Praxen müssen ab Mai Einhaltung des Datenschutzes nachweisen

Berlin – Ab dem 25. Mai gilt auch in Deutschland die EU-Datenschutz-Grundverord­nung (EU-DSGVO). Für Ärzte und Psychotherapeuten bedeute dies vor allem, dass sie die Einhaltung des Datenschutzes nachweisen müssten, wie jetzt die Kassenärztliche Bundesvereinigung (KBV) mitteilte. Dieses Datenschutzmanagement beinhalte unter anderem die Information der Patienten darüber, wie der Schutz ihrer Daten gewähr­leistet werde.

Die wichtigsten Fakten zur Datensicherheit sollten laut KBV daher leicht verständlich und transparent in der Praxis dokumentiert werden – beispielsweise in einem Aushang. Dazu gehörten Informationen zur Dauer der Speicherung sowie zum Zweck der Verarbeitung. Darüber hinaus müsse jede Praxis nunmehr ihre eigene Datenschutz­richtlinie formulieren. Darin müssen Praxisinhaber regeln, wie sie und ihr Praxisteam die Vorgaben des Datenschutzes einhalten. Benannt werden sollten auch die Verant­wort­lichkeiten beispielsweise bei Datenschutzvorfällen. Außerdem sollen in der Richtlinie die Zugriffsrechte auf die Daten sowie technische und organisatorische Maßnahmen zum Schutz der Daten dargestellt werden.

Patientendaten prüfen

Laut KBV müssen zudem die internen Verarbeitungsvorgänge von Patientendaten auf ihre datenschutzrechtliche Konformität überprüft werden. Dazu ist eine Bestands­aufnahme erforderlich, welche Daten in der Praxis auf welcher Rechtsgrundlage verarbeitet werden. Diese sollten in einem Verzeichnis für Verarbeitungsvorgänge aufgelistet werden, erläuterte die KBV. Dazu gehörten die Patienten- und Personal­akten sowie die Software für die Buchhaltung und gegebenenfalls die Termin­verwaltung.

Zudem ist mit der EU-DSGVO vorgeschrieben, dass Einwilligungen der Patienten zur Weitergabe ihrer Daten, zum Beispiel an private Abrechnungszentren, auch Widerrufs­möglichkeiten enthalten müssen. Dies sei aber heute schon gängige Praxis, wie die KBV erläuterte.

Ebenfalls neu: Sind in einer Praxis mindestens zehn Mitarbeiter mit der automati­sierten Verarbeitung von personenbezogenen Daten beschäftigt, muss ein Datenschutzbeauftragter benannt werden. Dies kann laut KBV ein entsprechend geschulter Mitarbeiter oder auch ein extern Beauftragter sein. Nicht infrage kommt dafür der Praxisinhaber, da er sich nicht selbst kontrollieren darf.

Wie die KBV weiter betonte, sind zwar viele in der DSGVO enthaltenen Vorgaben teilweise in Praxen berücksichtigt. Neu sei aber, dass deren Einhaltung nun durch die Landesdatenschutzbeauftragten auch stichprobenartig kontrolliert wird. „Bei Verstößen drohen Schadensersatzforderungen sowie Geldbußen – im Extremfall bis zu 20 Millionen Euro. Auch Schadensersatzforderungen zum Beispiel von Patienten sind möglich“, schreibt die KBV.

KBV will informieren

Man könne die mit der Datenschutz-Grundverordnung verbundenen zusätzlichen Belastungen nicht verhindern, wolle die Praxen bei der Umsetzung aber mit konkreten Informationen unterstützen, erklärte der KBV-Vorstandsvorsitzende Andreas Gassen. Die KBV erarbeitet derzeit eine Praxisinformation, in der detailliert und praktisch beschrieben wird, wie Ärzte und Psychotherapeuten vorgehen müssen, um die neuen Vorgaben korrekt umsetzen zu können. Deren Veröffentlichung ist für Anfang April geplant. Zudem werden Muster für einen Aushang entwickelt, mit dem die Patienten über die Sicherung der Daten informiert werden sollen.

Bundesärztekammer und KBV haben zudem die „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ überarbeitet und um die neuen Vorgaben ergänzt zusammen mit einer Checkliste.

EB