Ärzte, Zahnärzte, MVZ, Krankenhäuser

Datenschutz – EU-Datenschutzgrundverordnung (DSGVO) & Bundesdatenschutzgesetz (BDSG neu):

Die wichtigsten Maßnahmen im Bereich Datenschutz im Überblick

I. Aufbau Datenschutzmanagement in der Arztpraxis – Datenschutzorganisation

Für die Einhaltung der gesetzlichen Bestimmungen nach DSGVO und BDSG benötigen Ärzte ein internes Datenschutzmanagement für ihre Praxis. Dieses ermöglicht ihnen mittels Dokumentation den Nachweis, dass sie den Datenschutz entsprechend der DSGVO wahren. Hierzu gehören die folgenden Maßnahmen:

  • Überprüfung aller Verarbeitungsvorgänge in der Arztpraxis

  • Zunächst sollten alle elektronischen Verarbeitungsvorgänge, hierzu gehören auch die Verarbeitung von Patientendaten in Karteien, mit Hinblick auf die Einhaltung datenschutzrechtlicher Bestimmungen überprüft werden.

    Insbesondere müssen geeignete technisch-organisatorische Maßnahmen ergriffen werden. Unter Umständen muss auch eine sog. Datenschutzfolgenabschätzung (DSFA) durchgeführt werden (Art. 35 DSGVO), um voraussichtliche Risiken bei der Verarbeitung von Patientendaten abzuschätzen und Maßnahmen der Abhilfe zu bestimmen. Gemäß Art. 35 Abs. 4 DSGVO veröffentlichen die Aufsichtsbehörden Listen mit Verarbeitungstätigkeiten, bei denen verpflichtend eine DSFA durchzuführen ist. Das BayLDA hat bislang von einer Veröffentlichung einer rein bayerischen Liste abgesehen, sondern die Abstimmung der deutschen Aufsichtsbehörden (im Rahmen der Datenschutzkonferenz) aktiv begleitet.

    Unter nachfolgendem Link kann die „Muss-Liste“ der deutschen Datenschutzaufsichtsbehörden heruntergeladen werden: https://www.lda.bayern.de/de/dsfa.html

  • Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten i.S.d. Art. 30 DSGVO

  • Alle Arztpraxen haben ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO). Dieses muss die folgenden Angaben enthalten:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.
  • Benennung eines Datenschutzbeauftragten

  • Einige Arztpraxen werden einen Datenschutzbeauftragten zu benennen haben (Art. 37 DSGVO), der entweder in der Praxis beschäftigt ist oder als externer Dienstleister beauftragt wird. Die Bestellpflicht ist in jedem Fall anzunehmen, wenn Ärzte in der Praxis mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 BDSG neu). Der Datenschutzbeauftragte kann dabei nicht der Praxisinhaber selbst sein. Der Datenschutzbeauftragte muss darüber hinaus für diese Aufgabe fachlich qualifiziert sein und sich regelmäßig weiterbilden z. B. über Schulungen. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden. Er kontrolliert intern nicht nur die Einhaltung des Datenschutzes und der Datensicherheit, z. B. durch geeignete technisch-organisatorische Maßnahmen, sondern er dient auch als kompetenter Ansprechpartner für alle im Zusammenhang mit dem Datenschutz aufkommenden Fragen. Weitere Informationen finden Sie unter:

    https://www.k-legal.de/allgemein/datenschutzbeauftragter-extern/

    Besteht eine Bestellpflicht und wird diese falsch eingeschätzt oder gar ignoriert, können nach den gesetzlichen Regelungen, Bußgelder in empfindlicher Höhe verhängt werden.

  • Implementierung einer Datenschutzrichtlinie in der Arztpraxis

  • Um in Arztpraxen ein Bewusstsein für den Datenschutz und Datenschutzrisiken zu schaffen, ist beispielsweise die Erstellung einer internen Datenschutzrichtlinie sinnvoll, in der z. B. Verhaltensweisen bei Erfassung von Patientendaten, klare Verantwortlichkeiten oder Zugriffsbeschränkungen für Mitarbeiter festgelegt werden können.

  • Überprüfung und Anpassung vorhandener Verträge und Formulare

  • Einwilligungserklärungen und auch verwendete Verträge mit Dritten, welche die Verarbeitung personenbezogener Daten betreffen, sind an das neue Datenschutzrecht anzupassen. Einwilligungserklärungen müssen grundsätzlich den Hinweis auf die Widerrufbarkeit enthalten.

  • Sicherheit der Datenverarbeitung

  • Durch geeignete technisch-organisatorische Maßnahmen (z. B. beschränkte Zugriffsrechte der Mitarbeiter oder Verschlüsselungsmaßnahmen) ist die Sicherheit der Datenverarbeitung in der Arztpraxis zu gewährleisten.

    II. Verhältnis zum Patienten

  • Einholung von Einwilligungserklärungen für besondere Datenverarbeitungsvorgänge

  • Solange im Rahmen der routinemäßigen Behandlung von Patienten die Datenverarbeitung auf einer gesetzlichen Grundlage beruht, so ist eine Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen ist. Anders verhält sich dies bei Einwilligungserklärungen für bestimmte Datenverarbeitungsvorgängen (z. B. Einbeziehung einer privaten Verrechnungsstelle) – diese sind (sofern noch nicht erfolgt) nachzuholen. Der Praxisinhaber muss die ordnungsgemäße Einholung von Einwilligungen nachweisen können.

  • Informationspflichten

  • Mit Blick auf die ausgeweiteten Informationspflichten (Art. 12–14 DSGVO) müssen die Patienten in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache informiert werden. Denkbar ist, dass diese z. B. sichtbar in der Arztpraxis ausgehängt werden. Hierbei unterstützen wir Sie gerne.

  • Rechte des Patienten

  • Patienten stehen als „Betroffenen“ i.S.d. DSGVO die nachfolgend aufgeführten Rechte zu –

    Patienten steht ein Recht auf:

    • Recht auf Auskunft

    Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu (Art 15 DSGVO)

    • Recht auf Berichtigung

    Berichtigung unrichtiger oder Vervollständigung, der in der Arztpraxis gespeicherten personenbezogenen Daten zu (Art. 16 DSGVO)

    • Recht auf Löschung

    Löschung, der in der Arztpraxis gespeicherten personenbezogenen Daten zu, sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)

    • Recht auf Einschränkung der Verarbeitung

    Patienten haben das Recht auf Einschränkung der Verarbeitung Ihrer personenbezogenen Daten, soweit die Richtigkeit der Daten von den Patienten bestritten wird oder die Verarbeitung unrechtmäßig ist (Art. 18 DSGVO)

    • Recht auf Datenübertragbarkeit

    Patienten haben das Recht auf Datenübertragbarkeit und damit, die sie betreffenden personenbezogenen Daten, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Art. 20 DSGVO)

    • Recht auf Widerspruch

    Patienten haben das Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten (Art. 21 DSGVO)

    • Recht auf Widerruf der Einwilligung

    Patienten haben das Recht auf Widerruf einer erteilten Einwilligung (Art. 7 DSGVO)

    • Recht auf Beschwerde bei der Aufsichtsbehörde

    Patienten haben das Recht eine Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen (Art. 77 DSGVO).

    III. Verhältnis zu externen Dienstleistern und Dritten

    Bestehen Verträge mit externen Dienstleistern, z. B. zur Ausführung von Wartungsaufgaben an der Praxis-EDV-Anlage oder mit privaten Verrechnungsstellen oder sollen diese abgeschlossen werden, so müssen diese Verträge auf ihre Vereinbarkeit mit den neuen datenschutzrechtlichen Vorschriften sowie mit den strafrechtlichen Bestimmungen zur ärztlichen Schweigepflicht überprüft und aktualisiert werden.

  • Verarbeitung im Auftrag gem. Art. 28 DSGVO – Anpassung vertraglicher Vereinbarung mit externen Dienstleistern

  • Sofern es sich um eine Auftragsverarbeitung handelt (z. B. Wartungsdienste für die Praxis-EDV oder Nutzung von Cloud-Diensten), müssen Vereinbarungen getroffen werden, deren Anforderungen sich aus Art. 28 Abs. 3 DSGVO ergeben. Gerne unterstützen wir Sie bei der Erstellung oder Überprüfung von Auftragsverarbeitungsverträgen.

  • Verpflichtung zur Geheimhaltung

  • Neben den datenschutzrechtlichen Vorgaben sind auch Verpflichtungen müssen an der Verarbeitung mitwirkende Dritten zur Geheimhaltung verpflichtet werden. Das Unterlassen kann zu einer Strafbarkeit führen.

    Letzte News

    DSGVO | Alle News & Artikel zum Thema
    Datenschutz und Datensicherheit

    Erfahren Sie News und Wissenswertes zum Thema Datenschutz-Grundverordnung.

    Anwaltliche Beratung im Arbeitsrecht - Wir bieten Ihnen schnelle und kompetente Beratung im Arbeitsrecht
    Kirschenhofer Rechtsanwälte München

    Wir beraten Sie zum Kündigungsschutz, zum Thema Abfindungen und Verhandlung von Abfindungen, zur Gestaltung von Arbeits-, Vorstands- und Geschäftsführerverträgen, Beratung des Aufsichtsrats, Mitarbeiterbeteiligung, Arbeitsrechtliche Fragen der Unternehmensgründung bzw. bei Umwandlungen.

    EU-Datenschutz-Grundverordnung

    Wir bieten Ihnen Unterstützung und weitreichende Information zum Thema EU-Datenschutz-Grundverordnung an. Die DSGVO ist für alle Unternehmer, Shopbetreiber und Dienstleister ein wichtiges Thema - Wir helfen Ihnen personenbezogene Daten souverän zu schützen und rechtssicher einzusetzen.