Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 

Praxisnachrichten

EU-Datenschutz-Grundverordnung - KBV erarbeitet Praxisinformation

01.03.2018 - Die EU-Datenschutz-Grundverordnung ist ab 25. Mai geltendes nationales Recht. Für Ärzte und Psychotherapeuten bedeutet das vor allem, dass sie die Einhaltung des Datenschutzes nachweisen müssen. Viele Vorgaben werden jedoch schon jetzt in den Praxen berücksichtigt.

Ziel der EU-Datenschutz-Grundverordnung (EU-DSGVO) ist es, personenbezogene Daten in allen gesellschaftlichen Bereichen – ausgenommen ist die Privatsphäre – zu schützen. Zudem geht es um die weitgehende Vereinheitlichung europäischen Datenschutzrechts.

„Damit sind auch die Vertragsärzte und Vertragspsychotherapeuten von den schärferen Regelungen zum Datenschutz betroffen“, stellte KBV-Vorstandsvorsitzender Dr. Andreas Gassen dar. „Wir können die damit verbundenen zusätzlichen Belastungen leider nicht verhindern, aber wir werden die Praxen bei der Umsetzung mit konkreten Informationen unterstützen.“

Patienten über Datenschutz informieren

Für die niedergelassenen Ärzte und Psychotherapeuten bedeutet die neue Verordnung, dass sie nunmehr die Einhaltung des Datenschutzes in der Praxis nachweisen müssen. Dieses Datenschutzmanagement beinhaltet unter anderem die Information der Patienten darüber, wie der Schutz ihrer Daten gewährleistet wird.

Die wichtigsten Fakten zur Datensicherheit sollten leicht verständlich und transparent in der Praxis dokumentiert werden – beispielsweise in einem Aushang. Dazu gehören Informationen zur Dauer der Speicherung sowie zum Zweck der Verarbeitung.

Datenschutzrichtlinie für die Praxis

Darüber hinaus muss jede Praxis nunmehr ihre eigene Datenschutzrichtlinie formulieren. Darin regeln Praxisinhaber, wie sie und ihr Praxisteam die Vorgaben des Datenschutzes einhalten. Es werden die Verantwortlichkeiten beispielsweise bei Datenschutzvorfällen benannt.

Außerdem sollen in der Richtlinie die Zugriffsrechte auf die Daten sowie technische und organisatorische Maßnahmen zum Schutz der Daten dargestellt werden.

Verzeichnis für Verarbeitungsvorgänge

Die internen Verarbeitungsvorgänge von Patientendaten müssen auch auf ihre datenschutzrechtliche Konformität überprüft werden. Dazu ist eine Bestandsaufnahme erforderlich, welche Daten in der Praxis auf welcher Rechtsgrundlage verarbeitet werden. Diese werden in einem Verzeichnis für Verarbeitungsvorgänge aufgelistet. Dazu gehören die Patienten- und Personalakten sowie die Software für die Buchhaltung und gegebenenfalls die Terminverwaltung.

Zudem ist mit der EU-DSGVO vorgeschrieben, dass Einwilligungen der Patienten zur Weitergabe ihrer Daten, zum Beispiel an private Abrechnungszentren, auch Widerrufsmöglichkeiten enthalten müssen. Dies ist heute schon gängige Praxis.

Datenschutzbeauftragten benennen

Sind in einer Praxis mindestens zehn Mitarbeiter mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt, muss ein Datenschutzbeauftragter benannt werden. Dies kann ein entsprechend geschulter Mitarbeiter oder auch ein extern Beauftragter sein. Nicht in Frage kommt dafür der Praxisinhaber, denn er kann und darf sich nicht selbst kontrollieren.

Zwar werden die in der DSGVO enthaltenen Vorgaben teilweise bereits in Praxen berücksichtigt, doch neu ist nun, dass deren Einhaltung durch die Landesdatenschutzbeauftragten auch stichprobenartig kontrolliert wird. Bei Verstößen drohen Schadensersatzforderungen sowie Geldbußen – im Extremfall bis zu 20 Millionen Euro. Auch Schadensersatzforderungen zum Beispiel von Patienten sind möglich.

Praxisinformation erläutert Details

Die KBV erarbeitet derzeit eine Praxisinformation, in der detailliert und praktisch beschrieben wird, wie Ärzte und Psychotherapeuten vorgehen müssen, um die neuen Vorgaben korrekt umsetzen zu können. Deren Veröffentlichung ist für Anfang April geplant.

Zudem werden Muster für einen Aushang entwickelt, mit dem die Patienten über die Sicherung der Daten informiert werden sollen.

Die Bundesärztekammer und die KBV haben zudem die „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ überarbeitet und um die neuen Vorgaben ergänzt. Eine Veröffentlichung im Deutschen Ärzteblatt ist am 9. März erfolgt.

Die EU-Datenschutz-Grundverordnung

Im Datenschutzrecht hat mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) und dem neugefassten Bundesdatenschutzgesetz (BDSG) eine Neustrukturierung des Datenschutzrechts stattgefunden.

Die EU-DSGVO ist bereits im Mai 2016 in Kraft getreten und wird nun ab 25. Mai 2018 angewendet. Deutschland gehört zu den wenigen EU-Ländern, die ihr Bundesdatenschutzgesetz bereits entsprechend angepasst haben.

Ziele sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz sowie der freie Verkehr personenbezogener Daten. Zudem geht es um die weitgehende Vereinheitlichung europäischen Datenschutzrechts.

Die EU-Datenschutz-Grundverordnung betrifft alle gesellschaftlichen Bereiche, in denen mit personenbezogenen Daten umgegangen wird – so auch Praxen von Ärzten und Psychotherapeuten. Ausgenommen ist lediglich der private Bereich.

Mehr zum Thema

zu den PraxisNachrichten