Datenschutzerklärung der Heilpraktikerpraxis beschränkt auf Psychotherapie in Hamburg

Datenschutzerklärung

In meiner Heilpraktikerpraxis beschränkt auf das Gebiet der Psychotherapie fallen Gesundheitsdaten und deren Metadaten, einschließlich Vertragsdaten, an. In der DSGVO sind Gesundheitsdaten in Art. 9 aufgeführt. Im Folgenden erkläre ich meine Maßnahmen zum Schutz von Patienten und Patientinnen. Hinweise zur weiteren Verbesserung des Datenschutzes nehme ich, als Verantwortlicher für den Datenschutz meiner Heilpraktikerpraxis beschränkt auf das Gebiet der Psychotherapie, gerne entgegen:

Ansgar Wüstefeld (B. Sc. / M. A.)
Beim Alten Schützenhof 39
22083 Hamburg, Deutschland
Telefon: +49 (0) 1520 5741916
E-Mail: ansgarwuestefeld@posteo.eu
Internet: www.selbstverstehen.de

Datenschutz in der Therapie

In meiner Heilpraktikerpraxis beschränkt auf das Gebiet der Psychotherapie in Hamburg werden die Patienten und Patientinnen gebeten, smarte Mobilgeräte während der Behandlung auszuschalten. Grundsätzlich bin ich nach § 203 S. 1.2 StGB aufgrund meiner staatlich anerkannten wissenschaftlichen Abschlussprüfung und mit der Erlaubnis, die Heilkunde ohne Bestallung beschränkt auf das Gebiet der Psychotherapie berufsmäßig auszuüben, an die gesetzliche Schweigepflicht gebunden (Verletzung von Privatgeheimnissen § 203 StGB). Unter Umständen, z. B. bei dem ernstzunehmenden Verdacht einer Kindesmisshandlung (KG, Urteil vom 27. Juni 2013 - 20 U 19/12), ist das Brechen der Schweigepflicht gesetzlich gerechtfertigt, um mögliche Schäden an Dritten zu verhindern (rechtfertigender Notstand § 34 StGB). Zum Wohle meiner Patienten und Patientinnen, die auf Grund einer psychischen Krankheit oder geistigen oder seelischen Behinderung (§ 1906 Abs. 1.2 BGB) ihre Lebensgefahr nicht erkennen, zum Beispiel bei dem Verdacht auf Magersucht mit extremem Untergewicht eines BMI unter 13, oder die Gefahr besteht, dass er [oder sie] sich selbst tötet oder erheblichen gesundheitlichen Schaden zufügt (§ 1906 Abs. 1.1 BGB) werde ich zur Abwendung eines drohenden erheblichen gesundheitlichen Schadens (§ 1906 Abs. 1.2 BGB) den Rettungsdienst alarmieren. Zum Wohle meiner Patienten und Patientinnen und Dritten werde ich neben dem Rettungsdienst auch die Polizei um Hilfe bitten, wenn aufgrund einer psychischen Krankheit (...) die gegenwärtige Gefahr besteht, dass die Person sich selbst oder eine andere Person erheblich schädigt (§ 9 Abs 1 HmbPsychKG) oder dann, wenn sich die psychische Krankheit so auswirkt, dass ein schadenstiftendes Ereignis unmittelbar bevorsteht oder sein Eintritt zwar unvorhersehbar, wegen besonderer Umstände jedoch jederzeit zu erwarten ist (§ 9 Abs. 2 HmbPsychKG).

Datenschutz der Kommunikation vor und nach der Therapie

Wenn Sie telefonisch einen Termin mit mir vereinbaren, werden die Telefon-Verkehrsdaten von Lidl Connect spätestens nach 4 Monaten gelöscht. Einer Nutzung durch Dritte oder zu Werbezwecken habe ich widersprochen. Falls Sie mich nicht persönlich erreichen sollten und eine Nachricht auf der Mailbox hinterlassen, kann diese Nachricht bis zu zwei Wochen gespeichert werden. Es werden grundsätzlich keine Kontakte auf Telefonen angelegt, jedoch die Metadaten im Telefonverlauf gespeichert.

Wenn Sie mir eine E-Mail schreiben, landet diese im Posteo-Krypto-Mailspeicher. In der Regel sollten Sie innerhalb von 3 Tagen eine Antwort telefonisch oder per E-Mail mit aktivierter TLS-Versand-Garantie erhalten. Auf Wunsch erhalten Sie eine E-Mail-Terminerinnerung, die von Enigmail mit meiner OpenPGP-Schlüssel-ID signiert wurde. Für noch mehr Datenschutz kann mir auch eine mit GnuPG verschlüsselte E-Mail zugestellt werden; mit der Bitte, den eigenen öffentlichen Schlüssel anzuhängen, da ich das WKD in Enigmail für Thunderbird deaktiviert habe.

Wenn Sie mir einen Brief schreiben, unterliegt dieser gesamte Kommunikationsvorgang dem Brief- und Postgeheimnis (GG I Art 10).

Datenschutz der gespeicherten Daten

Gespeicherte Daten (Therapieprotokolle, E-Mails, Kontaktdaten, Rechnungen und die Terminverwaltung) werden grundsätzlich nur auf einer auf Debian aufbauenden Linuxdistribution mit LUKS verschlüsselter Festplatte verarbeitet. Eine Datensicherung befindet sich in einem VeraCrypt-Container. Rechnungen werden offline erstellt und im Anschluss an die Therapie oder sonstige Dienstleistungen ausgehändigt beziehungsweise zugestellt; gegebenenfalls erfolgt online eine Kontrolle der Zahlungseingänge. Therapieprotokolle werden digital nur in verschlüsselten LibreOffice-Dokumenten verarbeitet. Sie werden dem Patienten oder der Patientin spätestens beim Katamnesegespräch in ausgedruckter Form ausgehändigt (Auskunftsrecht der betroffenen Person Art. 15 DSGVO) oder verschlüsselt per E-Mail zugestellt (Recht auf Datenübertragbarkeit Art. 20 DSGVO), wenn der öffentliche PGP-Schlüssel persönlich verifiziert werden konnte oder vorher das Passwort für das LibreOffice-Dokument ausgetauscht wurde. Kontaktdaten und Termine sind online vor dem Zugriff durch Dritte geschützt.

Datenschutz des Internetauftritts

Beim Erstellen dieser Internetseite wurde bewusst auf Cookies, Social-Media-Plugins und den Einsatz von externen Skripten verzichtet. Dieses Vorgehen erhöht neben dem Datenschutz auch die Barrierefreiheit und hilft Menschen, die beispielsweise aus Sicherheitsgründen das JavaScript und Cookies deaktiviert haben.

Der Server wird gehostet von der manitu GmbH, mit der ein Auftragverarbeitungsvertrag nach Muster gemäß EU-DSGVO geschlossen wurde. Es wird serverseitig als Analyse-Werkzeug der Webalizer verwendet. Ihre IP-Adresse wird dabei vollständig anonymisiert und durch 127.0.0.1 ersetzt. Ich erhalte eine zeitliche Häufigkeitsverteilung, die zeigt, wann und wie häufig die Domain "www.selbstverstehen.de" aufgerufen wurde, ein Ranking der Top 2 selbstverstehen.de/URLs und ein Ranking der Top 10 Anwenderprogramme. Ein Rückschluss auf Ihre Person oder Herkunft ist mir technisch nicht möglich.

Die Businessseite mit Scripten, Cookies und Googleeinbindung hält sich gemäß der Googlerichtlinien an die DSGVO. Durch die dort eingebunden Scripte und Cookies erhalte ich für mich anonymisierte Statistiken. Also wie und mit welchen Suchanfragen Nutzer die Seite gefunden haben und ob für die Suche die Google-Suche oder Google Maps verwendet wurde. Eine Häufigkeitsverteilung zeigt mir die Häufigkeit der besuchten Webseite, der Fotoaufrufe, der Wegbeschreibung und des Telefonkontakts (wann und wie oft) an. Wenn eine Wegbeschreibung aufgerufen wurde, dann wird mir die angeforderte Region angezeigt. Diese statistischen Werte sind Näherungswerte, es ist mir nicht möglich einzelne Nutzer nachzuverfolgen bzw. personenbezogene Daten über diese zu sammeln.

Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO

Gemäß S. 1 lit. a werden personenbezogene Daten für wissenschaftliche Studienzwecke nur nach ausdrücklicher Einwilligung der betroffenen Person verwendet (Art. 9 Abs. 2 lit. a DSGVO). Diese Einwilligung ist nach Art. 7 Abs. 3 DSGVO jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Gemäß S. 1 lit. b erfolgt die Kontaktaufnahme und die Durchführung der vereinbarten Leistungen auf Anfrage der betroffenen oder einer beauftragten Person; bei Kindern sind das i. d. R. die Eltern und in Unternehmen die oder der zuständige Verantwortliche der Abteilung.

Gemäß S. 1 lit. c könnte ich zur Weitergabe der Daten gesetzlich verpflichtet werden. Aufgrund bekannt gewordener Missstände werde ich zum Schutz meiner Patienten und Patientinnen Ersuche auf Zulässigkeit und formale Korrektheit prüfen lassen.

Gemäß S. 1 lit. d in Verbindung mit § 34 StGB, § 1906 BGB oder § 9 HmbPsychKG könnte eine Weitergabe der Daten an das Landeskriminalamt, die Polizei, das Jugendamt oder den Rettungsdienst erforderlich [werden], um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d DSGVO).

Gemäß S. 1 lit. f könnte zur Wahrung der berechtigten Interessen des Verantwortlichen die Weitergabe von Vertragsdaten erforderlich werden. Privatgeheimnisse der Therapie unterliegen selbstverständlich der Schweigepflicht und sind hiervon nicht betroffen. Im Einzelfall kann der Patient oder die Patientin ein begründetes Interesse haben, die Kontaktadresse schützen zu wollen. in diesen Fällen ist die Bezahlung vor der Therapie notwendig zur Vertragserfüllung.

Betroffenenrechte nach der DSGVO

Sie haben das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der von mir gespeicherten Daten zu Ihrer Person bzw. können der Verarbeitung widersprechen (Art. 21). Des Weiteren besteht das Recht auf Beschwerde bei einer Aufsichtsbehörde (...), wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen [die Datenschutz-Grundverordnung] (...) verstößt (Art. 77 DSGVO).

Löschung der Daten

Gemäß der Ordnungsvorschriften für die Aufbewahrung von Unterlagen der Abgabenordnung sind besteuerungsrelevante Unterlagen zehn Jahre aufzubewahren. Hat die betroffene Person ausdrücklich eingewilligt, dass die unter Umständen personenbezogenen Daten für wissenschaftliche Studienzwecke verwendet werden dürfen, dann werden wissenschaftsrelevante Daten nicht gelöscht. Diese Einwilligung kann jederzeit nach Art. 7 Abs. 3 DSGVO widerrufen werden. Ohne diese Einwilligung bzw. nach Widerruf dieser Einwilligung werden Daten ohne Besteuerungsbezug nach Aushändigung der Therapieprotokolle gelöscht. Gemäß Art. 15 Abs. 1 lit. d wird am Ende der Therapieprotokolle vermerkt, ob eine sofortige Löschung der Daten ohne Besteuerungsbezug nach Erhalt der Empfangsbestätigung stattfinden wird. Gegebenfalls wird daran erinnert, dass eine ausdrückliche Einwilligung, die Protokollinhalte oder Kontaktdaten für wissenschaftliche Studienzwecke verwenden zu dürfen, nach Art. 6 Abs. 1 lit. a DSGVO vorliegt; die jedoch jederzeit nach Art. 7 Abs. 3 DSGVO widerrufen werden kann. Führen Anfragen nicht zum Vertragsabschluss, werden die Kontaktdaten und der Schriftverkehr spätestens nach zwei Jahren gelöscht.

Adressverarbeitung

Ich widerspreche einer werblichen Nutzung der Kontaktinformationen, der Zusendung von Spam und der telefonischen Kundengewinnung.