Praxis & Recht

An alles gedacht?


DSGVO  Seit dem 25. Mai gilt die Datenschutzgrundverordnung – auch in Arztpraxen. Sie wartet mit einer Reihe von verpflichtenden Maßnahmen auf. Ein Überblick über das, was Sie in Ihrer Praxis geregelt haben sollten, damit Ihnen böse Überraschungen erspart bleiben.


Text: Ulrike Scholderer

In Kraft getreten ist die Europäische Datenschutzgrundverordnung (DSGVO) schon im Mai 2016. Vor gut drei Wochen, am 25. Mai dieses Jahres, endete die zweijährige Übergangsfrist. Nun sind die Vorgaben verpflichtend. Zugegeben, durch die parallele Geltung von deutschem und europäischen Recht ist der Datenschutz gerade auch für Arztpraxen recht kompliziert. Aber wer die grundlegenden Vorschriften kennt und befolgt, ist schnell auf der sicheren Seite.

Die DSGVO wiederholt im Wesentlichen, was mit dem Bundesdatenschutzgesetz in Deutschland schon seit Langem gilt: Daten müssen sicher aufbewahrt werden, sie sind sparsam zu erheben und dürfen nur für den ursprünglich vorgesehenen Zweck verwendet werden. Neu ist allerdings eine Umkehr der Beweislast. Sie als Arzt unterliegen jetzt Rechenschaftspflichten. Das heißt, dass Ihre Praxis jederzeit in der Lage sein muss nachzuweisen, dass die Grundsätze und Vorschriften der DSGVO eingehalten werden. Am einfachsten lässt sich diese Nachweispflicht mit einem Datenschutzhandbuch erfüllen, das regelmäßig gepflegt wird. 

Um welche Daten geht es?

Im Zentrum der neuen Datenschutzregelungen stehen personenbezogene Daten. Sie sollen vor Missbrauch geschützt werden – zum Wohle der Betroffenen. Personenbezogene Daten, das ist ein weit gefasster Begriff. Darunter fallen alle Informationen, die einer konkreten Person – eventuell mit Hilfe Dritter – zugeordnet werden können. Deshalb sind selbst Daten wie die IP-Adresse, die beim Besuch einer Praxiswebsite hinterlassen wird, oder Befunde und Röntgenaufnahmen, auch ohne Angabe eines Namens, von den Vorschriften umfasst. Im medizinischen Kontext fallen zudem viele Informationen an, die das Gesetz als „besondere Kategorie von personenbezogener Daten“ noch stärker schützen will. Dazu gehören unter anderem Gesundheitsdaten, genetische und biometrische Daten sowie Sozialdaten. Neben diesen „sensiblen“ Daten werden in jeder Praxis auch Daten von Beschäftigten, Lieferanten und Dienstleistern verarbeitet. 

Damit der Umgang mit Daten unter den Anwendungsbereich der DSGVO fällt, muss ihre Verarbeitung durch den Arzt veranlasst sein. Das ist grundsätzlich für das gesamte Praxisgeschehen regelmäßig der Fall. Verarbeitung ist wie der Begriff der personenbezogenen Daten ebenfalls sehr weit zu verstehen: Gemeint ist jede Art von Erheben, Ändern, Speichern und Übermitteln. Und das völlig unabhängig von der Art und Weise: Elektronische und analoge Datensammlungen sind gleichgestellt. Damit ist also auch die herkömmliche, auf Karteikarten geführte, analoge Patientenakte gemeint.

Das sollten Sie erledigt haben:
  • Verzeichnis der Verarbeitungstätigkeiten erstellen
  • Prüfen, ob ein Datenschutzbeauftragter bestellt werden muss
  • Datenschutzerklärung für Patienten
  • Formulare und Verträge mit Dienstleistern prüfen und ergänzen
  • Sicherheit der IT-Systeme prüfen und dokumentieren
  • Mitarbeiterschulung
  • Interne Datenschutzrichtlinie

Verzeichnis von Verarbeitungstätigkeiten

Eine zentrale Vorschrift ist die Erstellung eines Verzeichnisses aller Datenverarbeitungsprozesse. Dieses Verzeichnis dient vor allem dem eigenen Datenschutzmanagement und ist gleichzeitig ein Instrument der Kontrolle durch die Aufsichtsbehörden. Zwar regelt Art. 30 DSGVO die Inhalte dieses Verzeichnisses, eine verbindliche Formvorschrift gibt es nicht. Sie können das Verzeichnis also einfach als Excel- oder Worddatei aufsetzen. Aufzulisten sind zunächst Name und Kontaktdaten der Praxis und des verantwortlichen Arztes. Sofern ein Datenschutzbeauftragter bestellt ist, kommen dessen Name und Kontaktdaten hinzu. Das Verzeichnis benennt die einzelnen Verarbeitungsprozesse mit dem Zweck, der Beschreibung der Kategorien der betroffenen Personen und der personenbezogenen Daten, die Kategorien der Empfänger soweit möglich, die vorgesehenen Fristen zur Löschung der Daten und, ebenfalls im Rahmen des Möglichen, eine Beschreibung der Sicherheit der Prozesse nach Art. 32 DSGVO. Bitte beachten Sie: Auch die Verarbeitungsprozesse auf beruflich genutzten Smartphones und Tablets gehören in dieses Verzeichnis!

Wann brauchen Sie einen Datenschutzbeauftragten?

Nach Art. 37 DSGVO müssen Sie unter bestimmten Voraussetzungen einen Datenschutzbeauftragten für Ihre Praxis benennen. Das ist immer dann der Fall, wenn in Ihrer Praxis zehn Personen oder mehr regelmäßig mit Datenverarbeitung beschäftigt sind. Hier gilt: Ein Anstellungsverhältnis ist dafür nicht notwendig, Krankheit und Urlaub unterbrechen die Regelmäßigkeit nicht und Sie als Arzt zählen selbstverständlich mit! Auch unabhängig von der Anzahl der mit der Datenverarbeitung in der Praxis befassten Personen kann ein Datenschutzbeauftragter benannt werden müssen, beispielsweise, wenn Daten in Prozessen verarbeitet werden, die eine Datenschutzfolgenabschätzung notwendig machen. Allerdings wird das die Ausnahme sein.

Betroffenenrechte

Die Patienten haben das Recht zu überprüfen, ob die gesetzlichen Grenzen für die Verarbeitung und Nutzung der zu ihrer Person gespeicherten Daten eingehalten werden. Ein ganzes Bündel von Rechten hält der Gesetzgeber dafür bereit. Es umfasst den Informationsanspruch, das Auskunftsrecht, das Recht auf Berichtigen und Löschen sowie Datenübertragbarkeit und das Recht, der Datenverarbeitung unter bestimmten Voraussetzungen zu widersprechen. Es empfiehlt sich daher, den Patienten eine Transparenzerklärung auszuhändigen, die die Datenverarbeitungsprozesse beschreibt und gleichzeitig den Patienten über seine Recht aufklärt. Ihr PVS stellt Ihnen die notwendigen Dokumente im Zusammenhang mit Abrechnung der privatärztlichen Honorare gern zur Verfügung.

Was bei Verstößen droht

Grundsätzlich sind Sie verpflichtet, Verletzungen der Vorgaben zum Schutz personenbezogener Daten der zuständigen Aufsichtsbehörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden zu melden. Eine Verletzung liegt vor, wenn personenbezogene Daten vernichtet oder verändert wurden oder es zu einer unbefugten Offenlegung oder einem unbefugten Zugriff auf die Daten gekommen ist. Es drohen hohe Bußgelder – bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.

Wichtig ist: Der Datenschutz ist als Thema in der Gesellschaft angekommen. Zudem können nicht nur die Betroffenen, also die Patienten selbst, sondern auch Wettbewerber und Verbände Sie mit Abmahnungen und Zivilklagen überziehen, sofern offensichtliche Versäumnisse oder Verstöße gegen den Datenschutz nachweisbar sind. Aber so weit wird es sicherlich nicht kommen. Denn dass ein umsichtiger Umgang mit den Patientendaten für das Vertrauensverhältnis zwischen Arzt und Patient ebenso existenziell ist wie das ärztliche Berufsethos, versteht sich von selbst. Jetzt gilt es, das ganze Team für die Fragen des Datenschutzes zu sensibilisieren, Prozesse zu überprüfen und zu dokumentieren. Ihre PVS unterstützt Sie gern.


Von Ihrer PVS erhalten Sie Informationen:
  • zur Patienteninformation zum Datenschutz
  • zur PVS-Transparenzerklärung
  • aktualisierte Einwilligungserklärungen
  • eine Ergänzung zu den bestehenden vertraglichen Vereinbarungen
  • und die Broschüre „DSGVO in der Praxis

Wir verwenden auf dieser Seite Cookies. Wenn Sie auf OK klicken oder weiter diese Seite nutzen, sind Sie mit der Nutzung von Cookies einverstanden. Mehr Informationen und Möglichkeit zur Deaktivierung.