Datenschutz in Arztpraxen: Achtung Chefsache

Um böse Überraschungen im Hinblick auf die EU-Datenschutz-Grundverordnung zu vermeiden, sollten Arztpraxen neben altbekannten Schutzmaßnahmen auch einige Neuerungen beachten. Dazu zählt beispielsweise die Empfehlung, ein Datenschutzhandbuch zu führen.

Foto: nmann77/stock.adobe.com

Seit dem 25. Mai 2018 gilt in der Europäischen Union neben den bestehenden nationalen Rechten die EU-Datenschutz-Grundverordnung (EU-DSGVO) als vorrangiges Datenschutzrecht. Diese Verordnung betrifft alle Arztpraxen, unabhängig von der Praxisgröße und der Mitarbeiteranzahl, da in jeder Praxis besonders schützenswerte personenbezogene Daten erfasst werden. Der zentrale Grundsatz der EU-DSGVO ist unter anderem, Transparenz für die betroffenen Personen beim Umgang mit ihren Daten herzustellen. Dazu besteht ein umfassendes und zügiges Auskunftsrecht der Betroffenen, welches jede Praxis erfüllen muss. Datenschutzverstöße sind mit hohen Geldbußen belegt.

Die folgenden Hinweise geben – ohne den Anspruch auf Vollständigkeit – einige praktische Handlungsempfehlungen und zeigen mögliche Fallstricke für die Arztpraxis auf. Zu beachten ist: Die Verantwortung für den Datenschutz liegt beim Praxisinhaber und/oder Geschäftsführer, die folgenden Punkte sind daher Chefsache. Wichtig ist zudem, dass der Datenschutzbeauftragte in Form eines Vertrages zu bestellen und der Aufsichtsbehörde mitzuteilen ist.

Technische Vorkehrungen

Um den Anforderungen der EU-DSGVO zu entsprechen, sollten Arztpraxen, die eine Internetseite betreiben, diese dringend überarbeiten. Durch den ersten Blick auf eine Internetseite können Abmahner erkennen, ob sich eine Praxis mit der DSGVO beschäftigt hat oder nicht. Die Internetseiten sollten deshalb die Datenschutzinformation und das Impressum getrennt aufführen, um einer direkten Abmahnung entgegenzuwirken. Zudem sollte die Datenschutzerklärung überarbeitet und auf Rechtmäßigkeit und Vollständigkeit überprüft werden.

Die Internetseite darf nur über das verschlüsselte Protokoll „https://“ erreichbar sein. Erkennbar ist dies mit einem Schloss im Browserfenster.

Sollte es auf der Internetseite möglich sein, Onlinetermine zu vereinbaren, muss sichergestellt werden, dass der Datenaustausch verschlüsselt abläuft. Ein verschlüsselter Datenaustausch ist ebenfalls beim E-Mail-Verkehr von großer Bedeutung, dies bieten mittlerweile die meisten E-Mail-Anbieter an. Die Webpräsenz sollte sich auf das Notwendige beschränken.

Die DSGVO gibt in Art. 32 vor, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten sichergestellt werden müssen. Durch geeignete technische und organisatorische Maßnahmen soll ein dem Risiko angemessenes Schutzniveau gewährleistet werden.

Das bis heute häufig verwendete Fax sollte nur noch im Notfall verwendet werden. Die Kommunikation ist darüber nicht verschlüsselt und entspricht somit nicht der DSGVO.

Darüber hinaus sollten auch Computer, Bildschirme und Telefone vor dem Einblick Dritter geschützt sein. Auch die Datenverarbeitungssysteme, wie der Praxisserver, müssen zugangsbeschränkt (am Besten in einem separaten Raum) und die Festplatten verschlüsselt sein. Die Computer sollten zudem mit einem Virenschutzprogramm abgesichert sein, um etwa Hackern den Zugriff auf die sensiblen Daten zu verwehren. Wenn möglich, sollten die Praxiscomputer technisch vom Internet getrennt werden. Bei Bedarf kann das Internet über einen separaten Computer oder eine virtuelle Konsole (etwa als gesichertes Fenster) auf dem Praxiscomputer erreicht werden.

Patienteneinwilligung

Für die besonderen Datenverarbeitungsvorgänge ist es für die Arztpraxen nach Art. 9 Abs. 2 DSGVO notwendig, eine schriftliche Einwilligung der betroffenen Patienten einzuholen. Nach Art. 9 unterliegen besonders schutzwürdige personenbezogene Daten dem Verbot der Verarbeitung, solange keine normierten Erlaubnistatbestände vorliegen. Hierunter fallen Daten, die die Gesundheit, Sexualität, Biometrie oder Genetik eines Menschen betreffen. Vorgänge, in denen diese sensiblen Daten verarbeitet werden, sind beispielsweise der Austausch von Labordaten des Patienten oder auch die Einbeziehung einer privaten Verrechnungsstelle. Die Einwilligung muss sich ausdrücklich auf die Verarbeitung sensitiver Daten beziehen und muss auf den besonderen Charakter der Daten hinweisen. Die Patienten müssen hierbei über ihre Widerrufsmöglichkeiten und über die Freiwilligkeit der Einwilligungserklärung informiert werden. Bereits verwendete Einwilligungserklärungen müssen aktualisiert und an die DSGVO angepasst werden.

Auftragsverarbeitungsvertrag

Immer häufiger werden die Daten von Unternehmen nicht nur intern, sondern auch durch externe Dienstleister verarbeitet. Durch die DSGVO müssen vertragliche Vereinbarungen mit externen Dienstleistern nach den Vorschriften zur Auftragsverarbeitung angepasst werden. Dies betrifft Arztpraxen beispielsweise bei privaten Verrechnungsstellen sowie bei Wartungsdienstleistern und sonstigen EDV-, Telekommunikations- oder IT-Dienstleistern. Die vertraglichen Vereinbarungen sollten auf die Einhaltung der technischen und organisatorischen Maßnahmen überprüft werden.

Neben den datenschutzrechtlichen Vorgaben müssen die externen Dienstleister zur Geheimhaltung verpflichtet werden.

Integration in die Prozesse

Um den Datenschutz in der Praxis inklusive der neuen Inhalte der DSGVO zu gewährleisten, benötigt jede Arztpraxis die Integration der Thematik in die laufenden Praxisprozesse. Es empfiehlt sich daher, das oftmals bereits vorhandene Qualitätshandbuch, welches die Haupt- und Nebenprozesse beschreibt, um ein unternehmensbezogenes Datenschutzhandbuch zu erweitern.

Bei den bestehenden Prozessen gilt es, besonders bei der Verarbeitung personenbezogener Daten die Verarbeitungsgrundsätze aus Art. 5 DSGVO zu berücksichtigen. Danach muss stets gewährleistet werden, dass die Daten rechtmäßig und zweckgebunden erhoben werden und die Verarbeitung nach Treu und Glauben transparent und zeitmäßig beschränkt vorgenommen wird. Die Sicherheit der Verarbeitung, wie in Art. 32 DSGVO genannt, gilt es dabei dauerhaft sicherzustellen, um damit Datenschutzrisiken für die Betroffenen sowie IT-Risiken auszuschließen beziehungsweise zu verringern.

Nach Art. 30 DSGVO muss jede Praxis ein schriftliches Verzeichnis für die Verarbeitungstätigkeiten aller Prozesse mit personenbezogenen Daten führen. Das Bayerische Landesamt für Datenschutzaufsicht stellt Informationsmaterialien für verschiedene Zielgruppen, wie etwa Muster für Verarbeitungsverzeichnisse, zur Verfügung.

Jede Praxis sollte daher alle notwendigen Unterlagen im Hinblick auf die Verarbeitung von personenbezogenen Daten im Datenschutzhandbuch hinterlegen. Dieses beinhaltet auch die Angabe einer Beurteilung der Angemessenheit der technischen und organisatorischen Maßnahmen, eine Datenschutz-Folgeabschätzung für Verarbeitungen mit hohen Datenschutzrisiken, den zuständigen Datenschutzbeauftragten (extern oder intern), gegebenenfalls getätigte Zertifizierungen, welche die Sicherheit gewährleisten, Mitarbeiterunterweisungen vor allem beim Umgang geheimhaltungspflichtiger Daten, regelmäßige Schulungen und Sicherheitsprüfungen im Betrieb, die Auftragsverarbeitungsverträge mit Dienstleistern sowie den Vorgang zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde.

Wichtig ist, dass das Datenschutzhandbuch (wie das Qualitätshandbuch) in der Arztpraxis bei den jeweiligen Verarbeitungsprozessen gelebt und berücksichtigt wird. Datenschutzrelevante Prozesse müssen in der Praxis implementiert werden, um Datenschutzrisiken und Vorfälle zu erkennen sowie künftig präventiv entgegenzuwirken und damit Sanktionen zu vermeiden.

Dr. med. Claus Köster, Alisa Schneider, Carolin Adam, Prof. Dr. jur. Heinrich Hanika

Praktische Empfehlungen

Foto: Michael Nivelet/stock.adobe.com

• Datenschutzbeauftragten (intern und/oder extern) bestellen
• Internetseite überprüfen und nicht notwendige „Spielereien“ abschalten
• Auftragsverarbeitungsverträge abschließen
• Verzeichnis für Verarbeitungstätigkeiten erstellen
• Datenschutz-Folgenabschätzung vornehmen
• Datenschutzerklärung erstellen
• Einwilligungserklärung dem Patienten aushändigen und unterschreiben lassen
• Mit einem Datenschutzhandbuch anfangen
• Technische und organisatorische Maßnahmen (TOMs) überprüfen
• Datenspeicher (Server) räumlich und technisch schützen
• Cave: Fax, Internetanschluss, Telefonauskunft zu Patienten

Literatur und Links

1. Bundesärztekammer, Kassenärztliche Bundesvereinigung: Datenschutz-Check 2018: Was müssen Arztpraxen angesichts der neuen Vorschriften zum Datenschutz tun?
   www.aerzteblatt.de/18453
2. Hanika H: Digitalisierung und Big Data im Universum des Rechts. Zur guten digitalen Ordnung am Beispiel der Gesundheitswirtschaft, 2018, 73 ff.
3. KBV-Webseite zu Datenschutz:
   www.kbv.de/html/datensicherheit.php
4. Kontaktdaten der Datenschutzbeauftragten in den Bundesländern: http://daebl.de/RZ45

Ergänzende Informationen nach Registrierung auf der ärztlichen Fortbildungsplattform der preventa Stiftung unter:
www.imwi.academy