Datenschutz Arzt Foto

Arztpraxen verarbeiten besonders sensible personenbezogene Daten. Wir geben Ihnen einen ersten Überblick darüber, was es dabei zu beachten gilt und wann ein Datenschutzbeauftragter für Ärzte notwendig ist.

Muss ich für meine Arztpraxis einen Datenschutzbeauftragten benennen?

Für Arztpraxen gilt: Sobald mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss ein Datenschutzbeauftragter benannt werden. In Einzelfällen, sofern im umfangreichen Maße besondere Kategorien von Daten verarbeitet werden, können auch schon kleinere Arztpraxen zur Bennenung eines Datenschutzbeauftragten verpflichtet sein. Das ist aber die große Ausnahme.

Gilt für mich die Datenschutzgrundverordnung (DSGVO)?

Kern des Datenschutzes sind personenbezogene Daten. Das sind nach der DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, zum Beispiel Namen oder Adressen. Arztpraxen arbeiten mit solchen Daten, aber natürlich auch und vor allem mit Gesundheitsdaten wie Medikationen, Indikationen oder Behandlungsdauer. Diese Daten sind, wie schon im alten Recht, besonders geschützt und zählen nach Artikel 9 DSGVO zu den besonderen Kategorien personenbezogener Daten. Sobald personenbezogene Daten verarbeitet werden, müssen die Regeln des Datenschutzes eingehalten werden. Unter Verarbeitung versteht die DSGVO unter anderem das Erheben, Erfassen, Speichern, Abfragen oder die Übermittlung von personenbezogenen Daten.

Wann brauche ich die Einwilligung des Patienten?

Wenn es keine gesetzliche Ausnahme gibt, muss der Betroffene in die Verarbeitung seiner Daten einwilligen, sonst dürfen diese Daten nicht genutzt werden. In der Regel ist die Behandlung in der Arztpraxis von gesetzlichen Bestimmungen gedeckt. Eine Ausnahme, bei der eine Einwilligung erforderlich ist, besteht zum Beispiel dann, wenn personenbezogene Daten zum Zwecke einer weiteren Versorgung, Behandlung und Dokumentation zwischen verschiedenen Leistungserbringern ausgetauscht werden sollen. Eine Einwilligung ist auch erforderlich, wenn die Arztpraxis personenbezogene Daten, insbesondere Rezepte, Behandlungs- und Befundunterlagen an eine Dritte Person ausgehändigen können soll – zum Beispiel an Verwandte des Patienten, die Unterlagen für den Patienten abholen sollen. Eine Vorlage für eine entsprechende Einwilligungserklärung finden Sie zum Beispiel bei der Kassenärztlichen Vereinigung Niedersachsen. Das Muster dient dazu, der gesetzlichen Regelung des § 73 Abs. 1b SGB V gerecht zu werden. Dieser schreibt eine vorherige schriftliche Einwilligung des Patienten zur Übermittlung bzw. Einholung von Patientendaten (Befunde, Befundunterlagen etc.) vom Haus- bzw. Facharzt vor. Die Einwilligung muss freiwillig und in informierter Weise abgegeben werden. Da der Verantwortliche im Zweifel die Einwilligung nachweisen muss, erfolgt die Einwilligung in der Regel schriftlich. Die Arztpraxis muss den Patienten darüber informieren, dass Daten von ihm erhoben und gespeichert werden. Der Patient muss auch darüber informiert werden, was mit den Daten geschieht und zu welchem Zweck sie genutzt werden. Der Zweck muss klar und deutlich formuliert werden. Und nur zu diesem Zweck gilt die Einwilligung. Der Widerruf der Einwilligung ist nach Artikel 7 Absatz 3 DSGVO jederzeit möglich. Sobald der Patient also nicht mehr möchte, dass seine Daten genutzt werden, muss diesem Willen nachgekommen werden. Mehr Informationen zur Einwilligung finden Sie hier.

Welche Informationspflichten habe ich?

Patienten, deren personenbezogene Daten erhoben oder verarbeitet werden, müssen Zugang zu einer Datenschutzerklärung nach Art. 12 ff DSGVO haben. Die Datenschutzerklärung muss in einer präzisen, transparenten und verständlichen Sprache verfasst sein und kann schriftlich oder auch gegebenenfalls elektronisch veröffentlicht sein. Denkbar ist zum Beispiel ein Aushang in der Arztpraxis oder eine Auslage. Möglich sind auch Handzettel mit den Inhalten der Datenschutzerklärung, die bei Bedarf ausgegeben werden können. Nach §13 Telemediengesetz (TMG) muss darüber hinaus jede Webseite eine Datenschutzerklärung aufweisen, das gilt auch für die Webseiten von Arztpraxen. Die Inhalte der Datenschutzerklärung sind in Art. 13 DSGVO benannt. Zuerst muss aus der Datenschutzerklärung hervorgehen, wer für die Verarbeitung der Daten verantwortlich ist. Es sind also Name und Anschrift des verantwortlichen Arztes zu nennen und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten. In der Datenschutzerklärung muss darüber hinaus aufgelistet werden, welche Daten verarbeitet werden, wie die Verarbeitung erfolgt, welche Zwecke damit verbunden sind – und was die Rechtsgrundlage für die Verarbeitung ist. Der Patient muss auch auf seine Rechte aus Art. 12ff DSGVO hingewiesen werden. Gerne helfe ich Ihnen dabei als Datenschutzbeauftragter für Arztpraxen ihren Informationspflichten gerecht zu werden.

Welche Rechte hat der Patient aus der DSGVO?

An erster Stelle steht das Recht, jederzeit eine Einwilligung widerrufen zu können, Art. 7 Abs. 3 DSGVO. Dieses Recht kann auch nicht durch Klauseln ausgeschlossen werden. Entscheidend ist, dass der Widerruf der Einwilligung nicht schwieriger sein darf, als die Erklärung der Einwilligung. Wenn die Einwilligung zum Beispiel per E-Mail erfolgt, muss auch den Widerruf per E-Mail möglich sein.

Nach Art. 15 DSGVO haben die Patienten einen Auskunftsanspruch darüber, welche personenbezogene Daten von ihnen verarbeitet werden, welche Zwecke dabei verfolgt werden, wie lange die Daten gespeichert werden. Für diese Auskunft darf keine Gebühr erhoben werden, auch wenn die Auskunft unter Umständen einen Mehraufwand für die Arztpraxis bedeutet. Die Antwort muss unverzüglich erfolgen, spätestens muss sie dem Patienten allerdings innerhalb eines Monats vorliegen. Die Arztpraxis sollte dementsprechend vorbereitet sein und sich technisch und organisatorisch anpassen. Es ist empfehlenswert, sich diesbezüglich zum Beispiel mit dem eigenen Softwareanbieter in Verbindung zu setzen. Gemäß Art. 16 DSGVO hat der Betroffene ein Recht auf eine unverzügliche Berichtigung seiner personenbezogenen Daten.

In Art. 17 DSGVO ist das Recht auf Löschung festgeschriebene. Betroffene können vom Verantwortlichen verlangen, dass ihre personenbezogene Daten unverzüglich gelöscht werden, sofern einer der Gründe zutrifft: Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig. Der Betroffene hat seine Einwilligung widerrufen. Der Betroffene legt Widerspruch gegen die Verarbeitung ein. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. Die Löschung ist zur Erfüllung von rechtlichen Verpflichtungen notwendig. Daten, die aufgrund einer gesetzlichen Grundlage erhoben wurden, sind vom Recht auf Löschung nicht betroffen. Auch gesetzliche Aufbewahrungspflichten stehen dem Recht auf Löschung entgegen. Rechnungen etwa sind zehn Jahre aufzubewahren, Unterlagen über Betäubungsmittel drei Jahre und im Rahmen des Transfusionsgesetzes sind sogar 30 Jahre zu beachten.

Brauche ich ein Verfahrensverzeichnis?

Im Verfahrensverzeichnis müssen Arztpraxen auflisten, welche personenbezogenen Daten sie genau verarbeiten, welche Personengruppen betroffen sind und was sie tun, um die Daten technisch und organisatorisch zu schützen. Vom Prinzip her muss jede Apotheke ein solches Verfahrensverzeichnis führen. Zwar wird in Art. 30 Abs. 5 DSGVO davon gesprochen, dass es bei Unternehmen mit weniger als 250 Mitarbeitern eine Ausnahme von der Pflicht zum Führen eines Verabeitungsverzeichnisses geben soll. Aber: Es gibt so viele Einschränkungen dieser Ausnahme, dass sie nahezu bedeutungslos ist. Das neue Verarbeitungsverzeichnis ähnelt seinem Inhalt nach sehr dem alten Verfahrensverzeichnis. Wer ein solches also schon führt, muss vor den neuen Regeln der DSGVO keine Angst haben. Wichtig ist, dass das alte Verzeichnis unter Umständen ergänzt oder vervollständigt wird. Nach Art. 30 DSGVO müssen im Verarbeitungsverzeichnis folgende Angaben gemacht werden: Der Name und die Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten sind zu nennen. Die Kategorien der betroffenen Personen und personenbezogenen Daten müssen hier stehen, sowie die Zwecke der Verarbeitung. Wichtig sind auch die Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder werden. Das können zum Beispiel Abrechnungsservice, Inkassodienstleister oder sonstige Dienstleister sein. Gegebenenfalls ist noch anzugeben, ob personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt werden. Eine gute Vorlage gibt es vom Rehmverlag hier als Word-Dokument.

Muss ich spezielle Verträge über eine Auftragsdatenverarbeitung abschließen?

Die allerwenigsten Arztpraxen schaffen es, ihre Arbeit ohne die Hilfe von externen Dienstleistern zu erledigen. In bestimmten Fällen verarbeiten diese Dienstleister personenbezogene Daten: Patientendaten, Mitarbeiterdaten. Dann liegt eine Auftragsverarbeitung (AV) vor, die von der DSGVO besonders behandelt wird. Denn im Falle der Auftragsverarbeitung müssen die betroffenen Personen keine Einwilligung in die Nutzung ihrer Daten geben. Der Dienstleister wird so behandelt, als wäre er der verlängerte Arm des Auftraggebers. Damit auch ein bestimmtes Datenschutzniveau gewährleistet wird, verlangt die DSGVO nun den Abschluss eines Vertrags über eine Auftragsverarbeitung.

Über folgende Links der Initiative „Mit Sicherheit gut behandelt“ finden Sie weitere Mustertexte

Wie kann mir ein externer Datenschutzbeauftragter weiterhelfen?

Als externer Datenschutzbeauftragter helfe ich Ihnen dabei, Ihrer Verarbeitungsvorgänge datenschutzkonform zu gestalten. Ich schule Ihre Mitarbeiter in allen für sie relevanten datenschutzrechtlichen Fragen. Ich unterstütze Sie dabei ein funktionierendes Datenschutzmanagementsystem aufzubauen. Zudem überprüfe ich Ihre technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten. Rufen Sie mich gerne an unter 0511 / 215 30 25 oder schreiben Sie mir eine E-Mail an datenschutzbeauftragter@datenschutzundgesundheit.de.