NewsPolitikHöhere Strafen und Auskunftspflicht: Was der EU-Datenschutz Arztpraxen bringt
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

Höhere Strafen und Auskunftspflicht: Was der EU-Datenschutz Arztpraxen bringt

Donnerstag, 24. Mai 2018

/milkovasa, stockadobecom

Brüssel – Die Europäer sollen die Hoheit über ihre Daten zurückgewinnen. Nach jahrelangen Verhandlungen treten morgen die neuen EU-Datenschutzregeln mit der Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Betroffen sind auch nieder­gelassene Vertragsärzte. Der Vorstandsvorsitzende der Kassenärztlichen Bundes­vereinigung (KBV), Andreas Gassen, appellierte heute an alle Vertragsärzte und Vertragspsychotherapeuten, angesichts der neuen Vorgabe noch stärker auf den Schutz sensibler Patientendaten zu achten. Die KBV hat zur Umstellung auf die Datenschutz-Grundverordnung (DSGVO) diverse Informationsmaterialien erstellt, die die Praxen nutzen könnten, sagte Gassen.

Die Informationsmaterialien der KBV stehen seit Ende April auf einer Themenseite im Internet bereit, die Mustervorlagen können dort heruntergeladen werden. Aktuell wurde das Angebot um häufig gestellte Fragen und Antworten ergänzt. Die KBV wies darauf hin, dass die inhaltlichen Anforderungen der EU-DSGVO vielfach dem hierzulande geltenden Recht ähneln. „Pflichten wie das Führen eines Verarbeitungsverzeichnisses oder die Bestellung eines Datenschutzbeauftragten bestehen auch jetzt schon. Neu ist die Nachweispflicht. Das ist von besonderer Bedeutung, da bei Verstößen gegen die datenschutzrechtlichen Pflichten deutlich härtere Sanktionen drohen“, so die KBV.

Anzeige

Praxen benötigen Datenschutzmanagement

KBV und Bundes­ärzte­kammer (BÄK) hatten zudem bereits einen umfassenden Datenschutz-Check für Arztpraxen erarbeitet. Gegliedert wird der Check, der auch in den Bekanntmachungen des Deutschen Ärzteblattes (Ausgabe 10/2018) im Detail zu finden ist, in die Themenfelder interne Datenschutzorganisation/Datenschutzmanagement in der Arztpraxis, das Verhältnis zum Patienten, zu externen Dienstleistern und Dritten, zu Aufsichtsbehörden und anderen Stellen sowie weitere Hinweise und Muster.

KBV und BÄK weisen darauf hin, dass Ärzte für ihre Praxis ein Datenschutz­manage­ment benötigen, um sicherzustellen und dokumentiert nachweisen zu können, dass sie den Datenschutz entsprechend der EU-DSGVO wahren. Das umfasst unter anderem die Überprüfung aller internen Verarbeitungsvorgänge in der Arztpraxis. „Alle elektronischen Verarbeitungsvorgänge sowie die Verarbeitung von Patientendaten in Karteien sind auf die datenschutzrechtliche Konformität hin zu überprüfen“, betonen KBV und BÄK. Insbesondere müssten geeignete technisch-organisatorische Maßnahmen ergriffen werden. Unter Umständen müsse auch eine Datenschutzfolgen­abschätzung vorgenommen werden.

Notwendig ist zudem eine Bestandsaufnahme, welche Daten in der Arztpraxis auf welcher Rechtsgrundlage verarbeitet werden. Alle Arztpraxen haben ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Arztpraxen, in denen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen zudem einen Datenschutzbeauftragten benennen. Dieser kann entweder in der Praxis beschäftigt sein, alternativ kann ein externer Dienstleister beauftragt werden.

Interne Datenschutzrichtlinie aufsetzen

Um in Arztpraxen ein Bewusstsein für den Datenschutz und Datenschutzrisiken zu schaffen, kann aus Sicht von BÄK und KBV eine interne Datenschutzrichtlinie sinnvoll sein. Darin können Ärzte zum Beispiel notwendige Verhaltensweisen bei der Erfassung von Patientendaten, klare Verantwortlichkeiten oder Zugriffsbeschränkungen für Mitarbeiter festlegen.

Die Checkliste geht darüber hinaus darauf ein, dass sowohl Einwilligungserklärungen als auch verwendete Verträge mit Dritten, die Datenverarbeitungsvorgänge betreffen, möglicherweise an das neue Datenschutzrecht anzupassen sind. Auch müsse durch geeignete technisch-organisatorische Maßnahmen wie etwa beschränkte Zugriffsrechte der Mitarbeiter oder Verschlüsselungsmaßnahmen die Sicherheit der Datenverarbei­tung in der Arztpraxis, insbesondere vor Angreifern von außen, gewährleistet werden.

Mehr Rechte für Verbraucher

Verbraucher und Patienten erhalten mit den neuen Regelungen deutlich mehr Rechte über ihre Daten. Grundsätzlich müssen Verbraucher künftig von Beginn an darüber informiert werden, wer ihre persönlichen Daten wie Name, Adresse, E-Mail-Adresse und Ausweisnummer aus welchem Grund erhebt – und sie müssen zustimmen. Zudem muss klar sein, wie lange die Daten aufbewahrt werden sollen. Die Einwilligung muss jederzeit zurückgezogen werden können.

BÄK und KBV weisen darauf hin, dass im Rahmen der routinemäßigen Behandlung von Patienten die Datenverarbeitung meist auf einer gesetzlichen Grundlage beruht, sodass eine Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen sei. Soweit ausnahmsweise Einwilligungserklärungen für bestimmte Datenverarbeitungsvorgänge wie die Einbeziehung einer privaten Verrechnungsstelle erforderlich seien und noch nicht eingeholt wurden, seien diese nachzuholen. Das Vorliegen von Einwilligungs­erklärungen zur Datenverarbeitung muss durch den Praxisinhaber nachgewiesen werden, schreiben BÄK und KBV.

In Bezug auf die ausgeweiteten Informationspflichten können laut BÄK und KBV Vordrucke genutzt werden, über die Patienten in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache informiert werden. Diese Informationen, wie zum Beispiel zur Dauer der Speicherung sowie zum Zweck der Verarbeitung, könnten etwa sichtbar in der Arztpraxis ausgehängt werden.

Unternehmen und Organisationen müssen gespeicherte Daten zudem auf Anfrage zur Verfügung stellen. Das gilt auch für Arztpraxen. BÄK und KBV raten dazu, in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren einzurichten, um entsprechende Anfragen von Patienten, die Auskunft zu ihren gespeicherten Daten verlangen, schnell beantworten zu können. „Es ist zu beachten, dass kein Anspruch des Patienten besteht, Auskunft über personenbezogene Daten anderer Betroffener (Dritter) zu erhalten“, heißt es von KBV und BÄK weiter. Dabei sind die geltenden Fristen zu beachten. Auch dafür sollte in einer internen Datenschutz­richtlinie ein Verfahren festgelegt werden.

Ärztliche Schweigepflicht bleibt unangetastet

BÄK und KBV erläutern in der Checkliste auch, was beim Verhältnis zu externen Dienstleistern und Dritten zu beachten ist. Dabei geht es unter anderem um die Anpassung vertraglicher Vereinbarung mit externen Dienstleistern nach den Vorschriften zur Auftragsverarbeitung oder Fragen der Geheimhaltung. Im Hinblick auf die Befugnisse der Aufsichtsbehörden für den Datenschutz weisen KBV und BÄK darauf hin, dass die Aufsichtsbehörden nur eingeschränkte Rechte gegenüber Berufs­geheimnis­trägern haben. Es dürfe insbesondere keine umfassende Auskunft über Patientengeheimnisse an die Aufsichtsbehörden erfolgen, warnen sie.

Für die Aufsichtsbehörden bestehen demnach nur beschränkte Durchsuchungs- und Betretungsrechte in der Arztpraxis, soweit ihre Maßnahmen einen Verstoß gegen die Geheimhaltungspflichten von Ärzten zur Folge hätten. Von einer generellen Verweigerung unter Berufung auf die ärztliche Schweigepflicht raten KBV und BÄK aber ab, da eine unberechtigte Verweigerung ein Bußgeld nach sich ziehen kann. Grundsätzlich kann die Auskunft auf Fragen weiterhin verweigert werden, deren Beantwortung die Gefahr einer strafgerichtlichen Verfolgung nach sich ziehen würde.

Pannen melden

Wichtig ist, dass Arztpraxen künftig Datenpannen und -verstöße melden. Datenpannen wie zum Beispiel Hackerangriffe oder auch Datenschutzverstöße durch Mitarbeiter oder Dritte sind der zuständigen Aufsichtsbehörde in der Regel innerhalb von 72 Stunden zu melden.

„Die Meldepflicht ist problematisch, sofern der Verantwortliche sich selbst belasten würde, einen Verstoß gegen die ärztliche Schweigepflicht begangen zu haben. Die Meldung ist dann zwar vorzunehmen. Es besteht aber ein prozessuales Verwertungs­verbot und die Meldung kann in einem Strafverfahren oder im Ordnungswidrigkeiten­verfahren nur mit Zustimmung des Arztes verwendet werden“, schreiben BÄK und KBV.

Bei Verstößen gegen die neuen EU-Regeln drohen empfindliche Geldstrafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens. © may/dpa/aerzteblatt.de

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

LNS

Nachrichten zum Thema

18. Dezember 2018
Kassel – Die Krankenkassen dürfen die Fotos ihrer Versicherten nicht dauerhaft speichern. Wie heute das Bundessozialgericht (BSG) in Kassel entschied, müssen sie das Foto löschen, sobald sie die
Krankenkassen dürfen Versichertenfoto nicht dauerhaft speichern
11. Dezember 2018
Berlin – Für einen neuen Weg bei der Verwendung von Gesundheitsdaten plädiert der CDU-Gesundheits- und Digitalexperte Tino Sorge. In einem Positionspapier, das dem Deutschen Ärzteblatt vorliegt, wirbt
CDU-Politiker wirbt für Datenspende
29. November 2018
Düsseldorf – Der Wechsel in den Ruhestand ist für viele Ärzte offenbar eine schwierige Phase. Das zeigt eine Umfrage im Auftrag der Deutschen Apotheker- und Ärztebank (Apobank). Befragt wurden 50
Fast jeder zweite Arzt will nach Praxisabgabe in Teilzeit weiterarbeiten
27. November 2018
Saarbrücken/Bonn – Mediziner setzen auf Informatiker, um erhobene Patientendaten effizient und sicher auswerten zu können. Dazu notwendige „vertrauenswürdigen Verfahren“ wollen Wissenschaftler zweier
Forscher wollen Patientendaten sicher verarbeiten
16. November 2018
Fürstenfeldbruck – Die Zentralstelle Cybercrime Bayern hat Ermittlungen zu einem Computervirus aufgenommen, der das Klinikum Fürstenfeldbruck lahmlegte. Es könne sich um eine schädliche Software
Computervirus: Spezialisten ermitteln in bayerischem Krankenhaus
9. November 2018
Darmstadt – Bei der Entwicklung und Anwendung der elektronischen Patientenakte stellt sich immer wieder die Frage nach der Datensicherheit. „Alle heute genutzten Verschlüsselungsverfahren werden in
Langfristige sichere Speicherung von Gesundheitsdaten laut IT-Experten im Augenblick nicht gewährleistet
7. November 2018
Hannover – Die fortschreitende Digitalisierung im Gesundheitswesen bietet zwar Möglichkeiten, die Arbeit effizienter zu gestalten und die Versorgung zu verbessern – gleichzeitig stellt es die
LNS LNS

Fachgebiet

Anzeige

Weitere...

Aktuelle Kommentare

Archiv

Anzeige
NEWSLETTER