kostenlos beraten lassen!

Datenschutz in Arztpraxen (DSGVO) - Was muss alles getan werden?

Geschrieben von Steven Rentzsch am
Redaktioneller Beitrag Lesedauer

Der 25. Mai 2018 rückt immer näher, bis dahin müssen alle Unternehmen die neue Datenschutzgrundverordnung, kurz DSGVO, umgesetzt haben. Dies betrifft alle Unternehmen, sowohl Krankenhäuser als auch Arztpraxen. Doch was muss getan werden? Und wie setzt man die neuen Anforderungen einfach um?

In diesem Artikel wollen wir ein bisschen Licht ins Dunkel bringen und Ihnen praktische Tipps zur Anwendung mit an die Hand geben.

Was ist die Datenschutzgrundverordnung?

Zusammengefasst regelt diese europaweite Verordnung der EU die Verarbeitung von personenbezogenen Daten für alle Unternehmen. Da es in diesem Artikel mehr um die Anwendung geht, können Sie weitere Hintergrundinformationen zur DSGVO z.B. auf Wikipedia erhalten.

Wer ist davon betroffen?

Jeder. Die Einhaltung dieser Verordnung muss von jedem sog. verantwortlichen Mitarbeiter getragen werden. Verantwortliche Mitarbeiter sind alle, die mit der Erfassung und Verarbeitung von personenbezogenen Daten zu tun haben. Dies reicht von der Sprechstundenhilfe, dem Laborassistenten über den Pfleger bis hin zu Ärzten oder Angestellten in der Verwaltung. Nicht Verantwortliche wären z.B. die Reinigungskräfte in der jeweiligen Praxis.

Was sind die Folgen?

Bei einem Verstoß haftet der jeweilige Geschäftsführer immer persönlich. Dies kann Ordnungsgelder von bis zu 300.000€ und mehr bedeuten. Eine Freizeichnung ist ebenfalls nicht möglich, auch nicht, wenn der jeweilige Datenschutzbeauftragte ungenügend oder falsch beraten hat bzw. dieser nicht die erforderlichen Qualifikationen hat.

Wer ist dieser Datenschutzbeauftragte?

In der DSGVO ist die Rede von einem Datenschutzbeauftragten (DSB), dieser kann sowohl ein interner Mitarbeiter sein als auch extern bestellt werden. Die Aufgabe des DSB ist die Einhaltung und Überwachung des Datenschutzes im Unternehmen / in der Arztpraxis, denn Verstöße können, abgesehen vom Imageschaden, teuer werden. Interne Datenschutzbeauftragte werden von der Geschäftsführung bestellt und stehen unter Kündigungsschutz (vergleichbar mit einem Betriebsrat). Auch hat dieser zusätzliche Rechte, wie z.B. den Anspruch auf Weiterbildungen oder gesonderte Materialien für die auszuführende Tätigkeit. Externe DSB sind derzeit bei vielen Anbietern bereits ab 150€ / Monat buchbar.

Hinweis! Einen DSB müssen Sie erst ab einer Unternehmensgröße von 10 verantwortlichen Mitarbeitern bestellen. In einer gängigen Arztpraxis trifft dies eher nicht zu.

Aufgaben:

  • Prüfung der einzelnen Datensicherungsmaßnahmen, §9 BDSG
  • Kontrolle der Protokolldaten, §31 BDSG
  • Prüfung und Kontrolle der Auftragsdatenverarbeitung, §11 BDSG
  • Bearbeitung von Auskunftsersuchen Betroffener, §§34, 35 BDSG
  • Prüfung der Zulässigkeit der Übermittlung in Drittstaaten, §§4b, 4c BDSG
  • Prüfung der Videoüberwachung in öffentlich zugänglichen Bereichen, §6b BDSG und am Arbeitsplatz, § 32 BDSG
  • Prüfung der Regelungen zur Mitarbeiterkontrolle
  • Rechtmäßigkeit der Profilbildung, §6a BDSG
  • Datennutzung zum Marketing und Kundenwerbung, §28 BDSG, §7 UWG
Was muss technisch angepasst werden?

In erster Linie muss die Webseite sowie der Umgang mit den Praxisverwaltungssystemen angepasst werden. Beachten Sie, dass Sie zur Verarbeitung personenbezogener Daten immer ein Einverständnis benötigen, egal ob dies technisch z.B. durch das Setzen eines Haken, per Bestätigung über eMail oder per Unterschrift realisiert wird. Für Ihre Rechtssicherheit sollte dies aber gut dokumentiert werden. Eine Einwilligung ist erst ab 16 Jahren möglich oder durch einen gesetzlichen Vertreter. Dies betrifft unter anderem auch Kinderärzte.

Beachten Sie auch, dass Daten aus Einwilligungen nur für den Zweck verarbeitet werden dürfen, für den die Einwilligung gegeben wurde. Wenn Sie z.B. Personendaten aus einer Newslettereinwilligung für aktuelle Angebote verwenden, verstößt dies bereits gegen die DSGVO.

Webseite:

  • Umstellung der Praxis-Webseite auf SSL Verschlüsselung (HTTPS), insb. wenn Sie Formulare auf Ihrer Webseite nutzen. Dies können Sie einfach bei Ihrem Webhoster erfragen. Die Kosten dafür belaufen sich auf ca. 0-10€ / Monat je nach Anbieter. Achten Sie darauf, dass alle Inhalte verschlüsselt werden, insb. externe Funktionen wie Formulare oder Terminbuchungssysteme.
  • Double-Opt-In für Newsletter und Social Media Buttons (Facebook, Xing, Twitter, ...). Dies können Sie erreichen, indem Sie z.B. bei Newslettern eine Bestätigung (Verifizierung der eMail) einholen, dies geschieht in der Regel per Link in einer eMail. Social Media Buttons sind, wenn möglich, als Link einzubinden, andernfalls existieren diverse Plugins, um dies anderweitig umzusetzen (für Webseite oder Wordpress).
  • Anpassung der Formulare, indem der Benutzer der Webseite vor dem Versenden einen Haken setzen muss (Beispieltext: "Ja, ich habe die Datenschutzerklärung zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung meiner Anfrage genutzt.").
  • Eine Anpassung des Impressums ist ebenfalls erforderlich. Aktualisieren Sie Ihre eigenen Daten und klären Sie den Besucher Ihrer Webseite umfangreich über die Bedingungen auf. Dazu können Sie einfach sog. Impressumsgeneratoren verwenden oder sich von Ihrem Berater/Rechtsanwalt ein Impressum erstellen lassen.
  • Ergänzen Sie, wenn nicht bereits vorhanden, Ihre Webseite um eine entsprechende Datenschutzerklärung (Pflicht seit Februar 2016).
  • Sollten Sie Daten im Auftrag verarbeiten (z.B. bei Übermittlung der Daten an externe Dienstleister), müssen Sie eine Auftragsdatenverarbeitung (ADV) einbinden. Diese kann auch elektronisch hinterlegt und per Haken bestätigt werden, die Hauptsache ist hier, schriftlich und nachweisbar eine Einwilligung einzuholen. Auch IT-Wartungsverträge fallen in der Regel darunter.
  • Wenn Sie Google Analytics verwenden, sollten Sie Ihrem Besucher die Möglichkeit zur Abschaltung geben. Dies kann mit wenigen Handgriffen in Ihre Webseite eingebaut werden (Link).

Praxisverwaltungssystem:

  • Fragen Sie bei Ihrem Hersteller nach, ob und inwiefern sich mit dem angemessenes Schutzniveau auseinandergesetzt wird. Häufig wird ein Update der Software erforderlich werden.

Benachrichtigungen der Patienten:

  • Benachrichtigungen an Patienten z.B. per eMail oder SMS über bevorstehende Termine, Untersuchungen oder Vorsorgen bedürfen einer expliziten Einwilligung, nehmen Sie dies z.B. als Option in Ihrem Behandlungsvertrag mit auf.
  • Verzichten Sie auf unsichere Kanäle/Messenger und übertragen Sie so wenig wie möglich an persönlichen Informationen.
  • Teilen Sie bei online Systemen dem Patienten mit, wenn Daten an Drittländer oder andere Dienstleister übertragen werden sollen und holen Sie sich ein entsprechendes Einverständnis ein.

Verfahrensverzeichnis (Vorlage DOCX tabellarisch):

  • Auch wenn Sie keinen DSB bestellt haben, sollten Sie ein allgemeines Verfahrensverzeichnis erstellen, indem die Art und der Umfang der Datenverarbeitung dokumentiert ist.
  • Dokumentieren Sie, welche Verarbeitungstätigkeiten es gibt, wer der Ansprechpartner ist und welche Daten dort gespeichert oder übertragen werden, bzw. welche Lösch- und Aufbewahrungsfristen es gibt.

Sicherheit bei Software:

  • Installieren Sie aktuelle Updates Ihrer Betriebs- und Softwaresysteme.
  • Deinstallieren Sie alte, nicht mehr benötigte Programme/Plugins von Ihren Computern (z.B. Adobe Flash).
  • Erstellen Sie regelmäßig Datensicherungen.
  • Treffen Sie Vorkehrungen zum Schutz Ihrer Computersysteme (Virenscanner, Firewalls, ...).
  • Computer mit Patientendaten sollten getrennt von Recherche-Systemen gehalten werden. Dies kann auch virtuell erfolgen.
  • Logdateien (z.B. aus der Firewall - wer surft wo; wer logt sich wann ein oder aus) können ebenfalls personenbezogene Daten sein.
Was muss organisatorisch angepasst werden?

Auch innerbetrieblich muss der Umgang mit personenbezogenen Daten angepasst werden.

Allgemeiner Umgang:

  • Passwörter regelmäßig ändern und nicht an Kollegen weitergeben. Unterbinden Sie Gruppen-Accounts bei dem mehrere Personen auf einen Benutzer-Account zugreifen.
  • Geben Sie telefonisch, per Fax oder eMail keine Patientendaten weiter, insb. nicht an Personen, die nicht der Patient selbst sind.
  • Lassen Sie keine Akten in Reichweite von Patienten unbeobachtet liegen.

Mitarbeiter:

  • Klären Sie Ihre Praxisangestellten über die Sensibilität Ihrer Arbeitsaufgaben auf, wiederholen Sie dies regelmäßig und dokumentieren Sie, wer wann aufgeklärt wurde.
  • Die Wahrung der Verschwiegenheitspflicht gemäß § 203 Strafgesetzbuch (StGB) sowie des Postgeheimnisses und des Datengeheimnisses gemäß § 5 Bundesdatenschutzgesetz (BDSG) sollte ebenfalls bereits bei der Einstellung neuer Mitarbeiter geregelt werden. Für Ärzte gelten diese generell aufgrund Ihrer Berufsordnung. Auch wenn diese Vereinbarungen nach dem DSGVO kaum Anwendung finden, sollten diese dennoch vereinbart werden, da eine ausreichende Dokumentation wg. der Beweislast erforderlich ist. Sie können alternativ auch Schulungen durch den Datenschutzbeauftragten durchführen lassen, diese sind mittlerweile auch online ein gängiges Mittel.
  • Gewähren Sie Mitarbeitern nur den Zugriff auf Patientendaten, die diese für die Ausübung Ihrer Tätigkeiten benötigen.
  • Bei Videoüberwachungen müssen diese durch ausreichende Hinweisbeschilderung vor und im Aufnahmebereich gekennzeichnet werden.
  • Erstellen Sie ein IT-Sicherheitskonzept, in dem festgehalten wird, wie mit den Arbeitsmaterialien und Daten umgegangen werden soll.

Lösch-, Informations- und Auskunftspflichten

  • Teilen Sie Ihren Patienten leicht zugänglich mit, welche Daten wie erhoben werden (z.B. durch Flyer, Aushang oder auf der Webseite).
  • Patienten haben im gewissen Umfang ein allgemeines sogenanntes abgestuftes Auskunftsrecht, hierbei kann der Patient konkret Auskunft verlangen, welche Daten erhoben und verarbeitet werden.
  • Beachten Sie, dass die Auskunft unverzüglich spätestens nach einem Monat zu gewähren ist und eine Identitätsprüfung an die auszuhändigende Person erforderlich ist.
  • Die Auskunft muss in der Regel unentgeltlich erfolgen. Ausnahmen sind bei weiteren Kopien, unbegründeten oder exzessiven Anträgen möglich, dabei liegt aber die Beweislast bei Ihnen als Verantwortlichem.
  • Auch haben Patienten das "Recht auf Vergessenwerden", sofern die Daten nicht mehr zur Abrechnung benötigt werden oder gesetzliche Vorgaben dies untersagen. Auch sind von Ihnen beauftragte Stellen sowie Dienstleister darüber zu informieren, sofern dort die jeweiligen Daten erhoben oder verarbeitet wurden.

Datenschutzverletzungen

  • Teilen Sie Ihrer zuständigen Aufsichtsbehörde binnen 72 Std. eine Datenpanne mit (z.B. in Bayern online).
  • Datenschutzverletzungen sind unter anderem Diebstahl, Hacking oder auch die Fehlversendung eines Befundes/Arztbriefes.
  • Lassen Sie Ihre Systeme (z.B. Logdateien) regelmäßig prüfen, diese sind für die Forensik z.B. bei Cyber-Versicherungen notwendig.
Downloads
Verfahrensverzeichnis (tabellarisch)
DOCX

Teilen auf