Datenschutz in der Arztpraxis – der Stichtag der neuen EU Datenschutz-Grundverordnung (EU-DSGVO) rückt näher
Spätestens ab dem 25. Mai 2018 muss die neue EU Datenschutz-Grundverordnung (EU-DSGVO) eingehalten werden. Ein Datum, welches derzeit sicherlich viele Organisationen umtreibt. Zumindest jene, die Daten von EU-Bürgern verarbeiten. So wie wir. Vor diesem Hintergrund haben wir einige – wie wir finden – durchaus nützliche Checklisten, Informationen und Links speziell für Arztpraxen entdeckt. Sicherlich befasst sich Ihre Praxis derzeit ebenfalls intensiv mit der DSGVO und deren Umsetzung. Dann könnte die eine oder andere Information möglicherweise für Sie interessant sein.
Zuerst ein paar Eckpunkte: Die DSGVO muss von allen verbindlich befolgt werden, die personenbezogene Daten von Menschen in der EU erfassen, verarbeiten und analysieren. Verstöße werden schärfer geahndet und können beachtliche Geldbußen nach sich ziehen.
Personenbezogene Daten
Dazu zählen unter anderem Name, Postadresse, IP-Adresse, Standortdaten, Bank- und Kontoinformationen. Gesundheitsdaten werden dabei als eine „besondere Kategorie personenbezogener Daten“ und damit als besonders schützenswert eingestuft.
Verhältnis zum Patienten: Einwilligung, Informationspflicht, Auskunftsrecht, Recht auf Löschung
Die Verarbeitung personenbezogener Daten darf entweder nur auf einer rechtlichen Grundlage erfolgen oder aber die ausdrückliche Einwilligung der jeweiligen Person liegt vor. Wichtig dabei: Die Zustimmung muss zweckgebunden sein und die Möglichkeit zum Widerspruch beinhalten. Im Zweifel muss die ärztliche Praxis nachweisen, dass die Einwilligung – bspw. zur Rechnungsstellung über eine private Abrechnungsstelle – vorliegt. Die Verantwortlichen für die Datenerhebung unterliegen nun auch strengeren Informationspflichten gegenüber den Patienten. Beispielsweise müssen sie die Patienten in einer verständlichen Sprache klar, präzise und transparent über die Datenerhebung informieren. Die Patienten können jederzeit Auskunft über ihre gespeicherten Daten verlangen und haben ein Recht auf Datenlöschung – natürlich im Einklang mit den gesetzlich vorgeschriebenen Aufbewahrungsfristen.
Datenschutzmanagement und Datenschutzbeauftragter
Strenge Dokumentationspflichten im Rahmen des Datenschutzmanagements: Die DSGVO verlangt ein Verzeichnis der Verarbeitungstätigkeiten einer ärztlichen Praxis und eine Folgeabschätzung zu Risiken, die bei der Verarbeitung von personenbezogenen Daten entstehen. Wichtig ist die Benennung eines Datenschutzbeauftragten. Die Kassenärztliche Bundesvereinigung (KBV) geht davon aus, dass Arztpraxen mit mindestens zehn Mitarbeitern, die an der automatisierten Verarbeitung von personenbezogenen Daten beteiligt sind, einen Datenschutzbeauftragten benennen müssen. Diese Aufgabe kann ein geschulter Mitarbeiter oder ein externer Dienstleister übernehmen, nicht aber der Praxisinhaber.
Zusammenarbeit mit Dienstleistern
Liegen Verträge mit externen Dienstleistern vor (z.B. bezüglich Praxissoftware und Wartung, Cloud-Dienste, Abrechnung), ist es ratsam, diese auf Konformität mit den neuen Datenschutzrichtlinien zu überprüfen. Die Verträge mit Dienstleistern müssen unbedingt die Verpflichtung zur Geheimhaltung gegenüber Dritten beinhalten.
Internetauftritt, Social Media Profile und Messenger Dienste
Arztpraxen mit eigenem Internetauftritt müssen nach der neuen EU-Datenschutz-Grundverordnung weitere Anforderungen erfüllen. Sie sind beispielsweise nach der DSGVO verpflichtet, eine rechtskonforme Datenschutzerklärung online bereitzustellen. Zu berücksichtigen sind dabei unter anderem Logfiles, Registrierungsmöglichkeiten, die Verwendung von Cookies und der Einsatz von Analyse- oder Trackingdiensten. Hier empfiehlt es sich, einen Experten hinzuzuziehen. Werden für die Praxis Unternehmensprofile in den sozialen Netzwerken wie Facebook, LinkedIn, XING, Twitter & Co. unterhalten oder Messenger Dienste wie WhatsApp genutzt, so ist deren DSGVO-Konformität derzeit nicht abschließend geklärt. Auch hier empfiehlt sich die Rücksprache mit einem Experten.
Hinweise und Links
Ansprechpartner rund um die DSGVO sind beispielsweise die Aufsichtsbehörden sowie die Industrie- und Handelskammer https://de.wikipedia.org/wiki/Liste_der_Industrie-_und_Handelskammern_in_Deutschland. Auch die Bundesärztekammer http://www.bundesaerztekammer.de und die Kassenärztliche Bundesvereinigung http://www.kbv.de informieren zu diesem Thema.
Und hier die eingangs versprochenen Links:
Datenschutz in der Arztpraxis: Leitfaden zum Umgang mit Patientendaten
Fragebogen zur Anpassung der Praxisorganisation an die DSGVO
Sehr ausführlich informiert www.datenschutz.org über Datenschutz in der Arztpraxis:
Datenschutz in der Arztpraxis: Vorsicht bei sensiblen Gesundheitsdaten
Braucht jede Arztpraxis einen Datenschutzbeauftragten?
Ebenfalls wunderbar verständlich: Die Webseite vom Datenschutz Guru:
Muss die Arztpraxis zwingend einen Datenschutzbeauftragten haben?
Kassenärztliche Bundesvereinigung: Datensicherheit in der Praxis
Allgemeine, aber sehr plakative Datenschutz-Infos der Europäischen Kommission…
Natürlich ersetzt dieser Beitrag keine rechtliche Beratung und dient nur zu Informationszwecken. Obige gesammelte Infos erheben auch keinen Anspruch auf Vollständigkeit oder Richtigkeit. Wir freuen uns auf Kommentare und Anregungen, gerne auch auf weitere nützliche Links, die wir teilen können.