VR

MEDICUS

5

GESUNDHEITSPOLITIK.

ellem Stand halten, Firewalls, Viren- und Passwortschutz,

Screensaver mit Passwortschutz, regelmäßige Back-ups zur

Datensicherung, Routineüberprüfungen etc.) sollte das Pra­

xisverwaltungssystem auf einem ausschließlich zu diesem

Zweck genutzten Computer laufen und der Zugriff auf Pa­

tientendaten nach einem Zugriffs- und Berechtigungskon­

zept nur denjenigen gewährt werden, die diesen für ihre

Arbeit benötigen. Im Fokus stehen ferner die Verschlüsse­

lung sensibler Daten im E-Mail-Verkehr oder bei Buchungen

über das Online-Terminsystem, die Pseudonymisierung von

Namen, die Diskretion bei Telefonaten/am Empfang, die si­

chere Aufbewahrung/normgerechte Vernichtung von Pati­

entenakten, standardisierte Verfahren zum Auskunfts- und

Löschungsrecht sowie zur Meldung von Datenschutzpan­

nen (s. u.) etc.

Informations- und Auskunftspflichten:

Patienten sind

bereits zum Zeitpunkt der Datenerhebung darüber zu in­

formieren, was mit ihren Daten passiert (z. B. über einen

Flyer oder Aushang im Wartezimmer). Ferner haben sie das

Recht, Auskunft über die Verarbeitung ihrer Daten zu er­

halten. Auf Wunsch sind dem Patienten Kopien der über

ihn gespeicherten Daten in einem gut lesbaren Format zur

Verfügung zu stellen. In Fällen, in denen eine Einwilligung

der Patienten zur Verarbeitung ihrer Daten notwendig

ist (bspw. bei Weitergabe der Daten an PVS), müssen die

Einwilligungsformulare der neuen Rechtslage entsprechen

(z. B. ist ein Hinweis auf Widerrufbarkeit erforderlich). Es

dürfen immer nur jene Daten erhoben werden, die für den

jeweiligen Zweck auch erforderlich sind. Wichtig: Auch die

obligatorische Datenschutzerklärung auf Praxis-Websites

und Facebook-Seiten sollte hinsichtlich der neuen Anforde­

rungen unbedingt überprüft werden.

Auftragsverarbeitung:

Nimmt die Praxis Dienstleistungen

(z. B. Praxissoftwarewartung, Akten- und Datenträgerver­

nichtung, Nutzung von Cloud-Systemen oder externen Ter­

minvergabesystemen) in Anspruch und kommen hierdurch

externe Unternehmen mit personenbezogenen Daten in

Kontakt, ist ein schriftlicher Vertrag zur Auftragsverarbei­

tung und die Überprüfung der Einhaltung der Vorschriften

des Datenschutzes durch die Dienstleister (Datenschutzsie­

gel oder eine Zertifizierung, z. B. ISO/IEC 2700) erforderlich.

Ferner ist eine Verpflichtung zur Geheimhaltung der Daten

durch die externen Dienstleister in die Verträge mit aufzu­

nehmen. Nicht unter die Auftragsverarbeitung fallen u. a.

die technische Wartung der IT-Infrastruktur und die Beauf­

tragung von Berufsgeheimnisträgern (wie Steuerberater,

Rechtsanwälte, Wirtschaftsprüfer etc.).

Löschen von Daten:

Personenbezogene Daten sind zu

löschen, sobald für ihre Speicherung keine gesetzliche

Grundlage mehr gegeben ist (z. B. nach dem Auslaufen der

zehnjährigen Aufbewahrungspflicht für Behandlungsunter­

lagen). Darüber hinaus gilt, dass alle Daten auf dem aktuells­

ten Stand gehalten werden und sachlich richtig sein müssen.

Datenschutzverletzungen:

Kommt es bei der Verarbei­

tung personenbezogener Daten zu Sicherheitsvorfällen

(z. B. Diebstahl, Hacking, Fehlversendung eines Arztbriefes),

so besteht eine gesetzliche Meldepflicht (in der Regel inner­

halb von 72 Stunden). Im Regelfall ist die Aufsichtsbehörde

in Kenntnis zu setzen, betroffene Personen dagegen nur bei

hohem Risiko.

Datenschutz-Folgenabschätzung:

Sofern Verfahren zur

Datenverarbeitung hohe Risiken für die Rechte und Freihei­

ten von Betroffenen beinhalten (z. B. wenn große Mengen

an personenbezogenen Daten verarbeitet werden oder

eine Videoüberwachung der Praxisräume erfolgt), sind

die Verantwortlichen verpflichtet, eine sogenannte Daten­

schutz-Folgenabschätzung durchzuführen. Ansprechpart­

ner ist die jeweilige Aufsichtsbehörde.

*Hinweis: Aus Platzgründen werden keine Detail- und Sonderregelungen wie­

dergegeben. Die Checkliste dient deshalb nur als grobe Übersicht über die

wichtigsten datenschutzrechtlichen Anforderungen und kann eine umfassen­

de Information/Beratung nicht ersetzen.

Weitere Informationen zu den neuen Regelungen gibt es u. a.

bei der Kassenärztlichen Bundesvereinigung

(www.bit.ly/

2MITomf ), der Bundesärztekammer

(www.bit.ly/2MF5vAU

),

der Bundeszahnärztekammer

(www.bit.ly/2mG7eLG

), der

Kassenärztlichen Vereinigung Westfalen-Lippe (KV WL)

(www.bit.ly/2KBWFXm

) oder der Kassenzahnärztlichen

Vereinigung/Zahnärztekammer Westfalen-Lippe (www.bit.

ly/2KppUNU ). Letztere und die KBV stellen auf ihren Web­

sites ferner zahlreiche Muster für Formulare/Formblätter zum

Download zur Verfügung.

Heilberufler sollten trotz des damit verbundenen bürokrati­

schen Aufwands auf alle Fälle die erforderlichen Maßnahmen

ergreifen, um spätere Probleme und eventuelle Sanktionen

zu vermeiden. Zwar ist davon auszugehen, dass die Aufsichts­

behörden auf leichte Verstöße zunächst mit einer Beratung

reagieren, generell fallen die Strafzahlungen bei Daten­

schutzverstößen mit bis zu 20 Mio. € jedoch deutlich höher

aus als bislang. So sieht das Gesetz bspw. bei einem fehlenden

Verzeichnis der Datenverarbeitungstätigkeiten eine Strafe

von bis zu 10 Mio. € oder bis zu zwei Prozent des Jahresum­

satzes vor. Hinzu kommen gegebenenfalls Schadensersatz-

und Schmerzensgeldforderungen der betroffenen Personen.

Abgesehen davon, hat die sog. Abmahnindustrie die DSGVO

bereits als neues Geschäftsfeld für sich entdeckt – erste Arzt­

praxen in Bremen haben bereits eine Abmahnung erhalten.