Logo-KBV

KBV Hauptnavigationen:

Sie befinden sich:

 

Praxisnachrichten

Ab morgen gilt die Datenschutzverordnung - KBV bietet Unterstützung

24.05.2018 - Die Datenschutz-Grundverordnung muss ab morgen EU-weit umgesetzt werden. KBV-Vorstandschef Dr. Andreas Gassen appelliert an alle Vertragsärzte und Vertragspsychotherapeuten, angesichts der neuen europäischen Vorgabe noch stärker auf den Schutz sensibler Patientendaten zu achten.

Zur Umstellung auf die Datenschutz-Grundverordnung (DSGVO) hat die KBV diverse Informationsmaterialien erstellt, die die Praxen nutzen könnten, sagte Gassen. Das Serviceangebot steht im Internet bereit. Es umfasst neben einer Praxisinformation, die zusammenfasst, worauf Ärzte und Psychotherapeuten jetzt besonders achten sollten, Mustervorlagen für einen Praxisaushang und ein Verarbeitungsverzeichnis.

Denn ab morgen müssen auch Ärzte und Psychotherapeuten der neuen Informations- und Nachweispflicht gerecht werden. Dabei geht es darum zu belegen, welche Vorkehrungen insbesondere zum Schutz von Patientendaten in der Praxis getroffen werden. So müssen die Patienten informiert werden, was mit den erhobenen Daten passiert.

Neu: FAQ ergänzen Infoangebot

Die Informationsmaterialien der KBV stehen seit Ende April auf einer Themenseite im Internet bereit, die Mustervorlagen können dort heruntergeladen werden.

Aktuell wurde das Angebot um häufig gestellte Fragen und Antworten ergänzt. Ein Thema betrifft den Datenschutzbeauftragten, den Praxen mit zehn und mehr Beschäftigten einsetzen müssen.

Vorgaben gelten in der ganzen EU

Mit der DSGVO werden die Vorgaben zum Datenschutz in der Europäischen Union vereinheitlicht mit dem Ziel, die Daten von Verbrauchern im Zeitalter des Internets besser zu schützen und ihre Privatsphäre zu schützen. Die Verordnung gilt für alle Mitgliedsstaaten und betrifft große Unternehmen ebenso wie kleine Firmen, Vereine und freiberuflich Tätige.

Die inhaltlichen Anforderungen der DSGVO ähneln vielfach dem hierzulande geltenden Recht. Pflichten wie das Führen eines Verarbeitungsverzeichnisses oder die Bestellung eines Datenschutzbeauftragten bestehen auch jetzt schon. Neu ist die Nachweispflicht. Das ist von besonderer Bedeutung, da bei Verstößen gegen die datenschutzrechtlichen Pflichten deutlich härtere Sanktionen drohen.

Fragen und Antworten zur Datenschutz-Grundverordnung

Wo finde ich die für mich zuständige Aufsichtsbehörde?

In jedem EU-Land wachen unabhängige Aufsichtsbehörden über die Umsetzung der Vorgaben. In Deutschland sind das die Datenschutzbeauftragten der 16 Bundesländer. Sie haben unter anderem das Recht, Informationen von Firmen, öffentlichen Stellen, aber eben auch von Arztpraxen einzuholen, die sie für ihre Kontrollfunktion benötigen.

Die für Sie zuständige datenschutzrechtliche Aufsicht:

Aufsichtsbehörden für den nicht-öffentlichen Bereich

Muss ich ein Verzeichnis von Verarbeitungstätigkeiten nur einmal erstellen oder in regelmäßigen Abständen?

Sie sollten Ihr Verzeichnis immer auf dem aktuellen Stand halten und hin und wieder prüfen, ob es angepasst werden muss. Treten Sie zum Beispiel einem neuen Versorgungsvertrag bei, bei dem Daten von Patienten erhoben, gespeichert oder an Dritte weitergeleitet werden, prüfen Sie, ob Sie Ihr Verzeichnis um diese Tätigkeit ergänzen müssen.

So sind Sie immer auf der sicheren Seite, falls die Datenschutzbehörde sich Ihr Verzeichnis vorlegen lässt.

Eine Mitarbeiterin unserer Praxis soll die Aufgabe des Datenschutzbeauftragten übernehmen. Benötigt sie eine besondere Aus- oder Fortbildung?

Nach den gesetzlichen Vorgaben muss der Datenschutzbeauftragte die nötige Fachkunde und Zuverlässigkeit haben. Dies bedeutet, dass er die gesetzlichen Regelungen kennen und sicher anwenden muss. Eine Vorgabe, wie sich Ihre Mitarbeiterin das nötige Wissen aneignet, gibt es nicht.

Dies kann im Rahmen einer Schulung, aber auch im Selbststudium erfolgen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit stellt hierzu eine Broschüre bereit, die im Internet abgerufen werden kann.

Die Datenschutzbeauftragten in Behörde und Betrieb

In unserer Praxis arbeiten zwei Ärzte und sechs Medizinische Fachangestellte. Benötigen wir einen Datenschutzbeauftragten?

In der Regel benötigen nur größere Praxen und MVZ einen Datenschutzbeauftragten. Dies ist der Fall, wenn mindestens zehn Personen regelmäßig Daten automatisiert – zum Beispiel am Computer – verarbeiten. Dabei werden die in einer Praxis tätigen Ärzte ebenso gezählt wie andere Mitarbeiter.

Dass die Bestellpflicht eines internen/externen Datenschutzbeauftragten auch für Arztpraxen erst ab zehn Personen gilt, hat die Konferenz der unabhängigen Datenschutzbehörden von Bund und Ländern am 26. April 2018 beschlossen

Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder zur Datenschutzbeauftragten-Bestellpflicht bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs

Was unterscheidet interne und externe Datenschutzbeauftragte?

Wird ein Mitarbeiter mit der Aufgabe betraut, spricht man von einem internen Datenschutzbeauftragten. Der Mitarbeiter steht unter Kündigungsschutz und hat das Recht zum Beispiel auf eine eigene Ausstattung oder Fortbildung.

Praxisinhaber können aber auch einen externen Dienstleister beauftragen. Bei dieser Variante fallen zusätzliche Kosten an, zugleich wird das Haftungsrisiko minimiert, denn bei Fehlern im Umgang mit dem Datenschutz haftet der externe Dienstleister. Welche Variante gewählt wird, muss der Praxisinhaber entscheiden.

Benötigen Gemeinschaftspraxen wie Einzelpraxen ab zehn Personen einen Datenschutzbeauftragten?

Ja, denn aus datenschutzrechtlicher Perspektive ist nicht entscheidend, ob es sich um eine Einzelpraxis und um eine andere Praxisform handelt. Die Vorgaben sind dieselben.

Ab zehn Personen muss ein Datenschutzbeauftragter bestellt werden: Müssen es Vollzeitstellen sein oder geht es um die Anzahl der Personen?

Entscheidend ist die Anzahl der Personen, die in der Praxis tätig sin. Somit ist unerheblich, ob die Personen in Voll- oder Teilzeit oder als Auszubildende beschäftigt sind.

Muss ich meine Patienten eine Bestätigung unterschreiben lassen, dass sie die Datenschutzbestimmungen der Praxis gelesen und verstanden haben – oder reicht ein Aushang?

Sie sind verpflichtet, Ihre Patienten darüber zu informieren, was mit den erhobenen Daten passiert. Die Information muss in erster Linie Angaben zum Zweck sowie zur Rechts-grundlage der Datenverarbeitung enthalten.

Um alle Patienten zu erreichen, empfiehlt sich ein Aushang in der Praxis, der gut sichtbar angebracht werden sollte. Auch ein Informationsblatt, das im Wartezimmer ausgelegt wird, ist möglich. So kann sich jeder Patient informieren. Eine Unterschrift oder andere Art der Bestätigung ist aber nicht erforderlich.

Wir bekommen oft Anfragen von Krankenkassen oder Gesundheitsämtern: Dürfen wir hier Auskunft geben?

Personenbezogene Daten dürfen nur übermittelt werden, wenn eine Rechtsgrundlage es erlaubt. Dies kann eine Einwilligung des Patienten sein, mit der er einer Schweigepflichtentbindung zustimmt, oder eine Rechtsnorm, zum Beispiel eine gesetzliche Bestimmung im SGB V oder eine Regelung im Bundesmantelvertrag-Ärzte.

Anfragen von Krankenkassen auf einem vertragsärztlichen Formular beruhen auf so einer Rechtsnorm, deshalb müssen Praxen solche Anfragen beantworten. Anders bei formlosen Anfragen: Bei diesen muss die Krankenkasse angeben, aufgrund welcher Rechtsgrundlage sie Auskunft haben will. Ansonsten sind Praxen nicht verpflichtet zu antworten.

Auch Anfragen anderer Stellen, etwa von Berufsgenossenschaften, Sozialgerichten oder Gesundheitsämtern, müssen eine Rechtsgrundlage haben. Es kann zum Beispiel sein, dass personenbezogene Daten an Gesundheitsämter übermittelt werden müssen, weil für bestimmte Krankheiten Meldepflicht aufgrund des Infektionsschutzgesetzes besteht.

Unterstützung bietet das Handbuch Datenschutz in der Arzt-/Psychotherapeutenpraxis der KV Bayerns in Kapitel 4 „Übermittlung von Patientendaten aufgrund gesetzlicher Bestimmungen“.

Was ist ein Datenschutzvorfall?

Verlust des Praxis-Laptops, Hackerangriff oder unbewusste Veröffentlichung von personenbezogenen Daten im Internet: Von einem Datenschutzvorfall spricht man, wenn die Sicherheit der personenbezogenen Daten, für die der Arzt oder Psychotherapeut verantwortlich ist, verletzt wird oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten auftreten - also die Daten nicht mehr sicher sind. Dabei spielt es keine Rolle, ob die Verletzung der Sicherheit absichtlich oder unbeabsichtigt erfolgt ist.

Was muss ich bei einem Datenschutzvorfall tun?

Der erste Schritt ist, dass der Inhaber der Praxis informiert wird. Dieser muss den Vorfall dokumentieren und gegebenenfalls geeignete Gegenmaßnahmen einleiten. Sofern ein Datenschutzbeauftragter bestellt ist (ab 10 Mitarbeiter, siehe oben), kann dieser durch die Praxis hinzugezogen werden. Zudem muss die verantwortliche Stelle,  entscheiden, ob der Vorfall an die zuständige Datenschutzaufsichtsbehörde gemeldet werden muss (eine Übersicht finden Sie hier). Eine solche Meldung muss innerhalb von 72 Stunden erfolgen.

Wann müssen Datenschutzvorfälle gemeldet werden?

Wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Was „Risiko“ bedeutet, muss im Einzelfall entschieden werden. Ein Beispiel wäre ein Hackerangriff auf die Patientendatenbank. Werden dagegen Daten aus Versehen von einem Mitarbeiter gelöscht, aber sofort wieder hergestellt, muss ein solcher Vorfall zwar dokumentiert, aber eher nicht gemeldet werden.

Wann und wie müssen Patienten bei einem Datenschutzvorfall informiert werden?

Besteht ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person, muss auch diese unverzüglich  informiert werden. Das wäre beispielsweise der Fall, wenn von Hackern gezielt personenbezogene Befunddaten eines Patienten abgegriffen werden.

Die Information der betroffenen Person kann nur dann unterbleiben, wenn beispielsweise geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden (z. B. Verschlüsselung) oder wenn durch Maßnahmen sichergestellt wird, dass das hohe Risiko für die Rechte und Freiheiten der betreffenden Person aller Wahrscheinlichkeit nicht mehr besteht.

Für die Form der Information gibt es keine Vorgaben. Denkbar ist ein  Brief, aber auch eine E-Mail, um den Betroffenen über den Vorfall und die durchgeführten Sicherheitsmaßnahmen zu informieren.

Wo finde ich Informationen speziell für die Praxis?

Die KBV stellt umfangreiches Informationsmaterial für Praxen bereit, darunter eine Praxisinformation sowie Mustervorlagen für einen Praxisaushang und ein Verarbeitungsverzeichnis.

Informationen bietet beispielsweise auch das Bayerische Landesamt für Datenschutzaufsicht: Ein zweiseitiges Dokument informiert über die Anforderungen speziell an die Arztpraxis und erläutert diese in kurzer Form.

Mehr zum Thema

zu den PraxisNachrichten