DSGVO in der Psychotherapie-Praxis: Leitfaden für Psychotherapeut:innen

Die Datenschutz-Grundverordnung (DSGVO) stellt besondere Anforderungen an Psychotherapie-Praxen. Schließlich verarbeiten Sie hochsensible Gesundheitsdaten Ihrer Patient:innen. Dieser Leitfaden erklärt die wichtigsten Aspekte für Psychotherapeut:innen.

Warum ist Datenschutz in der Psychotherapie so wichtig?

Psychotherapeutische Daten gehören zu den sensibelsten personenbezogenen Daten überhaupt. Sie umfassen:

• Psychische Diagnosen und Symptome
• Biografische Informationen
• Beziehungsdynamiken
• Traumata und belastende Erfahrungen
• Therapieinhalte und -verläufe

Ein Datenschutzverstoß kann für Patient:innen gravierende Folgen haben – von sozialer Stigmatisierung bis hin zu beruflichen Nachteilen.

Die wichtigsten DSGVO-Grundsätze

1. Rechtmäßigkeit der Verarbeitung

Für die Verarbeitung von Gesundheitsdaten benötigen Sie:

• Einwilligung des:der Patient:in (Art. 9 Abs. 2 lit. a DSGVO)
• Oder: Behandlungsvertrag als Grundlage (Art. 9 Abs. 2 lit. h DSGVO)

Die Behandlung selbst rechtfertigt die notwendige Datenverarbeitung. Für darüber hinausgehende Verwendungen (z.B. Forschung) ist eine gesonderte Einwilligung erforderlich.

2. Zweckbindung

Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden:

• Diagnostik und Behandlung
• Abrechnung mit Krankenkassen
• Qualitätssicherung
• Gesetzliche Dokumentationspflichten

3. Datenminimierung

Erheben Sie nur Daten, die für die Behandlung tatsächlich erforderlich sind. Überflüssige Informationen erhöhen das Risiko bei einem Datenschutzvorfall.

4. Speicherbegrenzung

Halten Sie die gesetzlichen Aufbewahrungsfristen ein:

• Dokumentationspflicht: 10 Jahre nach Abschluss der Behandlung
• Steuerrechtliche Aufbewahrung: 10 Jahre für Rechnungen
• Nach Ablauf: Sichere Löschung/Vernichtung

5. Integrität und Vertraulichkeit

Schützen Sie Daten durch technische und organisatorische Maßnahmen:

• Verschlüsselung
• Zugangskontrollen
• Sichere Aufbewahrung
• Mitarbeiterschulungen

Rechte Ihrer Patient:innen

Auskunftsrecht (Art. 15 DSGVO)

Patient:innen können Auskunft verlangen über:

• Welche Daten werden gespeichert?
• Zu welchem Zweck?
• An wen wurden sie weitergegeben?
• Wie lange werden sie gespeichert?

Tipp: Erstellen Sie eine Musterantwort für Auskunftsanfragen.

Berichtigungsrecht (Art. 16 DSGVO)

Falsche Daten müssen auf Anfrage korrigiert werden. Bei Meinungsverschiedenheiten über therapeutische Einschätzungen kann ein ergänzender Vermerk aufgenommen werden.

Löschungsrecht (Art. 17 DSGVO)

Das "Recht auf Vergessenwerden" ist in der Psychotherapie eingeschränkt, da:

• Dokumentationspflichten bestehen
• Aufbewahrungsfristen gelten
• Eigeninteressen des:der Psychotherapeut:in an der Dokumentation

Nach Ablauf der Aufbewahrungsfristen besteht jedoch Löschpflicht.

Datenübertragbarkeit (Art. 20 DSGVO)

Patient:innen können ihre Daten in einem maschinenlesbaren Format erhalten, um sie z.B. an eine:n neue:n Psychotherapeut:in zu übermitteln.

Technische Anforderungen an Praxissoftware

Bei der Auswahl von Software für Ihre Praxis achten Sie auf:

Serverstandort

• Datenverarbeitung innerhalb der EU
• Idealerweise: Server in Deutschland
• Kein Transfer in Drittländer ohne angemessene Garantien

Verschlüsselung

• Datenverschlüsselung bei der Übertragung (TLS/HTTPS)
• Verschlüsselung bei der Speicherung (at rest)
• Moderne Verschlüsselungsstandards (AES-256)

Zugriffskontrolle

• Individuelle Benutzerkonten
• Starke Passwörter
• Zwei-Faktor-Authentifizierung (optional, aber empfohlen)

Auftragsverarbeitung

Bei Cloud-Software: Prüfen Sie den Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

DSGVO-Compliance bei KI-gestützten Tools

Wenn Sie KI-Tools wie den PTV3-Assistenten nutzen, beachten Sie:

Keine Klarnamen

Arbeiten Sie mit Chiffren oder Initialen statt vollständiger Patientennamen. Dies minimiert das Risiko bei der Datenverarbeitung.

EU-Datenverarbeitung

Stellen Sie sicher, dass KI-Dienste Daten in der EU verarbeiten. Der PTV3-Assistent nutzt ausschließlich europäische Server (Microsoft Azure EU).

Kein KI-Training mit Patient:innendaten

Seriöse Anbieter verwenden Ihre Eingaben nicht zum Training von KI-Modellen. Dies sollte vertraglich zugesichert sein.

Pseudonymisierung

Moderne Tools ermöglichen die Verarbeitung ohne direkte Patientenidentifikation.

Praktische Checkliste für Ihre Praxis

• Datenschutzerklärung für Patient:innen erstellt
• Informationspflichten bei Erstaufnahme erfüllt
• Einwilligungen dokumentiert
• Verzeichnis der Verarbeitungstätigkeiten geführt
• Auftragsverarbeitungsverträge mit Dienstleistern
• Technische Schutzmaßnahmen implementiert
• Lösch-/Aufbewahrungskonzept dokumentiert
• Notfallplan für Datenschutzvorfälle

Der PTV3-Assistent und Datenschutz

Unser Service ist von Grund auf für die besonderen Anforderungen der Psychotherapie konzipiert:

• Server in Deutschland: Alle Daten werden ausschließlich in deutschen Rechenzentren verarbeitet
• DSGVO-konform: Vollständige Compliance mit EU-Datenschutzrecht
• BSI C5-Compliance: Microsoft Azure verfügt über ein aktuelles C5-Testat (Typ 2), das die Einhaltung der C5:2020-Anforderungen bestätigt. Gemäß §393 SGB V ist für die Verarbeitung von Gesundheitsdaten mittels Cloud-Computing ein aktuelles C5-Testat erforderlich, das Microsoft Azure vollständig erfüllt
• Pseudonymisierung: Arbeiten Sie mit Chiffren statt Klarnamen
• Kein KI-Training: Ihre Daten werden niemals für Modelltraining verwendet
• Löschung auf Anfrage: Vollständige Datenlöschung jederzeit möglich

Fazit

Datenschutz in der Psychotherapie ist anspruchsvoll, aber machbar. Mit dem richtigen Wissen und geeigneten Tools können Sie Ihre Patient:innen schützen und gleichzeitig effizient arbeiten. Bei Unsicherheiten empfiehlt sich die Beratung durch eine:n Datenschutzbeauftragte:n oder spezialisierte:n Rechtsanwält:in für Psychotherapeut:innen.