Nach der Datenschutz-Grundverordnung sind Praxen verpflichtet nachzuweisen, dass sie die datenschutzrechtlichen Grundsätze einhalten, zum Beispiel gegenüber den Aufsichtsbehörden. Außerdem haben Sie Informationspflichten gegenüber den Patientinnen und Patienten, wie sie personenbezogene Daten verarbeiten.

Um diese Daten und ihren Schutz geht es

Unter dem Begriff „Verarbeiten“ werden alle Tätigkeiten zusammengefasst wie Erheben und Abfragen, Ordnen, Speichern, Anpassen und Ändern, Auslesen und Weiterleiten, Löschen und Vernichten der Daten.

In den Praxen beginnt dieser Prozess quasi bei der Terminvereinbarung am Telefon oder dem Einlesen der elektronischen Gesundheitskarte.

Für Praxen geht es insbesondere um den Schutz der:

• Patientendaten (Gesundheitsdaten), die sie für die Behandlung der Patientinnen und Patienten – ob gesetzlich oder privat versichert – benötigen, zum Beispiel Name und Versicherungsnummer, Befunde, Blutwerte, Röntgenaufnahmen
• Personaldaten, die sie als Arbeitgeber von ihren Mitarbeitenden benötigen – zum Beispiel Name, Adresse, Sozialversicherungsnummer

Rein private Daten der Praxisinhaberin oder des Praxisinhabers, zum Beispiel die auf dem Rechner gespeicherten Kontaktdaten von Familie und Freunden, unterliegen nicht der Datenschutz-Grundverordnung.

Praxen benötigen ein Verzeichnis von Verarbeitungstätigkeiten. Darin werden Tätigkeiten beziehungsweise Vorgänge erfasst, bei denen in der Praxis personenbezogene Daten verarbeitet werden.

Die Aufstellung und Beschreibung der Tätigkeiten ist auf Verlangen der Aufsichtsbehörde bereitzustellen. Liegt kein Verzeichnis vor, drohen Geldstrafen.

Das ist zu tun

Die KBV stellt für das Verzeichnis ein Muster bereit, das Sie nutzen können. Dazu gibt es ein Ausfüllbeispiel mit zwei Verarbeitungstätigkeiten.

So können Sie vorgehen:

Schritt 1: Für das Erstellen des Verzeichnisses sollten Sie zunächst überlegen, wo überall in der Praxis personenbezogene Daten verarbeitet, also zum Beispiel erhoben, gespeichert, bearbeitet oder weitergeleitet, werden.

Dabei bietet es sich an, Tätigkeiten, die demselben Zweck dienen, zusammenzufassen.

Eine Tätigkeit, die in allen Praxen anfallen dürfte, ist die Nutzung des Praxisverwaltungssystems zum Zwecke der ärztlichen / psychotherapeutischen Dokumentation in der Patientenakte, der Qualitätssicherung, der Terminplanung und der Abrechnung.

Eine weitere Tätigkeit ist beispielsweise das Führen von Personalakten, um Mitarbeitende beschäftigen zu können.

Schritt 2: Im nächsten Schritt fügen Sie zu jeder Tätigkeit die in der DSGVO geforderten Angaben hinzu. Das sind:

• Zweck der Verarbeitung (z.B. ärztliche Dokumentation)
• betroffene Personengruppen (z.B. Patientinnen/Patienten, Beschäftigte)
• Datenkategorien (z.B. Gesundheitsdaten, Personaldaten)
• Empfängergruppen, gegenüber denen die personenbezogenen Daten offengelegt werden (z.B. Krankenkassen, Kassenärztliche Vereinigungen)
• Fristen für die Löschung (z.B. zehn Jahre)

Schritt 3: Geben Sie jetzt noch den Namen und die Kontaktdaten Ihrer Praxis und gegebenenfalls der Datenschutzbeauftragten oder des Datenschutzbeauftragten an. Dazu füllen Sie die Felder auf der ersten Seite der Dokumentenvorlage aus.

Prüfen Sie bei der Erstellung des Verzeichnisses auch, ob bestimmte Datenverarbeitungsvorgänge ein besonders hohes Risiko bergen. Dann könnte unter Umständen eine Datenschutz-Folgenabschätzung nötig sein.

• Muster für Praxen: Verzeichnis von Verarbeitungstätigkeiten (Stand: 23.03.2018, DOCX, 39 KB)
• Ausfüllbeispiel: Verzeichnis von Verarbeitungstätigkeiten (Stand: 23.03.2018, PDF, 83 KB)

Praxen sind für den Schutz personenbezogener Daten verantwortlich. Sie müssen dazu geeignete technische und organisatorische Maßnahmen ergreifen und diese dokumentieren.

So kennen alle Teammitglieder die Regeln, und bei externen Kontrollen oder Anfragen kann der interne Datenschutzplan vorgelegt werden.

Diese Maßnahmen zum Datenschutz gehören dazu

Die DSGVO macht keine konkreten Vorgaben, welche Maßnahmen im Einzelnen dokumentiert werden soll.

Doch letztlich geht es darum, zu erfassen, welche Vorkehrungen die Praxis getroffen hat, um einen Missbrauch von personenbezogenen Daten zu verhindern. Auf diese Punkte kommt es insbesondere an:

• Patientendaten werden niemals unverschlüsselt über das Internet versendet, beispielsweise per E-Mail.
• Zugriffsberechtigungen sind vergeben; somit ist klar geregelt, wer in der Praxis auf Dateien und Ordner zugreifen kann.
• In den Praxisräumlichkeiten wird auf Diskretion geachtet: Die Anmeldung sollte getrennt zum Wartebereich angeordnet sein. Möglich ist auch, Patientinnen und Patienten beispielsweise mit einem Schild darauf hinzuweisen, dass sie am Tresen Abstand halten sollen, wenn mehrere Personen dort warten.
• Patientenakten werden sicher verwahrt: Die Computer sind passwortgeschützt, die automatische Bildschirmsperre ist aktiviert. Patientenunterlagen werden stets so positioniert, dass andere Patientinnen und Patienten diese nicht einsehen können. Wenn der Arzt / Psychotherapeut nicht im Raum ist, werden Patientenakten generell unter Verschluss gehalten.
• Vertrauliche Arzt-Patienten-Gespräche finden stets in geschlossenen Räumen statt.
• Bei Auskünften am Telefon wird die Identität der Anruferin oder des Anrufers gesichert, zum Beispiel durch gezielte Zusatzfragen oder einen Rückruf.
• Es ist festgelegt, wann und durch wen personenbezogene Daten gelöscht beziehungsweise vernichtet werden, sobald beispielsweise die Aufbewahrungsfrist abläuft.
• Patientenakten werden nach DIN-Normen vernichtet.
• Es ist festgelegt, was bei Datenpannen und Datenschutzverstößen zu tun ist und wer die Meldung übernimmt (in der Regel an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden).
• Die Mitarbeitenden in der Praxis wurden über die Einhaltung von Schweigepflicht und Datenschutz informiert.

Praxen müssen Patientinnen und Patienten darüber informieren, was mit ihren Daten passiert. Dies muss in der Regel zum Zeitpunkt der Datenerhebung erfolgen.

Die Information muss in erster Linie Angaben zum Zweck sowie zur Rechtsgrundlage der Datenverarbeitung enthalten. Auch die Kontaktdaten der Praxis und gegebenenfalls der Datenschutzbeauftragten oder des Datenschutzbeauftragten sind aufzuführen.

Das ist zu tun

Um alle Patientinnen und Patienten zu erreichen, empfiehlt sich ein Aushang in der Praxis. Auch ein Informationsblatt, das im Wartezimmer ausgelegt wird, ist möglich. Die Patienteninformation kann zusätzlich auf der Website der Praxis veröffentlicht werden. Eine persönliche Information, zum Beispiel bei der ersten Kontaktaufnahme am Telefon, ist nicht erforderlich.

• Muster für Praxen: Patienteninformation zum Datenschutz (Stand: 23.03.2018, DOCX, 39 KB)

Die Praxissoftware wird gewartet, Akten- und Datenträger müssen nach Ablauf der Aufbewahrungsfrist vernichtet werden. Immer dann, wenn ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, ist der Abschluss eines Vertrages zur Auftragsverarbeitung (als Anlage zum Hauptvertrag) erforderlich.

Die Auftraggeber müssen sich ferner davon überzeugen, dass der Dienstleister die Vorschriften des Datenschutzes einhält und entsprechende technische und organisatorische Maßnahmen durchführt. Die Firmen sollen dem Auftragsnehmer dazu ein Datenschutzsiegel oder eine Zertifizierung, zum Beispiel ISO/IEC 27001, vorlegen.

Auftragsverarbeitung: ja oder nein?

Eine Auftragsverarbeitung liegt nicht nur bei der Wartung der Praxis-EDV oder der Akten- und Datenträgervernichtung vor. Weitere Beispiele sind die Nutzung von Cloud-Systemen und die Terminvergabe durch Externe (die Terminservicestellen der KVen fallen nicht darunter).

Dagegen ist eine rein technische Wartung der IT-Infrastruktur durch einen Externen, zum Beispiel Arbeiten an der Stromzufuhr, Kühlung oder Heizung, keine Auftragsverarbeitung.

Dies gilt ebenso bei der Beauftragung von Steuerberatern, Rechtsanwälten, Wirtschaftsprüfern und Angehörigen anderer Berufe, die als „Geheimnisträger“ gelten. Auch hier liegt in der Regel keine Auftragsverarbeitung vor.

Das ist zu tun

Schritt 1: Schauen Sie zunächst, ob Sie für Ihre Dienstleistungsverträge (z.B. zur Wartung der Praxis-EDV) jeweils einen Vertrag zur Auftragsverarbeitung haben, und passen Sie diesen in Abstimmung mit dem Auftragnehmer gegebenenfalls an.

Schritt 2: Ist das nicht der Fall, sprechen Sie Ihren Dienstleister an. Er benötigt einen Vertrag zur Auftragsverarbeitung und wird Ihnen in der Regel einen Entwurf zusenden.

Folgende Inhalte sollte der Vertrag enthalten:

• Gegenstand und Dauer der Verarbeitung (um welche Leistung handelt es sich, wie lange wird diese beauftragt)
• Art und Zweck der Verarbeitung (wozu dient sie, welches Ziel soll erreicht werden)
• Art der personenbezogenen Daten und Kategorien betroffener Personen (z.B. Zugriff auf Gesundheitsdaten)
• Rechte und Pflichten des Auftraggebers sowie dessen Weisungsbefugnisse
• Verpflichtung der zur Verarbeitung berechtigten Personen zur Vertraulichkeit
• Benennung der technischen und organisatorischen Maßnahmen, die das Unternehmen zum Schutz personenbezogener Daten durchführt (z.B. Einhaltung von Vorgaben der ISO/IEC 27001)
• Verpflichtung des Auftragnehmers zur Unterstützung des Auftraggebers bei:
  • Anfragen und Ansprüchen Betroffener im Zusammenhang mit der Auftragsverarbeitung
  • der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung
• Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
• Verpflichtung des Auftragnehmers, dem Auftraggeber alle Informationen zum Nachweis der Einhaltung der datenschutzrechtlichen Pflichten bereitzustellen. Möglich ist auch eine Überprüfung oder Inspektion durch einen vereinbarten Prüfer.

Schritt 3: Lassen Sie sich vom Dienstleister ein geeignetes Zertifikat, zum Beispiel ISO/IEC 27001, vorlegen. Das Zertifikat dient dem Nachweis der eingesetzten technischen und organisatorischen Maßnahmen zum Schutz der Daten beim Auftragnehmer. Eine weitergehende Pflicht zur Kontrolle durch Sie besteht nicht.

Größere Praxen und MVZ benötigen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten. Das ist Pflicht, wenn mindestens 20 Personen regelmäßig Daten automatisiert – zum Beispiel am Computer – verarbeiten. In seltenen Fällen müssen auch kleinere Praxen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten einsetzen, nämlich wenn eine Datenschutz-Folgenabschätzung notwendig wird.

Die Aufgabe der oder des Datenschutzbeauftragten kann ein fachlich qualifizierter Mitarbeiter (nicht die Praxisinhaberin / der Praxisinhaber) oder ein externer Datenschützer übernehmen. Name und Kontaktdaten müssen der oder dem Landesdatenschutzbeauftragten mitgeteilt werden.

Aufgabe der oder des Datenschutzbeauftragten ist es, die Einhaltung des Datenschutzes und der Datensicherheit in der Praxis zu kontrollieren und geeignete Maßnahmen festzulegen. Sie oder er informiert und berät das Praxisteam über ihre Pflichten nach dem Datenschutzrecht. Darüber hinaus ist sie oder er Ansprechperson für die Aufsichtsbehörde.

In seltenen Fällen kann eine Datenschutz-Folgenabschätzung erforderlich sein, zum Beispiel wenn aufgrund des Umfangs und des Zwecks der Datenverarbeitung ein hohes Datenschutzrisiko besteht. Auch eine systematische Videoüberwachung der Praxisräume oder der Einsatz von telemedizinischen Diensten, zum Beispiel das Angebot einer Videosprechstunde, kann ein Grund sein.

Bestehen möglicherweise hohe Risiken bei der Datenverarbeitung, ist eine Datenschutzprüfung zu empfehlen. Sollten Sie Zweifel haben, ob dies im Einzelfall nötig ist, empfiehlt es sich, dies beim Landesdatenschutzbeauftragten zu erfragen.

Ist eine Datenschutz-Folgenabschätzung erforderlich, muss eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter benannt werden, auch wenn in der Praxis weniger als zwanzig Mitarbeitende tätig sind.

Das Erfassen, Bearbeiten, Speichern etc. von Patientendaten ist gesetzlich gestattet. Nur in besonderen Fällen kann es erforderlich sein, dass Patientinnen und Patienten zustimmen müssen, zum Beispiel bei der Einbeziehung einer privatärztlichen Verrechnungsstelle.

In diesen Fällen müssen Praxen nachweisen können, dass die Patientinnen und Patienten eine Einwilligungserklärung zur Datenverarbeitung unterschrieben haben.

Einwilligungserklärungen müssen einen Hinweis darauf enthalten, dass Patientinnen und Patienten ihr Einverständnis jederzeit widerrufen können. 

Zahlreiche Praxen präsentieren sich mit Internetseiten oder auf Facebook.

Terminerinnerungen per SMS oder Patienten-Newsletter gehören zunehmend zum Serviceangebot. Auch dabei werden personenbezogene Daten verarbeitet, die geschützt werden müssen.

Das ist zu tun

Prüfen Sie, ob auf Ihrer Internet- oder Facebook-Seite eine Datenschutzerklärung eingestellt ist und diese alle nötigen Angaben beinhaltet. Außerdem können Sie die Patienteninformation zum Datenschutz in der Praxis auf Ihre Internetseite stellen.

Weisen Sie in der Datenschutzerklärung unter anderem darauf hin, dass

• personenbezogene Daten wie Name, Postanschrift, E-Mail-Adresse, Telefonnummer oder das Geburtsdatum ausschließlich in Übereinstimmung mit dem jeweils geltenden Datenschutzrecht erhoben und genutzt werden
• die Daten nur gespeichert werden, wenn sie aktiv übermittelt werden
• die Daten zum Beispiel nur zur Beantwortung von Anfragen oder zur Zusendung von Informationsmaterial verwendet werden
• Kontaktdaten, die im Rahmen von Anfragen angegeben werden, ausschließlich für die Korrespondenz verwendet werden
• E-Mail-Adressen, die Nutzer für den Bezug eines Newsletters angegeben haben, nur dafür genutzt werden

In jedem EU-Land wachen unabhängige Aufsichtsbehörden über die Umsetzung der Vorgaben. In Deutschland sind das die Datenschutzbeauftragten der 16 Bundesländer. Sie haben unter anderem das Recht, Informationen von Firmen, öffentlichen Stellen, aber eben auch von Arztpraxen einzuholen, die sie für ihre Kontrollfunktion benötigen.

Die für Sie zuständige datenschutzrechtliche Aufsicht:

Aufsichtsbehörden für den nicht-öffentlichen Bereich

Sie sollten Ihr Verzeichnis immer auf dem aktuellen Stand halten und hin und wieder prüfen, ob es angepasst werden muss. Treten Sie zum Beispiel einem neuen Versorgungsvertrag bei, bei dem Daten von Patienten erhoben, gespeichert oder an Dritte weitergeleitet werden, prüfen Sie, ob Sie Ihr Verzeichnis um diese Tätigkeit ergänzen müssen.

So sind Sie immer auf der sicheren Seite, falls die Datenschutzbehörde sich Ihr Verzeichnis vorlegen lässt.

Nach den gesetzlichen Vorgaben muss die oder der Datenschutzbeauftragte die nötige Fachkunde und Zuverlässigkeit haben. Dies bedeutet, dass sie oder er die gesetzlichen Regelungen kennen und sicher anwenden muss. Eine Vorgabe, wie sich Ihre Mitarbeitein das nötige Wissen aneignet, gibt es nicht.

Dies kann im Rahmen einer Schulung, aber auch im Selbststudium erfolgen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit stellt hierzu eine Broschüre bereit, die im Internet abgerufen werden kann.

Die Datenschutzbeauftragten in Behörde und Betrieb (Info 4)

In der Regel benötigen nur größere Praxen und MVZ einen Datenschutzbeauftragten. Dies ist der Fall, wenn mindestens 20 Personen regelmäßig Daten automatisiert – zum Beispiel am Computer – verarbeiten. Dabei werden die in einer Praxis tätigen Ärztinnen und Ärzte ebenso gezählt wie andere Mitarbeitende.

Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder zur Datenschutzbeauftragten-Bestellpflicht bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs

Wird ein Mitarbeiter mit der Aufgabe betraut, spricht man von einem internen Datenschutzbeauftragten. Der Mitarbeiter steht unter Kündigungsschutz und hat das Recht zum Beispiel auf eine eigene Ausstattung oder Fortbildung.

Praxisinhaberinnen und Praxisinhaber können aber auch einen externen Dienstleister beauftragen. Bei dieser Variante fallen zusätzliche Kosten an, zugleich wird das Haftungsrisiko minimiert, denn bei Fehlern im Umgang mit dem Datenschutz haftet der externe Dienstleister. Welche Variante gewählt wird, muss die Praxisinhaberin oder der Praxisinhaber entscheiden.

Ja, denn aus datenschutzrechtlicher Perspektive ist nicht entscheidend, ob es sich um eine Einzelpraxis und um eine andere Praxisform handelt. Die Vorgaben sind dieselben.

Entscheidend ist die Anzahl der Personen, die in der Praxis tätig sin. Somit ist unerheblich, ob die Personen in Voll- oder Teilzeit oder als Auszubildende beschäftigt sind.

Sie sind verpflichtet, Ihre Patientinnen und Patienten darüber zu informieren, was mit den erhobenen Daten passiert. Die Information muss in erster Linie Angaben zum Zweck sowie zur Rechtsgrundlage der Datenverarbeitung enthalten.

Um alle Patientinnen und Patienten zu erreichen, empfiehlt sich ein Aushang in der Praxis, der gut sichtbar angebracht werden sollte. Auch ein Informationsblatt, das im Wartezimmer ausgelegt wird, ist möglich. So kann sich jede Patientin und jeder Patient informieren. Eine Unterschrift oder andere Art der Bestätigung ist aber nicht erforderlich.

Personenbezogene Daten dürfen nur übermittelt werden, wenn eine Rechtsgrundlage es erlaubt. Dies kann eine Einwilligung des Patienten sein, mit der er einer Schweigepflichtentbindung zustimmt, oder eine Rechtsnorm, zum Beispiel eine gesetzliche Bestimmung im SGB V oder eine Regelung im Bundesmantelvertrag-Ärzte.

Anfragen von Krankenkassen auf einem vertragsärztlichen Formular beruhen auf so einer Rechtsnorm, deshalb müssen Praxen solche Anfragen beantworten. Anders bei formlosen Anfragen: Bei diesen muss die Krankenkasse angeben, aufgrund welcher Rechtsgrundlage sie Auskunft haben will. Ansonsten sind Praxen nicht verpflichtet zu antworten.

Auch Anfragen anderer Stellen, etwa von Berufsgenossenschaften, Sozialgerichten oder Gesundheitsämtern, müssen eine Rechtsgrundlage haben. Es kann zum Beispiel sein, dass personenbezogene Daten an Gesundheitsämter übermittelt werden müssen, weil für bestimmte Krankheiten Meldepflicht aufgrund des Infektionsschutzgesetzes besteht.

Unterstützung bietet das Handbuch der KV Bayerns in Kapitel 4 „Übermittlung von Patientendaten aufgrund gesetzlicher Bestimmungen“.

Verlust des Praxis-Laptops, Hackerangriff oder unbewusste Veröffentlichung von personenbezogenen Daten im Internet: Von einem Datenschutzvorfall spricht man, wenn die Sicherheit der personenbezogenen Daten, für die der Arzt oder Psychotherapeut verantwortlich ist, verletzt wird oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten auftreten - also die Daten nicht mehr sicher sind. Dabei spielt es keine Rolle, ob die Verletzung der Sicherheit absichtlich oder unbeabsichtigt erfolgt ist.

Der erste Schritt ist, dass die Inhaberin oder der Inhaber der Praxis informiert wird. Sie oder er muss den Vorfall dokumentieren und gegebenenfalls geeignete Gegenmaßnahmen einleiten. Sofern ein Datenschutzbeauftragter bestellt ist (ab 20 Mitarbeitende, siehe oben), kann dieser durch die Praxis hinzugezogen werden. Zudem muss die verantwortliche Stelle, entscheiden, ob der Vorfall an die zuständige Datenschutzaufsichtsbehörde gemeldet werden muss (eine Übersicht finden Sie hier). Eine solche Meldung muss innerhalb von 72 Stunden erfolgen.

Wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Was „Risiko“ bedeutet, muss im Einzelfall entschieden werden. Ein Beispiel wäre ein Hackerangriff auf die Patientendatenbank. Werden dagegen Daten aus Versehen von einer Mitarbeiterin oder einem Mitarbeiter gelöscht, aber sofort wieder hergestellt, muss ein solcher Vorfall zwar dokumentiert, aber eher nicht gemeldet werden.

Besteht ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person, muss auch diese unverzüglich  informiert werden. Das wäre beispielsweise der Fall, wenn von Hackern gezielt personenbezogene Befunddaten eines Patienten abgegriffen werden.

Die Information der betroffenen Person kann nur dann unterbleiben, wenn beispielsweise geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden (z. B. Verschlüsselung) oder wenn durch Maßnahmen sichergestellt wird, dass das hohe Risiko für die Rechte und Freiheiten der betreffenden Person aller Wahrscheinlichkeit nicht mehr besteht.

Für die Form der Information gibt es keine Vorgaben. Denkbar ist ein  Brief, aber auch eine E-Mail, um den Betroffenen über den Vorfall und die durchgeführten Sicherheitsmaßnahmen zu informieren.

Die KBV stellt umfangreiches Informationsmaterial für Praxen bereit, darunter eine Praxisinformation sowie Mustervorlagen für einen Praxisaushang und ein Verarbeitungsverzeichnis.

Informationen bietet beispielsweise auch das Bayerische Landesamt für Datenschutzaufsicht: Ein zweiseitiges Dokument (PDF) informiert über die Anforderungen speziell an die Arztpraxis und erläutert diese in kurzer Form.