konkret tun?

Bevor Sie Ihren Patient:innen überhaupt eine Videosprechstunde anbieten können, brauchen Sie natürlich zunächst einen geeigneten Videodienstanbieter. Das Gute ist, Sie müssen sich nur für einen zertifizierten Anbieter entscheiden, um alles Wichtige zu erfüllen. Bleibt die Frage, wie Sie einen zertifizierten und sicheren Videodienstanbieter wählen.

Die Zertifizierung der Videodienstanbieter wird entweder durch die Datenschutz cert GmbH oder die TÜV Informationstechnik GmbH durchgeführt. Beide sind gleichwertig berechtigt, die Prüfung der Anbieter durchzuführen. Es gibt bestimmte Kriterien, die erfüllt sein müssen (diese finden Sie auch im §2 der Anlage 31b BMV-Ä). Wichtig ist, dass Sie eine Lösung finden, die für Sie funktioniert! Zum Beispiel bieten nur sehr wenige Videodienstanbieter Online-Gruppentherapie an und wenn, dann limitiert auf wenige Personen. Consularia z.B. ist für bis zu 25 Personen zertifiziert, auch wenn aktuell Online Gruppentherapien nur mit 8 Patient:innen erlaubt sind. Welche Videodienstanbieter für was zertifiziert sind und damit gesetzlich genutzt werden dürfen, können Sie in der durch die KBV erstellten Liste einsehen.

Wenn Sie sich dennoch selber davon überzeugen wollen, ob ein Anbieter alle Kriterien einer DSGVO Zertifizierung erfüllt, müssen diese drei Dinge unbedingt gegeben sein:

1. Serverstandort in Europa: Die Daten dürfen Europa nicht verlassen!

2. Video-Übertragung muss Ende-zu-Ende verschlüsselt sein

3. Sicherheit durch Datenverschlüsselung

Wichtig: Sie müssen Ihren gewählten Videodienstanbieter bei Ihrer Kassenärztlichen Vereinigung (KV) anzeigen

Haben Sie sich entschieden und einen Videodienstanbieter ausgewählt, so müssen Sie diesen im zweiten Schritt bei Ihrer Kassenärztlichen Vereinigung (KV) registrieren. Erst nach dieser Registrierung dürfen Sie die Leistungen per Video auch abrechnen. Am Ende ist das jedoch in vielen Bundesländern eine reine Formalität und sie müssen meist nicht auf Rückmeldung oder Bestätigung warten. In manchen Bundesländern hingegen schon. Das Verfahren unterscheidet sich regional. In unserer Tabelle können Sie die einzelnen Regelungen nachlesen.

Formulare zur Anzeige/Meldung des Videodiensanbieters bei Ihrer KV

KVVorgehen zur Registrierung / Melden des Videodienstanbieters
Baden-WürttembergDie KV Baden-Würtemberg stellt auf ihrer Seite ein Meldeformular zum Download zur Verfügung. Dieses finden Sie unter dem Buchstaben V unter Videosprechstunde. Füllen Sie das Meldeformular maschinell aus und senden Sie es an die abgebildete Adresse. 
BayernZur Durchführung und Abrechnung der Videosprechstunde ist die Genehmigung der KV Bayern notwendig. Für die kurzfristige Abwicklung ist derzeit jedoch ein vereinfachtes Anzeigeverfahren möglich, welches den Aufwand deutlich reduziert. Beide Meldeformulare (Genehmigungsantrag und Vereinfachtes Anzeigeformular) finden Sie unter V – Videosprechstunde. Senden Sie diese wie auf dem Schriftstück angegeben ausgefüllt per FAX zurück.
BerlinIhren gewählten Videodienstanbieter melden Sie der KV Berlin per E-Mail an videosprechstunde@kvberlin.de unter Angabe Ihrer BSNR. 
BrandenburgSenden Sie zusammen mit dem Zertifikat des Videodienstanbieters Ihrer Wahl ein formloses Schreiben an die KV Brandenburg. Hierfür können Sie die folgende Formulierung nutzen: 

“Hiermit erkläre ich, dass ich für die Leistungen im Rahmen der Videosprechstunde einen zertifizierten Videodienstanbieter gem. Anlage 31b zum BMV-Ä nutze.“ 
Datum, Unterschrift

Das Zertifikat des Videodienstanbieters Ihrer Wahl finden Sie meist auf der Webseite oder auf Anfrage. 
(Consularias Zertifikat ist z.B. direkt auf unserer Seite zu finden und ganz einfach herunterzuladen in dem Sie das Logo der Datenschutz cert anklicken).
BremenSenden Sie Ihrer KV Bremen eine formlose Mitteilung über die Nutzung eines Videodienstanbieters zu. Hierzu können Sie die folgende Formulierung wählen: 

“Hiermit erkläre ich, dass ich für die Leistungen im Rahmen der Videosprechstunde einen zertifizierten Videodienstanbieter gem. Anlage 31b zum BMV-Ä nutze.“ 
Datum, Unterschrift
HamburgSenden Sie das ausgefüllte Meldeformular der KV Hamburg an Ihren zuständigen Sachbearbeiter der Abrechnungsabteilung zu. 
HessenFüllen Sie das Meldeformular der KV Hessen aus und senden Sie es an die darauf hinterlegte Adresse.
Mecklenburg-VorpommernDie KV-Mecklenburg-Vorpommern verlangt keine Anzeige/Meldung. Es muss somit nichts eingereicht werden. Es muss dennoch darauf geachtet werden, einen zertifizierten Videodienstanbieter zu nutzen.
NiedersachsenDie KV-Niedersachsen verlangt keine Anzeige/Meldung. Es muss somit nichts eingereicht werden. Es muss dennoch darauf geachtet werden, einen zertifizierten Videodienstanbieter zu nutzen.
NordrheinMitglieder der KV Nordrhein melden sich im Portal an und können dort den Antrag digital ausfüllen. Sofern noch keine Mitgliedschaft besteht, kann dies vorerst auch über folgendes Formular zur Genehmigung passieren (auf der Seite etwas nach unten scrollen). 
In beiden Fällen wird das Zertifikat des Videodienstanbieters verlangt. 
Das Zertifikat des Videodienstanbieters Ihrer Wahl finden Sie meist auf der Webseite oder auf Anfrage. 
(Consularias Zertifikat ist z.B. direkt auf unserer Seite zu finden und ganz einfach herunterzuladen in dem Sie das Logo der Datenschutz cert anklicken).
Rheinland-PfalzMitglieder der KV RLP, die Leistungen im Rahmen der Videosprechstunde erbringen wollen, müssen dafür einen Antrag stellen. Dieser wird auf der Website der KV RLP bereitgestellt.
Eingehende Anträge werden dann geprüft.
ACHTUNG: Hier reicht die alleinige Anzeige des Anbieters nicht aus. Sie müssen auf Rückmeldung warten. Es wird also anhand der jeweiligen Angaben entschieden, ob die Genehmigungen zur Ausführung und Abrechnung von Leistungen zur Videosprechstunde erteilt werden.
SaarlandDie KV Saarland verlangt die Rücksendung des ausgefüllten Antragformulars zur Genehmigung des gewählten Videodienstanbieters. 
Es wird zudem das Zertifikat des Videodienstanbieters verlangt. 
Das Zertifikat des Videodienstanbieters Ihrer Wahl finden Sie meist auf der Webseite oder auf Anfrage. 
(Consularias Zertifikat ist z.B. direkt auf unserer Seite zu finden und ganz einfach herunterzuladen in dem Sie das Logo der Datenschutz cert anklicken).
SachsenDie KV Sachsen verlangt die Rücksendung des ausgefüllten Antragformulars auf Genehmigung zur Durchführung und Abrechnung der Videosprechstunde. 
ACHTUNG: Hier reicht die alleinige Anzeige des Anbieters nicht aus. Sie müssen auf Rückmeldung warten. Es wird also anhand der jeweiligen Angaben entschieden, ob die Genehmigungen zur Ausführung und Abrechnung von Leistungen zur Videosprechstunde erteilt werden.
Sachsen-AnhaltDie KV Sachsen-Anhalt verlangt die Rücksendung des ausgefüllten Meldeformulars zur Genehmigung des gewählten Videodienstanbieters. Weitere Informationen bietet die KVSA auf ihrer Webseite.
ACHTUNG: Hier reicht die alleinige Anzeige des Anbieters nicht aus. Sie müssen auf Rückmeldung warten. Es wird also anhand der jeweiligen Angaben entschieden, ob die Genehmigungen zur Ausführung und Abrechnung von Leistungen zur Videosprechstunde erteilt werden.
Schleswig-HolsteinRegistrierung der Videosprechstunde im eKVSH-Portal www.ekvsh.de unter „Genehmigungsanträge/Videosprechstunde“ 
ThüringenDie KV Thüringen verlangt die Rücksendung des ausgefüllten Antragformulars auf Genehmigung zur Ausführung und Abrechnung der Videosprechstunde im Rahmen der vertragsärztlichen/psychotherapeutischen Versorgung. 
ACHTUNG: Hier reicht die alleinige Anzeige des Anbieters nicht aus. Sie müssen auf Rückmeldung warten. Es wird also anhand der jeweiligen Angaben entschieden, ob die Genehmigungen zur Ausführung und Abrechnung von Leistungen zur Videosprechstunde erteilt werden.
Westfalen-LippeDie KV Westfalen-Lippe verlangt die Einreichnung des vollständig ausgefüllten Meldeformulars.

DSGVO in der Praxis – So stellen Sie Datenschutz in der Videosprechstunde von Ihrer Seite sicher

Sie als Psychotherapeut:in haben die DSGVO-konforme, sichere Verarbeitung genau so zu gewährleisten, wie es auch die Videodienstanbieter sicherstellen müssen. 

IT-Sicherheit

Dabei müssen Sie sowohl auf die Verarbeitung der Daten in Ihren Räumlichkeiten achten, aber auch die Sicherheit der Daten bei der Nutzung der IT-Systeme gewährleisten. Demnach sind Sie verantwortlich für die Einhaltung von Maßnahmen technischer und organisatorischer Natur. Es ist also wichtig, dass Sie ein genaues Auge auf die Auswahl Ihrer IT-Systeme werfen. Die Wahl eines geeigneten Videodienstanbieters ist entscheidend. Stellen Sie sicher, dass der Anbieter alle Datenschutzanforderungen erfüllt.

§ 3 Anlage 31b zum BMV-Ä

Gemäß § 3 Anlage 31b zum BMV-Ä müssen Sie Ihre Patient:innen, mit denen Sie die Videosprechstunde durchführen möchten, auch entsprechend informieren. Dazu gehört:

  1. Sie sind sich einig, dass für alle Teilnehmenden die Teilnahme an der Videosprechstunde freiwillig ist.
  2. Die Videosprechstunde muss in geschlossenen Räumen stattfinden, die ausreichend Privatsphäre sicherstellen. 
  3. Alle in den Räumen Anwesenden haben sich zum Start der Videosprechstunde vorzustellen.
  4. Aufzeichnungen dürfen nur mit Einwilligung stattfinden und sollen, wenn überhaupt, nur zur Dokumentation dienen. 

Einwilligung in die Videosprechstunde

Zudem müssen Sie eine Einwilligung der Patient:innen einholen. Hierbei müssen Sie darauf achten, dass diese den Anforderungen des Artikel 9 Absatz 2 Buchstabe a) in Verbindung mit Artikel 7 DSGVO erfüllt. D.h. 

Es muss konkret eingewilligt werden in die Verarbeitung personenbezogener Daten, aus denen folgendes hervorgeht (falls diese durch Sie erhoben werden):

  • Rassische und ethnische Herkunft
  • Politische Meinungen 
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische, biometrische Daten
  • Gesundheitsdaten
  • Sexualleben oder sexuelle Orientierung

Ohne konkrete Einwilligung dürfen Daten, die hierauf Hinweise geben, nicht verarbeitet werden. 

Artikel 7 DSGVO stellt sicher, dass:

  • Sie die Einwilligung nachweisen können – Behalten Sie also immer ein Exemplar der Einwilligung.
  • die schriftliche Erklärung in einfacher und verständlicher Sprache formuliert ist. Wenn Teile zu kompliziert und zu unverständlich formuliert sind, sind sie schlichtweg unwirksam. 
  • die Person darüber informiert wird, dass sie jederzeit ganz einfach die Einwilligung widerrufen kann.
  • das Kopplungsverbot eingehalten wird.

Vorlage Einwilligungserklärung Videosprechstunde

Eine Vorlage für die Einwilligungserklärung finden Sie zum Beispiel auf der Seite des Bundesverband der Vertragspsychotherapeuten e.V.

Lange Rede, kurzer Sinn – die wichtigsten Punkte zum Datenschutz in der Videosprechstunde auf einen Blick

Egal ob Videosprechstunde oder Psychotherapie in Präsenz – Datenschutz muss eingehalten werden. Für die Nutzung der Videosprechstunde gibt es ein paar wenige Punkte mehr zu beachten. Das Wichtigste noch mal für Sie zusammengefasst: 

  1. Suchen Sie sich einen für Sie passenden Videodienstanbieter aus. Orientieren Sie sich einerseits an der KBV Liste, aber machen Sie sich auch ein eigenes Bild. Hier noch einmal die wichtigsten Punkte auf die Sie achten können:
    • Serverstandort in Europa
    • Ende-zu-Ende Verschlüsselung
    • Sie können Ihr Passwort nicht ohne Recovery-Passwort zurücksetzen
  2. Melden Sie Ihren ausgesuchten Videodienstanbieter den Sie später für die Videosprechstunde nutzen wollen bei Ihrer KV. Auf welchem Wege Ihre KV dies einfordert, ist weiter oben in diesem Beitrag nachzulesen.
  3. Klären Sie Ihre Patient:innen sowohl mündlich als auch schriftlich durch eine Datenschutzinformation und schriftliche Einwilligung auf.
    • Konkrete Umsetzung: Datenschutzinformation + Einwilligung
  4. Denken Sie auch an die Anforderungen an die Praxis (Privatsphäre muss gegeben sein)

Fazit

Wir hoffen, dass Ihnen dieser Artikel gefallen hat und Sie wertvolle Einblicke gewonnen haben. Wenn Sie auf dem Laufenden bleiben und mehr über die neuesten Trends und Erkenntnisse in der Psychotherapie erfahren möchten, abonnieren Sie bitte unseren Newsletter. Einfach das Formular unten ausfüllen und Sie sind dabei!


Quellen