Auch wenn es zum aktuellen Zeitpunkt noch einige Unklarheiten zu manchen Details der neuen Richtlinien und deren konkreter Umsetzung gibt, lassen sich im Folgenden die wichtigsten Neuerungen speziell für den Datenschutz in Arztpraxen und Medizinischen Versorgungszentren (MVZ) grob zusammenfassen:
Warum EU-DSGVO?
Bislang wurden die Datenschutzvorgaben von jedem Land eigenständig gesetzlich geregelt, was häufig zu erheblichen Unterschieden geführt hat. Um unserem Zeitalter angemessene Standards aufzusetzen und die Verarbeitung personenbezogener Daten innerhalb der Europäischen Union zu vereinheitlichen, wurde die EU-Datenschutz-Grundverordnung verabschiedet, die ab dem 25. Mai 2018 gilt. Während diese Vereinheitlichung auf der einen Seite in jedem Fall den Verbraucherschutz stärkt, fällt auf der anderen Seite ein erheblicher bürokratischer Aufwand an, der sicherlich an keinem Unternehmen und an keiner Praxis spurlos vorbeigeht. Dass die neuen Vorgaben nicht nur eingehalten, sondern jetzt auch noch gründlicher dokumentiert werden müssen und bei Nichteinhaltung hohe Strafgelder zu erwarten sind, sind die Gründe für die zusätzlichen Umstände.
Welche Daten sind zu schützen?
Bereits bei der telefonischen Terminvergabe oder beim Einlesen der elektronischen Gesundheitskarte fließen in einer Arztpraxis schützenswerte Daten des Patienten, die anschließend verarbeitet, d. h. abgefragt, gespeichert, angepasst, weitergeleitet oder auch wieder gelöscht werden. Doch nicht nur die Gesundheitsdaten der Patienten werden in diesem Sinne in einer Praxis verarbeitet, auch Personaldaten der Praxismitarbeiter selbst, gilt es zu schützen.
Was ist also zu tun?
Sicherlich werden die allermeisten Praxen schon viel recherchiert oder vorab Schulungen zum Thema DSGVO besucht und bereits viele der nötigen Schritte in die Wege geleitet haben. Dennoch können die folgenden Themen noch einmal interessante Anhaltspunkte für einen guten Überblick sein.
- Verzeichnis von Verarbeitungstätigkeiten erstellen und vorlegen können.
Nach der EU-DSGVO ist von Arztpraxen und MVZ ein Verzeichnis zu führen, in dem alle Tätigkeiten aufgeführt sind, bei denen personenbezogene Daten – von Patienten und auch von Mitarbeitern – verarbeitet werden. Die DSGVO fordert dafür je Tätigkeit Angaben wie
- Zweck der Verarbeitung,
- betroffene Personengruppen,
- Datenkategorien,
- Empfängergruppen und
- Löschungsfristen
zuzuordnen. Für den Fall, dass die zuständige Aufsichtsbehörde einen Nachweis verlangt, ist dieses Verzeichnis bereitzuhalten.
- Technische und organisatorische Schutzmaßnahmen erarbeiten.
Personenbezogene Daten müssen in der Praxis geschützt und vor Missbrauch bewahrt werden. Dies gelingt nur, wenn dafür sowohl technisch als auch organisatorisch die nötigen Rahmenbedingungen geschaffen sind. Jeder Mitarbeiter der Praxis muss um diese Vorkehrungen Bescheid wissen und diese ggfs. auf Anfrage benennen bzw. nachweisen können.
Die DSGVO regelt für diesen Aspekt allerdings nicht im Detail, welche Maßnahmen in jedem Fall getroffen werden müssen. Es empfiehlt sich jedoch, beispielsweise bei der Gestaltung der Praxisräumlichkeiten, darauf zu achten, dass Diskretion gewahrt werden kann. Gespräche zwischen Arzt und Patient sollten in geschlossenen Räumen stattfinden können und auch für den Anmeldebereich lässt sich mit Abstandshinweisen Vertraulichkeit sicherstellen. Auch wird empfohlen, innerhalb des Teams die Zugriffsberechtigungen für Dateien im Praxissystem klar zu regeln. Darüber hinaussollte es genaue Ablaufpläne für die normgerechte Vernichtung von Patientenakten sowie für richtiges Verhalten im Falle von Datenpannen und Datenschutzverstößen geben. Diese und auch weitere denkbare Maßnahmen sollten in jeder Praxis zum Schutz der sensiblen Daten getroffen und dokumentiert werden. Wenn besonders große Mengen an personenbezogenen Daten, z. B. in MVZ, Krankenhäusern oder großen Pflegeeinrichtungen, verarbeitet werden, kann in bestimmten Fällen auch eine Datenschutz-Folgenabschätzung erforderlich sein.
- Patienten über Datenschutz informieren.
Die neuen Regelungen fordern, dass alle Praxen ihre Patienten über die Art und das Ziel der Datenspeicherung informieren müssen. Dies sollte spätestens ab dem Zeitpunkt der Datenerhebung passieren. Ein Informationsblatt zur Datenverarbeitung, das bei der Datenerhebung ausgehändigt und gerne auch auf der Praxishomepage veröffentlicht werden kann, ist beispielsweise eine geeignete Lösung für diese Forderung.
- Datenschutzvorschriften mit Dienstleistern (z. B. Softwareanbieter) vertraglich regeln.
In den meisten Fällen nehmen Praxen bei der Verwaltung von Terminen und Patientenstammdaten die Arbeit eines externen Dienstleisters in Anspruch, der meist auch Zugriff auf die in der Software verarbeiteten Daten hat. Hier muss ebenfalls der Datenschutz gesichert werden. Es sollte daher unbedingt sichergestellt werden, dass der Dienstleister den Datenschutzregelungen nachkommt. Außerdem muss im Rahmen eines Vertrags zur Auftragsverarbeitung genau geregelt werden, welche Rechte, Pflichten und Befugnisse bestehen.
- Benennung eines Datenschutzbeauftragten (für Praxen ab zehn Personen)
Sind in einer Praxis in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (m/w), welches jedoch nicht der Praxisinhaber selbst sein darf. Die Kontaktdaten (Vor- und Nachname, E-Mail-Adresse) sind der zuständigen Aufsichtsbehörde zu melden. Auch ist dieser in der Datenschutzerklärung auf der Praxishomepage zu nennen.
Zu den Aufgaben des ernannten Datenschutzbeauftragten gehört in erster Linie, die Maßnahmen zum Datenschutz und deren Einhaltung zu kontrollieren. Ebenfalls ist er der offizielle Ansprechpartner für die Aufsichtsbehörde.
- Einwilligungserklärungen aktualisieren
Die neuen Regelungen der DSGVO fordern, dass Patientenerklärungen zur Datenverarbeitung und -übermittlung an Dritte (z. B. an andere Ärzte, Krankenkassen, privatärztliche Verrechnungsstellen) einen zusätzlichen Hinweis benötigen. Es sollte in diesen Erklärungen darauf hingewiesen werden, dass die Einwilligung jederzeit widerrufen werden kann. Praxisformulare wie diese sollten entsprechend angepasst werden.
- Den Internetauftritt der Praxis prüfen
Da viele Arztpraxen auch über ihre Praxishomepage personenbezogene Daten erfassen (z. B. über ein Kontaktformular zur Terminvereinbarung, Cookies, IP-Adressen etc.) müssen hier Anpassungen vorgenommen werden, um den neuen Vorschriften nachzukommen. Demnach muss in der Datenschutzerklärung beispielsweise ausdrücklich über die Rechte der Website-Besucher (Auskunftsrecht, Recht auf Korrektur und Löschung, Widerrufsrecht etc.) informiert werden. Die Nutzung von Google-Analytics oder im Falle von eingebundenen Plug-Ins sind weitere Formulierungen in die Datenschutzerklärung einzuarbeiten. Wie bereits erwähnt, ist darüber hinaus auch der ernannte Datenschutzbeauftragte (m/w) der Praxis inkl. E-Mail-Kontakt namentlich zu nennen. Auch die zuständige Aufsichtsbehörde des jeweiligen Bundeslandes ist hier aufzuführen.
In vielen Fällen stellen die zuständigen Ärztekammern und Kassenärztliche Vereinigungen hilfreiche Informationsblätter und Muster-Datenschutzerklärungen zur Verfügung.
Da sich die Angaben einer DSGVO-konformen Datenschutzerklärung jedoch ganz individuell nach Umfang und Nutzung der Website richten, wird geraten, sich hier juristische Beratung einzuholen.
Bitte beachten Sie: Die Autorin dieses Artikels ist keine Juristin. Daher dienen die hier formulierten Inhalte lediglich der Information, nicht jedoch der Rechtsberatung. Im Zweifel sollte unbedingt ein Rechtsanwalt kontaktiert werden. Auch erhebt dieser Artikel keinen Anspruch auf Vollständigkeit.
Quellen und weiterführende Informationen
www.kbv.de/html/datensicherheit.php
www.kbv.de/media/sp/Praxisinformation_Datenschutz_DSGVO.pdf
www.aerzteblatt.de/archiv/196629/Datenschutz-Check-2018-Was-muessen-Arztpraxen-angesichts-der-neuen-Vorschriften-zum-Datenschutz-tun
www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/
www.datenschutz.org/datenschutzerklaerung-website/
www.haufe.de/recht/kanzleimanagement/anpassung-der-datenschutzerklaerung-an-die-dsgvo-bis-2852018_222_440372.html