Die EU-Datenschutz-Grundverordnung (DSGVO) macht vor Arztpraxen nicht halt: Ab dem 25. Mai 2018 gilt sie verbindlich in ganz Europa. Ganz gleich, ob Ihr in einer gro\u00dfen Gemeinschaftspraxis mit vielen Angestellten arbeitet oder als einziger Arzt in Eurer Praxis t\u00e4tig seid und nur wenige Mitarbeiter habt: Die DSGVO gilt auch f\u00fcr Euch! Deshalb geben wir heute Tipps, was Ihr ab dem 25.05. beachten solltet.<\/p>\n
Arztpraxen nutzen zahlreiche elektronische Verarbeitungsvorg\u00e4nge, verarbeiten jedoch auch Patientendaten in Karteien. Bitte \u00fcberpr\u00fcft dies auf datenschutzrechtliche Konformit\u00e4t. Ergreift geeignete technisch-organisatorische Ma\u00dfnahmen. Was dies konkret bedeutet, k\u00f6nnt Ihr dem Gesetzestext unter Art. 32 DSGVO<\/a> entnehmen. Die Ma\u00dfnahmen, die hier genannt werden, sind jedoch sehr allgemein gehalten \u2013 wenn Ihr konkrete Fragen speziell zu Eurer Arztpraxis habt, nehmt gerne Kontakt zu uns auf<\/a> und lasst Euch beraten!<\/p>\n Bestehen bestimmte Risiken beim Verarbeiten der Patientendaten, so kann unter Umst\u00e4nden eine Datenschutzfolgeabsch\u00e4tzung notwendig sein. Dar\u00fcber kl\u00e4rt Art. 35 DSGVO<\/a> auf. Mit der Datenschutzfolgeabsch\u00e4tzung werden Ma\u00dfnahmen zum Abstellen der Risiken bestimmt. Die Aufsichtsbeh\u00f6rden sind Euer Ansprechpartner. Welche Aufsichtsbeh\u00f6rde f\u00fcr Eure Arztpraxis zust\u00e4ndig ist, erkl\u00e4rt die \u00c4rztekammer.<\/p>\n Arztpraxen m\u00fcssen \u2013 wie jedes andere Unternehmen \u2013 ein Verfahrensverzeichnis anlegen. Versteht dieses Verfahrensverzeichnis bitte als Bestandsaufnahme dar\u00fcber, welche Daten Ihr in Eurer Praxis zu welchem Zweck und auf Basis welcher Rechtsgrundlage verarbeitet. Art. 30 DSGVO<\/a> erkl\u00e4rt Details. Auch wir haben uns mit dieser Thematik ausf\u00fchrlicher auseinandergesetzt und empfehlen Euch als Lekt\u00fcre unseren Beitrag \u201eDas Verfahrensverzeichnis \u2013 Vorbereitungen zur DSGVO\u201c<\/a>.<\/p>\n \u00dcber die Notwendigkeit von Datenschutzbeauftragten informiert Art. 37 DSGVO<\/a>. Das Gesetz sieht vor, dass Arztpraxen die Wahl zwischen einem internen oder einem externen Datenschutzbeauftragten (DSB) haben. Wann ein DSB notwendig wird, erkl\u00e4rt \u00a7 38 Abs. 1 BDSG neu<\/a>: Sind in Eurer Praxis mindestens 10 Personen dauernd mit dem automatisierten Verarbeiten von personenbezogenen Daten befasst, ben\u00f6tigt Ihr einen Datenschutzbeauftragten.<\/p>\n Praxisinhaber kommen daf\u00fcr nicht infrage \u2013 hier best\u00fcnde ein Interessenskonflikt. Jedoch k\u00f6nnt Ihr andere interne Personen mit dieser Aufgabe betreuen. Daf\u00fcr ist Voraussetzung, dass diese Person fachlich qualifiziert ist. Dies k\u00f6nnt Ihr mithilfe von Schulungen<\/a> erreichen. Alternativ k\u00f6nnt Ihr den DSB auch extern bestellen.<\/p>\n Wie Ihr Euch auch entscheidet: Der Datenschutzbeauftragte muss der zust\u00e4ndigen Aufsichtsbeh\u00f6rde gemeldet werden. Ihr DSB zeigt sich daf\u00fcr verantwortlich, das Einhalten von Datenschutz sowie die Datensicherheit zu kontrollieren. Weiter ist er Ansprechpartner, wann immer Fragen zum Datenschutz aufkommen.<\/p>\n Kein Muss, aber ein Kann ist das Erarbeiten einer internen Datenschutzrichtlinie in Eurer Arztpraxis. Die Vorteile liegen klar auf der Hand: Ihr habt einen Leitfaden, wie im Falle eines Datenschutzvorfalls zu reagieren ist, Ihr sensibilisiert Eure Mitarbeiter f\u00fcr das Thema Datenschutz und Ihr schafft weiter ein Bewusstsein f\u00fcr Datenschutzrisiken. Inhalte k\u00f6nnen beispielsweise sein: Die Verhaltensweisen beim Erfassen von Patientendaten, die Kompetenzen und Verantwortlichkeiten von Mitarbeitern oder aber auch Zugriffsbeschr\u00e4nkungen.<\/p>\n \u00dcberpr\u00fcft dar\u00fcber hinaus auch Eure Einwilligungserkl\u00e4rungen sowie Vertr\u00e4ge mit Dritten, wenn diese Datenverarbeitungsvorg\u00e4nge betreffen. Passt diese Dokumente ans neue Datenschutzrecht an.<\/p>\n In Arztpraxen m\u00fcssen technische und organisatorische Ma\u00dfnahmen ergriffen werden, um die Sicherheit zu gew\u00e4hrleisten. Dies trifft sowohl Eure eigenen Mitarbeiter, die beispielsweise durch Zugriffsrechte daran gehindert werden k\u00f6nnen, unbefugt an Daten zu gelangen, als auch Angreifer von au\u00dfen. Letztere k\u00f6nnt Ihr beispielsweise mithilfe von Verschl\u00fcsselung aussperren.<\/p>\n Um Daten von Kunden zu speichern und \/ oder zu verarbeiten, braucht es mit der DSGVO nun eine Einwilligungserkl\u00e4rung. Das sieht bei Arztpraxen ein wenig anders aus: Ihr behandelt Patienten routinem\u00e4\u00dfig; die Datenverarbeitung beruht auf einer gesetzlichen Grundlage. Ihr ben\u00f6tigt damit keine Einwilligung zum Verarbeiten von Patientendaten.<\/p>\n Jedoch kann es bestimmte Datenverarbeitungsvorg\u00e4nge geben, f\u00fcr die Einwilligungserkl\u00e4rungen doch notwendig sind. Dies kann beispielsweise das Einbeziehen einer privaten Verrechnungsstelle sein. Habt Ihr solche Einwilligungen in Eurer Praxis bislang nicht eingeholt, so seid Ihr verpflichtet, dies nachzuholen. Ihr als Praxisinhaber m\u00fcsst nachweisen, dass entsprechende Einwilligungserkl\u00e4rungen zum Verarbeiten der Daten vorliegen.<\/p>\n Art. 12 \u2013 14 DSGVO erl\u00e4utern die Informationspflichten, die auf Arztpraxen und sonstige Organisationen zukommen. Ihr k\u00f6nnt Euch entsprechende Vordrucke erstellen, mit denen Ihr Eure Patienten so informiert, wie es das Gesetz verlangt: Seid pr\u00e4zise, transparent und dr\u00fcckt Euch in verst\u00e4ndlicher Weise mit einfacher Sprache aus. Ihr k\u00f6nnt Vordrucke dieser Art in Eurer Praxis aush\u00e4ngen.<\/p>\n Mit dem Auskunftsrecht, welches in Art. 15 DSGVO<\/a> gekl\u00e4rt wird, haben Patienten die M\u00f6glichkeit, in Arztpraxen Auskunft \u00fcber die \u00fcber sie gespeicherten Informationen zu verlangen. Bedenkt diesen Punkt in Eurer internen Datenschutzrichtlinie, in der Ihr auch ein bestimmtes Verfahren daf\u00fcr vorschlagt. So lassen sich Anfragen effizienter und z\u00fcgiger beantworten.<\/p>\n Patienten erhalten zudem das sogenannte Recht auf L\u00f6schung. Hierbei sind jedoch die Aufbewahrungs- und L\u00f6schfristen gem\u00e4\u00df Art. 17 DSGVO<\/a> zu ber\u00fccksichtigen. Legt auch dazu in Eurer Datenschutzrichtlinie ein Verfahren fest, um L\u00f6schantr\u00e4gen z\u00fcgig nachkommen zu k\u00f6nnen. Bestimmt, wann nach Ablauf der Aufbewahrungsfrist welche Daten durch wen gel\u00f6scht werden.<\/p>\n Welche Betroffenenrechte noch existieren und wie Ihr mit diesen Rechten umgeht, erkl\u00e4ren wir Euch im Beitrag \u201eBetroffenenrechte & Datenschutzerkl\u00e4rung nach DSGVO\u201c<\/a>.<\/p>\n Habt Ihr Daten in der Cloud gespeichert? Existieren Vertr\u00e4ge mit externen Dritten, etwa um Eure Praxis-EDV-Infrastruktur regelm\u00e4\u00dfig zu warten? Oder plant Ihr, Vertr\u00e4ge mit privaten Verrechnungsstellen abzuschlie\u00dfen? In all diesen und weiteren F\u00e4llen, in denen Ihr mit Dritten zusammenarbeitet, seid Ihr in der Pflicht, s\u00e4mtliche existierenden und k\u00fcnftigen Vertr\u00e4ge auf die neuen Vorschriften hin zu pr\u00fcfen. \u00dcberseht dabei bitte nicht, dass diese Vertr\u00e4ge auch strafrechtliche Vereinbarungen zur \u00e4rztlichen Schweigepflicht enthalten sollten. Verpflichtet Eure externen Dienstleister in den Vertr\u00e4gen unbedingt zur Geheimhaltung \u2013 andernfalls kann es zur Strafbarkeit kommen!<\/p>\n Handelt es sich bei Euren Vertr\u00e4gen um Auftragsverarbeitungen, beachtet bitte die Anforderungen, die sich aus Art. 28 Abs. 3 DSGVO<\/a> ergeben.<\/p>\n Ist Eure Praxis schon fit f\u00fcr die DSGVO? Dann: Gl\u00fcckwunsch, Ihr habt euch ausgezeichnet vorbereitet! Fehlen hier und da noch Details? Dann ist bereits Eile geboten, denn in wenigen Tagen gilt die DSGVO verbindlich in ganz Europa. Ben\u00f6tigt Ihr Unterst\u00fctzung oder habt Ihr noch ungekl\u00e4rte Fragen, scheut Euch nicht, uns zu kontaktieren<\/a> \u2013 wir sind mit Sicherheit Euer Partner!<\/p>\n M\u00f6chtet Ihr Euch ausf\u00fchrlicher zur DSGVO informieren, haben wir im Folgenden noch einige Lesetipps:<\/p>\n Die EU-Datenschutz-Grundverordnung (DSGVO) macht vor Arztpraxen nicht halt: Ab dem 25. Mai 2018 gilt sie verbindlich in ganz Europa. Ganz gleich, ob Ihr in einer gro\u00dfen Gemeinschaftspraxis mit vielen Angestellten arbeitet oder als einziger Arzt in Eurer Praxis t\u00e4tig seid und nur wenige Mitarbeiter habt: Die DSGVO gilt auch f\u00fcr Euch! Deshalb geben wir heute … <\/p>\nVerfahrensverzeichnis ist Pflicht f\u00fcr Arztpraxen<\/h3>\n
Ben\u00f6tigen Arztpraxen einen Datenschutzbeauftragten?<\/h3>\n
Rechtsdokumente anpassen<\/h3>\n
Ma\u00dfnahmen im Umgang mit Patienten<\/h3>\n
Informationspflichten & Betroffenenrechte in Arztpraxen<\/h3>\n
Vertragsgestaltung f\u00fcr Arztpraxen mit Dritten<\/h3>\n
DSGVO in Arztpraxen<\/h3>\n
\n