KVKK-Datenschutz-Compliance für Therapeuten: Klientennotizen Rechtssicher Speichern

Für einen Psychologen gehört die Sitzungsnotiz eines Klienten zu den sensibelsten Ergebnissen seiner professionellen Tätigkeit. Sie enthält die verletzlichsten Momente einer Person, ihre Beziehungen, ihre Ängste — und bisweilen Informationen, die in einem rechtlichen Kontext relevant werden könnten. Den Schutz dieser Notizen zu gewährleisten ist nicht nur eine ethische Verantwortung; es ist eine gesetzliche Pflicht.

In der Türkei stuft das Gesetz Nr. 6698 — KVKK (das türkische Datenschutzgesetz, vergleichbar mit der DSGVO) — Gesundheitsdaten als „besondere Kategorie personenbezogener Daten" ein. Die Regeln für diese Kategorie sind erheblich strenger. Unsachgemäße Speicherung, unzulässige Weitergabe oder unzureichende Verschlüsselung können zu Bußgeldern in Millionenhöhe (türkische Lira) führen.

Dieser Artikel beleuchtet, was KVKK-Compliance für freiberufliche Therapeuten und Kliniken bedeutet, welche Schritte unternommen werden müssen und was in der Praxis häufig übersehen wird.

Warum Werden Gesundheitsdaten als „Besondere Kategorie" Eingestuft?

Artikel 6 des KVKK unterscheidet bestimmte Datenkategorien vom Rest. Gesundheitsinformationen, Daten zum Sexualleben, rassische oder ethnische Herkunft, politische Meinungen und religiöse Überzeugungen fallen in diese besondere Kategorie.

Die Verarbeitung dieser Daten erfordert die „ausdrückliche Einwilligung der betroffenen Person". Das bedeutet, der Klient muss klar verstehen und genehmigen, welche seiner Daten verarbeitet werden, zu welchem Zweck, wie lange und mit wem sie geteilt werden können. Ein allgemeines „Ich stimme zu"-Häkchen reicht nicht aus.

Die Sitzungsnotizen eines Therapeuten, Aufnahmeformulare, Zahlungsinformationen und sogar Termindaten fallen in diesen Geltungsbereich. Denn selbst die Information „Herr Müller geht jeden Donnerstag um 14 Uhr zu Psychologe X" — wenn sie einem Dritten gegenüber bekannt wird — stellt eine gesundheitsbezogene Schlussfolgerung über diese Person dar.

Wer Ist der Verantwortliche? Sind Sie Es?

Der Begriff des „Verantwortlichen" ist zentral im KVKK. Der Verantwortliche ist die Person oder Organisation, die entscheidet, warum und wie Daten verarbeitet werden.

Wenn Sie als freiberuflicher Therapeut arbeiten, ja — Sie sind der Verantwortliche. Wenn Ihr Jahresumsatz oder Ihre Mitarbeiterzahl bestimmte Schwellenwerte übersteigt, sind Sie außerdem verpflichtet, sich bei VERBİS (dem türkischen Register der Verantwortlichen) zu registrieren.

Wenn Sie unter dem Dach einer Klinik arbeiten, ist die Klinik der Verantwortliche und Sie sind in der Position des „Auftragsverarbeiters". Wenn Sie jedoch Notizen auf Ihrem eigenen Gerät aufbewahren oder zusätzliche Software ohne Wissen der Klinik nutzen, wird die Verantwortung geteilt — und komplizierter.

Wenn Sie eine Terminplanungssoftware verwenden, wird Ihr Softwareanbieter zu Ihrem „Auftragsverarbeiter". In diesem Fall ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Anbieter eine gesetzliche Anforderung.

9 Schritte zu Einer KVKK-Konformen Praxis

Die folgende Checkliste umfasst die praktischen Schritte, die ein freiberuflicher Therapeut oder eine kleine Klinik für die KVKK-Compliance unternehmen muss.

1. Bereiten Sie einen Text zur ausdrücklichen Einwilligung vor. Sie benötigen ein Dokument, das in klarer Sprache erklärt, welche Daten des Klienten verarbeitet werden, zu welchem Zweck, wie lange und von wem. Kopieren Sie keine Vorlage aus dem Internet — er muss auf Ihre spezifische Praxis zugeschnitten sein.

2. Halten Sie die Datenschutzerklärung als separates Dokument vor. Unter KVKK sind „ausdrückliche Einwilligung" und „Informationspflicht" zwei separate Verpflichtungen. Die Informationspflicht besteht darin, den Klienten auch ohne vorherige Einwilligung zu informieren.

3. Speichern Sie Daten mit Verschlüsselung. Excel, Word und Telefonnotizen sind nicht zulässig. Sie benötigen ein System mit Ende-zu-Ende-Verschlüsselung nach AES-256-Standard oder besser.

4. Führen Sie Zugriffsprotokolle. Welche Notiz wurde wann von wem geöffnet — dies muss dokumentiert werden. Dieses Protokoll kann bei einer Prüfung angefordert werden.

5. Legen Sie Datenspeicherfristen fest. Für Gesundheitsdaten gelten spezifische Aufbewahrungsfristen (in der Regel 10 Jahre nach der letzten Sitzung). Daten, deren Aufbewahrungsfrist abgelaufen ist, müssen vernichtet werden.

6. Bereiten Sie einen Plan für die Meldung von Datenschutzverletzungen vor. Tritt eine Datenschutzverletzung auf, sind Sie verpflichtet, die KVKK-Behörde innerhalb von 72 Stunden zu benachrichtigen. Das Fehlen eines im Voraus geplanten Verfahrens ist selbst ein Grund für zusätzliche Bußgelder.

7. Schließen Sie mit jeder Drittanbieter-Software einen AVV ab. Jeder Dienst, der Klientendaten berührt — Terminplanungssoftware, Cloud-Backup, E-Mail-Anbieter — erfordert einen Auftragsverarbeitungsvertrag.

8. Halten Sie Daten in der EU oder der Türkei. Die Übertragung von Daten auf Server in den USA erfordert zusätzliche Genehmigungen und Verträge. In der Praxis ist das Vorhalten von Daten innerhalb der EU der sicherste Ansatz.

9. Führen Sie jährliche Überprüfungen durch. KVKK-Entscheidungen und -Vorschriften entwickeln sich weiter. Eine jährliche Compliance-Prüfung ist eine gute Gewohnheit.

4 Häufige Fehler in der Praxis

Es lohnt sich, die häufigsten Fehler zu benennen, denn sie passieren auch wohlmeinenden Therapeuten.

Einwilligung über WhatsApp einholen. Eine über WhatsApp gesendete Nachricht „Ich habe es gelesen und stimme zu" gilt nach KVKK nicht als gültige ausdrückliche Einwilligung. Ein schriftliches, datiertes und mit verifizierten Identitätsdaten versehenes Dokument ist erforderlich.

Klienten in Telefonkontakten speichern. Einen Klienten mit Namen und einem Vermerk wie „Therapie-Klient" im Telefon gespeichert zu haben, ist bereits ein Datenschutzrisiko. Es reicht, dass jemand Ihr Telefon in die Hand nimmt.

Notizen per unverschlüsselter E-Mail versenden. Notizen per unverschlüsselter E-Mail an einen Supervisor, eine Versicherung oder einen Kollegen weiterzuleiten ist ein ernsthaftes Risiko.

Kein Backup auf einem separaten Gerät. Wenn Ihr Gerät ausfällt, gehen die Daten verloren. Aber auch das Backup muss in einer verschlüsselten, KVKK-konformen Umgebung aufbewahrt werden.

Software-Bewertung: 5 KVKK-Fragen, Die Sie Stellen Sollten

Wenn Sie ein Terminplanungs- oder Praxisverwaltungsprogramm beurteilen, verlangen Sie klare Antworten auf diese Fragen:

Wo werden die Daten gespeichert? Standorte außerhalb der EU oder der Türkei sind riskant.

Gibt es Ende-zu-Ende-Verschlüsselung und welcher Standard wird verwendet? AES-256 ist der minimal akzeptable Standard.

Wird auf Anfrage ein Auftragsverarbeitungsvertrag unterzeichnet? Lautet die Antwort „nein" oder „noch nicht", suchen Sie eine Alternative.

Werden meine Daten für das Training von KI verwendet? Im Vertrag sollte eine ausdrückliche Klausel vorhanden sein.

Wenn ich kündige, kann ich meine Daten exportieren und vollständig aus dem System löschen lassen? Das „Recht auf Vergessenwerden" nach KVKK muss auch für Sie gelten.

Fazit: Compliance Ist Teil des Berufs

KVKK-Compliance kann für Therapeuten wie eine zusätzliche bürokratische Last erscheinen. Aber mit den richtigen Werkzeugen läuft sie nach der Einrichtung weitgehend im Hintergrund ab.

Und der größte Vorteil der Compliance ist nicht das Vermeiden von Bußgeldrisiken. Der eigentliche Vorteil ist, Ihren Klienten sagen zu können: „Ihre Daten liegen in meiner Verantwortung und sind wirklich geschützt." Das ist die Grundlage der therapeutischen Beziehung.

Calemio ist Ende-zu-Ende verschlüsselt, Daten werden in EU-Rechenzentren gespeichert und die Plattform wurde auf KVKK- und DSGVO-Konformität geprüft. Ein Auftragsverarbeitungsvertrag steht allen Fachleuten zur Verfügung, die ihn anfordern. Sie können mit einer kostenlosen Testversion beginnen.