Daten kommen hinter Schloss und Riegel

EU-Datenschutz-Grundverordnung stellt höhere Anforderungen an Datenschutz auch in Praxen. KBV hat umfangreiches Informationspaket zusammengestellt

Die EU-Datenschutz-Grundverordnung ist ab 25. Mai geltendes nationales Recht. Zusammen mit dem im Juli 2017 neu gefassten Bundesdatenschutzgesetz erfolgt dadurch eine grundlegende Neuordnung des Datenschutzrechts in Deutschland. Diese datenschutzrechtlichen Bestimmungen sind auch für Ärzte und Psychotherapeuten relevant – vor allem, weil sie die Einhaltung des Datenschutzes nachweisen müssen. Viele Vorgaben werden schon jetzt in den Praxen berücksichtigt. Die Verordnung bringt aber auch neue Pflichten mit sich, , z. B. die aktive Informationspflicht. Daher ist es für Praxen sinnvoll, sich noch einmal kritisch mit den Standards in der eigenen Praxis auseinanderzusetzen.

Ziel der EU-Datenschutz-Grundverordnung (EU-DSGVO) ist es, personenbezogene Daten in allen gesellschaftlichen Bereichen - ausgenommen ist die Privatsphäre - zu schützen. Zudem geht es um die weitgehende Vereinheitlichung europäischen Datenschutzrechts. Damit sind auch die Vertragsärzte und Vertragspsychotherapeuten von den schärferen Regelungen zum Datenschutz betroffen.

Mit der von Ende Mai an geltenden neuen Rechtslage geht ein spürbarer Mehraufwand für Praxisinhaber einher. Datenschutz soll künftig besser durchgesetzt werden. Daher sind die Befugnisse der Aufsichtsbehörden für den Datenschutz erweitert und die Bußgelder drastisch erhöht worden. Insbesondere muss der Verantwortliche für die Datenverarbeitung - zum Beispiel der Praxisinhaber - die Einhaltung der Grundsätze nachweisen können. Überdies hat er künftig mehr Informationspflichten gegenüber seinen Patienten. Weil Ärzte sensible Gesundheitsdaten verarbeiten, gelten für sie besondere Bestimmungen mit erhöhten Rechtmäßigkeitsanforderungen. Praxen müssen unter anderem alle Verarbeitungsvorgänge im Zusammenhang mit der Berufsausübung auf ihre datenschutzrechtliche Konformität überprüfen und ein Verzeichnis für Datenverarbeitungstätigkeiten erstellen.

Was müssen die Praxen tun?

Patienten über Datenschutz informieren

Für die niedergelassenen Ärzte und Psychotherapeuten bedeutet die neue Verordnung, dass sie nunmehr die Einhaltung des Datenschutzes in der Praxis nachweisen müssen. Dieses Datenschutzmanagement fordert unter anderem die Aufklärung der Patienten darüber, wie der Schutz ihrer Daten gewährleistet wird.

Die wichtigsten Fakten zur Datensicherheit sollten leicht verständlich und transparent in der Praxis dokumentiert werden - beispielsweise in einem Aushang. Dazu gehören Informationen zur Dauer der Speicherung sowie zum Zweck der Verarbeitung.

Datenschutzrichtlinie für die Praxis

Darüber hinaus muss jede Praxis nunmehr ihre eigene Datenschutzrichtlinie formulieren. Darin regeln Praxisinhaber, wie sie und ihr Praxisteam die Vorgaben des Datenschutzes einhalten. Es werden die Verantwortlichkeiten beispielsweise bei Datenschutzvorfällen benannt.

Außerdem sollen in der Richtlinie die Zugriffsrechte auf die Daten sowie technische und organisatorische Maßnahmen zum Schutz der Daten dargestellt werden.

Verzeichnis für Verarbeitungsvorgänge

Die internen Verarbeitungsvorgänge von Patientendaten müssen auch auf ihre datenschutzrechtliche Konformität überprüft werden. Dazu ist eine Bestandsaufnahme erforderlich, welche Daten in der Praxis auf welcher Rechtsgrundlage verarbeitet werden. Diese werden in einem Verzeichnis für Verarbeitungsvorgänge aufgelistet. Dazu gehören die Patienten- und Personalakten sowie die Software für die Buchhaltung und gegebenenfalls die Terminverwaltung.

Zudem ist mit der EU-DSGVO vorgeschrieben, dass Einwilligungen der Patienten zur Weitergabe ihrer Daten, zum Beispiel an private Abrechnungszentren, auch Widerrufsmöglichkeiten enthalten müssen. Dies ist heute schon gängige Praxis.

Datenschutzbeauftragten benennen

Sind in einer Praxis mindestens zehn Mitarbeiter mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt, muss ein Datenschutzbeauftragter benannt werden. Dies kann ein entsprechend geschulter Mitarbeiter oder auch ein extern Beauftragter sein. Nicht in Frage kommt dafür der Praxisinhaber, denn er kann und darf sich nicht selbst kontrollieren.

Allerdings ist laut Bundesdatenschutzgesetz auch unterhalb der Schwelle von zehn Mitarbeitern schon ein Datenschutzbeauftragter einzusetzen, wenn die Verarbeitungstätigkeiten eine sogenannte Datenschutz-Folgenabschätzung erforderlich machen. Die Vorgaben zum Datenschutzbeauftragten sind aber zu unspezifisch, um dazu eine eindeutige Aussage treffen zu können. Die KVN wird sich kurzfristig mit der niedersächsischen Landesdatenschutzbeauftragten in Verbindung setzen, um hier eine verbindliche Rechtsauslegung zu finden. 

Zwar werden die in der DSGVO enthaltenen Vorgaben teilweise bereits in Praxen berücksichtigt, doch neu ist nun, dass deren Einhaltung durch die Landesdatenschutzbeauftragten auch stichprobenartig kontrolliert wird. Bei Verstößen drohen Schadensersatzforderungen sowie Geldbußen - im Extremfall bis zu 20 Millionen Euro. Auch Schadensersatzforderungen zum Beispiel von Patienten sind möglich.

Informationspaket abrufbar

Die Kassenärztliche Bundesvereinigung hat vor Kurzem dazu ein ganzes Bündel von Grundinformationen für ärztliche und therapeutische Praxen erarbeitet. In einer Praxisinformation wird detailliert und praktisch beschrieben, wie Ärzte und Psychotherapeuten vorgehen müssen, um die neuen Vorgaben korrekt umsetzen zu können. Hinzu kommen ein Vordruck für eine Checkliste, der mit sich Praxen einen raschen Überblick über den Umsetzungsstand der EU-DSGVO verschaffen können, ein Muster für einen Aushang, mit dem die Patienten über die Sicherung der Daten informiert werden sollen, sowie ein Ausfüllbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten, das jede Praxis anzufertigen hat. Der Patient steht bei den Praxen stets im Mittelpunkt. Dies sollte auch beim Datenschutz gelten und es sollten in erster Linie die Informationen für Patienten bereitgestellt werden.

Da es infolge des Geheimnisschutz-Neuregelungsgesetzes vom November 2017 auch Gesetzesänderungen im Bereich der ärztlichen Schweigepflicht gibt, haben die Bundesärztekammer und die KBV zudem die „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ überarbeitet und um die neuen Vorgaben ergänzt. Eine Veröffentlichung im Deutschen Ärzteblatt ist am 9. März 2018 erfolgt.

Weiterführende Links


Berliner Allee 22
30175 Hannover
Tel.: 0511-380-03
Fax: 0511-380-3491
info@kvn.de