EU-Datenschutzgrundverordnung (EU-DSGVO)

In der EU gilt ab de, 25.05.2018 in der gesamten Europäischen Union die EU-Datenschutzgrundverordnung. Die EU-DSGVO gegen über dem nationalen Datenschutzrecht als vorrangig und soll insbesondere allen, die mit personenbezogenen Daten arbeiten, den Datenschutz bewusst machen. Verstöße gegen das EU-DSGVO  können zu empfindlichen und im schlimmsten Fall zu existenzbedrohenden Strafen führen.

Die folgenden Informationen sollen Ihnen lediglich Anhaltspunkte und Empfehlungen für die Umsetzung und Einhaltung der EU-DSGVO geben und beinhalten nicht sämtliche rechtliche Vorschriften. Die Angaben erfolgen ohne Gewähr auf Vollständigkeit und Richtigkeit.

Wir empfehlen Ihnen ergänzend die Schulungsangebote Ihrer KV und der Aufsichtsbehörde in Anspruch zu nehmen. 

Viele Anforderungen an die Pflege und den Schutz Ihrer EDV-Anlage müssen Sie nicht selbst übernehmen. Wir bieten Ihnen im Rahmen unsres e+e VIP Wartungs- und Servicepaktes diese umfangreichen Leistungen gerne an.

Sie müssen die Einhaltung der EU-DSGVO in Ihrer Praxis dokumentieren und nachweisen können. Dafür ist es erforderlich ein entsprechendes Datenschutzmanagement zu etablieren.

1. Überprüfung Ihrer Vorgänge im Umgang mit personenbezogenen Daten (Patientendaten)
   Dafür sind alle elektronischen und sonstigen Verarbeitungsvorgänge in Bezug auf die datenschutzrechtlichen Vorgaben hin zu überprüfen und ggf. geeignete Maßnahmen zur Einhaltung zu ergreifen.
   
   
2. Erstellung eines Verzeichnisses für Verarbeitungsvorgänge
   Sie müssen ein Verzeichnis für Verarbeitungstätigkeiten führen und dieses jederzeit, auf Verlangen der zuständigen Aufsichtsbehörde, vorzeigen können. Das Verzeichnis muss ansonsten nicht offengelegt werden.
   
   In dem stets aktuellen Verzeichnis muss dokumentiert werden, in welchem Zusammenhang Sie mit personenbezogenen Daten arbeiten. Enthalten sein muss dabei mindestens:
   - Name und Kontaktdaten des Verantwortlichen
   - Zwecke der Verarbeitung
   - Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
   - Kategorien von Empfängern von Daten
   - wenn möglich, vorgesehene Fristen zur Löschung
   
   Verweise auf Musterformulare finden Sie am Ende dieses Artikels
   
   
3. Etablierung eines Datenschutzbeauftragten
   Sobald mindestens 10 Personen bei Ihnen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, müssen Sie einen internen oder externen Datenschutzbeauftragten benennen, diesen fachlich, z. B. durch entsprechende Schulungsmaßnahmen, qualifizieren und der zuständigen Aufsichtsbehörde melden. Praxisinhaber dürfen diese Aufgabe nicht übernehmen.
   
   Der Datenschutzbeauftrage gilt in Ihrer Praxis als externer und interner Ansprechpartner für alle Fragen zum Datenschutz und kontrolliert bei Ihnen die Einhaltung der EU-DSGVO.
   
   
4. Überprüfung der Vereinbarungen und Verpflichtungen mit dem Personal
   Sie sollten Ihrem Personal eine Richtlinie an die Hand geben, aus der sich die Vorgehensweise, die erforderlichen Verhaltensweisen und die Verantwortlichkeiten im Umgang mit Patientendaten ergibt.
   
   Weiterhin sollten Sie Ihr Personal zur Einhaltung des Datenschutzes gemäß der EU-DSGVO und zur Einhaltung der o. g. internen Datenschutzrichtlinie schriftlich verpflichten.
5. Datensicherheit
   Ein großes Thema ist die Sicherheit Ihrer Daten. Hier müssen Sie geeignete Maßnahmen ergreifen, dass Ihre Daten sowohl gegenüber internen als auch externen Angreifern geschützt sind.
   
   Geeignete Maßnahmen sind u. a.:
   - Gesicherter und beschränkter Zugang zu Ihren Räumlichkeiten
   - Gesicherter und beschränkter Zugang zu Patientendokumenten
   - Beschränkung der Zugriffsrechte für Mitarbeiter
   - Regelmäßig wechselnde und sichere Passwörter 
   - Beschränkter Internetzugang mit Blockierung von gefährlichen Internetseiten
     Lösung: e+e Managed WebProtection
   - Stets aktuelle AntiVirus Lösung
     Lösung: e+e Managed AntiVirus
   - Firewall
   - Überwachung von unberechtigten Zugriffsversuchen auf Ihre EDV-Anlage
     Lösung: e+e VIP Wartungs- und Servicepaket
   - Tägliche, verschlüsselte und überwachte und ausgelagerte Datensicherung
     Lösung: e+e Managed Online Backup
   - Regelmäßige und überwachte Installation von Betriebssystem- und Sicherheitsupdates
     Lösung: e+e VIP Wartungs- und Servicepaket
   - Regelmäßige Kontrolle der Ereignisprotokolle Ihrer Rechner, insbesondere Ihres Servers um z. B: Versuche von unberechtigten Zugriffsversuchen (Hackerangriffen) frühzeitig erkennen zu können.
     Lösung: e+e VIP Wartungs- und Servicepaket
   
   
6. Internetauftritt, Facebook, ...
   Hier sollten Sie Ihre Datenschutzerklärungen prüfen und ggf. anpassen. Das gilt insbesondere dann, wenn Sie mit Kontaktformularen oder Newsletter arbeiten oder Onlineterminbuchungen anbieten. Bei Onlineterminbuchungen ist Wiederum zu beachten, dass dabei ggf. personenbezogene Daten über Dritte übermittelt und ggf. sogar bei Dritten gespeichert werden. Darüber müssen die Patienten aufgeklärt und deren Zustimmung eingeholt werden. Siehe auch die Ausführungen im nächsten Kapitel.

1. Einwilligungserklärungen
   Die Behandlung Ihrer Patienten ist grundsätzlich gesetzlich geregelt und erfordert keiner besonderen Einwilligung des Patienten zur Verarbeitung seiner Daten. Ausnahmen sind die Weitergabe von Daten an dritte, z. B. an eine private Verrechnungsstelle. In dem Fall müssen Sie, wie bisher auch, eine gesonderte, schriftliche Einwilligung des Patienten zur Datenweitergabe einholen, darin jedoch auch eine jederzeitige Wiederrufbarkeit angeben.
   
2. Transparente Information Ihrer Patienten
   Sie müssen Ihre Patienten in präziser, transparenter, verständlicher und leicht zugänglicher Form, z. B. durch einen Aushang in Ihrem Wartezimmer, in einer klaren und einfachen Sprache darüber informieren, was zu welchem Zweck mit dessen personenbezogenen Daten gemacht wird. Konkret müssen Sie insbesondere über folgende Punkte informieren:
   - Namen und Kontaktdaten des Verantwortlichen
   - Kontaktdaten eines Datenschutzbeauftragten, sofern vorhanden
   - Zwecke und Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten
   - Interessen des Verantwortlichen, wenn er Daten auf Basis einer Interessenabwägung verarbeiten möchte
   - Empfänger der Daten, wenn der Verantwortliche sie weitergeben möchte
   - Dauer der Speicherung der Daten sowie Kriterien für die Löschung
   - Hinweis auf das Recht um Auskunft, Berichtigung und Löschung der Daten
   - Hinweis darauf, dass eine gegebene Einwilligung zur Datenverarbeitung jederzeit Wiederrufen werden kann
   - Hinweis auf ein Beschwerderecht bei der Aufsichtsbehörde
   - Benennung der Aufsichtsbehörde
   
3. Auskunftsrecht des Patienten
   Patienten haben das Recht ihre bei Ihnen erfassten Daten einzusehen und Auskunft darüber von Ihnen zu verlangen. Hierzu empfehlen wir Ihnen frühzeitig ein Verfahren dafür in Ihrer Praxis zu beschreiben, damit jeder Mitarbeiter weiß wie er mit solchen Anfragen umgehen soll.
   
4. Aufbewahrung und Löschung von Daten
   Im EU-DSGVO Art. 17 sind Fristen für die Aufbewahrung und Löschung von Daten definiert. Auch hierzu sollten Sie intern eine Richtlinie und ein Verfahren definieren um diese Fristen regelmäßig zu prüfen und einzuhalten.

Mit externen Dienstleistern, z. B. EDV-Unternehmen, Labore und Privatärztlichen Verrechnungsstellen müssen Sie Verträge abschließen, die Vereinbarungen und Verpflichtungen zum Datenschutz sowie den strafrechtlichen Aspekt der ärztlichen Schweigepflicht berücksichtigen.

1. Vereinbarung nach den Vorschriften zur Auftragsverarbeitung
   Bei einem Anbieter, der sich z. B. um die Wartung und Pflege Ihrer EDV-Anlage kümmert, so wie wir es sind, sollten Sie eine Vereinbarung treffen, die den Anforderungen Art. 28 Abs. 3 EU-DSGVO entspricht. Wir schicken Ihnen automatisch einen entsprechenden Vertrag zu.
   
2. Verpflichtung zur Geheimhaltung
   In Verträgen mit externen Dienstleistern sind neben den datenschutzrechtlichen Vorgaben auch Verpflichtungen aufzunehmen, nach denen die mitwirkenden Dritten zur Geheimhaltung verpflichtet werden. Das Unterlassen kann zu einer Strafbarkeit führen!

1. Befugnisse der Aufsichtsbehörden
   Eine Aufsichtsbehörde hat nur eingeschränkte Rechte zu Kontrolle der Einhaltung des Datenschutzes. So besteht Ihrerseits keine Auskunftspflicht über Patientengeheimnisse. Auch Durchsuchungen dürfen nur durchgeführt werden, wenn diese die Verletzung Ihrer Geheimhaltungspflichten nicht zu Folge haben.
   
   Eine generelle Verweigerung zu Zusammenarbeit mit der Aufsichtsbehörde, unter Verweis auf Ihre Geheimhaltungs- oder Schweigepflicht, sollten Sie unterlassen, da eine unberechtigte Verweigerung zu einem Bußgeld führen kann.
   
2. Auskunftsverweigerung bei einer Selbstbelastung
   Sollte die Gefahr bestehen, dass Sie bei einer Auskunft eine strafrechtliche Verfolgung riskieren (z. B. bei einer Verletzung der Schweigepflicht) können Sie die Auskunft verweigern.
   
3. Meldepflicht bei Verstößen gegen den Datenschutz
   Verstöße gegen den Datenschutz, z. B. der unberechtigte Zugriff von Dritten auf Ihre Daten, Hackangriffe und Verstöße gegen den Datenschutz durch Mitarbeiter sollten In der Regel innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. Dafür sollten Sie frühzeitig eine Richtlinie definieren wie in so einem Falle vorgegangen werden soll, wer die Meldung durchführt und wohin diese geschickt werden muss.
   
   Sollte sich die Person, die die Meldung durchführt, dabei selbst belasten, ist die Meldung zwar dennoch durchzuführen, kann in einem Straf- oder Ordnungswiedrigkeitsverfahren jedoch nur mit Zustimmung des Arztes verwendet werden.

• KBV: Ausführliche Informationen, Checklisten und Musterformulare
• Was Praxen tun müssen als PDF-Dokument
• Muster: Patienteninformtion zum Datenschutz
• Muster: Verzeichnis von Verarbeitungstätigkeiten
• Ausfüllbeispiel: Verzeichnis von Verarbeitungstätigkeiten
  
• Broschüre "Erste Hilfe zur Datenschutz-Grundverordung". Erschienen im Verlag C.H. Beck 

Niedersachsen

Der Landesbeauftragte für den Datenschutz Niedersachsen

Brühlstraße 9, 30169 Hannover

Telefon: 0511 120 - 4500 / Telefax: 0511 120 - 4599

E-Mail: poststelle@lfd.niedersachsen.de

Internet: http://www.lfd.niedersachsen.de

Nordrhein-Westfalen

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Kavalleriestraße 2-4, 40213 Düsseldorf

Telefon: 0211 38424 - 0 / Telefax: 0211 38424 - 10

E-Mail: poststelle@ldi.nrw.de

Internet: http://www.ldi.nrw.de

Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Deutschhausplatz 12, 55116 Mainz

Telefon: 06131 208 - 2449 / Telefax: 06131 208 - 2497

E-Mail: poststelle@datenschutz.rlp.de

Internet: http://www.datenschutz.rlp.de

Hessen

Der Hessische Datenschutzbeauftragte

Gustav-Stresemann-Ring 1, 65189 Wiesbaden

Telefon: 0611 14080 / Telefax: 0611 1408 - 900

E-Mail: poststelle@datenschutz.hessen.de

Internet: http://www.datenschutz.hessen.de

Sachsen-Anhalt

Landesbeauftragter für den Datenschutz Sachsen Anhalt

Leiterstraße 9, 39104 Magdeburg

Telefon: 0391 81803 - 0 / Telefax: 0391 81803 - 33

E-Mail: poststelle@lfd.sachsen-anhalt.de

Internet: http://www.datenschutz.sachsen-anhalt.de

• Kassenärztliche Bundesvereinigung (KBV)
• Ärzteblatt.de
• Erste Hilfe zur Datenschutz-Grundverodung (Beck-Verlag)