Ist meine Arzt­pra­xis daten­schutz­kon­form?

Seit dem 25.05.2018 gilt die neue EU-Daten­schutz­grund­ver­ord­nung (DSGVO). Sie regelt den Umgang mit per­so­nen­be­zo­ge­nen Daten. Ins­be­son­de­re beim Daten­schutz für die Arzt­pra­xis erge­ben sich einige Ände­run­gen.


Bei Nicht­ein­hal­tung des Daten­schut­zes muss mit deut­lich här­te­ren Sank­tio­nen gerech­net werden. Um das zu ver­hin­dern sollte man einige Kern­ele­men­te des Daten­schut­zes kennen und für die eigene Arzt­pra­xis oder das MVZ umset­zen.

Was sind per­so­nen­be­zo­ge­ne Daten?

Zu den per­so­nen­be­zo­ge­nen Daten gehö­ren z.B. Name, Ver­si­che­rungs­num­mer, Unter­su­chungs­er­geb­nis­se, Rönt­gen­bil­der, Medi­ka­ti­on oder auch Daten wie Alter und Gewicht. All diese Daten werden in der Regel elek­tro­nisch erfasst. Daten von Mit­ar­bei­tern, Koope­ra­ti­ons­part­nern oder Lie­fe­ran­ten zählen eben­falls zu den per­so­nen­be­zo­ge­nen Daten. Auch diese Daten unter­lie­gen der Daten­schutz­be­stim­mung.

Pflich­ten der Arzt­pra­xen beim Umgang mit Pati­en­ten­da­ten

Auch vor Inkraft­tre­ten der EU-Daten­schutz­grund­ver­ord­nung sind Arzt­pra­xen sorg­sam mit Pati­en­ten­da­ten umge­gan­gen. Mit den neuen Rege­lun­gen haben Arzt­pra­xen zusätz­lich eine erhöh­te Aus­kunfts­pflicht gegen­über den Pati­en­ten, was genau mit ihren Daten geschieht. Zudem müssen Arzt­pra­xen bei einer Anfra­ge der Auf­sichts­be­hör­den nach­wei­sen, dass sie die Daten­schutz­be­stim­mun­gen ein­hal­ten. Dies lässt sich in der Regel durch ein ordent­li­ches Daten­schutz­ma­nage­ment, dass der Daten­schutz­be­auf­trag­te erstel­len kann, erle­di­gen.

Über­ar­bei­tung der Ver­trä­ge mit exter­nen Dienst­leis­tern

Häufig findet der Aus­tausch von Pati­en­ten­da­ten zum Zwecke der Leis­tungs­er­brin­gung statt. Dazu zählen z.B. Labore, pri­va­te Ver­rech­nungs­stel­len oder EDV-Dienst­leis­ter. Ver­trag­li­che Inhal­te müssen den Vor­ga­ben der DSGVO ent­spre­chen und eine Geheim­hal­tungs­er­klä­rung beinhal­ten.

Erstel­lung eines schrift­li­chen Ver­zeich­nis­ses

Laut Art. 30 DSGVO ver­pflich­tet sich jede Arzt­pra­xis, ein Ver­zeich­nis für die Ver­ar­bei­tungs­tä­tig­kei­ten mit sen­si­blen Daten anzu­le­gen. Darin auf­ge­führt sind alle tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, die die Umset­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten doku­men­tie­ren. Dieses Ver­zeich­nis ist der Daten­schutz­be­hör­de nach Auf­for­de­rung vor­zu­le­gen. Für einen bes­se­ren Über­blick ist an dieser Stelle die Erstel­lung eines Daten­schutz­hand­bu­ches (z.B. durch den Daten­schutz­be­auf­trag­ten) zu emp­feh­len. Es dient nicht nur dazu, alle Pro­zes­se genau­es­tens zu doku­men­tie­ren, son­dern ent­hält zusätz­lich eine Beur­tei­lung der durch­ge­führ­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zum Schutz sen­si­bler Daten.

Ernen­nung eines Daten­schutz­be­auf­trag­ten für die Arzt­pra­xis

Bisher waren Betrie­be mit min­des­tens 10 Mit­ar­bei­tern dazu ver­pflich­tet, einen Daten­schutz­be­auf­trag­ten zu benen­nen. Künf­tig wird erst ab einer Mit­ar­bei­ter­zahl von 20 Beschäf­tig­ten ein Daten­schutz­be­auf­trag­ter für die Arzt­pra­xis Pflicht. Einen ent­spre­chen­den Geset­zes­ent­wurf hat der Bun­des­tag im Juni 2019 ver­ab­schie­det. Der Bun­des­rat muss dieser Ände­rung jedoch noch zustim­men, bevor das Gesetz in Kraft tritt. Die Funk­ti­on des DSB für die Arzt­pra­xis kann ein ent­spre­chend geschul­ter Mit­ar­bei­ter oder ein exter­ner Daten­schutz­be­auf­trag­ter über­neh­men. Dazu sind weit­rei­chen­de pro­zes­sua­le, betriebs­wirt­schaft­li­che und juris­ti­sche Kennt­nis­se nach­zu­wei­sen.

Die Auf­ga­be eines inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten ist es, Arzt­pra­xen bezüg­lich der Ein­hal­tung der aktu­el­len Daten­schutz­be­stim­mun­gen zu bera­ten und Maß­nah­men vor­zu­schla­gen, um die Ein­hal­tung eines aus­rei­chen­den Daten­schut­zes zu gewähr­leis­ten. Muss eine Arzt­pra­xis auf­grund der gerin­gen Mit­ar­bei­ter­zahl keinen inter­nen oder exter­nen DSB für die Arzt­pra­xis benen­nen, ist der lei­ten­de Arzt für die Ein­hal­tung der Daten­schutz­ge­set­ze ver­ant­wort­lich. Hier kann eine Daten­schutz­be­ra­tung für die Arzt­pra­xis helfen, um Unsi­cher­hei­ten zu ver­mei­den und inter­ne Pro­zes­se daten­schutz­kon­form zu halten.

Da es sich bei der Imple­men­tie­rung eines effek­ti­ven Daten­schutz­ma­nage­ment­sys­tems ent­spre­chend der DSGVO um einen sehr kom­ple­xen Vor­gang han­delt, ist es ratsam eine Daten­schutz­be­ra­tung für die Arzt­pra­xis in Anspruch zu nehmen. Auch vor dem Hin­ter­grund mög­li­cher Sank­tio­nen.

 

Nun aber zu den Fragen, die wir häufig in der Daten­schutz­be­ra­tung gestellt bekom­men.


Wo lauern die Gefah­ren für den Daten­schutz in einer Arzt­pra­xis?

Der Pro­zess der Daten­ver­ar­bei­tung beginnt bereits bei der Ter­min­ver­ein­ba­rung bzw. beim Ein­le­sen der Kran­ken­kas­sen­kar­te. Bereits hier können per­so­nen­be­zo­ge­ne Anga­ben wie Name, Tele­fon­num­mer und Gesund­heits­da­ten von ande­ren Pati­en­ten mit­ge­hört werden. Ein gut ein­zu­se­hen­der Com­pu­ter­bild­schirm an der Rezep­ti­on oder im Arzt­zim­mer, auf dem sich eine geöff­ne­te Pati­en­ten­ak­te befin­det, ver­stößt eben­falls gegen die gel­ten­den Daten­schutz­be­stim­mun­gen. Aber auch bei der Wei­ter­ga­be von Pati­en­ten­da­ten an Dritte wie bei­spiels­wei­se Labore oder bei Berich­ten an Kol­le­gen können Daten­schutz­be­stim­mun­gen ver­letzt werden.

 

Welche Maß­nah­men muss eine Arzt­pra­xis ergrei­fen?

Betreibt eine Arzt­pra­xis eine Web­sei­te, müssen Daten­schutz­in­for­ma­ti­on und Impres­sum vor­han­den sein. Können über die Inter­net­sei­te zusätz­lich noch Ter­mi­ne online ver­ein­bart werden, muss sicher­ge­stellt sein, dass die Über­tra­gung der ein­ge­ge­be­nen Daten ver­schlüs­selt erfolgt. Das­sel­be gilt für den Email-Ver­kehr. Auch Com­pu­ter oder Tele­fo­ne müssen vor dem Zugriff durch Dritte geschützt werden, z.B. durch beschränk­te Zugriffs­rech­te und Ein­rich­ten von Pass­wör­tern.

Ein­wil­li­gung in die Ver­wen­dung der Daten durch den Pati­en­ten
In eini­gen Fällen muss für die Ver­ar­bei­tung von Pati­en­ten­da­ten eine Ein­wil­li­gung durch den Pati­en­ten vor­lie­gen. Gemäß Arti­kel 9 Abs. 1,4 Abs. 11 DSGVO muss jeder Pati­ent der Nut­zung und Ver­ar­bei­tung seiner per­sön­li­chen Daten zustim­men. In dieser Erklä­rung muss umfang­reich aus­ge­führt werden, wie und wofür die erho­be­nen Daten genutzt werden. Das betrifft nicht nur Anga­ben zur Person, son­dern auch die Wei­ter­ga­be von Daten an Labore oder wei­ter­be­han­deln­de Ärzte. Eine all­ge­mei­ne und unspe­zi­fi­sche Beschrei­bung ist unzu­läs­sig. Die Pati­en­ten müssen zusätz­lich über die Mög­lich­keit des Wider­rufs auf­ge­klärt werden.

 

Haben Sie Fragen oder Hin­wei­se zu unse­rem Arti­kel? 

Schrei­ben Sie uns eine Mail an Info@InnovaPrax.de, nutzen Sie unser Kon­takt­for­mu­lar oder rufen Sie uns an unter 0221 7900 2439

Recommended Posts