KWP, Klosterstraße 64, 10179 Berlin || Tel: 030 - 23 45 66 30 || Fax: 030 - 23 45 66 336 || E-Mail kontakt(at)kwp-kanzlei.de
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Die Umsetzung der DSGVO in der Arztpraxis


Vom Datenschutzbeauftragten bis zum Verarbeitungsverzeichnis - die neuen Vorschriften der Datenschutzgrundverordnung (DSGVO). Was habe ich als niedergelassener Arzt in meiner Praxis oder MVZ zu beachten?


Mit der Einführung der DSGVO (Datenschutzgrundverordnung) sind niedergelassene Ärzte seit dem 25. Mai 2018 verpflichtet, gegenüber den Datenschutzbehörden nachzuweisen, dass die datenschutzrechtlichen Grundsätze eingehalten werden. Bei Missachtung oder fehlendem Nachweis drohen empfindliche Geldbußen.


Seit dem Zeitalter der DSGVO benötigen niedergelassene Ärzte für ihre Praxis ein Datenschutzmanagement, um sicherzustellen und dokumentiert nachweisen zu können, dass sie den Datenschutz entsprechend der EU-DSGVO in ihrer Praxis wahren. Es sollte in Arztpraxen ein Bewusstsein für den Datenschutz entwickelt werden.


Einhaltung des Datenschutzes muss nachgewiesen werden


Dies ist umso wichtiger, da ab dem 25.05.2018 Verstöße gegen den Datenschutz schärfer und mit höheren Bußgeldern geahndet werden können.


Es besteht in vielen Arztpraxen und MVZ (Medizinisches Versorgungszentrum) noch immer eine große Unsicherheit. Was habe ich zu tun, was muss ich zwingend umsetzen. Dieser Artikel soll einen kurzen Überblick geben.


Was umfasst die sog. Datenverarbeitung?


Unter dem Begriff „Verarbeiten" im Sinne der DSGVO werden alle Tätigkeiten verstanden, die im Zusammenhang mit dem Erheben und Abfragen, Ordnen, Speichern, Anpassen und Ändern sowie Auslesen und Weiterleiten, Löschen und Vernichten von Daten stehen. Dabei spielt es keine Rolle, ob dies digital oder analog z.B. auf einer Patientenkarteikarte erfolgt. Der Prozess des Verarbeitens beginnt somit bereits bei der Terminvereinbarung am Telefon oder dem Einlesen der elektronischen Gesundheitskarte (eGK).


In einer Arztpraxis fallen insbesondere zwei Kategorien von geschützten Daten der Betroffenen an:


  1. Patientendaten (Gesundheitsdaten), die für die Behandlung der Patienten – ob gesetzlich oder privat versichert – zum Beispiel Name und Versicherungsnummer, Befunde, Blutwerte, Röntgenaufnahmen benötigt werden (zu beachten ist hierbei, dass es sich bei den Patientendaten, um besondere persönliche Daten nach Art. 9 DSGVO handelt, deren Verarbeitung weitere Maßnahmen erfordern, s.u.)
  2. Personaldaten der Mitarbeiter der Praxis oder MVZ, die der Arzt in seiner Funktion als Arbeitgeber benötigt, wie zum Beispiel Name, Adresse, Sozialversicherungsnummer

Datenschutz ist Chefsache


In den meisten Arztpraxen ist das Thema Datenschutz zwar schon präsent, es fehlt aber oft an einem Konzept und dem Wissen zur richtigen Umsetzung in der Praxis.


Die folgende Übersicht soll dabei helfen, Sie zu sensibilisieren, was in Arztpraxen und MVZ mindestens umgesetzt werden muss, um der Informations- und Nachweispflicht nach der DSGVO gerecht zu werden.


Was zwingend in jeder Arztpraxis und MVZ unabhängig von der Größe bis Ende des Jahres 2018 umgesetzt werden sollte!


  • Verzeichnis von Verarbeitungstätigkeiten, das die Praxis auf Verlangen der Aufsichtsbehörde vorlegen muss (sog. Verarbeitungsverzeichnis)
  • Aufstellung der technischen und organisatorischen Maßnahmen sog. TOM´s, die die Praxis zum Schutz von personenbezogenen Daten ergreift
  • Patienteninformation zum Datenschutz samt Belehrung über die Rechte der Patienten
  • Vereinbarungen zur Auftragsverarbeitung mit Softwareanbietern und anderen dritten Dienstleistern, wenn diese auf Patienten- oder Mitarbeiterdaten zugreifen und diese verarbeiten können

Unter bestimmten Umständen ist ein Datenschutzbeauftragter (DSB) in der der Arztpraxis Pflicht


Nach dem Ergebnis der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ist ein Datenschutzbeauftragter (DSB) in einer Arztpraxis oder MVZ notwendig, wenn


  1. „Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB)."

aber

  1. „Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung (DSFA) vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben."

Im Ergebnis sorgt die Stellungnahme der DSK für weitere Verwirrung und Unsicherheit. Um drohenden Bußgeldern zu entgehen, sollte im Zweifel ein Rechtsanwalt für Datenschutz zur Prüfung beauftragt oder bei der zuständigen Datenschutzbehörde eine Anfrage gestellt werden.


Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA)


In einigen Fällen ist zudem eine Datenschutz-Folgenabschätzung (DSFA) erforderlich, wenn zum Beispiel nach Art. 35 DSGVO aufgrund des Umfangs und des Zwecks der Datenverarbeitung ein hohes Datenschutzrisiko besteht oder eine Videoüberwachung in der Praxis erfolgt. In diesem Fall muss in jedem Fall ein Datenschutzbeauftragter benannt werden, auch wenn in der Praxis weniger als zehn Mitarbeiter tätig sind.


Keine Verarbeitung ohne Einwilligung


Aus der DSGVO erfolgt ein grundsätzliches Verbot einer Verarbeitung personenbezogener Daten unter Erlaubnisvorbehalt entweder aufgrund einer Einwilligung des Betroffenen oder einer gesetzlichen Legitimation. Es muss somit nicht nur eine Einwilligung des betroffenen Patienten vor der Verarbeitung vorliegen, sondern der Patient muss zudem über seine Rechte auf Auskunft, Berichtigung, Löschung, Widerspruch und Widerruf belehrt werden. Das gleiche gilt im Übrigen auch für die Mitarbeiter, denn auch diese sind Betroffene im Sinne der DSGVO.


Bei einem Internetauftritt ist die Datenschutzerklärung anzupassen


Die Datenschutzerklärung auf der Homepage ist an die Inhalte und Serviceangebote wie Newsletter, Facebook, Twitter, Terminerinnerung etc. anzupassen.


Das Landgericht Würzburg hat jüngst mit Beschluss vom 13.09.2018 – 11 O 1741/18 wegen offensichtlicher Verstöße gegen die DSGVO unter Androhung eines Bußgeldes in Höhe von 250.000,00 € eine Nutzungsuntersagung im Rahmen einer einstweiligen Verfügung gegen einen Betreiber einer Homepage erlassen, so dass die Datenschutzerklärung auf der Homepage der Arztpraxis oder des MVZ dringend anzupassen ist.


Bei Verstößen drohen hohe Geldbußen und Schadensersatzforderungen


Die Datenschutzbehörden haben gegenüber Berufsgeheimnisträgern zwar nur eingeschränkte Rechte, so dass bei Ärzten insbesondere keine umfassende Auskunft über Patientengeheimnisse an die Aufsichtsbehörden erfolgen kann und für die Aufsichtsbehörden nur beschränkte Durchsuchungs- und Betretungsrechte in der Arztpraxis bestehen, soweit die Maßnahmen einen Verstoß gegen die Geheimhaltungspflichten von Ärzten zur Folge hätten.


Es ist allerdings von einer generellen Verweigerung unter Berufung auf die ärztliche Schweigepflicht gegenüber der Datenschutzbehörde abzuraten, da eine unberechtigte Verweigerung gem. Art. 83 Abs. 5 lit. e DSGVO wiederum ein Bußgeld nach sich ziehen kann.


Fazit


Einer Arztpraxis mit mehr als zehn Mitarbeitern bzw. einer Gemeinschaftspraxis mit mehr als zwei Berufsträgern sowie einem MVZ ist dringend anzuraten, einen Datenschutzbeauftragten zu bestellen und sich intensiv mit dem Thema Datenschutz auseinander zu setzen, um drohenden Bußgeldern langfristig zu entgehen.


Jeder niedergelassene Arzt und Apotheker sollte aber zumindest ein Verarbeitungsverzeichnis erstellen sowie die Patienten / Kunden / Mitarbeiter belehren und die Datenschutzerklärung auf der Homepage überarbeiten.

Im Zweifel sollte ein Rechtsanwalt für Datenschutz zur Beratung herangezogen werden.

Der Autor ist Rechtsanwalt und DEKRA zertifizierte Fachkraft für Datenschutz sowie über www.itm-gmbh.de zertifizierter Berater für das DSGVO Förderungsprogramm des Bundesamtes für Wirtschaft und Ausfuhr (BAFA) http://www.bafa.de/DE/Wirtschafts_Mittelstandsfoerderung/Beratung_Finanzierung/Unternehmensberatung/unternehmensberatung_node.html



Zum Artikel
Vereinbaren Sie ein Beratungsgespräch

Tel: 030 - 23 45 66 30



oder füllen Sie das Kontaktformular aus. Wir werden uns umgehend bei Ihnen melden.

RA Sascha Kugler