Datenschutz
Praxisführung und Datenschutz
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) bildet zusammen mit nationalen Datenschutzgensetzen den zentralen Rechtsrahmen für den Umgangmit personenbezogenen Daten in Deutschland. Sie hat zu einer umfassenden Neuordnung des Datenschutzes geführt und betrifft auch den medizinischen Bereich in besonderem Maße. Für Ärztinnen und Ärzte, Psychotherapeuten und Psychotherapeutinnen ist inbesondere relevant, dass sie die Einhaltung datenschutzrechtlicher Vorgaben nachweisen müssen.
Viele Anforderungen werden bereits im Praxisalltag berücksichtigt, dennoch ergeben sich zusätzliche Pflichten, etwa erweiterte Informations- und Dokumentationspflichten. Daher ist es für Praxen sinnvoll, die bestehenden internen Abläufe regelmäßig zu überprüfen und an aktuelle rechtliche Anforderungen anzupassen.
Ziel des Datenschutzrechts ist es, personenbezogene Daten in nahezu allen gesellschaftlichen Bereichen zu schützen und gleichzeitig ein hohes Maß an Vereinheitlichung innerhalb Europas sicherzustellen. Davon sind auch Vertragsärzte und Vertragspsychotherapeuten betroffen, die entsprechende Vorgaben in ihrer täglichen Arbeit umsetzen müssen.
Mit den geltenden Regelungen geht ein erhöhter organisatorischer Aufwand für Praxisinhaber einher. Gleichzeitig wurden die Durchsetzungsinstrumente der Aufsichtsbehörden gestärkt und mögliche Sanktionen deutlich verschärft. Verantwortliche müssen jederzeit belegen können, dass sie die grundlegenden Datenschutzprinzipien einhalten, und sind verpflichtet, Patienten umfassend über die Verarbeitung ihrer Daten zu informieren.
Besondere Anforderungen gelten bei der Verarbeitung sensibler Gesundheitsdaten, da hier ein erhöhtes Schutzniveau vorgeschrieben ist. Praxen sind daher gehalten, ihre Datenverarbeitungsprozesse systematisch zu prüfen, datenschutzkonform zu gestalten und entsprechend zu dokumentieren, etwa in Form eines Verzeichnisses der Verarbeitungstätigkeiten.
Informationspaket der KBV
Ergänzende Hinweise und aktuelle Informationen zum Datenschutz finden Sie auch auf der Internetseite der Kassenärztlichen Bundesvereinigung unter dem Link https://www.kbv.de/praxis/praxisfuehrung/datenschutz . Dort finden Sie weitergehende Erläuterungen, rechtliche Einordnungen sowie aktuelle Hinweise zur praktischen Umsetzung und hilfreiche Downloads.
Was müssen die Praxen tun?
Patientinnen und Patienten müssen darüber informiert werden, wie ihre personenbezogenen Daten in der Praxis verarbeitet werden. Für die niedergelassenen Ärzte und Psychotherapeuten bedeutet dies, die Einhaltung der Datenschutzvorgaben nachvollziehbar umzusetzen und zu dokumentieren. Dieses Datenschutz-Management fordert unter anderem eine tranparente und leicht verständliche Aufklärung der Patienten darüber, welche Daten erhoben werden, zu welchem Zweck diese verarbeitet werden und wie der Schutz dieser Daten gewährleistet wird - beispielsweise in einem Aushang.
Darüber hinaus muss jede Praxis nunmehr ihre eigene Datenschutzrichtlinie formulieren. Darin regeln Praxisinhaber, wie sie und ihr Praxisteam die Vorgaben des Datenschutzes einhalten. Es werden die Verantwortlichkeiten beispielsweise bei Datenschutzvorfällen benannt.
Außerdem sollen in der Richtlinie die Zugriffsrechte auf die Daten sowie technische und organisatorische Maßnahmen zum Schutz der Daten dargestellt werden.
Die internen Verarbeitungsvorgänge von Patientendaten müssen auch auf ihre datenschutzrechtliche Konformität überprüft werden. Dazu ist eine Bestandsaufnahme erforderlich, welche Daten in der Praxis auf welcher Rechtsgrundlage verarbeitet werden. Diese werden in einem Verzeichnis für Verarbeitungsvorgänge aufgelistet. Dazu gehören die Patienten- und Personalakten sowie die Software für die Buchhaltung und gegebenenfalls die Terminverwaltung.
Zudem ist mit der EU-DSGVO vorgeschrieben, dass Einwilligungen der Patienten zur Weitergabe ihrer Daten, zum Beispiel an private Abrechnungszentren, auch Widerrufsmöglichkeiten enthalten müssen.
Praxen haben ab 10 Personen, welche regelhaft mit der Verarbeitung von personenbezogenen Daten zu tun haben, einen Datenschutzbeauftragten zu benennen. Dies folgt aus Art. 37 Abs. 1 DSGVO und dem Erwägungsgrund 191 zur DSGVO. Ab der vorgenannten Personenzahl wird das Kriterium der umfangreichen Verarbeitung von besonderen personenbezogenen Daten (z. B. Gesundheitsdaten) als erfüllt angesehen. Zur Ermittlung der Anzahl der Personen werden sämtliche medizinischen Mitarbeiter, Ärzte, Psychotherapeuten und sonstige Mitarbeiter gezählt, soweit diese in ihrer täglichen Arbeit mit personenbezogenen Daten zu tun haben bzw. Zugriff auf diese haben.
Die Auffangregelung nach § 38 BDSG, wonach erst ab 20 Personen ein Datenschutzbeauftragter zu benennen ist, ist auf Praxen nicht anwendbar, da bereits nach Art. 37 DSGVO ein Datenschutzbeauftragter zu benennen ist.
Weitere Informationen zur Benennungspflicht ab 10 Personen, welche Ausnahmen bestehen oder wann Sie auch unterhalb dieser Grenzen eine Benennungspflicht haben, können Sie direkt auf der Seite des Landesbeauftragten für Datenschutz in Niedersachsen einsehen.
Denken Sie daran, dass eine Meldepflicht bei Benennung eines Datenschutzbeauftragten an den Landesbeauftragten besteht.
Das DSB-Meldeportal ist unter folgender Adresse erreichbar: www.nds.dsb-meldung.de .
FAQ
Der Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
Tel. 0511-120 4500
Fax. 0511-120 4599
Internet: www.lfd.niedersachsen.de
Nein, Mitarbeiter sind während ihrer Elternzeit regelhaft nicht mit der automatisierten Bearbeitung betraut und daher nicht mitzuzählen.
Nein, zwischen den Praxen und der KVN besteht kein Auftragsverarbeitungsverhältnis im Sinne des Art. 28 DS-GVO. Die Abrechnung der erbrachten Leistungen und damit verbunden Datenverarbeitung von Patientendaten erfolgt aufgrund des gesetzlichen Auftrages der KVN nach den Vorschriften des SGB V (vgl. § 285 ff. SGB V).Ist eine Vereinbarung zur Auftragsverarbeitung (AVV-Vereinbarung) mit der PrivatenVerrechnungsStelle (PVS) erforderlich?
Die klassische Variante der AVV besteht auch weiterhin. Alternativ bieten die PVS die Möglichkeit mit Ihnen eine Joint-Control-Vereinbarung zu schließen, welche damit eine AVV nicht mehr nötig macht.
Die PVS stellen Ihnen das dazugehörige Muster sowie dafür notwendige Einverständniserklärung zur Datenübermittlung für die Patienten zur Verfügung. Weitere Informationen erhalten Sie von Ihren PVS-Vertragspartnern.
Grundlage der Verarbeitung der personenbezogenen Daten der Patienten stellt regelhaft der Behandlungsvertrag da, sodass es keiner weitergehenden Einwilligung des Patienten zur Datenverarbeitung im Rahmen der Behandlung bedarf. Der Behandlungsvertrag deckt dabei aber nur die Verarbeitung von für die Behandlung erforderlichen personenbezogenen Daten ab.
Die Versendungen von Erinnerungsschreiben (E-Mail, Postkarten etc.) beispielsweise ist nicht vom Behandlungsvertrag gedeckt und bedarf daher einer Einwilligung des Patienten. Es empfiehlt sich diese schriftlich zu dokumentieren.
Hinweis:
Das bisherige Erfordernis der schriftlichen Einwilligung für eine Übermittlung von Befundunterlagen an andere Leistungserbringer gem. § 73 Abs. 1b SGB V wurde zum 01.05.2019 gestrichen. Laut Gesetzesbegründung regelt dieser nur noch die Übermittlungsverpflichtung für die Leistungserbringer an den betreffenden Hausarzt. Dabei würde das Zustimmungserfordernis des Patienten nicht auf datenschutzrechtlichen Vorgaben beruhen, sondern der Wahrung der Souveränität des Patienten dienen. (BT-Drs. 19/8351, S. 178). Im Ergebnis empfiehlt es sich dennoch weiterhin eine schriftliche Einwilligung des Patienten zur Risikominimierung einzuholen.
Mit der Information zur Datenverarbeitung gem. Art. 13 DS-GVO (Patienteninformation zum Datenschutz kommen Sie Ihrer Pflicht zur Transparenz nach. Sie dient allein zur Information der Patienten über die Datenverarbeitung in Ihrer Praxis, u.a. welche Rechte der Patient hat.
Davon losgelöst steht die Einwilligung zur Datenübermittlung, welche vom Patienten unterschrieben werden muss.
Gem. Art. 13 DS-GVO haben Sie die Pflicht sämtlichen Personen, von denen Sie personenbezogen Daten direkt erheben über die damit verbunden Verarbeitungszwecke, seine Rechte etc. zu informieren.
Ausreichend ist es diese Information an einer gut sichtbaren Stelle im Wartezimmer zu platzieren, dass Sie von jedem Patienten wahrgenommen werden kann. Des Weiteren empfehlen wir die Bereithaltung von ausgedruckten Exemplaren, die Sie auf Wunsch der Patienten aushändigen können. Zusätzlich sollten Sie Ihr Personal anweisen, Patienten auf den Aushang hinzuweisen.
Eine schriftliche Bestätigung des Patienten über den Erhalt ist in Niedersachsen nicht notwendig.
