-
Wo finde ich die für mich zuständige Aufsichtsbehörde?
-
In jedem EU-Land wachen unabhängige Aufsichtsbehörden über die Umsetzung der Vorgaben. In Deutschland sind das die Datenschutzbeauftragten der 16 Bundesländer. Sie haben unter anderem das Recht, Informationen von Firmen, öffentlichen Stellen, aber eben auch von Arztpraxen einzuholen, die sie für ihre Kontrollfunktion benötigen.
Die für Sie zuständige datenschutzrechtliche Aufsicht:
Aufsichtsbehörden für den nicht-öffentlichen Bereich
-
Muss ich ein Verzeichnis von Verarbeitungstätigkeiten nur einmal erstellen oder in regelmäßigen Abständen?
-
Sie sollten Ihr Verzeichnis immer auf dem aktuellen Stand halten und hin und wieder prüfen, ob es angepasst werden muss. Treten Sie zum Beispiel einem neuen Versorgungsvertrag bei, bei dem Daten von Patienten erhoben, gespeichert oder an Dritte weitergeleitet werden, prüfen Sie, ob Sie Ihr Verzeichnis um diese Tätigkeit ergänzen müssen.
So sind Sie immer auf der sicheren Seite, falls die Datenschutzbehörde sich Ihr Verzeichnis vorlegen lässt.
-
Eine Mitarbeiterin unserer Praxis soll die Aufgabe des Datenschutzbeauftragten übernehmen. Benötigt sie eine besondere Aus- oder Fortbildung?
-
Nach den gesetzlichen Vorgaben muss der Datenschutzbeauftragte die nötige Fachkunde und Zuverlässigkeit haben. Dies bedeutet, dass er die gesetzlichen Regelungen kennen und sicher anwenden muss. Eine Vorgabe, wie sich Ihre Mitarbeiterin das nötige Wissen aneignet, gibt es nicht.
Dies kann im Rahmen einer Schulung, aber auch im Selbststudium erfolgen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit stellt hierzu eine Broschüre bereit, die im Internet abgerufen werden kann.
Die Datenschutzbeauftragten in Behörde und Betrieb
-
In unserer Praxis arbeiten zwei Ärzte und sechs Medizinische Fachangestellte. Benötigen wir einen Datenschutzbeauftragten?
-
In der Regel benötigen nur größere Praxen und MVZ einen Datenschutzbeauftragten. Dies ist der Fall, wenn mindestens 20 Personen regelmäßig Daten automatisiert – zum Beispiel am Computer – verarbeiten. Dabei werden die in einer Praxis tätigen Ärzte ebenso gezählt wie andere Mitarbeiter.
Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder zur Datenschutzbeauftragten-Bestellpflicht bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs
-
Was unterscheidet interne und externe Datenschutzbeauftragte?
-
Wird ein Mitarbeiter mit der Aufgabe betraut, spricht man von einem internen Datenschutzbeauftragten. Der Mitarbeiter steht unter Kündigungsschutz und hat das Recht zum Beispiel auf eine eigene Ausstattung oder Fortbildung.
Praxisinhaber können aber auch einen externen Dienstleister beauftragen. Bei dieser Variante fallen zusätzliche Kosten an, zugleich wird das Haftungsrisiko minimiert, denn bei Fehlern im Umgang mit dem Datenschutz haftet der externe Dienstleister. Welche Variante gewählt wird, muss der Praxisinhaber entscheiden.
-
Benötigen Gemeinschaftspraxen wie Einzelpraxen ab 20 Personen einen Datenschutzbeauftragten?
-
Ja, denn aus datenschutzrechtlicher Perspektive ist nicht entscheidend, ob es sich um eine Einzelpraxis und um eine andere Praxisform handelt. Die Vorgaben sind dieselben.
-
Ab 20 Personen muss ein Datenschutzbeauftragter bestellt werden: Müssen es Vollzeitstellen sein oder geht es um die Anzahl der Personen?
-
Entscheidend ist die Anzahl der Personen, die in der Praxis tätig sin. Somit ist unerheblich, ob die Personen in Voll- oder Teilzeit oder als Auszubildende beschäftigt sind.
-
Muss ich meine Patienten eine Bestätigung unterschreiben lassen, dass sie die Datenschutzbestimmungen der Praxis gelesen und verstanden haben – oder reicht ein Aushang?
-
Sie sind verpflichtet, Ihre Patienten darüber zu informieren, was mit den erhobenen Daten passiert. Die Information muss in erster Linie Angaben zum Zweck sowie zur Rechts-grundlage der Datenverarbeitung enthalten.
Um alle Patienten zu erreichen, empfiehlt sich ein Aushang in der Praxis, der gut sichtbar angebracht werden sollte. Auch ein Informationsblatt, das im Wartezimmer ausgelegt wird, ist möglich. So kann sich jeder Patient informieren. Eine Unterschrift oder andere Art der Bestätigung ist aber nicht erforderlich.
-
Wir bekommen oft Anfragen von Krankenkassen oder Gesundheitsämtern: Dürfen wir hier Auskunft geben?
-
Personenbezogene Daten dürfen nur übermittelt werden, wenn eine Rechtsgrundlage es erlaubt. Dies kann eine Einwilligung des Patienten sein, mit der er einer Schweigepflichtentbindung zustimmt, oder eine Rechtsnorm, zum Beispiel eine gesetzliche Bestimmung im SGB V oder eine Regelung im Bundesmantelvertrag-Ärzte.
Anfragen von Krankenkassen auf einem vertragsärztlichen Formular beruhen auf so einer Rechtsnorm, deshalb müssen Praxen solche Anfragen beantworten. Anders bei formlosen Anfragen: Bei diesen muss die Krankenkasse angeben, aufgrund welcher Rechtsgrundlage sie Auskunft haben will. Ansonsten sind Praxen nicht verpflichtet zu antworten.
Auch Anfragen anderer Stellen, etwa von Berufsgenossenschaften, Sozialgerichten oder Gesundheitsämtern, müssen eine Rechtsgrundlage haben. Es kann zum Beispiel sein, dass personenbezogene Daten an Gesundheitsämter übermittelt werden müssen, weil für bestimmte Krankheiten Meldepflicht aufgrund des Infektionsschutzgesetzes besteht.
Unterstützung bietet das Handbuch Datenschutz in der Arzt-/Psychotherapeutenpraxis der KV Bayerns in Kapitel 4 „Übermittlung von Patientendaten aufgrund gesetzlicher Bestimmungen“.
-
Was ist ein Datenschutzvorfall?
-
Verlust des Praxis-Laptops, Hackerangriff oder unbewusste Veröffentlichung
von personenbezogenen Daten im Internet: Von einem Datenschutzvorfall spricht
man, wenn die Sicherheit der personenbezogenen Daten, für die der Arzt oder
Psychotherapeut verantwortlich ist, verletzt wird oder andere Unregelmäßigkeiten
bei der Verarbeitung der Daten auftreten - also die Daten nicht mehr sicher
sind. Dabei spielt es keine Rolle, ob die Verletzung der Sicherheit absichtlich
oder unbeabsichtigt erfolgt ist.
-
Was muss ich bei einem Datenschutzvorfall tun?
-
Der erste Schritt ist, dass der Inhaber der Praxis informiert wird. Dieser muss den Vorfall dokumentieren und gegebenenfalls geeignete Gegenmaßnahmen einleiten. Sofern ein Datenschutzbeauftragter bestellt ist (ab 10 Mitarbeiter, siehe oben), kann dieser durch die Praxis hinzugezogen werden. Zudem muss die verantwortliche Stelle, entscheiden, ob der Vorfall an die zuständige Datenschutzaufsichtsbehörde gemeldet werden muss (eine Übersicht finden Sie hier). Eine solche Meldung muss innerhalb von 72 Stunden erfolgen.
-
Wann müssen Datenschutzvorfälle gemeldet werden?
-
Wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen
besteht. Was „Risiko“ bedeutet, muss im Einzelfall entschieden werden. Ein
Beispiel wäre ein Hackerangriff auf die Patientendatenbank. Werden dagegen Daten
aus Versehen von einem Mitarbeiter gelöscht, aber sofort wieder hergestellt,
muss ein solcher Vorfall zwar dokumentiert, aber eher nicht gemeldet werden.
-
Wann und wie müssen Patienten bei einem Datenschutzvorfall informiert werden?
-
Besteht ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person, muss auch diese unverzüglich informiert werden. Das wäre beispielsweise der Fall, wenn von Hackern gezielt personenbezogene Befunddaten eines Patienten abgegriffen werden.
Die Information der betroffenen Person kann nur dann unterbleiben, wenn beispielsweise geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden (z. B. Verschlüsselung) oder wenn durch Maßnahmen sichergestellt wird, dass das hohe Risiko für die Rechte und Freiheiten der betreffenden Person aller Wahrscheinlichkeit nicht mehr besteht.
Für die Form der Information gibt es keine Vorgaben. Denkbar ist ein Brief, aber auch eine E-Mail, um den Betroffenen über den Vorfall und die durchgeführten Sicherheitsmaßnahmen zu informieren.
-
Wo finde ich Informationen speziell für die Praxis?
-
Die KBV stellt umfangreiches Informationsmaterial für Praxen bereit, darunter eine Praxisinformation sowie Mustervorlagen für einen Praxisaushang und ein Verarbeitungsverzeichnis.
Informationen bietet beispielsweise auch das Bayerische Landesamt für Datenschutzaufsicht:
Ein zweiseitiges Dokument informiert über die Anforderungen speziell an die Arztpraxis und erläutert diese in kurzer Form.