In der EU gilt ab de, 25.05.2018 in der gesamten Europäischen Union die EU-Datenschutzgrundverordnung. Die EU-DSGVO gegen über dem nationalen Datenschutzrecht als vorrangig und soll insbesondere allen, die mit personenbezogenen Daten arbeiten, den Datenschutz bewusst machen. Verstöße gegen das EU-DSGVO können zu empfindlichen und im schlimmsten Fall zu existenzbedrohenden Strafen führen.
Datenschutz in der Arztpraxis
Die folgenden Informationen sollen Ihnen lediglich Anhaltspunkte und Empfehlungen für die Umsetzung und Einhaltung der EU-DSGVO geben und beinhalten nicht sämtliche rechtliche Vorschriften. Die
Angaben erfolgen ohne Gewähr auf Vollständigkeit und Richtigkeit.
Wir empfehlen Ihnen ergänzend die Schulungsangebote Ihrer KV und der Aufsichtsbehörde in Anspruch zu nehmen.
Viele Anforderungen an die Pflege und den Schutz Ihrer EDV-Anlage müssen Sie nicht selbst übernehmen. Wir bieten Ihnen im Rahmen unsres e+e VIP Wartungs- und Servicepaktes diese umfangreichen Leistungen gerne an.
Interne Maßnahmen
Sie müssen die Einhaltung der EU-DSGVO in Ihrer Praxis dokumentieren und nachweisen können. Dafür ist es erforderlich ein entsprechendes Datenschutzmanagement zu etablieren.
-
Überprüfung Ihrer Vorgänge im Umgang mit personenbezogenen Daten (Patientendaten)
Dafür sind alle elektronischen und sonstigen Verarbeitungsvorgänge in Bezug auf die datenschutzrechtlichen Vorgaben hin zu überprüfen und ggf. geeignete Maßnahmen zur Einhaltung zu ergreifen.
-
Erstellung eines Verzeichnisses für Verarbeitungsvorgänge
Sie müssen ein Verzeichnis für Verarbeitungstätigkeiten führen und dieses jederzeit, auf Verlangen der zuständigen Aufsichtsbehörde, vorzeigen können. Das Verzeichnis muss ansonsten nicht offengelegt werden.
In dem stets aktuellen Verzeichnis muss dokumentiert werden, in welchem Zusammenhang Sie mit personenbezogenen Daten arbeiten. Enthalten sein muss dabei mindestens:
- Name und Kontaktdaten des Verantwortlichen
- Zwecke der Verarbeitung
- Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- Kategorien von Empfängern von Daten
- wenn möglich, vorgesehene Fristen zur Löschung
Verweise auf Musterformulare finden Sie am Ende dieses Artikels
-
Etablierung eines Datenschutzbeauftragten
Sobald mindestens 10 Personen bei Ihnen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, müssen Sie einen internen oder externen Datenschutzbeauftragten benennen, diesen fachlich, z. B. durch entsprechende Schulungsmaßnahmen, qualifizieren und der zuständigen Aufsichtsbehörde melden. Praxisinhaber dürfen diese Aufgabe nicht übernehmen.
Der Datenschutzbeauftrage gilt in Ihrer Praxis als externer und interner Ansprechpartner für alle Fragen zum Datenschutz und kontrolliert bei Ihnen die Einhaltung der EU-DSGVO.
-
Überprüfung der Vereinbarungen und Verpflichtungen mit dem Personal
Sie sollten Ihrem Personal eine Richtlinie an die Hand geben, aus der sich die Vorgehensweise, die erforderlichen Verhaltensweisen und die Verantwortlichkeiten im Umgang mit Patientendaten ergibt.
Weiterhin sollten Sie Ihr Personal zur Einhaltung des Datenschutzes gemäß der EU-DSGVO und zur Einhaltung der o. g. internen Datenschutzrichtlinie schriftlich verpflichten. -
Datensicherheit
Ein großes Thema ist die Sicherheit Ihrer Daten. Hier müssen Sie geeignete Maßnahmen ergreifen, dass Ihre Daten sowohl gegenüber internen als auch externen Angreifern geschützt sind.
Geeignete Maßnahmen sind u. a.:
- Gesicherter und beschränkter Zugang zu Ihren Räumlichkeiten
- Gesicherter und beschränkter Zugang zu Patientendokumenten
- Beschränkung der Zugriffsrechte für Mitarbeiter
- Regelmäßig wechselnde und sichere Passwörter
- Beschränkter Internetzugang mit Blockierung von gefährlichen Internetseiten
Lösung: e+e Managed WebProtection
- Stets aktuelle AntiVirus Lösung
Lösung: e+e Managed AntiVirus
- Firewall
- Überwachung von unberechtigten Zugriffsversuchen auf Ihre EDV-Anlage
Lösung: e+e VIP Wartungs- und Servicepaket
- Tägliche, verschlüsselte und überwachte und ausgelagerte Datensicherung
Lösung: e+e Managed Online Backup
- Regelmäßige und überwachte Installation von Betriebssystem- und Sicherheitsupdates
Lösung: e+e VIP Wartungs- und Servicepaket
- Regelmäßige Kontrolle der Ereignisprotokolle Ihrer Rechner, insbesondere Ihres Servers um z. B: Versuche von unberechtigten Zugriffsversuchen (Hackerangriffen) frühzeitig erkennen zu können.
Lösung: e+e VIP Wartungs- und Servicepaket
-
Internetauftritt, Facebook, ...
Hier sollten Sie Ihre Datenschutzerklärungen prüfen und ggf. anpassen. Das gilt insbesondere dann, wenn Sie mit Kontaktformularen oder Newsletter arbeiten oder Onlineterminbuchungen anbieten. Bei Onlineterminbuchungen ist Wiederum zu beachten, dass dabei ggf. personenbezogene Daten über Dritte übermittelt und ggf. sogar bei Dritten gespeichert werden. Darüber müssen die Patienten aufgeklärt und deren Zustimmung eingeholt werden. Siehe auch die Ausführungen im nächsten Kapitel.
Umgang mit Ihren Patienten
-
Einwilligungserklärungen
Die Behandlung Ihrer Patienten ist grundsätzlich gesetzlich geregelt und erfordert keiner besonderen Einwilligung des Patienten zur Verarbeitung seiner Daten. Ausnahmen sind die Weitergabe von Daten an dritte, z. B. an eine private Verrechnungsstelle. In dem Fall müssen Sie, wie bisher auch, eine gesonderte, schriftliche Einwilligung des Patienten zur Datenweitergabe einholen, darin jedoch auch eine jederzeitige Wiederrufbarkeit angeben.
-
Transparente Information Ihrer Patienten
Sie müssen Ihre Patienten in präziser, transparenter, verständlicher und leicht zugänglicher Form, z. B. durch einen Aushang in Ihrem Wartezimmer, in einer klaren und einfachen Sprache darüber informieren, was zu welchem Zweck mit dessen personenbezogenen Daten gemacht wird. Konkret müssen Sie insbesondere über folgende Punkte informieren:
- Namen und Kontaktdaten des Verantwortlichen
- Kontaktdaten eines Datenschutzbeauftragten, sofern vorhanden
- Zwecke und Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten
- Interessen des Verantwortlichen, wenn er Daten auf Basis einer Interessenabwägung verarbeiten möchte
- Empfänger der Daten, wenn der Verantwortliche sie weitergeben möchte
- Dauer der Speicherung der Daten sowie Kriterien für die Löschung
- Hinweis auf das Recht um Auskunft, Berichtigung und Löschung der Daten
- Hinweis darauf, dass eine gegebene Einwilligung zur Datenverarbeitung jederzeit Wiederrufen werden kann
- Hinweis auf ein Beschwerderecht bei der Aufsichtsbehörde
- Benennung der Aufsichtsbehörde
-
Auskunftsrecht des Patienten
Patienten haben das Recht ihre bei Ihnen erfassten Daten einzusehen und Auskunft darüber von Ihnen zu verlangen. Hierzu empfehlen wir Ihnen frühzeitig ein Verfahren dafür in Ihrer Praxis zu beschreiben, damit jeder Mitarbeiter weiß wie er mit solchen Anfragen umgehen soll.
-
Aufbewahrung und Löschung von Daten
Im EU-DSGVO Art. 17 sind Fristen für die Aufbewahrung und Löschung von Daten definiert. Auch hierzu sollten Sie intern eine Richtlinie und ein Verfahren definieren um diese Fristen regelmäßig zu prüfen und einzuhalten.
Vereinbarungen mit Dienstleistern
Mit externen Dienstleistern, z. B. EDV-Unternehmen, Labore und Privatärztlichen Verrechnungsstellen müssen Sie Verträge abschließen, die Vereinbarungen und Verpflichtungen zum Datenschutz sowie den strafrechtlichen Aspekt der ärztlichen Schweigepflicht berücksichtigen.
-
Vereinbarung nach den Vorschriften zur Auftragsverarbeitung
Bei einem Anbieter, der sich z. B. um die Wartung und Pflege Ihrer EDV-Anlage kümmert, so wie wir es sind, sollten Sie eine Vereinbarung treffen, die den Anforderungen Art. 28 Abs. 3 EU-DSGVO entspricht. Wir schicken Ihnen automatisch einen entsprechenden Vertrag zu.
-
Verpflichtung zur Geheimhaltung
In Verträgen mit externen Dienstleistern sind neben den datenschutzrechtlichen Vorgaben auch Verpflichtungen aufzunehmen, nach denen die mitwirkenden Dritten zur Geheimhaltung verpflichtet werden. Das Unterlassen kann zu einer Strafbarkeit führen!
Umgang mit Aufsichtsbehörden
-
Befugnisse der Aufsichtsbehörden
Eine Aufsichtsbehörde hat nur eingeschränkte Rechte zu Kontrolle der Einhaltung des Datenschutzes. So besteht Ihrerseits keine Auskunftspflicht über Patientengeheimnisse. Auch Durchsuchungen dürfen nur durchgeführt werden, wenn diese die Verletzung Ihrer Geheimhaltungspflichten nicht zu Folge haben.
Eine generelle Verweigerung zu Zusammenarbeit mit der Aufsichtsbehörde, unter Verweis auf Ihre Geheimhaltungs- oder Schweigepflicht, sollten Sie unterlassen, da eine unberechtigte Verweigerung zu einem Bußgeld führen kann.
-
Auskunftsverweigerung bei einer Selbstbelastung
Sollte die Gefahr bestehen, dass Sie bei einer Auskunft eine strafrechtliche Verfolgung riskieren (z. B. bei einer Verletzung der Schweigepflicht) können Sie die Auskunft verweigern.
-
Meldepflicht bei Verstößen gegen den Datenschutz
Verstöße gegen den Datenschutz, z. B. der unberechtigte Zugriff von Dritten auf Ihre Daten, Hackangriffe und Verstöße gegen den Datenschutz durch Mitarbeiter sollten In der Regel innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. Dafür sollten Sie frühzeitig eine Richtlinie definieren wie in so einem Falle vorgegangen werden soll, wer die Meldung durchführt und wohin diese geschickt werden muss.
Sollte sich die Person, die die Meldung durchführt, dabei selbst belasten, ist die Meldung zwar dennoch durchzuführen, kann in einem Straf- oder Ordnungswiedrigkeitsverfahren jedoch nur mit Zustimmung des Arztes verwendet werden.
Vorlagen und weiterführende Informationen
- KBV: Ausführliche Informationen, Checklisten und Musterformulare
- Was Praxen tun müssen als PDF-Dokument
- Muster: Patienteninformtion zum Datenschutz
- Muster: Verzeichnis von Verarbeitungstätigkeiten
-
Ausfüllbeispiel: Verzeichnis von Verarbeitungstätigkeiten
- Broschüre "Erste Hilfe zur Datenschutz-Grundverordung". Erschienen im Verlag C.H. Beck
Datenschutz Aufsichtsbehörden
Niedersachsen
Der Landesbeauftragte für den Datenschutz Niedersachsen
Brühlstraße 9, 30169 Hannover
Telefon: 0511 120 - 4500 / Telefax: 0511 120 - 4599
E-Mail: poststelle@lfd.niedersachsen.de
Internet: http://www.lfd.niedersachsen.de
Nordrhein-Westfalen
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4, 40213 Düsseldorf
Telefon: 0211 38424 - 0 / Telefax: 0211 38424 - 10
E-Mail: poststelle@ldi.nrw.de
Internet: http://www.ldi.nrw.de
Rheinland-Pfalz
Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz
Deutschhausplatz 12, 55116 Mainz
Telefon: 06131 208 - 2449 / Telefax: 06131 208 - 2497
E-Mail: poststelle@datenschutz.rlp.de
Internet: http://www.datenschutz.rlp.de
Hessen
Der Hessische Datenschutzbeauftragte
Gustav-Stresemann-Ring 1, 65189 Wiesbaden
Telefon: 0611 14080 / Telefax: 0611 1408 - 900
E-Mail: poststelle@datenschutz.hessen.de
Internet: http://www.datenschutz.hessen.de
Sachsen-Anhalt
Landesbeauftragter für den Datenschutz Sachsen Anhalt
Leiterstraße 9, 39104 Magdeburg
Telefon: 0391 81803 - 0 / Telefax: 0391 81803 - 33
E-Mail: poststelle@lfd.sachsen-anhalt.de
Internet: http://www.datenschutz.sachsen-anhalt.de
Quellenangaben
- Kassenärztliche Bundesvereinigung (KBV)
- Ärzteblatt.de
- Erste Hilfe zur Datenschutz-Grundverodung (Beck-Verlag)