EU-Datenschutzgrundverordnung (EU-DSGVO)

In der EU gilt ab dem, 25. Mai 2018 in der gesamten Europäischen Union die EU-Datenschutzgrundverordnung. Die EU-DSGVO gegen über dem nationalen Datenschutzrecht als vorrangig und soll insbesondere allen, die mit personenbezogenen Daten arbeiten, den Datenschutz bewusst machen. Verstöße gegen das EU-DSGVO können zu empfindlichen und im schlimmsten Fall zu existenzbedrohenden Strafen führen.

Datenschutz in der Arztpraxis

Folgenden Informationen dienen Ihnen lediglich als Anhaltspunkte und Empfehlungen für die Umsetzung und Einhaltung der EU-DSGVO und beinhalten nicht sämtliche rechtliche Vorschriften für Ihre Praxis. Die Angaben erfolgen ohne Gewähr auf Vollständigkeit und Richtigkeit.

Wir empfehlen Ihnen ergänzend die Schulungsangebote Ihrer KV und der Aufsichtsbehörde teilzunehmen.

Sie müssen die Einhaltung der EU-DSGVO dokumentieren und nachweisen können.

1. Überprüfung Sie Ihren Umgang mit personenbezogenen Patientendaten
Dafür sind alle elektronischen und sonstigen Verarbeitungsvorgänge in Bezug auf die datenschutzrechtlichen Vorgaben hin zu überprüfen und ggf. geeignete Maßnahmen zur Einhaltung zu ergreifen.
2. Erstellen Sie eine Verzeichnis für die Verarbeitungsvorgänge
Sie müssen ein Verzeichnis für Verarbeitungstätigkeiten führen und dieses jederzeit, auf Verlangen der zuständigen Aufsichtsbehörde, vorzeigen.

In dem stets aktuellen Verzeichnis muss dokumentiert werden, in welchem Zusammenhang Sie mit personenbezogenen Patientendaten arbeiten. Enthalten sein muss dabei mindestens:
– Name und Kontaktdaten des Verantwortlichen
– Zwecke der Verarbeitung
– Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
– Kategorien von Empfängern von Daten
– wenn möglich, vorgesehene Fristen zur Löschung

Verweise auf Musterformulare finden Sie am Ende dieses Artikels

3. Etablierung eines Datenschutzbeauftragten
Sobald mindestens 10 Personen bei Ihnen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, müssen Sie einen internen oder externen Datenschutzbeauftragten benennen, diesen fachlich, z. B. durch entsprechende Schulungsmaßnahmen, qualifizieren und der zuständigen Aufsichtsbehörde melden. Praxisinhaber dürfen diese Aufgabe nicht übernehmen.

Der Datenschutzbeauftrage gilt in Ihrer Praxis als externer und interner Ansprechpartner für alle Fragen zum Datenschutz und kontrolliert bei Ihnen die Einhaltung der EU-DSGVO.

4. Überprüfung der Vereinbarungen und Verpflichtungen mit dem Personal
Sie sollten Ihrem Personal eine Richtlinie an die Hand geben, aus der sich die Vorgehensweise, die erforderlichen Verhaltensweisen und die Verantwortlichkeiten im Umgang mit Patientendaten ergibt. Weiterhin sollten Sie Ihr Personal zur Einhaltung des Datenschutzes gemäß der EU-DSGVO und zur Einhaltung der o. g. internen Datenschutzrichtlinie schriftlich verpflichten.

5. Datensicherheit
Ein großes Thema ist die Sicherheit Ihrer Daten. Hier müssen Sie geeignete Maßnahmen ergreifen, dass Ihre Daten sowohl gegenüber internen als auch externen Angreifern geschützt sind.

Geeignete Maßnahmen sind u. a.:
– Gesicherter und beschränkter Zugang zu Ihren Räumlichkeiten
– Gesicherter und beschränkter Zugang zu Patientendokumenten
– Beschränkung der Zugriffsrechte für Mitarbeiter
– Regelmäßig wechselnde und sichere Passwörter
– Beschränkter Internetzugang mit Blockierung von gefährlichen Internetseiten
– Stets aktuelle AntiVirus Lösung
– Firewall
– Überwachung von unberechtigten Zugriffsversuchen auf Ihre EDV-Anlage
– Tägliche, verschlüsselte und überwachte und ausgelagerte Datensicherung
– Regelmäßige und überwachte Installation von Betriebssystem- und Sicherheitsupdates
– Regelmäßige Kontrolle der Ereignisprotokolle Ihrer Rechner, insbesondere Ihres Servers um z. B: Versuche von unberechtigten Zugriffsversuchen (Hackerangriffen) frühzeitig erkennen zu können.

6. Internetauftritt, Facebook, …
Hier sollten Sie Ihre Datenschutzerklärungen prüfen und ggf. anpassen. Das gilt insbesondere dann, wenn Sie mit Kontaktformularen oder Newsletter arbeiten oder Onlineterminbuchungen anbieten. Bei Onlineterminbuchungen ist Wiederum zu beachten, dass dabei ggf. personenbezogene Daten über Dritte übermittelt und ggf. sogar bei Dritten gespeichert werden. Darüber müssen die Patienten aufgeklärt und deren Zustimmung eingeholt werden. Siehe auch die Ausführungen im nächsten Kapitel.

Ihre Patienten

1. Einwilligungserklärungen
Die Behandlung Ihrer Patienten ist grundsätzlich gesetzlich geregelt und erfordert keiner besonderen Einwilligung des Patienten zur Verarbeitung seiner Daten. Ausnahmen sind die Weitergabe von Daten an dritte, z. B. an eine private Verrechnungsstelle. In dem Fall müssen Sie, wie bisher auch, eine gesonderte, schriftliche Einwilligung des Patienten zur Datenweitergabe einholen, darin jedoch auch eine jederzeitige Wiederrufbarkeit angeben.

2. Transparente Information Ihrer Patienten
Sie müssen Ihre Patienten in präziser, transparenter, verständlicher und leicht zugänglicher Form, z. B. durch einen Aushang in Ihrem Wartezimmer, in einer klaren und einfachen Sprache darüber informieren, was zu welchem Zweck mit dessen personenbezogenen Daten gemacht wird. Konkret müssen Sie insbesondere über folgende Punkte informieren:
– Namen und Kontaktdaten des Verantwortlichen
– Kontaktdaten eines Datenschutzbeauftragten, sofern vorhanden
– Zwecke und Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten
– Interessen des Verantwortlichen, wenn er Daten auf Basis einer Interessenabwägung verarbeiten möchte
– Empfänger der Daten, wenn der Verantwortliche sie weitergeben möchte
– Dauer der Speicherung der Daten sowie Kriterien für die Löschung
– Hinweis auf das Recht um Auskunft, Berichtigung und Löschung der Daten
– Hinweis darauf, dass eine gegebene Einwilligung zur Datenverarbeitung jederzeit Wiederrufen werden kann
– Hinweis auf ein Beschwerderecht bei der Aufsichtsbehörde
– Benennung der Aufsichtsbehörde

3. Auskunftsrecht des Patienten
Patienten haben das Recht ihre bei Ihnen erfassten Daten einzusehen und Auskunft darüber von Ihnen zu verlangen. Hierzu empfehlen wir Ihnen frühzeitig ein Verfahren dafür in Ihrer Praxis zu beschreiben, damit jeder Mitarbeiter weiß wie er mit solchen Anfragen umgehen soll.

4. Aufbewahrung und Löschung von Daten
Im EU-DSGVO Art. 17 sind Fristen für die Aufbewahrung und Löschung von Daten definiert. Auch hierzu sollten Sie intern eine Richtlinie und ein Verfahren definieren um diese Fristen regelmäßig zu prüfen und einzuhalten.

externe Dienstleister

1. Befugnisse der Aufsichtsbehörden
Eine Aufsichtsbehörde hat nur eingeschränkte Rechte zu Kontrolle der Einhaltung des Datenschutzes. So besteht Ihrerseits keine Auskunftspflicht über Patientengeheimnisse. Auch Durchsuchungen dürfen nur durchgeführt werden, wenn diese die Verletzung Ihrer Geheimhaltungspflichten nicht zu Folge haben.
Eine generelle Verweigerung zu Zusammenarbeit mit der Aufsichtsbehörde, unter Verweis auf Ihre Geheimhaltungs- oder Schweigepflicht, sollten Sie unterlassen, da eine unberechtigte Verweigerung zu einem Bußgeld führen kann.

2. Auskunftsverweigerung bei einer Selbstbelastung
Sollte die Gefahr bestehen, dass Sie bei einer Auskunft eine strafrechtliche Verfolgung riskieren (z. B. bei einer Verletzung der Schweigepflicht) können Sie die Auskunft verweigern.

3. Meldepflicht bei Verstößen gegen den Datenschutz
Verstöße gegen den Datenschutz, z. B. der unberechtigte Zugriff von Dritten auf Ihre Daten, Hackangriffe und Verstöße gegen den Datenschutz durch Mitarbeiter sollten In der Regel innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. Dafür sollten Sie frühzeitig eine Richtlinie definieren wie in so einem Falle vorgegangen werden soll, wer die Meldung durchführt und wohin diese geschickt werden muss.

Sollte sich die Person, die die Meldung durchführt, dabei selbst belasten, ist die Meldung zwar dennoch durchzuführen, kann in einem Straf- oder Ordnungswiedrigkeitsverfahren jedoch nur mit Zustimmung des Arztes verwendet werden.

Vorlagen und weitere Informationen

KBV: Ausführliche Informationen, Checklisten und Musterformulare
Was Praxen tun müssen als PDF-Dokument
Muster: Patienteninformtion zum Datenschutz
Muster: Verzeichnis von Verarbeitungstätigkeiten
Ausfüllbeispiel: Verzeichnis von Verarbeitungstätigkeiten

Aufsichtsbehörden

Berlin

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Maja Smoltczyk
Friedrichstr. 219, 10969 Berlin
Tel.: +49 (0)30 13889-0
Fax: +49 (0)30 2155050
E-Mail: mailbox@datenschutz-berlin.de
Webseite: www.datenschutz-berlin.de

Brandenburg

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht
Dagmar Hartge
Stahnsdorfer Damm 77
14532 Kleinmachnow
Telefon: 033203/356-0
Telefax: 033203/356-49
E-Mail: Poststelle@LDA.Brandenburg.de
Webseite: www.lda.brandenburg.de

Quellen

Kassenärztliche Bundesvereinigung (KBV)
Ärzteblatt.de

Fragen


Fragen zur TelematikinfrastrukturAllgemeine Fragen zur EU-DSGVOAnpassung der Zugriffsrechte und PasswörterVerschlüsselungAntivirusWartung und Service