Gruppentherapie online

Was ist datenschutzkonform?

Seit dem 1. April 2019 sind Psychotherapeut*innen grundsätzlich berechtigt, eine Einzelbehandlung per Video als Leistung der gesetzlichen Krankenversicherung (GKV) durchzuführen. Die Bundespsychotherapeutenkammer beschreibt hier die Durchführung. Eine Übersicht der Kassenärztlichen Bundesvereinigung (KBV) ist hier nachzulesen.
Die Gruppenpsychotherapie online könnte eine alternative Durchführungsform während der Pandemie sein, wie es mittlerweile fast jeder bei einem Online-Treffen mit der Familie oder Freunden kennengelernt hat.
Privat können aber andere Dienste genutzt werden als im Gesundheitswesen, in dem schärfere Gesetze und Regeln zum Schutz der persönlichen Daten gelten. In diesem Artikel geben wir Ihnen einen Überblick über wichtige Aspekte des Datenschutzes insbesondere in Bezug auf Gruppentherapie. Wir erheben keinen Anspruch auf Vollständigkeit. Wenn Sie Feedback haben, senden Sie uns dieses gerne an gruppenplatz@hasomed.de.
Seit Oktober 2021 können die Gruppenpsychotherapeutische Grundversorgung und Gruppenpsychotherapien digital mit einem zertifizierten Videodienstanbieter angeboten werden.
  • Max. 9 Personen (max. 8 Teilnehmende + Psychotherapeut*in)
  • Örtliche Nähe soll gegeben sein
  • Psychotherapeutin die Klientinnen auch im persönlichen Kontakt behandelt.
  • Vereinbarung vorab: Wie Sitzungen bei technischen Schwierigkeiten fortgesetzt werden und welche Schritte bei Eigen- oder Fremdgefährdung ergriffen werden.
Hinweis: Ein Technikzuschlag nach der GOP 01450 ist bei den Videositzungen abrechenbar. Bei den Gruppenbehandlungen gilt zudem die Höchstwertregelung, nach der der Zuschlag nur einmal je Gruppenbehandlung vergütet wird.
(Stand Dezember 2021)

Datenschutz zu Videodiensten

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht werden. Dadurch soll der Schutz personenbezogener Daten innerhalb der EU gesichert werden.
Auftragsverarbeitungsvertrag abschließen
Sie haben sich für einen Hersteller einer Software für Videodienste entschieden. Im Anschluss schließen Sie mit dem Hersteller einen Auftragsverarbeitungsvertrag (nach Artikel 28 DSGVO).
Dieser beschreibt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch den Dienstleister, der sich damit verpflichtet, sich an die DSGVO zu halten. Weiterhin werden die technischen und organisatorischen Maßnahmen erläutert und dass der Schutz der Rechte der Nutzer gewährleistet wird. Sie als Psychotherapeut*in sind in diesem Vertrag der Auftraggeber und sichern sich damit ab, dass sie den Dienstleister auf datenschutzkonformen Umgang mit den Klienten*innen-Daten verpflichtet haben.
Meistens erhalten Sie den Vertrag direkt nach einer Registrierung oder dem Vertragsabschluss. Falls der Erhalt nicht erfolgt, sollten Sie Kontakt zum Videodienstleister aufnehmen und einen Auftragsverarbeitungsvertrag anfordern.
  • Beispiel: Alle Psychotherapeut*innen, die über Gruppenplatz zu finden sind, haben den Vertrag zur Auftragsverarbeitung bestätigt.
Im Sinne der DSGVO sollten Sie nur Dienstleister wählen, die innerhalb der EU gehostet sind und damit den strengen Datenschutzanforderungen in Europa unterliegen.
Mehr Infos zum Datenschutz bei der BPtK

Privacy-Shield-Abkommen

Ein Urteil des Europäischen Gerichtshofes vom Juni 2020 erklärt das Privacy-Shield-Abkommen zwischen der EU und den USA für ungültig. Nutzern von US-Diensten, die auch Daten auf US-Server übertragen, können Abmahnungen drohen. Dieses Urteil bezieht sich auch auf Videokonferenzsysteme.
  • Sie sollten für die Behandlung keine Tools und Cloud-Software nutzen, deren Rechenzentren/Server in den USA sind oder deren Sitz/Muttergesellschaft ihren Sitz dort haben.
    Damit fallen Videoanbieter wie Zoom, Skype, GoToMeeting oder ähnliche nicht in die Wahlliste der Software-Anbieter für eine Gruppenpsychotherapie.

Was ist ein Webhoster (Provider)?

Hinter jeder Webseite steht ein Provider. Dieser stellt Webseiten bereit und übernimmt den Betrieb von Webservern und die Netzwerkanbindung.
Die Provider sollten ISO/IEC 27001:2013 zertifiziert sein.
Drei Kernaspekte, die durch diese Norm gewährleistet werden sollen:
  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
Beispiel: Der deutsche Provider von Gruppenplatz erfüllt die höchsten Datenschutzanforderungen und wird zusätzlich nachhaltig mit erneuerbaren Energien betrieben.
Was sind zertifizierte Videodienstanbieter?
Der Begriff "zertifizierter Anbieter" kommt Ihnen bestimmt von der Wahl einer Software für die Videosprechstunde bekannt vor. Bei der Durchführung von Videosprechstunden zulasten der GKV dürfen Ärzte und Psychotherapeuten nur zertifizierte Videodienste nutzen.
Die Kassenärztliche Bundesvereinigung (KBV) und der Spitzenverband der gesetzlichen Krankenversicherung (GKV-SV) führen selbst keine Zertifizierungen von Videodiensten durch. Die Erfüllung der Anforderungen an Videodienstanbieter und deren Dienste gemäß Anlage 31b zum BMV-Ä wird von unabhängigen zertifizierenden Stellen geprüft.
Derzeit gibt es Zertifizierungen "nur" für Hersteller, die Peer-to-Peer Verbindungen anbieten. Leider hat diese Verbindungsart für Gruppen einen großen Nachteil, da allerhöchstens 6 Teilnehmer mit einer stabilen Verbindung an einer Gruppe teilnehmen können. Die Voraussetzung für eine stabile Verbindung sollte auch bei allen Teilnehmern vorhanden sein, was aber bei den sehr unterschiedlichen Bandbreiten der Internetverbindung in den verschiedenen Regionen Deutschlands häufig ein Problem darstellt.
Viele Videodienst-Anbieter haben Pläne die Gruppen-Funktion zu entwickeln. Uns bekannte Dienste sind WebPrax, Doccura, arztkonsultation.de, medityme.com, sprechstunde.online und weitere.
Prinzip der Datensparsamkeit
Alle Daten, ob digital oder analog, haben ein gewisses Datenschutzrisiko. Die sichersten Daten sind keine Daten. Da dies aber in der Realität schwer umzusetzen ist, hat man das Prinzip der Datensparsamkeit etabliert, also die Beschränkung der Daten auf das unbedingt Notwendige.
Systeme können beispielsweise durch folgende Maßnahmen der Datensparsamkeit sicherer werden:
  • Anonyme Benutzerzugänge – keine realen Namen
  • Kein Versand einer E-Mail zur Gruppensitzung, sondern Einwahl über einen gesicherten Account. Eine E-Mail, die nicht verschlüsselt ist, ist vergleichbar mit einer Postkarte.
  • Nur die notwendigsten personenbezogenen Daten
  • Wichtig! Keine Funktion die Behandlung aufzuzeichnen
Wie Sie sicher mit Klient*innen einer Gruppe kommunizieren, finden Sie hier in diesem Beitrag.
Welche Verbindungsarten gibt es?
 
Web Real Time Communication - WebRTC
WebRTC ist weit verbreitet. Die Abkürzung steht für "Web Real Time Communication" und ist ein offener Standard. Auf diese Weise kann man sehr einfach direkt über den Internet-Browser an einem Videogespräch teilnehmen. Der Standard erlaubt den Browsern die Übertragung von Sprache und Video in Echtzeit von einem Browser zum anderen Browser.
Die Übertragung bei WebRTC-Anwendungen erfolgt über ein Secure Real-Time Transport Protocol (SRTP) mit einer Direktverbindung. Auf diese Weise wird die Kommunikation direkt von Browser zu Browser übertragen, ganz ohne Zwischenschaltung eines zentralen Servers. WebRTC stellt eine Punkt-zu-Punkt Verbindung her und gewährleistet eine Verschlüsselung mittels Datagram Transport Layer Security (DTLS) (Quelle: Wikipedia)
Generell sind bei WebRTC kein Benutzerkonto notwendig. Es müssen keinerlei persönliche Daten angegeben werden. Dennoch ist WebRTC momentan noch nicht als alleiniger Standard für die Videosprechstunde von der KBV zugelassen. Es benötigt eine weitere Peer-to-Peer Verbindung.
WebRTC.jpg
Peer-to-Peer (P2P) Verbindung
Peer-to-Peer ist die derzeitige Voraussetzung für ein Videosystem, welches von der KBV zugelassen wird. Das englische Wort "Peer" bedeutet auf Deutsch "Gleichgestellte".
Eine Peer-to-Peer Verbindung wird von vielen Videodiensten über WebRTC angeboten. Peer-to-Peer bezeichnet die Verbindung der Rechner-Netze. Man könnte sie auch Kollege-zu-Kollege Verbindung nennen. Hier sind mehrere Computer oder Mobilgeräte untereinander verbunden und arbeiten gleichwertig zusammen. Es gibt keinen zentralen Server, über den die Datenübermittlung läuft. Damit besteht auch nicht die Möglichkeit, dass der Softwareanbieter potentiell die Daten der Videosprechstunde zwischenspeichert.
Peer-to-Peer.jpg
Client-Server-Modell (Zentraler Server)
In dem Client-Server-Modell übernimmt der 'Server' die Rolle des Dienstleisters und der 'Client' die Rolle des Kunden. Typische Anwendungen sind E-Mail-Programme, der Zugriff auf Internetseiten oder das Transferieren von Dateien.
Standard-Protokolle wie FTP (File Transfer Protokoll), HTTPS (Hypertext Transfer Protocol Secure) regeln den Ablauf der Kommunikation und den Informationsaustausch zwischen dem Client (Kunden) und dem Server (Dienstleister).
In diesem Modell wird die Verwaltung der Services, Ressourcen und Datenspeicherung zentral durchgeführt. Über die zentrale Steuerung erhält man individuelle Zugriffsrechte. Ein Risiko besteht, wenn der Server ausfallen sollte. In diesem Fall stehen die Dienste auch nicht zur Verfügung.
Client-Server-Modell.jpg
Sie haben Fragen oder Anmerkungen?
Schreiben Sie uns gerne an gruppenplatz@hasomed.de.