Datenschutz in der Arztpraxis

Datenschutzbeauftragter Arztpraxis - Datenschutzberatung

Ihre Arztpraxis verarbeitet besonders sensible personenbezogene Daten. Wir geben Ihnen einen ersten Überblick darüber, was beim Datenschutz in der Arztpraxis zu beachten ist und wann ein Datenschutzbeauftragter für eine Artzpraxis notwendig ist.

Interessiert? Gerne beraten Sie hierzu auch als Datenschutzbeauftragter Arztpraxis.

Inhalt:

Wann muss eine Arztpraxis einen Datenschutzbeauftragten benennen?

Für Ihre Arztpraxis gilt: Sobald in einer Praxis oder Berufsausübungsgemeinschaft mindestens 10 Personen Patientendaten verarbeiten, muss ein Datenschutzbeauftragter benannt werden. Darauf hat sich die Datenschutzkonferenz verständigt. Diese Ansicht wird auch von der Ärztevertretung (z.B. KVN) und Landesdatenschutzbehörden (z.B. Landesdatenschutzbeauftragte Niedersachsen) geteilt. Die Auffangregelung nach § 38 BDSG, wonach erst ab 20 Personen ein Datenschutzbeauftragter zu benennen ist, ist auf Praxen nicht anwendbar, da bereits nach Art. 37 DSGVO ein Datenschutzbeauftragter zu benennen ist.

In Einzelfällen auch schon eine Arztpraxis mit weniger als 10 Beschäftigten zur Benennung eines Datenschutzbeauftragten verpflichtet sein, sofern sie im umfangreichen Maße besondere Kategorien von Daten verarbeiten, zu denen auch Gesundheitsdaten gehören.

Im Erwägungsgrund 91 DS-GVO heißt es in Satz 4:

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.

Allerdings: Auch wenn kein Datenschutzbeauftragter vorgeschrieben sein sollte, gelten die zahlreichen Vorschriften aus der DSGVO und dem BDSG. Es ist deshalb empfehlenswert, dass sich auch kleinere Praxen professionelle Unterstützung durch einen externen Datenschutzexperten sichern.



Für welche Daten gilt der Datenschutz in der Arztpraxis?

Kern des Datenschutzes sind personenbezogene Daten. Das sind nach der DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, zum Beispiel Namen oder Adressen. Eine Arztpraxis arbeitet mit solchen Daten, aber natürlich auch und vor allem mit Gesundheitsdaten wie Medikationen, Indikationen oder Behandlungsdauer. Diese Daten sind, wie schon im alten Recht, besonders geschützt und zählen nach Artikel 9 DSGVO zu den besonderen Kategorien personenbezogener Daten. Sobald personenbezogene Daten verarbeitet werden, müssen die Regeln des Datenschutzes eingehalten werden. Unter Verarbeitung versteht die DSGVO unter anderem das Erheben, Erfassen, Speichern, Abfragen oder die Übermittlung von personenbezogenen Daten.

Wann braucht eine Arztpraxis die Einwilligung des Patienten?

Wenn es keine gesetzliche Ausnahme gibt, muss der Betroffene in die Verarbeitung seiner Daten einwilligen, sonst dürfen diese Daten nicht genutzt werden. In der Regel ist die Behandlung in der Arztpraxis von gesetzlichen Bestimmungen gedeckt. Eine Ausnahme, bei der eine Einwilligung erforderlich ist, besteht zum Beispiel dann, wenn personenbezogene Daten zum Zwecke einer weiteren Versorgung, Behandlung und Dokumentation zwischen verschiedenen Leistungserbringern ausgetauscht werden sollen. Eine Einwilligung ist auch erforderlich, wenn die Arztpraxis personenbezogene Daten, insbesondere Rezepte, Behandlungs- und Befundunterlagen an eine Dritte Person ausgehändigen können soll – zum Beispiel an Verwandte des Patienten, die Unterlagen für den Patienten abholen sollen.

Eine Vorlage für eine entsprechende Einwilligungserklärung finden Sie zum Beispiel bei der Kassenärztlichen Vereinigung Niedersachsen. Das Muster dient dazu, der gesetzlichen Regelung des § 73 Abs. 1b SGB V gerecht zu werden. Dieser schreibt eine vorherige schriftliche Einwilligung des Patienten zur Übermittlung bzw. Einholung von Patientendaten (Befunde, Befundunterlagen etc.) vom Haus- bzw. Facharzt vor.

Die Einwilligung muss freiwillig und in informierter Weise abgegeben werden. Da der Verantwortliche im Zweifel die Einwilligung nachweisen muss, erfolgt die Einwilligung in der Regel schriftlich. Die Arztpraxis muss den Patienten darüber informieren, dass Daten von ihm erhoben und gespeichert werden. Der Patient muss auch darüber informiert werden, was mit den Daten geschieht und zu welchem Zweck sie genutzt werden. Der Zweck muss klar und deutlich formuliert werden. Und nur zu diesem Zweck gilt die Einwilligung. Der Widerruf der Einwilligung ist nach Artikel 7 Absatz 3 DSGVO jederzeit möglich. Sobald der Patient also nicht mehr möchte, dass seine Daten genutzt werden, muss diesem Willen nachgekommen werden. Mehr Informationen zur Einwilligung finden Sie hier.

Welche Informationspflichten hat eine Arztpraxis beim Datenschutz?

Patienten, deren personenbezogene Daten erhoben oder verarbeitet werden, müssen Zugang zu einer Datenschutzerklärung nach Art. 12 ff DSGVO haben. Die Datenschutzerklärung muss in einer präzisen, transparenten und verständlichen Sprache verfasst sein und kann schriftlich oder auch gegebenenfalls elektronisch veröffentlicht sein. Denkbar ist zum Beispiel ein Aushang in der Arztpraxis oder eine Auslage. Möglich sind auch Handzettel mit den Inhalten der Datenschutzerklärung, die bei Bedarf ausgegeben werden können. Nach §13 Telemediengesetz (TMG) muss darüber hinaus jede Webseite eine Datenschutzerklärung aufweisen, das gilt auch für die Webseiten von Arztpraxen. Die Inhalte der Datenschutzerklärung sind in Art. 13 DSGVO benannt.

Zuerst muss aus der Datenschutzerklärung hervorgehen, wer für die Verarbeitung der Daten verantwortlich ist. Es sind also Name und Anschrift des verantwortlichen Arztes zu nennen und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten. In der Datenschutzerklärung muss darüber hinaus aufgelistet werden, welche Daten verarbeitet werden, wie die Verarbeitung erfolgt, welche Zwecke damit verbunden sind – und was die Rechtsgrundlage für die Verarbeitung ist. Der Patient muss auch auf seine Rechte aus Art. 12ff DSGVO hingewiesen werden. Gerne helfe ich Ihnen dabei als Datenschutzbeauftragter für Arztpraxen ihren Informationspflichten gerecht zu werden.

Welche Rechte hat der Patient aus der DSGVO gegenüber einer Arztpraxis?

An erster Stelle steht das Recht, jederzeit eine Einwilligung widerrufen zu können, Art. 7 Abs. 3 DSGVO. Dieses Recht kann auch nicht durch Klauseln ausgeschlossen werden. Entscheidend ist, dass der Widerruf der Einwilligung nicht schwieriger sein darf, als die Erklärung der Einwilligung. Wenn die Einwilligung zum Beispiel per E-Mail erfolgt, muss auch den Widerruf per E-Mail möglich sein.

Nach Art. 15 DSGVO haben die Patienten einen Auskunftsanspruch darüber, welche personenbezogene Daten von ihnen verarbeitet werden, welche Zwecke dabei verfolgt werden, wie lange die Daten gespeichert werden. Für diese Auskunft darf keine Gebühr erhoben werden, auch wenn die Auskunft unter Umständen einen Mehraufwand für die Arztpraxis bedeutet. Die Antwort muss unverzüglich erfolgen, spätestens muss sie dem Patienten allerdings innerhalb eines Monats vorliegen. Die Arztpraxis sollte dementsprechend vorbereitet sein und sich technisch und organisatorisch anpassen. Es ist empfehlenswert, sich diesbezüglich zum Beispiel mit dem eigenen Softwareanbieter in Verbindung zu setzen. Gemäß Art. 16 DSGVO hat der Betroffene ein Recht auf eine unverzügliche Berichtigung seiner personenbezogenen Daten.

In Art. 17 DSGVO ist das Recht auf Löschung festgeschriebene. Betroffene können vom Verantwortlichen verlangen, dass ihre personenbezogene Daten unverzüglich gelöscht werden, sofern einer der Gründe zutrifft: Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig. Der Betroffene hat seine Einwilligung widerrufen. Der Betroffene legt Widerspruch gegen die Verarbeitung ein. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. Die Löschung ist zur Erfüllung von rechtlichen Verpflichtungen notwendig.

Daten, die aufgrund einer gesetzlichen Grundlage erhoben wurden, sind vom Recht auf Löschung nicht betroffen. Auch gesetzliche Aufbewahrungspflichten stehen dem Recht auf Löschung entgegen. Rechnungen etwa sind zehn Jahre aufzubewahren, Unterlagen über Betäubungsmittel drei Jahre und im Rahmen des Transfusionsgesetzes sind sogar 30 Jahre zu beachten.

Technische und organisatorische Maßnahmen zum Schutz von Patientendaten

  • Patientenunterlagen dürfen nicht für andere Patienten einsehbar sein.
  • Vertrauliche Arzt-Patienten-Gespräche finden stets in geschlossenen Räumen statt
  • Gesundheitsdaten gehören nicht in den normalen Müll, sondern in die Datentonne oder müssen geschreddert werden
  • Bildschirme sind so ausgerichtet, dass kein Dritter mitlesen kann
  • Bildschirmsperre (Passwort geschützt)
  • Keine Telefonate mit anderen Patienten während der Behandlung
  • Kein Zugang für Patienten zum Server-Raum
  • Gespräche an der Anmeldung und am Telefon so diskret wie möglich führen
  • Patientendaten werden niemals unverschlüsselt über das Internet versendet
  • Für die Kommunikation mit Patienten werden keine Chat-Dienste wie Whats-App oder ähnliches verwendet

Braucht eine Arztpraxis ein Verarbeitungsverzeichnis?

Im Verarbeitungsverzeichnis müssen Arztpraxen auflisten, welche personenbezogenen Daten sie genau verarbeiten, welche Personengruppen betroffen sind und was sie tun, um die Daten technisch und organisatorisch zu schützen. Vom Prinzip her muss jede Arztpraxis ein solches Verarbeitungsverzeichnis führen. Zwar wird in Art. 30 Abs. 5 DSGVO davon gesprochen, dass es bei Unternehmen mit weniger als 250 Mitarbeitern eine Ausnahme von der Pflicht zum Führen eines Verabeitungsverzeichnisses geben soll. Aber: Es gibt so viele Einschränkungen dieser Ausnahme, dass sie nahezu bedeutungslos ist.

Das neue Verarbeitungsverzeichnis ähnelt seinem Inhalt nach sehr dem alten Verfahrensverzeichnis. Wer ein solches also schon führt, muss vor den neuen Regeln der DSGVO keine Angst haben. Wichtig ist, dass das alte Verzeichnis unter Umständen ergänzt oder vervollständigt wird. Nach Art. 30 DSGVO müssen im Verarbeitungsverzeichnis folgende Angaben gemacht werden:

  • Der Name und die Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten sind zu nennen.
  • Die Kategorien der betroffenen Personen und personenbezogenen Daten müssen hier stehen,
  • sowie die Zwecke der Verarbeitung.
  • Wichtig sind auch die Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder werden. Das können zum Beispiel Abrechnungsservice, Inkassodienstleister oder sonstige Dienstleister sein.
  • Gegebenenfalls ist noch anzugeben, ob personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt werden.

Eine gute Vorlage gibt es vom Rehmverlag hier als Word-Dokument.

Wann muss eine Arztpraxis einen Vertrag über eine Auftragsverarbeitung (AV) abschließen?

Die allerwenigsten Arztpraxen schaffen es, ihre Arbeit ohne die Hilfe von externen Dienstleistern zu erledigen. In bestimmten Fällen verarbeiten diese Dienstleister personenbezogene Daten: Patientendaten, Mitarbeiterdaten. Dann liegt eine Auftragsverarbeitung (AV) vor, die von der DSGVO besonders behandelt wird. Denn im Falle der Auftragsverarbeitung müssen die betroffenen Personen keine Einwilligung in die Nutzung ihrer Daten geben. Der Dienstleister wird so behandelt, als wäre er der verlängerte Arm des Auftraggebers. Damit auch ein bestimmtes Datenschutzniveau gewährleistet wird, verlangt die DSGVO nun den Abschluss eines Vertrags über eine Auftragsverarbeitung.

Über folgende Links der Initiative „Mit Sicherheit gut behandelt“ finden Sie weitere Mustertexte

Wie kann mir ein externer Datenschutzbeauftragter weiterhelfen?

Als externer Datenschutzbeauftragter helfe ich Ihnen dabei, Ihrer Verarbeitungsvorgänge datenschutzkonform zu gestalten. Ich schule Ihre Mitarbeiter in allen für sie relevanten datenschutzrechtlichen Fragen. Ich unterstütze Sie dabei ein funktionierendes Datenschutzmanagementsystem aufzubauen. Zudem überprüfe ich Ihre technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten. Rufen Sie uns gerne an unter 0511 / 373 88 134 oder schreiben Sie uns eine E-Mail an datenschutzbeauftragter@datenschutzundgesundheit.de.

Jetzt unverbindlich anfragen