Datenschutz-Folgeabschätzung Online-Videosprechstunde, Kamera-Login

Question

Hallo zusammen,

ich hatte grade ein Telefonat mit dem zuständigen Datenschutzbeauftragten für Berlin. Seiner Aussage nach wäre bei der Nutzung der Video-Sprechstunde eine Datenschutz-Folgeabschätzung (DSFA) notwendig, was nach dem Infoblatt der KBV (DS-GVO März 18) dazu führt, eine/n Datenschutzbeauftragte/n auch bei weniger als 10 Mitarbeitern zu benennen. Heißt also für Praxen mit weniger als 10 Mitarbeitern, dass die Entscheidung zwischen Bennenung eines Datenschutzbeauftragten oder der Nutzung der Videosprechstunde gefällt werden muss.

Gibt es hier andere Erfahrungswerte?

Weiter wollte ich wissen, ob eine DSFA für Mitarbeiter wegen der Nutzung des Kamera-Logins notwendig wäre. Ich sollte mich mit folgenden Frage an zollsoft wenden:

1. Werden die benötigten Login-Daten (Videos/Fotos) zentral oder dezentral gespeichert?
2. Wie hoch ist das Risiko, dass diese Daten gestohlen und missbraucht werden können?

Viele Grüße

R. Wellmann

Comments

Den Datenschutzbeauftragten kann man ja selbst mimen. Da Dieser (falls Sie jemanden dafür bezahlen wollen) ohnehin nicht haftet kann man sich das ganze sparen und sich einfach selbst anmelden...

---

darf aber nicht der praxisinhaber sein!

M-C Thode

---

Hallo zusammen,

ich hatte diese Anfrage bereits schon einmal kommentiert, muss jetzt aber aufgrund aktueller Entwicklungen meinen Kommenatr revidieren: Dies betrifft nicht die Nicht-Notwendigkeit der Datenschtuzfolgenabschätzung für die Videosprechstunde. Die Landesdatenschutzebhörde NRW zum Beispiel hat aktuell aber weitere Kriterien zur Bennung eines Datenschutzbeauftragten genannt.

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Datenschutzbeauftragte-fuer-Arztpraxen-und-sonstige-Angehoerige-eines-Gesundheitsberufs-_-ergaenzende-Informationen/Datenschutzbeauftragte-fuer-Arztpraxen-und-sonstige-Angehoerige-eines-Gesundheitsberufs-_-ergaenzende-Informationen.html

Demnach verpflichtet auch der Einsatz von Telemedizin, Datenspeicherung in der cloud/Drittstaat zur Benennung eines DSB wie auch die Verwendung einer marktunüblichen Praxis-Software (letzteres dürfte auf Tomedo aber wohl nicht zutreffen ;-). Anzumerken sei noch, dass die Haftpflichtversicherung eines (freiwilligen) DSB auch die Bußgelder gegenüber der Praxis ersetzt, die Praxis sich aber nicht selbst gegen Bußgelder versichern kann.

Jörg Frotscher

Answer 1

Die Anforderung einer DSFA auf Grund der Videosprechstunde ist eine neue Information für uns. Vielmehr ist diese gemäß unserem Verständnis dann erforderlich, wenn umfangreiche Forschungsvorhaben, besonders risikoreiche oder heimlich überwachende Verarbeitungsformen oder nicht praxiserprobter Verarbeitungstechniken durchgeführt werden bzw. wenn eine besonders umfangreiche Verarbeitung von Gesundheitsdaten stattfindet.

Da es sich bei der Videosprechstunde um ein mittlerweile anerkanntes Medium zur Patientenkommunikation handelt bei der untereinander auch nur die (Gesundheits-)daten ausgetauscht werden, die Patient und Arzt "freigeben", sehen wir diese eigentlich nicht in der Kategorie der DSFA. 

Auch wenn die Datenschutzerklärung unter www.doktor-online.org bisher noch nicht auf die DS-GVO angepasst ist (erfolgt noch im Laufe dieser Woche), so geht aus dieser bereits hervor, welche Daten auf welche Art und Weise erfasst und ausgetauscht werden - daran wird sich auch mit der DS-GVO nichts ändern: Nach der Verbindungsvermittlung findet jegliche Kommunikation ausschließlich verschlüsselt und unmittelbar zwischen Arzt und Patienten statt.

Ich würde daher empfehlen, dass Sie den konkreten Fall von www.doktor-online.org noch einmal von Ihrem Datenschutzbeauftragten prüfen lassen.

PS: Die Online Videosprechstunde wurde von der datenschutz cert GmbH für Informationssicherheit und Datenschutz gemäß dem Gütesiegelstandard ips - internet privacy standards zertifiziert. Die umfassende Prüfung anhand der gesetzlichen Vorgaben gemäß Anlage 31b zum Bundesmantelvertrag - Ärzte SGB V erfolgte anhand des ips-Standards, welcher bundesweit anerkannt wird und z.B. vom Bundesjustizministerium und Verbraucherschutzverbänden empfohlen wird.

Answer 2

In Bezug auf Ihre Fragen zum Kamera-Login:

Die Login-Daten (Fotos/Videos) werden ausschließlich zum Zeitpunkt der Aufnahme auf dem jeweiligen Client temporär gespeichert und dann an Ihren tomedo Server gesendet, um dort später einen Abgleich mit dem "Video-Stream" beim Anmelden durchzuführen. Die Login-Daten werden zu keinem Zeitpunkt an externe Server von tomedo übertragen, sondern befinden sich immer in Ihrem Praxis-Netzwerk. Somit können auch nur Sie selbst das Risiko eines Datenverlustes bzw. -missbrauch der Login-Daten beurteilen. Ich denke es versteht sich von selbst, dass das Praxisnetzwerk und insbesondere der Server (unabhängig von der  Verwendung des Kamera-Logins) entsprechend geschützt werden sollte.

Comments

Vielen herzlichen Dank für die besonders ausführlichen Informationen Frau Polz!! Ich werde dies nochmals mit dem Datenschutzbeauftragten besprechen und das Ergebnis bei erfolgter Rückmeldung hier posten.

---

Hierbei würden mich die konkreten Maßnahmen, die zu einem „entsprechenden Schutz“ des Servers von Zollsoft empfohlen werden, schon interessieren...

Baulich können wir keinen abschließbaren Serverraum realisieren. Die Glastüre des Serverschranks stellt kein wesentliches Hindernis dar und bis dato warte ich auch noch auf die Implementierung der Verschlüsselung des Tomedo-Backups (den Button gibts in den Server-Tools schon ewig...).

Es bleibt also wohl nur FileVault auf dem Server zu aktivieren. Hierum drücke ich mich bisher, da ich so bei jedem Serverneustart in die Praxis dackeln muss, um das Passwort eingeben zu können. Und um die Performance mache ich mir da auch noch Gedanken. Auf den iMacs merkt man den Unterschied auf jeden Fall.

Gibt es da noch weitere Ideen/Möglichkeiten Seitens Zollsoft?

---

ja bitte zollsoft, eine empfehlung zur serversicherung wäre wirklich hilfreich, da applebasierte server doch selten sind (virenschutz zusätzlich? reicht firewall des routers (nein...)?)

---

Guten Morgen,

für das Kamera-Login oder die Video-Sprechstunde eine Datenschutzfolgeabschätzung zu fordern ist Mumpitz. Das Gesetz schreibt her ausdrücklich systematische Videoüberwachung vor. Das könnte man annehmen, wenn man ein Nacht-Schlaflabor betreibt und den Pat. die ganze Nacht filmt.

Hinsichtlich des Serverschranks. Er muss nur abschliessbar sein, damit nicht jemand Unbefugtes rasch mal einen USB-Stick einstecken kann.

Und was die Kommunikation mit Datenschutzbeauftragten betrifft:

1. Die Kirche im Dorf lassen

2. Keine schlafenden Hunde wecken

3. Kein Datenschützer ist berechtigt auch nur irgendeine Praxis auf die Ordnungsmäßigkeit des Datenschutzes hin zu überprüfen. Ärzte sind wie einige andere Berufsgruppen Geheimnisträger gem. § 203 StGB, und eine Überprüfung dieser Berufsgruppen ist gem. Art. 58 Abs. 1 lite/ lit f DS-GVO nicht erlaubt.