NewsPolitikHöhere Strafen und Auskunftspflicht: Was der EU-Datenschutz Arztpraxen bringt
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

Höhere Strafen und Auskunftspflicht: Was der EU-Datenschutz Arztpraxen bringt

Donnerstag, 24. Mai 2018

/milkovasa, stockadobecom

Brüssel – Die Europäer sollen die Hoheit über ihre Daten zurückgewinnen. Nach jahrelangen Verhandlungen treten morgen die neuen EU-Datenschutzregeln mit der Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Betroffen sind auch nieder­gelassene Vertragsärzte. Der Vorstandsvorsitzende der Kassenärztlichen Bundes­vereinigung (KBV), Andreas Gassen, appellierte heute an alle Vertragsärzte und Vertragspsychotherapeuten, angesichts der neuen Vorgabe noch stärker auf den Schutz sensibler Patientendaten zu achten. Die KBV hat zur Umstellung auf die Datenschutz-Grundverordnung (DSGVO) diverse Informationsmaterialien erstellt, die die Praxen nutzen könnten, sagte Gassen.

Die Informationsmaterialien der KBV stehen seit Ende April auf einer Themenseite im Internet bereit, die Mustervorlagen können dort heruntergeladen werden. Aktuell wurde das Angebot um häufig gestellte Fragen und Antworten ergänzt. Die KBV wies darauf hin, dass die inhaltlichen Anforderungen der EU-DSGVO vielfach dem hierzulande geltenden Recht ähneln. „Pflichten wie das Führen eines Verarbeitungsverzeichnisses oder die Bestellung eines Datenschutzbeauftragten bestehen auch jetzt schon. Neu ist die Nachweispflicht. Das ist von besonderer Bedeutung, da bei Verstößen gegen die datenschutzrechtlichen Pflichten deutlich härtere Sanktionen drohen“, so die KBV.

Praxen benötigen Datenschutzmanagement

KBV und Bundesärztekammer (BÄK) hatten zudem bereits einen umfassenden Datenschutz-Check für Arztpraxen erarbeitet. Gegliedert wird der Check, der auch in den Bekanntmachungen des Deutschen Ärzteblattes (Ausgabe 10/2018) im Detail zu finden ist, in die Themenfelder interne Datenschutzorganisation/Datenschutzmanagement in der Arztpraxis, das Verhältnis zum Patienten, zu externen Dienstleistern und Dritten, zu Aufsichtsbehörden und anderen Stellen sowie weitere Hinweise und Muster.

KBV und BÄK weisen darauf hin, dass Ärzte für ihre Praxis ein Datenschutz­manage­ment benötigen, um sicherzustellen und dokumentiert nachweisen zu können, dass sie den Datenschutz entsprechend der EU-DSGVO wahren. Das umfasst unter anderem die Überprüfung aller internen Verarbeitungsvorgänge in der Arztpraxis. „Alle elektronischen Verarbeitungsvorgänge sowie die Verarbeitung von Patientendaten in Karteien sind auf die datenschutzrechtliche Konformität hin zu überprüfen“, betonen KBV und BÄK. Insbesondere müssten geeignete technisch-organisatorische Maßnahmen ergriffen werden. Unter Umständen müsse auch eine Datenschutzfolgen­abschätzung vorgenommen werden.

Notwendig ist zudem eine Bestandsaufnahme, welche Daten in der Arztpraxis auf welcher Rechtsgrundlage verarbeitet werden. Alle Arztpraxen haben ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Arztpraxen, in denen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen zudem einen Datenschutzbeauftragten benennen. Dieser kann entweder in der Praxis beschäftigt sein, alternativ kann ein externer Dienstleister beauftragt werden.

Interne Datenschutzrichtlinie aufsetzen

Um in Arztpraxen ein Bewusstsein für den Datenschutz und Datenschutzrisiken zu schaffen, kann aus Sicht von BÄK und KBV eine interne Datenschutzrichtlinie sinnvoll sein. Darin können Ärzte zum Beispiel notwendige Verhaltensweisen bei der Erfassung von Patientendaten, klare Verantwortlichkeiten oder Zugriffsbeschränkungen für Mitarbeiter festlegen.

Die Checkliste geht darüber hinaus darauf ein, dass sowohl Einwilligungserklärungen als auch verwendete Verträge mit Dritten, die Datenverarbeitungsvorgänge betreffen, möglicherweise an das neue Datenschutzrecht anzupassen sind. Auch müsse durch geeignete technisch-organisatorische Maßnahmen wie etwa beschränkte Zugriffsrechte der Mitarbeiter oder Verschlüsselungsmaßnahmen die Sicherheit der Datenverarbei­tung in der Arztpraxis, insbesondere vor Angreifern von außen, gewährleistet werden.

Mehr Rechte für Verbraucher

Verbraucher und Patienten erhalten mit den neuen Regelungen deutlich mehr Rechte über ihre Daten. Grundsätzlich müssen Verbraucher künftig von Beginn an darüber informiert werden, wer ihre persönlichen Daten wie Name, Adresse, E-Mail-Adresse und Ausweisnummer aus welchem Grund erhebt – und sie müssen zustimmen. Zudem muss klar sein, wie lange die Daten aufbewahrt werden sollen. Die Einwilligung muss jederzeit zurückgezogen werden können.

BÄK und KBV weisen darauf hin, dass im Rahmen der routinemäßigen Behandlung von Patienten die Datenverarbeitung meist auf einer gesetzlichen Grundlage beruht, sodass eine Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen sei. Soweit ausnahmsweise Einwilligungserklärungen für bestimmte Datenverarbeitungsvorgänge wie die Einbeziehung einer privaten Verrechnungsstelle erforderlich seien und noch nicht eingeholt wurden, seien diese nachzuholen. Das Vorliegen von Einwilligungs­erklärungen zur Datenverarbeitung muss durch den Praxisinhaber nachgewiesen werden, schreiben BÄK und KBV.

zum Thema

Deutsches Ärzteblatt print

aerzteblatt.de

In Bezug auf die ausgeweiteten Informationspflichten können laut BÄK und KBV Vordrucke genutzt werden, über die Patienten in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache informiert werden. Diese Informationen, wie zum Beispiel zur Dauer der Speicherung sowie zum Zweck der Verarbeitung, könnten etwa sichtbar in der Arztpraxis ausgehängt werden.

Unternehmen und Organisationen müssen gespeicherte Daten zudem auf Anfrage zur Verfügung stellen. Das gilt auch für Arztpraxen. BÄK und KBV raten dazu, in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren einzurichten, um entsprechende Anfragen von Patienten, die Auskunft zu ihren gespeicherten Daten verlangen, schnell beantworten zu können. „Es ist zu beachten, dass kein Anspruch des Patienten besteht, Auskunft über personenbezogene Daten anderer Betroffener (Dritter) zu erhalten“, heißt es von KBV und BÄK weiter. Dabei sind die geltenden Fristen zu beachten. Auch dafür sollte in einer internen Datenschutz­richtlinie ein Verfahren festgelegt werden.

Ärztliche Schweigepflicht bleibt unangetastet

BÄK und KBV erläutern in der Checkliste auch, was beim Verhältnis zu externen Dienstleistern und Dritten zu beachten ist. Dabei geht es unter anderem um die Anpassung vertraglicher Vereinbarung mit externen Dienstleistern nach den Vorschriften zur Auftragsverarbeitung oder Fragen der Geheimhaltung. Im Hinblick auf die Befugnisse der Aufsichtsbehörden für den Datenschutz weisen KBV und BÄK darauf hin, dass die Aufsichtsbehörden nur eingeschränkte Rechte gegenüber Berufs­geheimnis­trägern haben. Es dürfe insbesondere keine umfassende Auskunft über Patientengeheimnisse an die Aufsichtsbehörden erfolgen, warnen sie.

Für die Aufsichtsbehörden bestehen demnach nur beschränkte Durchsuchungs- und Betretungsrechte in der Arztpraxis, soweit ihre Maßnahmen einen Verstoß gegen die Geheimhaltungspflichten von Ärzten zur Folge hätten. Von einer generellen Verweigerung unter Berufung auf die ärztliche Schweigepflicht raten KBV und BÄK aber ab, da eine unberechtigte Verweigerung ein Bußgeld nach sich ziehen kann. Grundsätzlich kann die Auskunft auf Fragen weiterhin verweigert werden, deren Beantwortung die Gefahr einer strafgerichtlichen Verfolgung nach sich ziehen würde.

Pannen melden

Wichtig ist, dass Arztpraxen künftig Datenpannen und -verstöße melden. Datenpannen wie zum Beispiel Hackerangriffe oder auch Datenschutzverstöße durch Mitarbeiter oder Dritte sind der zuständigen Aufsichtsbehörde in der Regel innerhalb von 72 Stunden zu melden.

„Die Meldepflicht ist problematisch, sofern der Verantwortliche sich selbst belasten würde, einen Verstoß gegen die ärztliche Schweigepflicht begangen zu haben. Die Meldung ist dann zwar vorzunehmen. Es besteht aber ein prozessuales Verwertungs­verbot und die Meldung kann in einem Strafverfahren oder im Ordnungswidrigkeiten­verfahren nur mit Zustimmung des Arztes verwendet werden“, schreiben BÄK und KBV.

Bei Verstößen gegen die neuen EU-Regeln drohen empfindliche Geldstrafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens. © may/dpa/aerzteblatt.de

Themen:
Datenschutz
Praxismanagement
Höhere Strafen und Auskunftspflicht: Was der EU-Datenschutz...
LNS

Nachrichten zum Thema

Arzneimittelpreise: FDP bereut Reform
19. September 2023
FDP bereut Reform bei Arzneimittelpreisen
Stimmung in Praxen auf historischem Tiefpunkt
11. September 2023
Stimmung in Praxen auf historischem Tiefpunkt
Datenstrategie von Bundeskabinett beschlossen
29. August 2023
Bundeskabinett beschließt Datenstrategie für attraktiven Forschungsstandort
ePA: Kelber hat weiter Zweifel an den Plänen
21. August 2023
Kelber hat weiter Zweifel an Plan für elektronische Patientenakte
Gesundheits-Apps: TÜV mahnt zur Vorsicht
16. August 2023
TÜV mahnt zur Vorsicht bei Gesundheits-Apps
Gesundheitsdaten: Kassen sollen mehr Befugnisse erhalten, Kritik aus der Ärzteschaft
14. August 2023
Gesundheitsdaten: Kassen sollen mehr Befugnisse erhalten, Kritik aus der Ärzteschaft
Datenschutz: Forschungsprojekte vereinfachen
10. August 2023
LNS LNS

Fachgebiet

Stellenangebote

    Weitere...

    Archiv

    NEWSLETTER