Datenschutzgrundverordnung (EU-DSGVO): Was müssen Arztpraxen angesichts der neuen Vorschriften zum Datenschutz tun? Seit dem 25.05.2018 gilt die EU-Datenschutzgrundverordnung. Arztpraxen stellt dies vor eine besondere Herausforderung, da Patientendaten als besonders schützenswerte Kategorie von sensible Daten definiert sind. Diese Checkliste basiert auf Empfehlungen der Bundesärztekammer und soll niedergelassenen Ärzten einen ersten Überblick über die Anforderungen geben, um die Anforderungen der Verordnung n der eigenen Praxis umzusetzen.
2. Vorab
Über diese Präsentation
• Diese Präsentation wurde als Checkliste
zum Thema EU-DSGVO für
niedergelassene Ärzte entwickelt. Sie
basiert inhaltlich auf dem vom Vorstand
der Bundesärztekammer entwickelten
„Datenschutz-Check 2018“*
• Angereichert um praktische Tipps dient
diese Checkliste der Überprüfung des in
der ärztlichen Praxis vorhandenen
Datenschutzmanagements im Hinblick auf
die neuen rechtlichen Anforderungen.
Über uns
• Jandax – Datenschutz aus Leidenschaft – ist
eine Beratungsboutique, die sich auf das
Thema Datenschutz im Gesundheitswesen
und insbesondere in niedergelassenen
Praxen spezialisiert hat
• Wir unterstützen Mandanten bei der
Bestandsaufnahme ihres Datenschutzsystems
und fungieren auf Wunsch als externer
Datenschutzbeauftragter mit entsprechender
Fachkunde
• Sprechen Sie uns gerne an:
jandax@gmx.net
* Deutsches Ärzteblatt | Jg. 115 |Heft 10 | 9. März 2018 | S. 453-455
3. EU-DSGVO: Was ist in Arztpraxen zu beachten?
Interne Organisation der Praxis
Im Verhältnis zum Patienten
Im Verhältnis zu den Behörden
Im Verhältnis zu Dienstleistern
1
2
3
4
4. Überprüfung aller internen Verarbeitungsvorgänge
• Alle elektronischen Verarbeitungsvorgänge sowie die Verarbeitung von
Patientendaten in Karteien sind auf die datenschutzrechtliche Konformität hin
zu überprüfen.
• Insbesondere müssen geeignete technisch-organisatorische Maßnahmen
ergriffen werden. Unter Umständen muss auch eine sog.
Datenschutzfolgenabschätzung durchgeführt werden (Art. 35 EU-DSGVO), um
voraussichtliche Risiken bei der Verarbeitung von Patientendaten
abzuschätzen und Maßnahmen der Abhilfe zu bestimmen.
• Praxistipp: Wir empfehlen, diese Bestandsaufnahme einmalig von einem Profi
durchführen zu lassen, dies ist in Anbetracht der rechtlichen Risiken gut
investiertes Geld! Gesundheitsdaten sind im Sinne der Verordnung besonders
schutzbedürftige Daten. Insbesondere die Frage nach der
Datenschutzfolgeabschätzung ist nicht leicht zu beantworten und an einen
komplizierten Kriterienkatalog gebunden.
1 Interne Organisation in der Praxis
Erledigt?
5. Erstellung eines Verzeichnisses für Verarbeitungsvorgänge
• Es ist eine Bestandsaufnahme erforderlich, welche Daten in der Arztpraxis
auf welcher Rechtsgrundlage verarbeitet werden. Alle Arztpraxen haben
ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30 EU-
DSGVO), wobei für jede Gruppe von Datenverarbeitungsvorgängen ein
entsprechendes Formular auszufüllen ist.
• Praxistipp: Das Verfahrensverzeichnis ist ein zentraler Baustein des
Datenschutzes und wird als erstes von den Aufsichtsbehörden bei einer
Prüfung verlangt. Dokumentieren Sie sorgfältig alle elektronischen
Verfahren, die Sie verwenden, in denen personenbezogen Daten
verarbeitet werden. Muster im Internet abrufbar.
Erledigt?
2 Interne Organisation in der Praxis
6. Benennung eines Datenschutzbeauftragten
• Einige Arztpraxen werden einen Datenschutzbeauftragten (DSB) zu
benennen haben (Art. 37 EU-DSGVO), der entweder in der Praxis
beschäftigt ist oder als externer Dienstleister beauftragt wird.
• Das ist in jedem Fall anzunehmen, wenn Ärzte in der Praxis mindestens
zehn Personen ständig mit der automatisierten Verarbeitung
personenbezogener Daten beschäftigen (§ 38 Abs. 1 BDSG neu).
• Die zu benennende Person, die nicht der Praxisinhaber sein kann, muss für
diese Aufgabe fachlich qualifiziert sein. Der DSB ist der zuständigen
Aufsichtsbehörde zu melden.
• Praxistipp: Natürlich gilt die DSGVO auch für kleinere Praxen, in denen
kein DSB bestellt werden muss. Wenn Sie einen DSB bestellen, muss
dieser unbedingt die erforderliche Fachkunde besitzen.
Erledigt?
3 Interne Organisation in der Praxis
7. Erarbeitung einer internen Datenschutzrichtlinie
• Um in Arztpraxen ein Bewusstsein für den Datenschutz und
Datenschutzrisiken zu schaffen, kann die Erstellung einer internen
Datenschutzrichtlinie sinnvoll sein, in der z. B. Verhaltensweisen bei der
Erfassung von Patientendaten, klare Verantwortlichkeiten oder
Zugriffsbeschränkungen für Mitarbeiter festgelegt werden können.
Bestimmt werden kann darin auch, wie und wo der Nachweis über die
einschlägige Rechtgrundlage der Verarbeitung (z. B. eine gesetzliche
Bestimmung oder eine Einwilligung) dokumentiert werden kann.
• Praxistipp: Eine Datenschutzrichtlinie nützt nichts, wenn niemand sie
kennt. Schulen Sie unbedingt Ihre Mitarbeiter über die Inhalte der
Richtlinie und die wichtigsten Regeln zum Datenschutz! Dokumentieren
Sie diese Schulungen sorgfältig!
Erledigt?
4 Interne Organisation in der Praxis
8. Überprüfung vorhandener Verträge und Formulare
• Sowohl Einwilligungserklärungen als auch verwendete Verträge mit
Dritten, welche Datenverarbeitungsvorgänge betreffen, sind
möglicherweise an das neue Datenschutzrecht anzupassen.
• Einwilligungserklärungen müssen z. B. den Hinweis auf die
Widerrufbarkeit enthalten.
• Praxistipp: Wichtig sind vor allem Verträge und Formulare, in denen
Patientendaten erfasst oder weitergegeben werden. Von zentraler
Bedeutung ist dabei der Anamnesefragebogen, den Sie für neue Patienten
verwenden und welcher neben der erforderlichen Einwilligung in die
Speicherung und Weitergabe der Daten auch die Betroffenenrechte nach
Artikel 13/14 EU-DSGVO enthalten sollte!
Erledigt?
5 Interne Organisation in der Praxis
9. Sicherheit der Datenverarbeitung
• Durch geeignete technisch-organisatorische Maßnahmen (z. B.
beschränkte Zugriffsrechte der Mitarbeiter oder
Verschlüsselungsmaßnahmen) ist die Sicherheit der Datenverarbeitung in
der Arztpraxis, insbesondere vor Angreifern von außen, zu gewährleisten.
• Praxistipp: Stellen Sie sicher, dass Sie technisch auf dem neuesten Stand in
Bezug auf Virenschutz und Hackerangriffe sind. Aber stellen Sie auch
sicher (z.B. im Rahmen der Schulungen), dass die Mitarbeiter in der Praxis
gegen Angriffe von Außen geschult sind. Dazu zählt die
Informationsweitergabe am Telefon, die Identitätsprüfung ebenso wie die
sichere Gestaltung der Räumlichkeiten (z.B. Diskretionszone am Empfang,
physische Sicherheit der Patientenakten etc.).
Erledigt?
6 Interne Organisation in der Praxis
10. Einholung von Einwilligungserklärungen
• Im Rahmen der routinemäßigen Behandlung von Patienten beruht die
Datenverarbeitung meist auf einer gesetzlichen Grundlage, so dass eine
Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen ist.
Soweit ausnahmsweise Einwilligungserklärungen für bestimmte
Datenverarbeitungsvorgänge (z. B. Einbeziehung einer privaten
Verrechnungsstelle) erforderlich sind und noch nicht eingeholt worden
sind, ist dieses nachzuholen.
• Das Vorliegen von Einwilligungserklärungen zur Datenverarbeitung muss
durch den Praxisinhaber nachgewiesen werden
• Praxistipp: Am leichtesten ist dies durch die entsprechende Gestaltung des
Anamnesefragebogens umsetzbar. Für Bestandspatienten sollten Sie diese
unbedingt nachholen.
1 Im Verhältnis zum Patienten
Erledigt?
11. Informationspflichten
• Mit Blick auf die ausgeweiteten Informationspflichten (Art. 12–14 EU-
DSGVO) können entsprechende Vordrucke genutzt werden, über die
Patienten in präziser, transparenter, verständlicher und leicht zugänglicher
Form sowie in klarer und einfacher Sprache informiert werden.
• Praxistipp: Auch hier gilt, dass dies am leichtesten durch die
entsprechenden Klauseln bei der Registrierung im Anamnesefragebogen
umgesetzt werden kann.
Erledigt?
2 Im Verhältnis zum Patienten
12. Auskunftsrecht des Patienten
• Neben dem Einsichtsrecht gemäß § 630g BGB (Behandlungsvertrag)
existiert das datenschutzrechtliche Auskunftsrecht (Art. 15 EU-DSGVO),
wonach Patienten vom Arzt Auskunft über die zu ihrer Person ggf.
gespeicherten Daten verlangen können. Dafür sollte in einer internen
Datenschutzrichtlinie ein bestimmtes Verfahren eingerichtet werden, um
entsprechende Anfragen schnell beantworten zu können.
• Praxistipp: Patienten haben durch die DSGVO das Auskunftsrecht über alle
(!) Daten, die über sie gespeichert sind. Sie müssen diese erstmalig auch
kostenlos zur Verfügung stellen. Definieren Sie einmalig wie der Prozess
hierfür aussehen soll und definieren Sie entsprechende Reports.
Erledigt?
3 Im Verhältnis zum Patienten
13. Recht auf Löschung
• Im Zusammenhang mit den Aufbewahrungsfristen sind Löschungsfristen
(Art. 17 EU-DSGVO) zu berücksichtigen. Dafür sollte in einer internen
Datenschutzrichtlinie ein bestimmtes Verfahren festgelegt werden, z. B.
wann und durch wen die Daten z. B. nach Ablauf von
Aufbewahrungsfristen gelöscht werden sollen
• Praxistipp: Ärztliche Aufzeichnungen sind für die Dauer von zehn Jahren
nach Abschluss der Behandlung aufzubewahren, soweit nicht nach
gesetzlichen Vorschriften eine längere Aufbewahrungspflicht besteht (vgl.
§ 10 Abs. 3 MBO-Ä, § 630f Abs. 3 BGB sowie für den vertragsärztlichen
Bereich § 57 Abs. 2 BMV-Ä).
Erledigt?
4 Im Verhältnis zum Patienten
14. Befugnisse der Aufsichtsbehörden
• Es ist zu beachten, dass Aufsichtsbehörden nur eingeschränkte Rechte
gegenüber Berufsgeheimnisträgern haben, insbesondere erfolgt keine
umfassende Auskunft über Patientengeheimnisse an die
Aufsichtsbehörden. Für die Aufsichtsbehörden bestehen nur beschränkte
Durchsuchungs- und Betretungsrechte in der Arztpraxis, soweit ihre
Maßnahmen einen Verstoß gegen die Geheimhaltungspflichten von Ärzten
zur Folge hätten. Von einer generellen Verweigerung unter Berufung auf
die ärztliche Schweigepflicht ist abzuraten, da eine unberechtigte
Verweigerung ein Bußgeld nach sich ziehen kann (Art. 83 Abs. 5 lit. e EU-
DSGVO).
• Praxistipp: Bei einer Androhung von Sanktionen sollte im Zweifel
rechtlicher Beistand zu Rate gezogen werden.
1 Im Verhältnis zu Behörden
Erledigt?
15. Keine Pflicht zur Selbstbelastung
• Wie bisher kann die Auskunft auf Fragen verweigert werden, deren
Beantwortung die Gefahr einer strafgerichtlichen Verfolgung (z. B. wegen
des Verstoßes gegen die ärztliche Schweigepflicht) nach sich ziehen
würde. Es besteht grundsätzlich keine Pflicht, sich selbst zu belasten!
• Praxistipp: Bei einer Androhung von Sanktionen sollte im Zweifel
rechtlicher Beistand zu Rate gezogen werden.
2 Im Verhältnis zu Behörden
Erledigt?
16. Meldung von Datenpannen und -verstößen
• Datenpannen (z. B. Hackerangriffe) und Datenschutzverstöße (z. B. durch
Mitarbeiter) sind der zuständigen Aufsichtsbehörde in der Regel innerhalb
von 72 Stunden zu melden. Dafür sollte in einer internen
Datenschutzrichtlinie festgelegt werden, wer in der Praxis für die Meldung
zuständig ist. Die Meldepflicht ist problematisch, sofern der
Verantwortliche sich selbst belasten würde, einen Verstoß gegen die
ärztliche Schweigepflicht begangen zu haben.
• Praxistipp: Sofern eine „Datenpanne“ vorliegt, muss auch der betroffene
Patient unverzüglich darüber informiert werden. Dies gilt immer dann,
wenn der Datenverlust für den Patienten erhebliche Risiken für seine
persönlichen Rechte und Freiheiten haben könnte.
3 Im Verhältnis zu Behörden
Erledigt?
17. Meldung von Datenpannen und -verstößen
• Soweit Verträge mit externen Dienstleistern, z. B. zur Ausführung von
Wartungsaufgaben an der Praxis-EDV-Anlage oder mit Privaten
Verrechnungsstellen, bestehen oder abgeschlossen werden sollen,
müssen diese Verträge auf ihre Vereinbarkeit mit den neuen
datenschutzrechtlichen Vorschriften sowie mit den strafrechtlichen
Bestimmungen zur ärztlichen Schweigepflicht überprüft werden.
• Praxistipp: Sofern es sich um eine Auftragsverarbeitung handelt (z. B.
Wartungsdienste für die Praxis-EDV oder Nutzung von Cloud-Diensten),
sollten entsprechende Vereinbarungen getroffen werden, deren
Anforderungen sich aus Art. 28 Abs. 3 EU-DSGVO ergeben. Es existieren
Muster im Internet.
1 Im Verhältnis zu Dienstleistern
Erledigt?
18. Verpflichtung zur Geheimhaltung
• In Verträgen mit externen Dienstleistern sind neben den
datenschutzrechtlichen Vorgaben auch Verpflichtungen aufzunehmen,
nach denen die mitwirkenden Dritten zur Geheimhaltung verpflichtet
werden. Das Unterlassen kann zu einer Strafbarkeit führen!
• Praxistipp: Sie sollten unbedingt Vereinbarungen zur
Auftragsdatenverarbeitung mit Dienstleistern abschließen, denen Sie
Patientendaten übertragen. Dies sind insbesondere Labore,
Abrechnungsstellen und EDV-Dienstleister.
Erledigt?
2 Im Verhältnis zu Dienstleistern