VR
MEDICUS
5
GESUNDHEITSPOLITIK.
ellem Stand halten, Firewalls, Viren- und Passwortschutz,
Screensaver mit Passwortschutz, regelmäßige Back-ups zur
Datensicherung, Routineüberprüfungen etc.) sollte das Pra
xisverwaltungssystem auf einem ausschließlich zu diesem
Zweck genutzten Computer laufen und der Zugriff auf Pa
tientendaten nach einem Zugriffs- und Berechtigungskon
zept nur denjenigen gewährt werden, die diesen für ihre
Arbeit benötigen. Im Fokus stehen ferner die Verschlüsse
lung sensibler Daten im E-Mail-Verkehr oder bei Buchungen
über das Online-Terminsystem, die Pseudonymisierung von
Namen, die Diskretion bei Telefonaten/am Empfang, die si
chere Aufbewahrung/normgerechte Vernichtung von Pati
entenakten, standardisierte Verfahren zum Auskunfts- und
Löschungsrecht sowie zur Meldung von Datenschutzpan
nen (s. u.) etc.
Informations- und Auskunftspflichten:
Patienten sind
bereits zum Zeitpunkt der Datenerhebung darüber zu in
formieren, was mit ihren Daten passiert (z. B. über einen
Flyer oder Aushang im Wartezimmer). Ferner haben sie das
Recht, Auskunft über die Verarbeitung ihrer Daten zu er
halten. Auf Wunsch sind dem Patienten Kopien der über
ihn gespeicherten Daten in einem gut lesbaren Format zur
Verfügung zu stellen. In Fällen, in denen eine Einwilligung
der Patienten zur Verarbeitung ihrer Daten notwendig
ist (bspw. bei Weitergabe der Daten an PVS), müssen die
Einwilligungsformulare der neuen Rechtslage entsprechen
(z. B. ist ein Hinweis auf Widerrufbarkeit erforderlich). Es
dürfen immer nur jene Daten erhoben werden, die für den
jeweiligen Zweck auch erforderlich sind. Wichtig: Auch die
obligatorische Datenschutzerklärung auf Praxis-Websites
und Facebook-Seiten sollte hinsichtlich der neuen Anforde
rungen unbedingt überprüft werden.
Auftragsverarbeitung:
Nimmt die Praxis Dienstleistungen
(z. B. Praxissoftwarewartung, Akten- und Datenträgerver
nichtung, Nutzung von Cloud-Systemen oder externen Ter
minvergabesystemen) in Anspruch und kommen hierdurch
externe Unternehmen mit personenbezogenen Daten in
Kontakt, ist ein schriftlicher Vertrag zur Auftragsverarbei
tung und die Überprüfung der Einhaltung der Vorschriften
des Datenschutzes durch die Dienstleister (Datenschutzsie
gel oder eine Zertifizierung, z. B. ISO/IEC 2700) erforderlich.
Ferner ist eine Verpflichtung zur Geheimhaltung der Daten
durch die externen Dienstleister in die Verträge mit aufzu
nehmen. Nicht unter die Auftragsverarbeitung fallen u. a.
die technische Wartung der IT-Infrastruktur und die Beauf
tragung von Berufsgeheimnisträgern (wie Steuerberater,
Rechtsanwälte, Wirtschaftsprüfer etc.).
Löschen von Daten:
Personenbezogene Daten sind zu
löschen, sobald für ihre Speicherung keine gesetzliche
Grundlage mehr gegeben ist (z. B. nach dem Auslaufen der
zehnjährigen Aufbewahrungspflicht für Behandlungsunter
lagen). Darüber hinaus gilt, dass alle Daten auf dem aktuells
ten Stand gehalten werden und sachlich richtig sein müssen.
Datenschutzverletzungen:
Kommt es bei der Verarbei
tung personenbezogener Daten zu Sicherheitsvorfällen
(z. B. Diebstahl, Hacking, Fehlversendung eines Arztbriefes),
so besteht eine gesetzliche Meldepflicht (in der Regel inner
halb von 72 Stunden). Im Regelfall ist die Aufsichtsbehörde
in Kenntnis zu setzen, betroffene Personen dagegen nur bei
hohem Risiko.
Datenschutz-Folgenabschätzung:
Sofern Verfahren zur
Datenverarbeitung hohe Risiken für die Rechte und Freihei
ten von Betroffenen beinhalten (z. B. wenn große Mengen
an personenbezogenen Daten verarbeitet werden oder
eine Videoüberwachung der Praxisräume erfolgt), sind
die Verantwortlichen verpflichtet, eine sogenannte Daten
schutz-Folgenabschätzung durchzuführen. Ansprechpart
ner ist die jeweilige Aufsichtsbehörde.
*Hinweis: Aus Platzgründen werden keine Detail- und Sonderregelungen wie
dergegeben. Die Checkliste dient deshalb nur als grobe Übersicht über die
wichtigsten datenschutzrechtlichen Anforderungen und kann eine umfassen
de Information/Beratung nicht ersetzen.
Weitere Informationen zu den neuen Regelungen gibt es u. a.
bei der Kassenärztlichen Bundesvereinigung
(www.bit.ly/2MITomf ), der Bundesärztekammer
(www.bit.ly/2MF5vAU),
der Bundeszahnärztekammer
(www.bit.ly/2mG7eLG), der
Kassenärztlichen Vereinigung Westfalen-Lippe (KV WL)
(www.bit.ly/2KBWFXm) oder der Kassenzahnärztlichen
Vereinigung/Zahnärztekammer Westfalen-Lippe (www.bit.
ly/2KppUNU ). Letztere und die KBV stellen auf ihren Web
sites ferner zahlreiche Muster für Formulare/Formblätter zum
Download zur Verfügung.
Heilberufler sollten trotz des damit verbundenen bürokrati
schen Aufwands auf alle Fälle die erforderlichen Maßnahmen
ergreifen, um spätere Probleme und eventuelle Sanktionen
zu vermeiden. Zwar ist davon auszugehen, dass die Aufsichts
behörden auf leichte Verstöße zunächst mit einer Beratung
reagieren, generell fallen die Strafzahlungen bei Daten
schutzverstößen mit bis zu 20 Mio. € jedoch deutlich höher
aus als bislang. So sieht das Gesetz bspw. bei einem fehlenden
Verzeichnis der Datenverarbeitungstätigkeiten eine Strafe
von bis zu 10 Mio. € oder bis zu zwei Prozent des Jahresum
satzes vor. Hinzu kommen gegebenenfalls Schadensersatz-
und Schmerzensgeldforderungen der betroffenen Personen.
Abgesehen davon, hat die sog. Abmahnindustrie die DSGVO
bereits als neues Geschäftsfeld für sich entdeckt – erste Arzt
praxen in Bremen haben bereits eine Abmahnung erhalten.