NewsPolitikHöhere Strafen und Auskunftspflicht: Was der EU-Datenschutz Arztpraxen bringt
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

Höhere Strafen und Auskunftspflicht: Was der EU-Datenschutz Arztpraxen bringt

Donnerstag, 24. Mai 2018

/milkovasa, stockadobecom

Brüssel – Die Europäer sollen die Hoheit über ihre Daten zurückgewinnen. Nach jahrelangen Verhandlungen treten morgen die neuen EU-Datenschutzregeln mit der Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Betroffen sind auch nieder­gelassene Vertragsärzte. Der Vorstandsvorsitzende der Kassenärztlichen Bundes­vereinigung (KBV), Andreas Gassen, appellierte heute an alle Vertragsärzte und Vertragspsychotherapeuten, angesichts der neuen Vorgabe noch stärker auf den Schutz sensibler Patientendaten zu achten. Die KBV hat zur Umstellung auf die Datenschutz-Grundverordnung (DSGVO) diverse Informationsmaterialien erstellt, die die Praxen nutzen könnten, sagte Gassen.

Die Informationsmaterialien der KBV stehen seit Ende April auf einer Themenseite im Internet bereit, die Mustervorlagen können dort heruntergeladen werden. Aktuell wurde das Angebot um häufig gestellte Fragen und Antworten ergänzt. Die KBV wies darauf hin, dass die inhaltlichen Anforderungen der EU-DSGVO vielfach dem hierzulande geltenden Recht ähneln. „Pflichten wie das Führen eines Verarbeitungsverzeichnisses oder die Bestellung eines Datenschutzbeauftragten bestehen auch jetzt schon. Neu ist die Nachweispflicht. Das ist von besonderer Bedeutung, da bei Verstößen gegen die datenschutzrechtlichen Pflichten deutlich härtere Sanktionen drohen“, so die KBV.

Anzeige

Praxen benötigen Datenschutzmanagement

KBV und Bundes­ärzte­kammer (BÄK) hatten zudem bereits einen umfassenden Datenschutz-Check für Arztpraxen erarbeitet. Gegliedert wird der Check, der auch in den Bekanntmachungen des Deutschen Ärzteblattes (Ausgabe 10/2018) im Detail zu finden ist, in die Themenfelder interne Datenschutzorganisation/Datenschutzmanagement in der Arztpraxis, das Verhältnis zum Patienten, zu externen Dienstleistern und Dritten, zu Aufsichtsbehörden und anderen Stellen sowie weitere Hinweise und Muster.

KBV und BÄK weisen darauf hin, dass Ärzte für ihre Praxis ein Datenschutz­manage­ment benötigen, um sicherzustellen und dokumentiert nachweisen zu können, dass sie den Datenschutz entsprechend der EU-DSGVO wahren. Das umfasst unter anderem die Überprüfung aller internen Verarbeitungsvorgänge in der Arztpraxis. „Alle elektronischen Verarbeitungsvorgänge sowie die Verarbeitung von Patientendaten in Karteien sind auf die datenschutzrechtliche Konformität hin zu überprüfen“, betonen KBV und BÄK. Insbesondere müssten geeignete technisch-organisatorische Maßnahmen ergriffen werden. Unter Umständen müsse auch eine Datenschutzfolgen­abschätzung vorgenommen werden.

Notwendig ist zudem eine Bestandsaufnahme, welche Daten in der Arztpraxis auf welcher Rechtsgrundlage verarbeitet werden. Alle Arztpraxen haben ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Arztpraxen, in denen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen zudem einen Datenschutzbeauftragten benennen. Dieser kann entweder in der Praxis beschäftigt sein, alternativ kann ein externer Dienstleister beauftragt werden.

Interne Datenschutzrichtlinie aufsetzen

Um in Arztpraxen ein Bewusstsein für den Datenschutz und Datenschutzrisiken zu schaffen, kann aus Sicht von BÄK und KBV eine interne Datenschutzrichtlinie sinnvoll sein. Darin können Ärzte zum Beispiel notwendige Verhaltensweisen bei der Erfassung von Patientendaten, klare Verantwortlichkeiten oder Zugriffsbeschränkungen für Mitarbeiter festlegen.

Die Checkliste geht darüber hinaus darauf ein, dass sowohl Einwilligungserklärungen als auch verwendete Verträge mit Dritten, die Datenverarbeitungsvorgänge betreffen, möglicherweise an das neue Datenschutzrecht anzupassen sind. Auch müsse durch geeignete technisch-organisatorische Maßnahmen wie etwa beschränkte Zugriffsrechte der Mitarbeiter oder Verschlüsselungsmaßnahmen die Sicherheit der Datenverarbei­tung in der Arztpraxis, insbesondere vor Angreifern von außen, gewährleistet werden.

Mehr Rechte für Verbraucher

Verbraucher und Patienten erhalten mit den neuen Regelungen deutlich mehr Rechte über ihre Daten. Grundsätzlich müssen Verbraucher künftig von Beginn an darüber informiert werden, wer ihre persönlichen Daten wie Name, Adresse, E-Mail-Adresse und Ausweisnummer aus welchem Grund erhebt – und sie müssen zustimmen. Zudem muss klar sein, wie lange die Daten aufbewahrt werden sollen. Die Einwilligung muss jederzeit zurückgezogen werden können.

BÄK und KBV weisen darauf hin, dass im Rahmen der routinemäßigen Behandlung von Patienten die Datenverarbeitung meist auf einer gesetzlichen Grundlage beruht, sodass eine Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen sei. Soweit ausnahmsweise Einwilligungserklärungen für bestimmte Datenverarbeitungsvorgänge wie die Einbeziehung einer privaten Verrechnungsstelle erforderlich seien und noch nicht eingeholt wurden, seien diese nachzuholen. Das Vorliegen von Einwilligungs­erklärungen zur Datenverarbeitung muss durch den Praxisinhaber nachgewiesen werden, schreiben BÄK und KBV.

In Bezug auf die ausgeweiteten Informationspflichten können laut BÄK und KBV Vordrucke genutzt werden, über die Patienten in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache informiert werden. Diese Informationen, wie zum Beispiel zur Dauer der Speicherung sowie zum Zweck der Verarbeitung, könnten etwa sichtbar in der Arztpraxis ausgehängt werden.

Unternehmen und Organisationen müssen gespeicherte Daten zudem auf Anfrage zur Verfügung stellen. Das gilt auch für Arztpraxen. BÄK und KBV raten dazu, in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren einzurichten, um entsprechende Anfragen von Patienten, die Auskunft zu ihren gespeicherten Daten verlangen, schnell beantworten zu können. „Es ist zu beachten, dass kein Anspruch des Patienten besteht, Auskunft über personenbezogene Daten anderer Betroffener (Dritter) zu erhalten“, heißt es von KBV und BÄK weiter. Dabei sind die geltenden Fristen zu beachten. Auch dafür sollte in einer internen Datenschutz­richtlinie ein Verfahren festgelegt werden.

Ärztliche Schweigepflicht bleibt unangetastet

BÄK und KBV erläutern in der Checkliste auch, was beim Verhältnis zu externen Dienstleistern und Dritten zu beachten ist. Dabei geht es unter anderem um die Anpassung vertraglicher Vereinbarung mit externen Dienstleistern nach den Vorschriften zur Auftragsverarbeitung oder Fragen der Geheimhaltung. Im Hinblick auf die Befugnisse der Aufsichtsbehörden für den Datenschutz weisen KBV und BÄK darauf hin, dass die Aufsichtsbehörden nur eingeschränkte Rechte gegenüber Berufs­geheimnis­trägern haben. Es dürfe insbesondere keine umfassende Auskunft über Patientengeheimnisse an die Aufsichtsbehörden erfolgen, warnen sie.

Für die Aufsichtsbehörden bestehen demnach nur beschränkte Durchsuchungs- und Betretungsrechte in der Arztpraxis, soweit ihre Maßnahmen einen Verstoß gegen die Geheimhaltungspflichten von Ärzten zur Folge hätten. Von einer generellen Verweigerung unter Berufung auf die ärztliche Schweigepflicht raten KBV und BÄK aber ab, da eine unberechtigte Verweigerung ein Bußgeld nach sich ziehen kann. Grundsätzlich kann die Auskunft auf Fragen weiterhin verweigert werden, deren Beantwortung die Gefahr einer strafgerichtlichen Verfolgung nach sich ziehen würde.

Pannen melden

Wichtig ist, dass Arztpraxen künftig Datenpannen und -verstöße melden. Datenpannen wie zum Beispiel Hackerangriffe oder auch Datenschutzverstöße durch Mitarbeiter oder Dritte sind der zuständigen Aufsichtsbehörde in der Regel innerhalb von 72 Stunden zu melden.

„Die Meldepflicht ist problematisch, sofern der Verantwortliche sich selbst belasten würde, einen Verstoß gegen die ärztliche Schweigepflicht begangen zu haben. Die Meldung ist dann zwar vorzunehmen. Es besteht aber ein prozessuales Verwertungs­verbot und die Meldung kann in einem Strafverfahren oder im Ordnungswidrigkeiten­verfahren nur mit Zustimmung des Arztes verwendet werden“, schreiben BÄK und KBV.

Bei Verstößen gegen die neuen EU-Regeln drohen empfindliche Geldstrafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens. © may/dpa/aerzteblatt.de

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

LNS

Nachrichten zum Thema

6. September 2018
Berlin – Mit den ethischen Herausforderungen von Datenverarbeitung und innovativen Technologien befasst sich seit gestern ein neues Beratungsgremium der Bundesregierung. Die Datenethikkommission kam
Experten sollen Regierung Vorschläge für ethischen Umgang mit Daten machen
24. August 2018
Berlin – Kritische Infrastrukturen wie etwa Kraftwerke, Stromleitungen oder auch Gesundheitsdienstleistungen sollen in Deutschland künftig dank einer zentralen Anlaufstelle besser geschützt werden
Schutz vor Stromausfällen, Hackern und Wassermangel
22. August 2018
Frankfurt am Main – Alte Faxgeräte und All-in-One-Drucker mit integrierter Faxfunktion sind ein potenzielles Einfallstor für Hacker. Das Prüfinstitut des Verbands der Elektrotechnik (VDE) warnte
Prüfingenieure warnen vor alten Faxgeräten und All-in-One-Druckern
20. August 2018
Berlin – An die Bedeutung des Datenschutzes bei der kommenden elektronischen Patientenakte (ePA) hat der Marburger Bund (MB) erinnert. Hintergrund ist, dass die Krankenkassen im Entwurf des
Marburger Bund mahnt Datenschutz bei elektronischer Patientenakte an
18. Juli 2018
Stuttgart – Der Chef des Bundesnachrichtendienstes (BND), Bruno Kahl, hat die deutsche Wirtschaft aufgefordert, sich bei Cyberattacken auf Unternehmen auch an die Nachrichtendienste zu wenden. Der
BND-Chef warnt vor Cyberangriffen
4. Juli 2018
Greifswald – Ein forschungsunterstützendes klinisches Arbeitsplatzsystem namens „KAS+“ hat die Universitätsmedizin Greifswald in Betrieb genommen. Medizinische Daten aus der Krankenversorgung können
Universitätsmedizin Greifswald startet forschungsunterstützendes klinisches Arbeitsplatzsystem
6. Juni 2018
Berlin – Die Unionsfraktion im Bundestag will teure Abmahnungen bei vermeintlichen Verstößen gegen die neue Datenschutzgrundverordnung (DSGVO) aussetzen. „Derzeit besteht die Gefahr, dass unseriöse
LNS LNS

Fachgebiet

Anzeige

Weitere...

Anzeige

Aktuelle Kommentare

Archiv

NEWSLETTER