News zu Datenschutz und Datensicherheit

Datenschutz – EU-Datenschutzgrundverordnung (DSGVO) & Bundesdatenschutzgesetz (BDSG neu):

Die wichtigsten Maßnahmen im Bereich Datenschutz im Überblick

I. Aufbau Datenschutzmanagement in der Arztpraxis – Datenschutzorganisation

Für die Einhaltung der gesetzlichen Bestimmungen nach DSGVO und BDSG benötigen Ärzte ein internes Datenschutzmanagement für ihre Praxis. Dieses ermöglicht ihnen mittels Dokumentation den Nachweis, dass sie den Datenschutz entsprechend der DSGVO wahren. Hierzu gehören die folgenden Maßnahmen:

Überprüfung aller Verarbeitungsvorgänge in der Arztpraxis

Zunächst sollten alle elektronischen Verarbeitungsvorgänge, hierzu gehören auch die Verarbeitung von Patientendaten in Karteien, mit Hinblick auf die Einhaltung datenschutzrechtlicher Bestimmungen überprüft werden.

Insbesondere müssen geeignete technisch-organisatorische Maßnahmen ergriffen werden. Unter Umständen muss auch eine sog. Datenschutzfolgenabschätzung (DSFA) durchgeführt werden (Art. 35 DSGVO), um voraussichtliche Risiken bei der Verarbeitung von Patientendaten abzuschätzen und Maßnahmen der Abhilfe zu bestimmen. Gemäß Art. 35 Abs. 4 DSGVO veröffentlichen die Aufsichtsbehörden Listen mit Verarbeitungstätigkeiten, bei denen verpflichtend eine DSFA durchzuführen ist. Das BayLDA hat bislang von einer Veröffentlichung einer rein bayerischen Liste abgesehen, sondern die Abstimmung der deutschen Aufsichtsbehörden (im Rahmen der Datenschutzkonferenz) aktiv begleitet.

Unter nachfolgendem Link kann die „Muss-Liste“ der deutschen Datenschutzaufsichtsbehörden heruntergeladen werden: https://www.lda.bayern.de/de/dsfa.html

Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten i.S.d. Art. 30 DSGVO

Alle Arztpraxen haben ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO). Dieses muss die folgenden Angaben enthalten:

den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

die Zwecke der Verarbeitung;

eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.

Benennung eines Datenschutzbeauftragten

Einige Arztpraxen werden einen Datenschutzbeauftragten zu benennen haben (Art. 37 DSGVO), der entweder in der Praxis beschäftigt ist oder als externer Dienstleister beauftragt wird. Die Bestellpflicht ist in jedem Fall anzunehmen, wenn Ärzte in der Praxis mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 BDSG neu). Der Datenschutzbeauftragte kann dabei nicht der Praxisinhaber selbst sein. Der Datenschutzbeauftragte muss darüber hinaus für diese Aufgabe fachlich qualifiziert sein und sich regelmäßig weiterbilden z. B. über Schulungen. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden. Er kontrolliert intern nicht nur die Einhaltung des Datenschutzes und der Datensicherheit, z. B. durch geeignete technisch-organisatorische Maßnahmen, sondern er dient auch als kompetenter Ansprechpartner für alle im Zusammenhang mit dem Datenschutz aufkommenden Fragen. Weitere Informationen finden Sie unter:

https://www.k-legal.de/allgemein/datenschutzbeauftragter-extern/

Besteht eine Bestellpflicht und wird diese falsch eingeschätzt oder gar ignoriert, können nach den gesetzlichen Regelungen, Bußgelder in empfindlicher Höhe verhängt werden.

Implementierung einer Datenschutzrichtlinie in der Arztpraxis

Um in Arztpraxen ein Bewusstsein für den Datenschutz und Datenschutzrisiken zu schaffen, ist beispielsweise die Erstellung einer internen Datenschutzrichtlinie sinnvoll, in der z. B. Verhaltensweisen bei Erfassung von Patientendaten, klare Verantwortlichkeiten oder Zugriffsbeschränkungen für Mitarbeiter festgelegt werden können.

Überprüfung und Anpassung vorhandener Verträge und Formulare

Einwilligungserklärungen und auch verwendete Verträge mit Dritten, welche die Verarbeitung personenbezogener Daten betreffen, sind an das neue Datenschutzrecht anzupassen. Einwilligungserklärungen müssen grundsätzlich den Hinweis auf die Widerrufbarkeit enthalten.

Sicherheit der Datenverarbeitung

Durch geeignete technisch-organisatorische Maßnahmen (z. B. beschränkte Zugriffsrechte der Mitarbeiter oder Verschlüsselungsmaßnahmen) ist die Sicherheit der Datenverarbeitung in der Arztpraxis zu gewährleisten.

II. Verhältnis zum Patienten

Einholung von Einwilligungserklärungen für besondere Datenverarbeitungsvorgänge

Solange im Rahmen der routinemäßigen Behandlung von Patienten die Datenverarbeitung auf einer gesetzlichen Grundlage beruht, so ist eine Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen ist. Anders verhält sich dies bei Einwilligungserklärungen für bestimmte Datenverarbeitungsvorgängen (z. B. Einbeziehung einer privaten Verrechnungsstelle) – diese sind (sofern noch nicht erfolgt) nachzuholen. Der Praxisinhaber muss die ordnungsgemäße Einholung von Einwilligungen nachweisen können.

Informationspflichten

Mit Blick auf die ausgeweiteten Informationspflichten (Art. 12–14 DSGVO) müssen die Patienten in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache informiert werden. Denkbar ist, dass diese z. B. sichtbar in der Arztpraxis ausgehängt werden. Hierbei unterstützen wir Sie gerne.

Rechte des Patienten

Patienten stehen als „Betroffenen“ i.S.d. DSGVO die nachfolgend aufgeführten Rechte zu –

Patienten steht ein Recht auf:

• Recht auf Auskunft

Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu (Art 15 DSGVO)

• Recht auf Berichtigung

Berichtigung unrichtiger oder Vervollständigung, der in der Arztpraxis gespeicherten personenbezogenen Daten zu (Art. 16 DSGVO)

• Recht auf Löschung

Löschung, der in der Arztpraxis gespeicherten personenbezogenen Daten zu, sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)

• Recht auf Einschränkung der Verarbeitung

Patienten haben das Recht auf Einschränkung der Verarbeitung Ihrer personenbezogenen Daten, soweit die Richtigkeit der Daten von den Patienten bestritten wird oder die Verarbeitung unrechtmäßig ist (Art. 18 DSGVO)

• Recht auf Datenübertragbarkeit

Patienten haben das Recht auf Datenübertragbarkeit und damit, die sie betreffenden personenbezogenen Daten, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Art. 20 DSGVO)

• Recht auf Widerspruch

Patienten haben das Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten (Art. 21 DSGVO)

• Recht auf Widerruf der Einwilligung

Patienten haben das Recht auf Widerruf einer erteilten Einwilligung (Art. 7 DSGVO)

• Recht auf Beschwerde bei der Aufsichtsbehörde

Patienten haben das Recht eine Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen (Art. 77 DSGVO).

III. Verhältnis zu externen Dienstleistern und Dritten

Bestehen Verträge mit externen Dienstleistern, z. B. zur Ausführung von Wartungsaufgaben an der Praxis-EDV-Anlage oder mit privaten Verrechnungsstellen oder sollen diese abgeschlossen werden, so müssen diese Verträge auf ihre Vereinbarkeit mit den neuen datenschutzrechtlichen Vorschriften sowie mit den strafrechtlichen Bestimmungen zur ärztlichen Schweigepflicht überprüft und aktualisiert werden.

Verarbeitung im Auftrag gem. Art. 28 DSGVO – Anpassung vertraglicher Vereinbarung mit externen Dienstleistern

Sofern es sich um eine Auftragsverarbeitung handelt (z. B. Wartungsdienste für die Praxis-EDV oder Nutzung von Cloud-Diensten), müssen Vereinbarungen getroffen werden, deren Anforderungen sich aus Art. 28 Abs. 3 DSGVO ergeben. Gerne unterstützen wir Sie bei der Erstellung oder Überprüfung von Auftragsverarbeitungsverträgen.

Verpflichtung zur Geheimhaltung

Neben den datenschutzrechtlichen Vorgaben sind auch Verpflichtungen müssen an der Verarbeitung mitwirkende Dritten zur Geheimhaltung verpflichtet werden. Das Unterlassen kann zu einer Strafbarkeit führen.