EU-DatenschutzgrundverordnungNeuer „Datenschutz-Check“ für Ärzte

Viele Ärzte sind derzeit verunsichert, da ab Ende Mai neue Vorschriften für den Datenschutz in Kraft treten. Nun haben Bundesärztekammer und Kassenärztliche Bundesvereinigung ihre Empfehlungen aktualisiert und zusammengefasst. Fazit: Einiges kommt neu auf Ärzte zu, aber das ist kein Grund zur Beunruhigung.

Berlin. Um Ärzten eine Hilfe für die Praxis an die Hand zu geben, haben Bundesärztekammer (BÄK) und Kassenärztliche Bundesvereinigung (KBV) nun einen „Datenschutz-Check 2018″ erarbeitet. Auch der Deutsche Hausärzteverband beschäftigt sich mit dem Thema und wird seine Mitglieder über erforderliche Schritte in der Praxis informieren, wie er gegenüber “Der Hausarzt” sagte. BÄK und KBV haben zudem ihre Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis aktualisiert. Von 25. Mai an gilt auch in Deutschland die EU-Datenschutzgrundverordnung (DSGVO). Derzeit fragen sich daher viele Hausärzte: Wie kann ich künftig die neuen Vorschriften in meiner Praxis umsetzen?

Es gäbe „keine gravierenden Änderungen, viele Vorgaben müssen schon jetzt in den Praxen berücksichtigt werden”, beruhigen die beiden Spitzenorganisationen. Jedoch erhalten die Aufsichtsbehörden mehr Befugnisse und auch die Bußgelder bei einem Verstoß fallen deutlich höher aus. Nach wie vor sind Ärzte als „Berufsgeheimnisträger” aber besonders geschützt. So müssen sie Aufsichtsbehörden keine umfassende Auskunft über Patientengeheimnisse geben und Praxen dürfen nur „beschränkt” durchsucht werden. Dies generell zu verweigern, davon raten BÄK und KBV aber ab, da dann hohe Bußgelder drohen können.

Was hat sich geändert?

Neu ist, dass der Verantwortliche für die Datenverarbeitung, also meist der Praxisinhaber, nachweisen muss, dass die Praxis die Grundsätze zum Datenschutz einhält. Hierzu müsse er alle „Verarbeitungsvorgänge im Zusammenhang mit der Berufsausübung” prüfen. Das betrifft alle elektronischen Vorgänge genauso wie Patientendaten in Karteien.

Bei Abläufen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Patienten zur Folge haben, soll eine Datenschutzfolgeabschätzung stattfinden. Nach der DSGVO gehören dazu neue Technologien wie Cloud-Dienste, elektronische Patientenakten oder bei Videoüberwachungen in Arztpraxen. Besonders aufmerksam sollten Hausärzte sein, wie sie mit Daten schutzbedürftiger Personen umgehen, etwa von Kindern, psychisch Kranken oder Auskünften zum Sexualleben.

Die Hinweise von BÄK und KBV enthalten unter Punkt 3.8 auch einen Hinweis auf die Hausarztzentrierte Versorgung (HZV). Mit der Folgenabschätzung sollen Praxen Risiken identifizieren, um dann mit Maßnahmen vorbeugen zu können.

Verzeichnis für Verarbeitungsvorgänge

Darüber hinaus müssen Praxen künftig in einem Verzeichnis dokumentieren, wie die Praxis mit personenbezogenen Daten umgeht und auf welcher Rechtsgrundlage dies basiert. Darunter können auch Prozesse mit Dienstleistern und Dritten fallen, etwa Verträge mit Privaten verrechnungsstellen oder zur Wartung der Praxis-EDV, machen BÄK und KBV aufmerksam. In die Verträge mit Dienstleistern sollten Ärzte eine Verpflichtung zur Geheimhaltung der Daten aufnehmen. Legen Ärzte kein solches Verzeichnis an, müssen sie mit Strafen bis zu zwei Prozent des Jahresumsatzes oder bis zu zehn Millionen Euro rechnen.

Es reicht aus, wenn das Verzeichnis in der Praxis vorliegt, Ärzte müssen es nicht an die Aufsichtsbehörde melden. Sie können es in Papier oder elektronischer Form führen. Ein elektronisches Verzeichnis könnte langfristig im Praxisalltag aber effizienter sein, da sich Abläufe und Verantwortlichkeiten – gerade auch im Rahmen eines stetigen Fehler- und Qualitätsmanagements – immer wieder ändern können.

Die deutschen Aufsichtsbehörden für den Datenschutz wollen für das Verzeichnis noch eine Muster-Vorlage sowie weitere Hinweise bereitstellen. Welche Angaben es enthalten muss, regelt Artikel 30 Abs. 1 S. 2 DSGVO. Dazu gehören etwa der Zweck der Verarbeitung oder Kategorien der Empfänger, die die Daten einsehen können. Für die Kategorien müssen Praxen zusätzlich ein Formular ausfüllen, hierzu können sie online aber auf verschiedene Muster zurückgreifen (Links finden sich auf der letzten Seite im Datenschutz-Check). Diese seien bisher allerdings nur teilweise mit den Aufsichtsbehörden abgestimmt, schreiben BÄK und KBV (s. Punkt V.2).

Welche Gesundheitsdaten dürfen Ärzte verarbeiten?

Für die meisten Fälle ist es Ärzten bereits erlaubt, Gesundheitsdaten zu verarbeiten: zur ärztlichen Behandlung, um spezielle Pflichten aus Sozialrecht und im öffentlichen Gesundheitsinteresse zu erfüllen, um lebenswichtige Interessen bei einwilligungsunfähigen Patienten zu schützen oder Rechtsansprüche zu wahren. Hierfür müssen Ärzte keine Einwilligung einholen!

Andere Fälle setzen hingegen voraus, dass Patienten ihre Einwilligung explizit erteilen, zum Beispiel wenn Ärzte die Daten für die Abrechnung an private Verrechnungsstellen weitergeben. Auch bei der HZV könne dies zutreffen, schreiben BÄK und KBV.

Wie bisher müssen Ärzte die sensiblen Gesundheitsdaten besonders vor Angriffen „von außen” schützen. Hierzu hatte die BÄK bereits technische Hinweise zur IT in Arztpraxen erarbeitet, die sie bis Ende 2018 aktualisieren will.

Ausgeweitete Informationspflicht gegenüber Patienten

Die DSGVO hat auch die Informationspflicht ausgeweitet und damit die Rechte von Patienten gestärkt. Erheben Ärzte Daten direkt beim Patienten oder bei einem Dritten über den Patienten (Kollege, Pflegedienst, Klinik oder Familienangehörige), müssen sie dies dem Patienten mitteilen. Dabei sind sie über Name und Kontaktdaten des Verantwortlichen, den Zweck und die Rechtsgrundlage für die Verarbeitung zu informieren.

Während Ärzte manche Angaben direkt dem Patienten mündlich oder schriftlich mitteilen müssen, können andere Informationen auch in der Praxis ausgehängt oder auf der Praxiswebsite veröffentlicht werden. Näheres dazu regeln Artikel 13 und 14 DSGVO. „Entsprechende Vordrucke werden voraussichtlich erarbeitet”, davon gehen BÄK und KBV aus.

Interne Datenschutzrichtlinie

Neben dem Einsichtsrecht (Paragraf 630g BGB) dürfen Patienten bei Praxen Auskunft einholen, welche Daten die Praxis über sie speichert (Art. 15 DSGVO). Generell raten BÄK und KBV Ärzten, eine interne Datenschutzrichtlinie zu erstellen. Diese könne Verantwortlichkeiten, Zugriffsrechte einzelner Mitarbeiter oder die Erfassung von Daten regeln.

Und sie sollte festhalten, wie Praxen das Einsichts- und Auskunftsrecht der Patienten möglichst zeitsparend gewährleisten können. Darüber hinaus sollte festgeschrieben werden, wer und wann Patientendaten löscht, wenn die gesetzlichen Aufbewahrungsfristen verstrichen sind. Ebenso sollte für den Fall von Datenpannen geregelt sein, wer dies gegenüber der Aufsichtsbehörde meldet.

Größere Praxen brauchen Datenschutzbeauftragten

Zudem müssen manche Praxen einen internen oder externen Datenschutzbeauftragten benennen. Davon sei auszugehen, wenn mindestens zehn Personen in einer Praxis ständig personenbezogene Daten verarbeiteten, heißt es im „Datenschutz-Check”.

Datenpannen wie Hackerangriffe und Verstöße von Mitarbeitern gegen den Datenschutz müssen Ärzte nun innerhalb von 72 Stunden an ihre Aufsichtsbehörde melden. Die Ärztekammern geben Auskunft, welche Aufsichtsbehörde zuständig ist (eine Übersicht findet sich auch online).

Fazit

  • Viele Vorschriften erfüllen Arztpraxen bereits. Dennoch sollten Praxisinhaber ihre Mitarbeiter noch stärker für den Datenschutz sensibilisieren.
  • Nicht nur Praxisabläufe auch Verträge mit Dritten (wie Wartung der Praxis-EDV) müssen daraufhin geprüft werden, ob sie den neuen Datenschutzgesetzen Rechnung tragen.
  • Praxisinhaber müssen ein Verzeichnis anlegen, das die diversen Vorgänge dokumentiert, wie mit personenbezogenen Gesundheitsdaten umgegangen wird und auf welcher Rechtsgrundlage dies basiert.
  • Die Informationspflichten gegenüber Patienten wurden erweitert. Teilweise müssen Ärzte bestimmte Informationen direkt an den Patienten kommunizieren, teilweise reicht auch ein Aushang in der Praxis.
  • BÄK und KBV raten, eine interne Datenschutzrichtlinie zu erstellen, die Zuständigkeiten klärt genauso wie das Meldeverfahren bei Datenpannen oder wer und wie Patientendaten löscht.
  • In einigen Fällen müssen Praxen einen internen oder externen Datenschutzbeauftragten benennen. Dies wird meist auf Praxen ab zehn Mitarbeitern zutreffen.
  • Für viele Dokumentations- wie Informationspflichten werden Ärzte noch Mustervorlagen an die Hand bekommen.
E-Mail-Adresse vergessen? Schreiben Sie uns.
Passwort vergessen? Sie können es zurücksetzen.
Nur wenn Sie sich sicher sind.

Sie haben noch kein Passwort?

Gleich registrieren ...

Für Hausärzte, VERAH® und ÄiW (Allgemeinmedizin und Innere Medizin mit hausärztlichem Schwerpunkt) ist der Zugang immer kostenfrei.

Mitglieder der Landesverbände im Deutschen Hausärzteverband profitieren außerdem von zahlreichen Extras.

Hier erfolgt die Registrierung für das Portal und den Newsletter.


Persönliche Daten

Ihr Beruf

Legitimation

Die Registrierung steht exklusiv ausgewählten Fachkreisen zur Verfügung. Damit Ihr Zugang freigeschaltet werden kann, bitten wir Sie, sich entweder mittels Ihrer EFN zu legitimieren oder einen geeigneten Berufsnachweis hochzuladen.

Einen Berufsnachweis benötigen wir zur Prüfung, wenn Sie sich nicht mittels EFN autorisieren können oder wollen.
Mitglied im Hausärzteverband
Mitglieder erhalten Zugriff auf weitere Inhalte und Tools.
Mit der Registrierung als Mitglied im Hausärzteverband stimmen Sie zu, dass wir Ihre Mitgliedschaft überprüfen.

Newsletter
Sie stimmen zu, dass wir Ihre E-Mail-Adresse für diesen Zweck an unseren Dienstleister Mailjet übermitteln dürfen. Den Newsletter können Sie jederzeit wieder abbestellen.

Das Kleingedruckte
Die Zustimmung ist notwendig. Sie können Sie jederzeit widerrufen, außerdem steht Ihnen das Recht zu, dass wir alle Ihre Daten löschen. Jedoch erlischt dann Ihr Zugang.
Newsletter abbestellen

Wenn Sie den Newsletter abbestellen wollen, geben Sie bitte Ihre E-Mail-Adresse an und wählen Sie die gewünschte Funktion. Wir senden Ihnen dann eine E-Mail zur Bestätigung.