ArchivDeutsches Ärzteblatt10/2018Datenschutz-Check 2018: Was müssen Arztpraxen angesichts der neuen Vorschriften zum Datenschutz tun?

BEKANNTGABEN DER HERAUSGEBER: Kassenärztliche Bundesvereinigung - Bundes­ärzte­kammer

Datenschutz-Check 2018: Was müssen Arztpraxen angesichts der neuen Vorschriften zum Datenschutz tun?

Dtsch Arztebl 2018; 115(10): A-453 / B-395 / C-395

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Bekanntmachungen

Ab dem 25.05.2018 gilt in der Europäischen Union die EU-Datenschutzgrundverordnung (EU-DSGVO) als neues und gegenüber dem nationalen Recht vorrangiges Datenschutzrecht. Es sollte in Arztpraxen ein Bewusstsein für den Datenschutz entwickelt werden. Das ist wichtig, da ab dem 25.05.2018 Verstöße gegen den Datenschutz schärfer geahndet werden können und beachtlich erhöhte Sanktionsrahmen geschaffen wurden.

Folgende Aspekte sind zu bedenken:1

Anzeige

I. Interne Datenschutzorganisation/Datenschutzmanagement in der Arztpraxis

Ärzte2 benötigen für Ihre Praxis ein Datenschutzmanagement, um sicherzustellen und dokumentiert nachweisen zu können,3 dass sie den Datenschutz entsprechend der EU-DSGVO wahren. Das umfasst unter anderem:

1. Überprüfung aller internen Verarbeitungsvorgänge in der Arztpraxis

Alle elektronischen Verarbeitungsvorgänge sowie die Verarbeitung von Patientendaten in Karteien sind auf die datenschutzrechtliche Konformität hin zu überprüfen. Insbesondere müssen geeignete technisch-organisatorische Maßnahmen ergriffen werden. Unter Umständen muss auch eine sog. Datenschutzfolgenabschätzung4 durchgeführt werden (Art. 35 EU-DSGVO), um voraussichtliche Risiken bei der Verarbeitung von Patientendaten abzuschätzen und Maßnahmen der Abhilfe zu bestimmen. Ansprechpartner dafür sind die Aufsichtsbehörden für den Datenschutz. Das sind in der Regel die Landesbeauftragten für den Datenschutz.5 Auskunft über die zuständige Aufsichtsbehörde erteilt auch die zuständige Ärztekammer.

2. Erstellung eines Verzeichnisses für Verarbeitungsvorgänge in der Arztpraxis

Es ist eine Bestandsaufnahme erforderlich, welche Daten in der Arztpraxis auf welcher Rechtsgrundlage verarbeitet werden.6 Alle Arztpraxen haben ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30 EU-DSGVO),7 wobei für jede Gruppe von Datenverarbeitungsvorgängen ein entsprechendes Formular auszufüllen ist. Es sind verschiedene Muster im Internet abrufbar.8

3. Benennung eines Datenschutzbeauftragten

Einige Arztpraxen werden einen Datenschutzbeauftragten zu benennen haben (Art. 37 EU-DSGVO),9 der entweder in der Praxis beschäftigt ist oder als externer Dienstleister beauftragt wird. Das ist in jedem Fall anzunehmen, wenn Ärzte in der Praxis mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 BDSG neu). Die zu benennende Person, die nicht der Praxisinhaber sein kann, muss für diese Aufgabe fachlich qualifiziert sein. Die notwendigen Fachkenntnisse können z. B. über Schulungen erworben werden. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden. Er kontrolliert intern nicht nur die Einhaltung des Datenschutzes und der Datensicherheit, z. B. durch geeignete technisch-organisatorische Maßnahmen, sondern er dient auch als kompetenter Ansprechpartner für alle im Zusammenhang mit dem Datenschutz aufkommenden Fragen.

4. Erarbeitung einer internen Datenschutzrichtlinie

Um in Arztpraxen ein Bewusstsein für den Datenschutz und Datenschutzrisiken zu schaffen, kann die Erstellung einer internen Datenschutzrichtlinie sinnvoll sein, in der z. B. Verhaltensweisen bei Erfassung von Patientendaten, klare Verantwortlichkeiten oder Zugriffsbeschränkungen für Mitarbeiter festgelegt werden können. Bestimmt werden kann darin auch, wie und wo der Nachweis über die einschlägige Rechtgrundlage der Verarbeitung (z. B. eine gesetzliche Bestimmung oder eine Einwilligung) dokumentiert werden kann.

5. Überprüfung und Anpassung vorhandener Verträge und Formulare

Sowohl Einwilligungserklärungen als auch verwendete Verträge mit Dritten, welche Datenverarbeitungsvorgänge betreffen, sind möglicherweise an das neue Datenschutzrecht anzupassen. Einwilligungserklärungen10 müssen z. B. den Hinweis auf die Widerrufbarkeit enthalten.

6. Sicherheit der Datenverarbeitung

Durch geeignete technisch-organisatorische Maßnahmen (z. B. beschränkte Zugriffsrechte der Mitarbeiter oder Verschlüsselungsmaßnahmen) ist die Sicherheit der Datenverarbeitung in der Arztpraxis, insbesondere vor Angreifern von außen, zu gewährleisten.11

II. Verhältnis zum Patienten

1. Einholung von Einwilligungserklärungen für besondere Datenverarbeitungsvorgänge

Im Rahmen der routinemäßigen Behandlung von Patienten beruht die Datenverarbeitung meist auf einer gesetzlichen Grundlage,12 sodass eine Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen ist. Soweit ausnahmsweise Einwilligungserklärungen13 für bestimmte Datenverarbeitungsvorgänge (z. B. Einbeziehung einer privaten Verrechnungsstelle) erforderlich sind und noch nicht eingeholt worden sind, ist dieses nachzuholen. Das Vorliegen von Einwilligungserklärungen zur Datenverarbeitung muss durch den Praxisinhaber nachgewiesen werden.

2. Informationspflichten

Mit Blick auf die ausgeweiteten Informationspflichten (Art. 12–14 EU-DSGVO)14 können entsprechende Vordrucke genutzt werden, über die Patienten in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache informiert werden. Denkbar ist, dass diese z. B. sichtbar in der Arztpraxis ausgehängt werden. Entsprechende Vordrucke werden voraussichtlich erarbeitet.

3. Auskunftsrecht des Patienten

Neben dem Einsichtsrecht gemäß § 630g BGB (Behandlungsvertrag)15 existiert das datenschutzrechtliche Auskunftsrecht (Art. 15 EU-DSGVO),16 wonach Patienten vom Arzt Auskunft über die zu ihrer Person ggf. gespeicherten Daten verlangen können. Dafür sollte in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren eingerichtet werden, um entsprechende Anfragen schnell beantworten zu können. Es ist zu beachten, dass kein Anspruch des Patienten besteht, Auskunft über personenbezogene Daten anderer Betroffener (Dritter) zu erhalten.

4. Recht auf Löschung

Im Zusammenhang mit den Aufbewahrungsfristen17 sind Löschungsfristen (Art. 17 EU-DSGVO) zu berücksichtigen.18 Dafür sollte in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren festgelegt werden, z. B. wann und durch wen die Daten z. B. nach Ablauf von Aufbewahrungsfristen gelöscht werden sollen.

III. Verhältnis zu externen Dienstleistern und Dritten

Soweit Verträge mit externen Dienstleistern, z. B. zur Ausführung von Wartungsaufgaben an der Praxis-EDV-Anlage oder mit Privaten Verrechnungsstellen, bestehen oder abgeschlossen werden sollen, müssen diese Verträge auf ihre Vereinbarkeit mit den neuen datenschutzrechtlichen Vorschriften sowie mit den strafrechtlichen Bestimmungen zur ärztlichen Schweigepflicht19 überprüft werden.

1. Anpassung vertraglicher Vereinbarung mit externen Dienstleistern nach den Vorschriften zur Auftragsverarbeitung

Sofern es sich um eine Auftragsverarbeitung handelt (z. B. Wartungsdienste für die Praxis-EDV oder Nutzung von Cloud-Diensten), sollten entsprechende Vereinbarungen getroffen werden, deren Anforderungen sich aus Art. 28 Abs. 3 EU-DSGVO ergeben.20 Es existieren Muster im Internet.21

2. Verpflichtung zur Geheimhaltung

In Verträgen mit externen Dienstleistern sind neben den datenschutzrechtlichen Vorgaben auch Verpflichtungen aufzunehmen, nach denen die mitwirkenden Dritten zur Geheimhaltung verpflichtet werden.22 Das Unterlassen kann zu einer Strafbarkeit führen!

IV. Verhältnis zu Aufsichtsbehörden für den Datenschutz und anderen Stellen

1. Befugnisse der Aufsichtsbehörden für den Datenschutz

Es ist zu beachten, dass Aufsichtsbehörden nur eingeschränkte Rechte gegenüber Berufsgeheimnisträgern haben, insbesondere erfolgt keine umfassende Auskunft über Patientengeheimnisse an die Aufsichtsbehörden. Für die Aufsichtsbehörden bestehen nur beschränkte Durchsuchungs- und Betretungsrechte in der Arztpraxis, soweit ihre Maßnahmen einen Verstoß gegen die Geheimhaltungspflichten von Ärzten zur Folge hätten.23 Von einer generellen Verweigerung unter Berufung auf die ärztliche Schweigepflicht ist abzuraten, da eine unberechtigte Verweigerung ein Bußgeld nach sich ziehen kann (Art. 83 Abs. 5 lit. e EU-DSGVO).

2. Keine Pflicht zur umfassenden Auskunft bei Selbstbelastung

Wie bisher kann die Auskunft auf Fragen verweigert werden, deren Beantwortung die Gefahr einer strafgerichtlichen Verfolgung (z. B. wegen des Verstoßes gegen die ärztliche Schweigepflicht) nach sich ziehen würde. Es besteht grundsätzlich keine Pflicht, sich selbst zu belasten!

3. Meldung von Datenpannen und -verstößen

Datenpannen (z. B. Hackerangriffe) und Datenschutzverstöße (z. B. durch Mitarbeiter) sind der zuständigen Aufsichtsbehörde in der Regel innerhalb von 72 Stunden zu melden.24 Dafür sollte in einer internen Datenschutzrichtlinie festgelegt werden, wer für die Meldung zuständig ist. Die Meldepflicht ist problematisch, sofern der Verantwortliche sich selbst belasten würde, einen Verstoß gegen die ärztliche Schweigepflicht begangen zu haben. Die Meldung ist dann zwar vorzunehmen. Es besteht aber ein prozessuales Verwertungsverbot und die Meldung kann in einem Strafverfahren oder im Ordnungswidrigkeitenverfahren nur mit Zustimmung des Arztes verwendet werden.

4. Schulungsangebote der Aufsichtsbehörden und Ärztekammern in Anspruch nehmen

Soweit im jeweiligen Bundesland verfügbar, sollten Schulungsangebote in Anspruch genommen werden (z. B. der Landesbeauftragten für den Datenschutz, der Kassenärztlichen Vereinigungen oder der Ärztekammern), um eine Vorbereitung auf die neue Rechtslage sicherzustellen.

V. Weitere Hinweise und Muster

1. Weiterführende Hinweise

Weitere Hinweise zum Datenschutz sowie zu Neuregelungen im Bereich der ärztlichen Schweigepflicht erhalten Sie in Bundes­ärzte­kammer/Kassenärztliche Bundesvereinigung: „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis.

Die Europäische Kommission informiert hier:

https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_de#berdieverordnungunddatenschutz

s.a. hier: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_de

Die Aufsichtsbehörden für den Datenschutz erstellen sukzessive Kurzpapiere zu den wichtigsten datenschutzrechtlichen Themen. Sie sind hier abrufbar:

https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/DSGVO_Kurzpapiere1–3.html

Einen 10-Punkte-Fragenkatalog für Unternehmen stellt u. a. die Landesbeauftrage für den Datenschutz in Niedersachsen zur Verfügung, abrufbar unter:

https://www.lfd.niedersachsen.de/download/124239

Darüber hinaus sind regelmäßig aktualisierte Informationen auf den Internetseiten der Aufsichtsbehörden (Landesbeauftragte für Datenschutz und Informationsfreiheit) verfügbar. Auskunft über die zuständige Aufsichtsbehörde für den Datenschutz erteilt die zuständige Ärztekammer. Eine Übersicht der Aufsichtsbehörden für den Datenschutz und der Landesdatenschutzbeauftragten findet sich auch hier:

https://www.datenschutz-wiki.de/Aufsichtsbeh%C3%B6rden_und_Landesdatenschutzbeauftragte

2. Muster

Ferner finden sich Muster im Internet, die aber teilweise noch nicht mit den Aufsichtsbehörden abgestimmt sind. Für die Richtigkeit der Muster wird von der Bundes­ärzte­kammer und der Kassenärztlichen Bundesvereinigung keine Gewähr übernommen.

Muster für ein Verzeichnis der Verarbeitungstätigkeiten

Siehe zurzeit das vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. zur Verfügung gestellte Muster, abrufbar unter:

https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ oder https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Verantwortlicher.pdf

Siehe auch das von der Gesellschaft für Datenschutz und Datensicherheit (GDD) e. V. erstellte Muster, abrufbar unter: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf

Siehe auch die Hinweise zum Verzeichnis der Verarbeitungstätigkeiten der Datenschutzkonferenz, abrufbar unter:

https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/verzeichnis-der-verarbeitungstaetigkeiten-nach-artikel-30-ds-gvo/

Muster für Auftragsverarbeitungsverträge

Siehe z. B. das vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V., der DKG u. a. ausgearbeitete „Muster-Auftragsverarbeitungs-Vertrag für das Gesundheitswesen“, abrufbar hier:

https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_4.pdf

Siehe auch die Formulierungshilfe für einen Auftragsverarbeitungsvertrag des Bayrischen Landesamtes für Datenschutzaufsicht, abrufbar unter: https://datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/Hinweise/auftrags_dv/Muster_fuer_Auftragsverarbeitungsvertrag_nach_DS-GVO.pdf

Muster zur Umsetzung von Informationspflichten

Siehe zur Zeit das von der Gesellschaft für Datenschutz und Datensicherheit (GDD) e. V. erstellte Muster „GDD-Praxishilfe DS-GVO VII“, S. 8 ff., abrufbar unter:

https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_7.pdf

1 Weiterführende Hinweise sind in den von der Bundes­ärzte­kammer (BÄK) und der Kassenärztlichen Bundesvereinigung (KBV) erstellten „Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ enthalten. Darauf wird in den folgenden Fußnoten jeweils unter Angabe des Abschnitts verwiesen.

2 Berufs-, Funktions- und Personenbezeichnungen wurden unter dem Aspekt der Verständlichkeit dieses Textes verwendet. Eine geschlechtsspezifische Differenzierung ist nicht beabsichtigt.

3 Zur neuen Nachweispflicht s. BÄK/KBV, aaO, Abschnitt 3.3.

4 BÄK/KBV aaO, Abschnitt 3.8.

5 Siehe die Übersicht unten bei V., 1.

6 BÄK/KBV aaO, Abschnitt 3.2.

7 BÄK/KBV aaO, Abschnitt 3.7.

8 Siehe die Übersicht unten bei V., 2.

9 BÄK/KBV aaO, Abschnitt 3.9.

10 Dazu ausf. BÄK/KBV aaO, Abschnitt 3.4.2.

11 BÄK/KBV aaO, Abschnitt 3.11. und Technische Anlage.

12 BÄK/KBV aaO, Abschnitt 3.4.1.

13 BÄK/KBV aaO, Abschnitt 3.4.2.

14 BÄK/KBV aaO, Abschnitt 3.5.1.

15 BÄK/KBV aaO, Abschnitt 5.

16 BÄK/KBV aaO, Abschnitt 3.5.2.

17 BÄK/KBV aaO, Abschnitt 4.3.

18 BÄK/KBV aaO, Abschnitt 3.5.3.

19 § 203 Abs. 3, 4 StGB, siehe dazu BÄK/KBV aaO, Abschnitt 2.4.1. und 2.4.3.

20 BÄK/KBV aaO, Abschnitt 3.6.

21 Siehe unten bei V., 2.

22 § 203 Abs. 4 Satz 2 Nr. 1 StGB, siehe dazu BÄK/KBV aaO, Abschnitt 2.4.3.

23 BÄK/KBV aaO, Abschnitt 3.13.

24 BÄK/KBV aaO, Abschnitt 3.10.

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Alle Leserbriefe zum Thema

Anzeige