Erste Video-Sprechstunde erhält ein Zertifikat nach Art. 42 DSGVO

Seit der Corona-Pandemie gehören Video-Sprechstunden zum Zweck der medizinischen Behandlung zum Alltag. Die bereits 2016 auf den Weg gebrachte und dann mehrfach angepasste Anlage 31b des Bundesmantelvertrags-Ärzte (BMV-Ä) beschreibt die technischen Anforderungen an Video-Sprechstunden. Die Vereinbarung zwischen KBV und GKV fordert hohe Standards im Hinblick auf Verschlüsselung, Server-Standorte, Speicherminimierung (Videostreams dürfen nicht gespeichert werden!), technisch-organisatorische Maßnahmen (TOM), Identitäts- und Zugriffsschutz. Sie verbietet Tracking und verlangt, dass alle Unterauftragsverarbeiter offengelegt werden.

Den Nachweis über die Einhaltung der Anforderungen soll – so steht es ausdrücklich seit 2021 in der Anlage 31b – über ein Zertifikat nach Artikel 42 DSGVO erfolgen. Leider gab es über Jahre hinweg ein unüberwindbares Hindernis zur Erlangung eines solchen Zertifikats: Keine Zertifizierungsstelle war durch die Deutsche Akkreditierungsstelle DAkkS oder eine andere europäische Stelle berechtigt, ein solches Zertifikat nach Artikel 42 auszustellen. Die Übergangsfrist, während die Anbieter von Video-Sprechstunden ihre Konformität per ISO/IEC 17065-Zertifikat oder Selbstauskunft nachweisen konnten, wurde daher immer wieder verlängert. Erst im April 2025 erhielt datenschutz-cert die Akkreditierung. 

Ein echtes Zertifikat nach Art. 42 DSGVO ist ein dickes Brett: Die IT-gestützte Verarbeitung personenbezogener Daten wird nach einem 130-seitigen Kriterienkatalog auditiert – von der Zulässigkeit der Datenverarbeitung und datenschutzrechtlichen Grundsätzen über Auftragsverarbeitung, technisch-organisatorische Maßnahmen und Datenschutz-Management bis zu Betroffenenrechten und Datenübermittlung in Drittstaaten.

Genau das haben wir gemeinsam mit unserem Kunden jetzt erreicht. Damit haben wir – nach unser Kenntnis – die erste Video-Sprechstunde in Deutschland durch diesen Zertifizierungsprozess gebracht: Von der Erstellung des Referenzdokuments über das Datenschutzmanagement bis zur Datenschutzfolgenabschätzung haben wir die Grundlagen für das erste “echte” Zertifikat für eine Video-Sprechstunde geschaffen. 

Wenn Sie selbst eine Video-Sprechstunde, ein Telemedizin-Produkt oder eine andere sensible Datenverarbeitung betreiben und prüfen möchten, ob ein Zertifikat nach Art. 42 DSGVO für Sie sinnvoll ist, sprechen Sie uns an: service@brainosphere.de