gesetzeskonformer Umgang mit Klientendaten — angesichts PRISM XKeyscore Tempora usw.

Alle Heilberufe, Heil-Hilfsberufe, Heilpraktiker und Psychologischen Berater sitzen in der Zwickmühle: Einerseits fordert der Gesetzgeber, dass Klientendaten gemäß Patientenrechtegesetz dokumentiert aber auch gemäß Datenschutzgesetz nach dem Stand der Technik bestmöglich geschützt werden müssen.
Andererseits ist nun bekannt, dass es unmöglich ist, Computer, Laptops, Smartphones und Telefone gegen die Spitzel aller Länder zu schützen! — Wie soll man sich nun verhalten? Einfach aufgeben und jeglichen Schutz als „unnützen Aufwand” beseite lassen?

Da ich als Persönlicher Berater / Coach und Heilpraktiker für Psychotherapie arbeite, musste ich mich mit der Klärung dieser Frage sorgfältig beschäftigen. (Denn weder mir, noch meinen Klienten soll es so ergehen, wie in dieser Story in der TAZ.) Meine Erkenntnisse betreffend »Datenschutz in der Heilpraxis« möchte ich hier mit Ihnen teilen:

Müssen wir ab sofort alle Daten verschlüsseln? Bringt das was?

Antwort: Nein! Die Verschlüsselung von Daten oder ganzen Festplatten erschwert lediglich den unbefugten Zugriff durch nichtfachkundige Dritte. Jeder gute Hacker und erst Recht jeder Geheimdienst kann jede Verschlüsselung umgehen: Und zwar indem er Ihr Passwort mittels Trojanern ausspäht oder indem er mittels Spionage-Software auf Ihrem PC darauf wartet, dass Sie die Verschlüsselung aufheben (z.B. TrueCrypt), um mit den Daten arbeiten zu können.
Sie glauben, dass in Deutschland Ihre Daten sicher sind? Lesen Sie mal hier!

Für Fachkundige:
Mit TrueCrypt die Daten einer Festplatte gegen unbefugten Zugriff sichern? Ein Hacker oder Spitzel installiert einen Trojaner / Keylogger auf dem PC und erfährt so das Passwort zum TrueCrypt-Container. Oder man verwendet das neueste Programm oclHashCat-plus, das hier beschrieben wird.
Mit SSL-/TSL und digitalen Zertifikaten eMail-Daten verschlüsseln? Zertifikate können durch Spitzel oder Hacker gefälscht werden, wie bei Diginotar geschehen, oder sogar von Microsoft & Co dem Webbrowser untergeschoben werden. Zudem können eMails auch mit Hilfe des vorgenannten Keyloggers und dem erbeuteten Passwort / Zertifikat entschlüsselt werden. So wird auch eine PGP-Verschlüsselung von eMails wirkungslos, weil die Passphrase ausspioniert wird.
Und die angeblich sichere DE-Mail? Lesen Sie hier! Und über „sichere eMail-Anbieter”? Lesen Sie hier!
Und wie kommt der Keylogger auf den Computer? Windows hat seit Version 98 eine Hintertür eingebaut, über die die NSA jederzeit Zugriff hat. Aber auch ein raffinierter Hacker kann durch „Social Engineering” gut getextete eMails an das Opfer versenden, an denen z.B. ein Bild hängt. Das Bild beinhaltet Code, durch den Schadsoftware auf den Computer nachgeladen wird. — Über das NSA-Programm XKeyscore geht aber alles noch viel einfacher!

Der mehrfache Hinweis betr. der Keylogger bedeutet, dass der Benutzer alle üblichen Möglichkeiten ausnutzen sollte, seine Geräte gegen die Installation von Keyloggern, Trojanern usw. abzusichern. Hierzu gehört nicht nur die Installation eines guten Antivirus-Programms, sondern auch ein sorgfältiger Umgang mit verdächtigen eMails, die sicherheitbewusste Einstellungen von Webbrowsern, ein zurückhaltend-vorsichtiges Surf-Verhalten und große Vorsicht bei der Installation von Software, die „irgendwo” mal herunter geladen wurde.

Sie haben all diese Sicherheitshinweise beachtet und wähnen sich nun halbwegs sicher? Am 01.07.2014 ging durch alle Medien die Nachricht, dass die USB-Anschlüsse aller Computer unsicher sind. Denn alle USB-Geräte beinhalten für die Steuerung der Schnittstelle zum Gerät (Drucker, Webcam, Tastatur, Scanner, Speicherstick, SurfStickusw.) einen winzigen Mikrocontroller mit erstaunlich hoher Leistungskraft. Diesen Controller können Hacker / Geheimdienste umprogrammieren, sodass er beim Einstecken in einen Computer an jedem Antivirus-Programm vorbei (!!!) Schadcode in den Computer einbringen und ausführen kann und sogar Schadcode aus dem Internet an jedem Anti-Virus-Programm vorbei auf den Computer laden und ausführen kann und dies unbemerkt vom Benutzer!
Schon auf dem Kongress des ChaosComputerClub im Januar 2014 wurden diese USB-Probleme am Beispiel einer Micro-SD-Karte vorgeführt.

Absolute Sicherheit gibt es sowieso nie! Aber dürfen wir angesichts der übermächtigen Spionage und der Hacker einfach aufgeben? — Sicher nicht!
Denn wenn Sie sensible Daten auf dem Computer verarbeiten, sind Sie gesetzlich dazu verpflichtet, alle Maßnahmen zur Datensicherheit zu ergreifen, so weit der Aufwand, insbesondere unter Berücksichtigung der Art der zu schützenden personenbezogenen Daten, in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht… sagt das Datenschutzgesetz. Man ist also gesetzlich dazu verpflichtet, gemäß dem jeweiligen Stand der Technik alle „üblichen” und „angemessenen” Sicherungsmaßnahmen ergreifen.
Welche konkreten Maßnahmen Sie zum aktuellen Stand ergreifen sollten, habe ich als Empfehlung (ohne jede Rechtsberatung) zum untersten Titel dieses Beitrags beschrieben.

Paradox angesichts der grenzenlosen Datenschnüffelei:
Die Regierung fordert von einfachen Verbrauchern, dass sie Schutzmaßnahmen einrichten gegen die von der Regierung (und ihren Geheimdiensten) selbst verübte Datenschnüffelei! (Über den NSA-Skandal - eine Zusammenfassung)

Und „noch besser”: Gerade (24.08.2013) wurde durch EU-Recht vorgeschrieben, dass jeder Betreiber von Kommunikationsdiensten verpflichtet ist, bei Datenpannen innerhalb von 24 Stunden die zuständige Datenschutzbehörde über den Vorfall zu informieren, anderenfalls man sich strafbar macht. Sind sensibel persönliche Daten betroffen, muss der Vorfall sogar in den Medien veröffentlicht werden, wie z.B. in diesem Fall. De facto ist dies eine Selbstanzeige!
Und wann zeigen sich die ersten Regierungen selbst an, wenn z.B. die NSA die Bundesregierung oder die EU-Büros ausspioniert hat?

Es gibt sogar heute noch ahnungslose Bürger, die glauben, sie hätten doch nichts zu verbergen — aber dies können die Folgen sein) oder dieses Szenario hier. Aber dabei ging es um private Daten. Hier sprechen wir über sensible Klienten- oder Praxisdaten!

gesetzliche Vorgaben zur Dokumentationspflicht & Umsetzungsprobleme

Die Verpflichtung zur Dokumentation von Therapie und Behandlung ergibt sich bereits aus der Sorgfaltspflicht sowie der Notwendigkeit, im Streit- oder Haftungsfall die Einhaltung der Sorgfaltspflicht beweisen zu können. Im Patientenrechtegesetz von 2013 ist in § 630f die Dokumentation von Behandlung / Therapie vorgeschrieben:

§ 630f Patientenrechtegesetz — Dokumentation der Behandlung

(1) Der Behandelnde ist verpflichtet, zum Zweck der Dokumentation in unmittelbarem zeitlichen Zusammenhang mit der Behandlung eine Patientenakte in Papierform oder elektronisch zu führen. Berichtigungen und Änderungen von Eintragungen in der Patientenakte sind nur zulässig, wenn neben dem ursprünglichen Inhalt erkennbar bleibt, wann sie vorgenommen worden sind. Dies ist auch für elektronisch geführte Patientenaktensicher zu stellen.
(2) Der Behandelnde ist verpflichtet, in der Patientenakte sämtliche aus fachlicher Sicht für die derzeitige und känftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse aufzuzeichnen, insbesondere die Anamnese, Diagnosen, Untersuchungen, Untersuchungsergebnisse, Befunde, Therapien und ihre Wirkungen, Einwilligungen und Aufklärungen. Arztbriefe sind in die Patientenakte aufzunehmen.
3) Der Behandelnde hat die Patientenakte für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren, soweit nicht nach anderen Vorschriften
andere Aufbewahrungsfristen bestehen.

Einen Kommentar dazu findet man z.B. in der ÄrzteZeitung hier sowie auf der Website des Bundesministeriums für Gesundheit hier.
Der Anwendungsbereich des Gesetzes beschränkt sich dabei nicht auf die Behandlung durch die Angehörigen der Heilberufe wie Ärzte, Zahnärzte und Psychotherapeuten, sondern erfasst auch die Angehörigen der weiteren Gesundheitsberufe wie Heilpraktiker, Physiotherapeuten und Hebammen.

Das „gute alte” Papier?

Theoretisch fein raus ist derjenige, der die Dokumentation auf Papier führt. Kein PC-Absturz, kein Festplattencrash und kein Spionageprogramm kann diesen Aufzeichnungen etwas anhaben. Zudem ist die Sichtbarkeit und Nachvollziehbarkeit von nachträglichen Änderungen oder Ergänzungen in der Dokumentation sicher gestellt.
Aber ein gut gesicherter Aktenschrank oder sogar Tresor ist zwingend erforderlich!

Effizienz durch Computer — aber auch Probleme, die man sonst nicht hätte!

Sobald die Patienten-Akte „elektronisch” geführt wird, handelt man sich zusammen mit der gewonnenen Effizienzsteigerung auch enorme Probleme ein: Grundsätzlich muss die Forderung erfüllt werden: Berichtigungen und Änderungen von Eintragungen in der Patientenakte sind nur zulässig, wenn neben dem ursprünglichen Inhalt erkennbar bleibt, wann sie vorgenommen worden sind.
Aber wie kann man so etwas technisch bewirken?

Die Revisionssichere Datenspeicherung (GDPdU)

Fachlich heißt so etwas „revisionssichere Datenspeicherung” gemäß GDPdU (Grundsätze zum Datenzugriff und zur Überprüfbarkeit digitaler Unterlagen) und verwirklicht wird sie unter dem Kürzel WORM (Write Once — Read Many). Auf einem WORM-Speicher kann eine Datei nur einmal gespeichert werden. Jeder weitere Speichervorgang der gleichen Datei führt zur Speicherung eines Duplikats. Und meist kann nichts von dem, was jemals gespeichert worden ist, wieder gelöscht werden! Mehr über die WORM-Speicherung finden Sie in der Wikipedia hier.
Die einfachste Form der WORM-Speicherung ist die Nutzung von CDs. Das wäre allerdings höchst unpraktisch, da für jeden Speichervorgang eine neue CD benutzt werden müsste. Außerdem halten viele CDs alterungsbedingt nicht die vorgeschriebene Archivierungsdauer von 10 Jahren durch, welche auch gemäß vieler weiterer gesetzlicher Vorgaben (GDPdU) gefordert wird. Es sind also spezielle Medien erforderlich, die natürlich teuer sind.

Revisionssicher Daten speichern… aber wie?

Es gibt Software- und Hardware-Lösungen für die WORM-Speicherung. Wählt man z.B. eine WORM-Festplatte, ist klar, dass diese irgendwann mal voll ist und dann durch eine neue ersetzt werden muss. Geradezu verrückt ist, dass der Gesetzgeber diese Datenspeicherung zu einem Zeitpunkt vorgeschrieben hat, als technische Lösungen für kleinere Unternehmen und geringere Datenmengen noch gar nicht verfügbar waren. Erst ab etwa März 2013 bietet Tandberg-Data externen WORM-Speicher in Form sogenannter RDX-Kassetten an, in denen Festplatten bis zu 1,5 TB Größe enthalten sind. 500GB kosten ca. 180 €, 1TB etwa 260 €. Zusätzlich benötigt man einen Einbaurahmen für den PC oder besser, ein externes USB-3.0-Gehäuse, welches für ca. 120 € erhältlich ist. Wie komplex die Aufgabe und die aktuell verfügbaren Lösungen sind, ist hier zu lesen.
Leider können die Daten bei Tandbergs RDX-WORM-Lösung nicht gelöscht werden. Und das kann ebenfalls zum Verstoß gegen das Datenschutzgesetz führen, wenn dadurch personenbezogene Daten länger gespeichert werden, als erforderlich.
Es gibt natürlich weitere Anbieter von WORM-Speicherlösungen. Aber die meisten beschäftigen sich mit der Sicherung großer Datenbestände und sind daher für eine Heilpraxis überdimensioniert und zu teuer.

Inzwischen ist in der Software eineiger Praxisverwaltungssysteme (PVS) eine Verschlüsselung aller Daten eingebaut und zusätzlich wird jede Veränderung oder Löschung von Daten lückenlos protokolliert. Wenn also eine Dokumentation nachträglich ergänzt oder verändert wird, wird dieser Vorgang mit gespeichert und die Veränderung / Ergänzung im Dokument sichtbar. Dies ist demnach eine Alternative zu den vorbeschriebenen WORM-Speicherlösungen.

Man hat übrigens nicht nur die Aufgabe, die Daten sicher und revisionssicher, sondern auch noch langzeitstabil zu sichern und aufzubewahren. Diese Aufgabe ist nicht neu: Jede elektronisch geführte Buchhaltung, das Archivieren geschäftlicher Korrespondenz einschließlich der eMail-Korrespondenz sowie die Speicherung digitaler Rechnungsbelege muss revisionssicher und für 10 Jahre datensicher erfolgen und zudem bei personenbezogenen Daten gegen unbefugten Zugriff Dritter gesichert sein. Deshalb ist ein externes Laufwerk vorteilhaft, weil es leicht in Schränken oder einem Tresor weggeschlossen werden kann.

Gesetze stellen zum Teil technisch & wirtschaftlich unsinnige Forderungen

Bereits in den oben verlinkten Wikipedia-Beiträgen klingt Kritik an, dass die praktische Umsetzbarkeit der gesetzlichen Vorgaben und Bestimmungen teilweise technisch und praktisch nicht möglich ist oder ggfs. sogar gegen andere Rechtsnormen verstößt wie z.B. gegen das Postgeheimnis bei eMail-Speicherung oder bei nicht löschbaren Speicherungen gegen das Datenschutzgesetz §9 Satz 1 zur Datensparsamkeit.
Hinzu kommt, dass auch im zehnten Jahr der Daten-Aufbewahrung noch eine lauffähige Software vorrätig sein muss, mit der die gespeicherten Daten gelesen und angezeigt oder gedruckt werden können! Dies hat der Gesetzgeber nicht bedacht, denn evtl. ist die alte Office-Software oder die Praxis-Verwaltungssoftware zur Anzeige der archivierten Daten zwar noch vorhanden, läuft aber nur auf einem uralten Betriebssystem, das es nicht mehr gibt. Man müsste also komplette Uralt-PCs mitsamt lauffähiger Software gleich mit archivieren! — Absurd praxisfern und lächerlich ist das!

Welche gesetzlichen Vorgaben zum Schutz der Klientendaten gibt es?

Die Schweigepflicht / Verschwiegenheitspflicht und der Datenschutz

Während Angehörige der Heilberufe wie z.B. Ärzte, Zahnärzte und Psychotherapeuten der gesetzlich gesicherten Schweigepflicht unterliegen, ergibt sich bei Angehörigen weiterer Gesundheitsberufe wie Heilpraktiker, Physiotherapeuten und Hebammen usw. die Schweigepflicht nur als nebenvertragliche Vertragspflicht gemäß BGB, die nicht den erweiterten gesetzlichen Schutz genießt. Dennoch müssen alle diese Berufstätigen und ihre Mitarbeiter schon aufgrund der Schweigepflicht mit erstellten Dokumentationen so umgehen, dass sie niemals in die Hände unbefugter Dritter geraten können.

Diese Schweigepflicht wird aber durch die Vorgaben zur Führung einer Buchhaltung gemäß den Grundsätzen der ordnungsgemäßen Buchführung (GoB) beschädigt, denn die Rechnungen, die den Klienten gestellt werden, müssen den Namen und Anschrift, Datum und Gegenstand der erbrachten Leistung (Therapie oder Beratung) und bei Therapie sogar die Diagnose gemäß ICD-10-Code  beinhalten! Die Diagnose als ICD-10-Code auf Rechnungen wird von den Finanzämtern verlangt, weil nur mit dieser Angabe die erbrachte Leistung als umsatzsteuer- und gewerbesteuer-befreite Heilbehandlung anerkannt wird. Anderenfalls fallen beide Steuerarten an und die Tätigkeit wird als gewerblich erbrachte Dienstleistung angesehen.
Einzige Milderung ist dabei: Die Buchungstexte im Buchhaltungsprogramm sowie die Rechnungen in der Buchhaltungs-Ablage dürfen anonymisiert sein, aber nur dann, wenn für den Fall einer Steuerprüfung die nicht anonymisierten Original-Rechnungen separat vorgehalten werden.

Datenschutzgesetz bemüht sich um Sicherheit — aber zuweilen etwas realitätsfern
Das Datenschutzgesetz §9

(1) Die Gestaltung und Auswahl der technischen Einrichtungen und der Verfahren zur automatisierten Verarbeitung personenbezogener Daten hat sich an dem Grundsatz auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu verarbeiten.
2) Öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um eine den Vorschriften dieses Gesetzes entsprechende Datenverarbeitung zu gewährleisten.
Erforderlich sind Maßnahmen, wenn ihr Aufwand, insbesondere unter Berücksichtigung der Art der zu schützenden personenbezogenen Daten, in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
(3) Werden personenbezogene Daten automatisiert verarbeitet, sind je nach Art und Verwendung der zu schützenden personenbezogenen Daten und unter Berücksichtigung des Standes der Technik Maßnahmen zu treffen, die geeignet sind,

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
  3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu verhindern (Speicherkontrolle),
  4. zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
  5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
  6. zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle),
  7. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
  8. zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  9. zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern die Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
  10. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), und
  11. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

(4) Die Landesregierung wird ermächtigt, die in Absatz 3 genannten Anforderungen nach dem jeweiligen Stand der Technik und Organisation durch Rechtsverordnung fortzuschreiben.

Einerseits ist erfreulich, dass der Satz 4 eine flexible Anpassung der Schutzmaßnahmen an den jeweiligen Stand der Technik festschreibt und dafür Rechtsverordnungen vorsieht. Andererseits ist es für den Kleinunternehmer oder Praxisbetreiber schon schwer genug, über alle gesetzlichen Vorgaben auf dem Laufenden zu bleiben und den Überblick zu behalten sowie sich um deren korrekte Umsetzung zu kümmern. Da ist der relativ unbestimmte Verweis auf weitere laufend hinzu kommende oder sich ändernde Rechtsverordnungen — vorsichtig ausgedrückt — extrem herausfordernd (wie man u.a. hier sehen kann).
Diese behördliche Akribie steht in groteskem Kontrast zur allgemeinen Bespitzelungspraxis durch Ermittlungsbehörden (Bundestrojaner), durch den Bundesnachrichtendienst und alle sonstigen Geheimdienste!

Macht Datenschutz angesichts staatlicher Spionage noch Sinn?

Spätestens hieraus entsteht nun der Konflikt, dass einerseits gegen das Ausspionieren von Daten von Computern, Laptops, Tabletts, Smartphones usw. kein Gegenmittel existiert, andererseits von den Nutzern dieser Geräte gesetzlich und unter Androhung empfindlicher Strafen der Schutz dieser Daten vor unbefugtem Zugriff mit geeigneten techischen Mitteln gefordert wird.

Der Einwand, dass nur Geheimdienste über derart leistungsfähige Spionage-Software verfügen und daher die Absicherung mit aufwendigen Maßnahmen wie z.B. Daten- und eMail-Verschlüsselung usw. sehr wohl Sinn  macht, greift von der Logik her nicht. Denn die Erfahrung der letzten Jahre hat gezeigt, dass die meiste von Geheimdiensten verwendete Spionagesoftware ihren Ursprung bei (von den Diensten bezahlten) Hackern hat, die zuvor aus Freude am Tun oder auch aus wirtschaftlich-kriminellen Hintergründen programmiert haben.
Zudem ist spätestens seit den Enthüllungen von Edward Snowden bestätigt, dass Betriebssysteme wie Windows oder Mac-OS bereits Abhörschnittstellen beinhalten. Inzwischen (siehe USB-Problematik oben) ist sogar sicher, dass in der Geräte-Hardware in bestimmten Chips oder in Prozessoren bereits Abhörschnittstellen integriert sind, die nicht deaktiviert werden können.

Dennoch gelten für alle Anwender die gesetzlichen Vorschriften, gemäß derer eine Datensicherung und Absicherung erfolgen muss! Anderenfalls macht sich der Anwender strafbar.

Als Grundsatz für die Datensicherheit in Ihrer Praxis sollte gelten:

Es kommt immer auf die Verhältnismäßigkeit der Mittel an! — Ein technisch kaum vorgebildeter Heilpraktiker, der gerade seine Praxisgründung finanzieren muss, wird sich allerdings evtl. finanziell schwer tun, diesen Aufwand zu betreiben, zumal er dazu wahrscheinlich einen qaulifizierten IT-Dienstleister beauftragen muss.

Niemand kann von Ihnen zum gegenwärtigen Stand (August 2013) verlangen,

  • dass Sie ein Studium zum IT-Spezialisten absolvieren, damit sie sensible Daten kompetent handhaben.
  • dass Sie die eMails mit Ihren Klienten verschlüsseln (z.B. mit PGP) (zumal die Klienten dann ihre eMail-Anfragen und -Antworten ebenfalls verschlüsseln müssten und damit überfordert wären).
  • dass Sie alle sensiblen Daten auf Ihren Festplatten (z.B. mit TrueCrypt) verschlüsseln.
  • dass Sie ein (angeblich) sichereres Betriebssystem (z.B. Linux) einsetzen.

An einer revisionssicheren Datenspeicherung mittels der WORM-Technik oder einer Praxisverwaltungssoftware mit revisionssicherer Führung der Klientendokumentation sowie einer leistungsfähigen Archivierung aller Daten werden Sie nicht vorbei kommen!

Hier noch ein Tipp zu weiteren Informationen zur Datensicherheit auf allen erdenklichen IT-Geräten unter besonderer Berücksichtigung des weltweiten Spionage-Skandals: Das Sonderheft c't Security

Gesetzliche Vorgaben einfach übergehen? Wird schon gut gehen, oder?

Wer glaubt, er könne die gesetzlichen Vorgaben einfach beiseite schieben und auf seinem PC oder Laptop ohne revisionssichere Datenspeicherungen wie bisher weiter arbeiten, der könnte in sehr böse Situationen kommen:

  • Das Finanzamt stört sich an nicht revisionssicheren Buchhaltungsdaten und Geschäftskorrespondenz. Evtl. werden die Einnahmen einfach aufgrund von Branchenvergleichszahlen festgesetzt und entsprechend versteuert! (natürlich zu Gunsten des Finanzamts!)
  • Ein Klient will zu einem approbierten Psychotherapeuten wechseln und verlangt die vorschriftsgemäß geführte Dokumentation seiner Patientenakte. Wehe, wenn die nicht vorhanden ist!
  • Ein Klient hegt Verdacht auf Verstoß gegen den Datenschutz und bringt dies zur Anzeige. Der Praxisinhaber muss dann bei einer Überprüfung nachweisen, dass er allen gesetzlichen Vorschriften und gemäß dem aktuellen Stand der Technik nachgekommen ist. Andernfalls können erhebliche Geldbußen verhängt werden.
  • Ein Klient erhebt der Vorwurf einer unerlaubten oder unfachgemäßen Behandlung / Therapie und reklamiert beim Gesundheitsamt als aufsichtsführende Behörde oder vor einem Gericht. Wenn durch die vorschriftsmäßig geführte Dokumentation nicht bewiesen werden kann, dass eine fachgemäße Behandlung erfolgt ist, können Sie zu erheblichem Schadenersatz verurteilt werden. Dagegen schützt u.U. auch die Berufshaftpflichtversicherung nicht, wenn eine grobe und fahrlässige Pflichtverletzung vorliegt. Im Extremfall kann das Gesundheitsamt sogar die Praxis schließen und die Heilerlaubnis entziehen.
  • Eine Klienten-Dokumentation kann nur dann zur Absicherung und als Beweismittel dienen, wenn sie den gesetzlichen Vorgaben der revisionssicheren Speicherung entspricht. Denn ohne diese besondere Art der Speicherung könnte die Dokumentation jederzeit nachträglich verändert und verfälscht werden!
  • Die blödeste und unwirksamste Ausrede wäre aber, wenn jemand im Fall des Falles einfach behaupten würde: „Mein Laptop wurde mitsamt aller Daten geklaut.” oder „Ein böser Virus hat alles gelöscht.