IT in der Arztpraxis

Datenschutz

EU-Datenschutz-Grundverordnung: Höhere Anforderungen auch in Praxen

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist seit dem 25. Mai 2018 geltendes nationales Recht. Zusammen mit dem im Juli 2017 neu gefassten Bundesdatenschutzgesetz erfolgt dadurch eine grundlegende Neuordnung des Datenschutzrechts in Deutschland. Diese datenschutzrechtlichen Bestimmungen sind auch für Ärzte und Psychotherapeuten relevant - vor allem, weil sie die Einhaltung des Datenschutzes nachweisen müssen. Viele Vorgaben werden schon jetzt in den Praxen berücksichtigt. Die Verordnung bringt aber auch neue Pflichten mit sich, z. B. die aktive Informationspflicht. Daher ist es für Praxen sinnvoll, sich noch einmal kritisch mit den Standards in der eigenen Praxis auseinanderzusetzen.

 

Ziel der EU-Datenschutz-Grundverordnung ist es, personenbezogene Daten in allen gesellschaftlichen Bereichen - ausgenommen ist die Privatsphäre - zu schützen. Zudem geht es um die weitgehende Vereinheitlichung europäischen Datenschutzrechts. Damit sind auch die Vertragsärzte und Vertragspsychotherapeuten von den schärferen Regelungen zum Datenschutz betroffen.

 

Mit der von Ende Mai 2018 an geltenden neuen Rechtslage geht ein spürbarer Mehraufwand für Praxisinhaber einher. Datenschutz soll künftig besser durchgesetzt werden. Daher sind die Befugnisse der Aufsichtsbehörden für den Datenschutz erweitert und die Bußgelder drastisch erhöht worden. Insbesondere muss der Verantwortliche für die Datenverarbeitung - zum Beispiel der Praxisinhaber - die Einhaltung der Grundsätze nachweisen können. Überdies hat er künftig mehr Informationspflichten gegenüber seinen Patienten. Weil Ärzte sensible Gesundheitsdaten verarbeiten, gelten für sie besondere Bestimmungen mit erhöhten Rechtmäßigkeitsanforderungen. Praxen müssen unter anderem alle Verarbeitungsvorgänge im Zusammenhang mit der Berufsausübung auf ihre datenschutzrechtliche Konformität überprüfen und ein Verzeichnis für Datenverarbeitungstätigkeiten erstellen.

Was müssen die Praxen tun?

Patienten über Datenschutz informieren

Für die niedergelassenen Ärzte und Psychotherapeuten bedeutet die neue Verordnung, dass sie nunmehr die Einhaltung des Datenschutzes in der Praxis nachweisen müssen. Dieses Datenschutz-Management fordert unter anderem die Aufklärung der Patienten darüber, wie der Schutz ihrer Daten gewährleistet wird.

 

Die wichtigsten Fakten zur Datensicherheit sollten leicht verständlich und transparent in der Praxis dokumentiert werden - beispielsweise in einem Aushang. Dazu gehören Informationen zur Dauer der Speicherung sowie zum Zweck der Verarbeitung.

Datenschutzrichtlinie für die Praxis

Darüber hinaus muss jede Praxis nunmehr ihre eigene Datenschutzrichtlinie formulieren. Darin regeln Praxisinhaber, wie sie und ihr Praxisteam die Vorgaben des Datenschutzes einhalten. Es werden die Verantwortlichkeiten beispielsweise bei Datenschutzvorfällen benannt.

 

Außerdem sollen in der Richtlinie die Zugriffsrechte auf die Daten sowie technische und organisatorische Maßnahmen zum Schutz der Daten dargestellt werden.

Verzeichnis für Verarbeitungsvorgänge

Die internen Verarbeitungsvorgänge von Patientendaten müssen auch auf ihre datenschutzrechtliche Konformität überprüft werden. Dazu ist eine Bestandsaufnahme erforderlich, welche Daten in der Praxis auf welcher Rechtsgrundlage verarbeitet werden. Diese werden in einem Verzeichnis für Verarbeitungsvorgänge aufgelistet. Dazu gehören die Patienten- und Personalakten sowie die Software für die Buchhaltung und gegebenenfalls die Terminverwaltung.

 

Zudem ist mit der EU-DSGVO vorgeschrieben, dass Einwilligungen der Patienten zur Weitergabe ihrer Daten, zum Beispiel an private Abrechnungszentren, auch Widerrufsmöglichkeiten enthalten müssen. Dies ist heute schon gängige Praxis.

Datenschutzbeauftragten benennen

Praxen haben ab 10 Personen, welche regelhaft mit der Verarbeitung von personenbezogenen Daten zu tun haben, einen Datenschutzbeauftragten zu benennen. Dies folgt aus Art. 37 Abs. 1 DSGVO und dem Erwägungsgrund 191 zur DSGVO. Ab der vorgenannten Personenzahl wird das Kriterium der umfangreichen Verarbeitung von besonderen personenbezogenen Daten (z. B. Gesundheitsdaten) als erfüllt angesehen. Zur Ermittlung der Anzahl der Personen werden sämtliche medizinischen Mitarbeiter, Ärzte, Psychotherapeuten und sonstige Mitarbeiter gezählt, soweit diese in ihrer täglichen Arbeit mit personenbezogenen Daten zu tun haben bzw. Zugriff auf diese haben.

 

Die Auffangregelung nach § 38 BDSG, wonach erst ab 20 Personen ein Datenschutzbeauftragter zu benennen ist, ist auf Praxen nicht anwendbar, da bereits nach Art. 37 DSGVO ein Datenschutzbeauftragter zu benennen ist.

 

Weitere Informationen zur Benennungspflicht ab 10 Personen, welche Ausnahmen bestehen oder wann Sie auch unterhalb dieser Grenzen eine Benennungspflicht haben, können Sie direkt auf der Seite der Landesbeauftragten für Datenschutz in Niedersachsen einsehen:

 

Denken Sie daran, dass eine Meldepflicht bei Benennung eines Datenschutzbeauftragten an die Landesbeauftragte besteht:


Informationspaket der KBV

Die Kassenärztliche Bundesvereinigung hat vor Kurzem dazu ein ganzes Bündel von Grundinformationen für ärztliche und therapeutische Praxen erarbeitet. In einer Praxisinformation wird detailliert und praktisch beschrieben, wie Ärzte und Psychotherapeuten vorgehen müssen, um die neuen Vorgaben korrekt umsetzen zu können. Hinzu kommen ein Vordruck für eine Checkliste, damit sich Praxen einen raschen Überblick über den Umsetzungsstand der EU-DSGVO verschaffen können, ein Muster für einen Aushang, mit dem die Patienten über die Sicherung der Daten informiert werden sollen sowie ein Ausfüllbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten, das jede Praxis anzufertigen hat. Der Patient steht bei den Praxen stets im Mittelpunkt. Dies sollte auch bezüglich des Datenschutzes gelten und es sollten in erster Linie die Informationen für Patienten bereitgestellt werden.

 

Da es infolge des Geheimnisschutz-Neuregelungsgesetzes vom November 2017 auch Gesetzesänderungen im Bereich der ärztlichen Schweigepflicht gibt, haben die Bundesärztekammer und die KBV zudem die "Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis" überarbeitet und um die neuen Vorgaben ergänzt. Eine Veröffentlichung im Deutschen Ärzteblatt ist am 9. März 2018 erfolgt.

Weiterführende Informationen