Praxisführung

Datenschutz für die Praxis

Cybersicherheit in medizinischen Einrichtungen

Der vom Bayerischen Landesamt für Datenschutzaufsicht erstellte Selbst-Check gibt einen Überblick über Praxismaßnahmen zur Cybersicherheit für medizinische Einrichtungen.

Mit den im Check genannten Maßnahmen kann jede Praxis für sich die Verfügbarkeit sensibler Daten ermittelt und ggf. Handlungsbedarf identifizieren.

Best-Practice-Prüfkriterien (Art. 32 DSGVO)

Cybersicherheit für bayerische Unternehmen und Behörden - An wen wende ich mich?

EU-Datenschutzgrundverordnung (Allgemeines, FAQ etc.)

Seit 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DS-GVO) der Europäischen Union. Die KVB informiert Ärzte und Psychotherapeuten darüber gezielt in den Fachseminaren zum Thema Datenschutz.

Wer nicht an einem Datenschutz-Seminar teilnehmen kann, der kann gerne die wesentlichen Informationen aus folgender "FAQ"-Zusammenstellung entnehmen:

Fragen und Antworten zur DS-GVO und Datenschutz in der Arztpraxis (FAQ-Infoblatt)

Antwort der Bundesregierung zu einer Anfrage zu den Auswirkungen der DSGVO im Gesundheits- und Pflegebereich vom 03.07.2018

Darüber hinaus informiert auch die KBV umfassend über die EU-Datenschutz-Grundverordnung und stellt auf ihrer Website u.a. eine Checkliste, Ausfüllanleitung sowie Praxis- und Patienteninformationen zur Verfügung.

Was Praxen und MVZ ab 25.05.2018 benötigen

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Nach Art. 5 Abs. 2 DSGVO muss ein Verantwortlicher (eine Praxis) nachweisen können, dass sie bei der Verarbeitung von personenbezogenen Daten die Grundsätze nach Art. 5 Abs. 1 DSGVO eingehalten werden. Die DSGVO bezeichnet diesen Nachweis, der schriftlich oder elektronisch vorliegen muss, als Rechenschaftspflicht.

Inhalte der Rechenschaftspflicht (Muster)

Auskunftspflicht (Auskunftsanspruch eines Patienten nach Art. 15 DSGVO)

Die betroffene Person, also der Patient, hat das Recht zu erfahren, ob der Arzt sie betreffende personenbezogene Daten verarbeitet. Der Begriff der Datenverarbeitung ist weit zu verstehen und umfasst u. a. das Erheben, Erfassen, Speichern, Verändern, Verwenden, Übermitteln, Bereitstellen und Löschen von personenbezogenen Daten.

Werden personenbezogene Daten verarbeitet, so besteht ein Recht des Patienten auf Auskunft gegenüber dem behandelnden Arzt über diese Daten und der spezifischen Umstände ihrer Verarbeitung.

Dies umfasst eine Auskunft über die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger der Daten, die Dauer der Datenspeicherung, das Bestehen eines Rechts auf Berichtigung oder Löschung, Einschränkung der Verarbeitung oder eines Widerspruchs gegen diese Verarbeitung, das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie über die Herkunft der Daten.

Mustertext zur Beantwortung des Auskunftsanspruchs (Text bitte herauskopieren)

Verpflichtung von Mitarbeitern auf das Datengeheimnis

Die ab 25.05.2018 geltende Datenschutzgrundverordnung (DSGVO) sowie auch das ab diesem Zeitpunkt geltende neue Bundesdatenschutzgesetz (BDSG neu) enthalten keine ausdrückliche Regelung zur Verpflichtung von Mitarbeitern auf das Datengeheimnis. Jedoch trifft den Verantwortlichen (die Praxisleitung) die Pflicht den Mitarbeitern "Weisungen" zur Verarbeitung personenbezogener Daten zu erteilen. Letztendlich empfiehlt das Landesamt für Datenschutzaufsicht deshalb, die Mitarbeiter nachweisbar über ihre Pflichten nach der DSGVO zu unterrichten.

Empfehlungen des Landesamtes für Datenschutzaufsicht

Hinweis: Einen auf die Belange einer Arztpraxis angepassten Verpflichtungstext finden Sie rechts oben unter "Formulare".

Bestellung eines betrieblichen Datenschutzbeauftragten

Der/Die Verantwortliche(n) einer Arztpraxis (Praxisleitung) muss/müssen jedenfalls dann einen betrieblichen Datenschutzbeauftragten bestellen, wenn mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung von personenbezogenen/ -beziehbaren Daten beschäftigt sind  (Art. 38 BDSG neu). Die aktuelle Definition des LDA zum Begriff "ständig" entnehmen Sie bitte dem FAQ-Infoblatt.

Wie bisher ist es der Praxis freigestellt, eine/einen Praxismitarbeiter/-in oder eine externe Person zum Datenschutzbeauftragten zu bestellen. Eine schriftliche Bestellung ist gesetzlich nicht mehr vorgeschrieben, jedoch auch weiterhin zu empfehlen. Ein entsprechendes Muster finden Sie rechts oben unter "Formulare".

Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben am 26. April 2018 beschlossen, dass

  • Praxisinhaber und die Gesellschafter einer BAG bei der Berechnung der Personenzahl zu berücksichtigen sind
  • allein die Tatsache, dass mehr als ein Arzt in einer Praxis ist, nicht zur Pflicht zur Bestellung eines Datenschutzbeauftragten führt
  • Praxen, die zur Durchführung einer Datenschutzfolgenabschätzung verpflichtet sind, immer einen Datenschutzbeauftragten bestellen müssen

siehe Beschluss der Datenschutzkonferenz (DSK)

Weitere Hinweise (der DSK-Beschluss ist dort noch nicht berücksichtigt):

Hinweise und Empfehlungen der KBV zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis (Punkt 3.9)

Meldepflicht:
Sofern ein Datenschutzbeauftragter bestellt werden muss, ist dieser der zuständigen Datenschutzaufsichtsbehörde (Bayer. Landesamt für Datenschutzaufsicht, www.lda.bayern.de) zu melden. Das LDA wird hierfür auf seiner Homepage (unter Online-Services) ein Online-Meldeformular zur Verfügung stellen.

Seminarunterlagen Datenschutz in Arzt-/Psychotherapeutenpraxen

Bayerischen Landesamtes für Datenschutzaufsicht (LDA - Präsentation):

Weitere Informationen

Datenschutz und Schweigepflicht

Erhebung personenbezogener Daten (Art. 13/14 DSGVO)

Formulare

Einverständniserklärung zur Patientendaten-Übermittlung

Verpflichtungserklärung Mitarbeiter

Bestellung interner Datenschutzbeauftragten