Datenschutz in der Praxis

Die betroffene Person, also der Patient, hat das Recht zu erfahren, ob der Arzt sie betreffende personenbezogene Daten verarbeitet. Der Begriff der Datenverarbeitung ist weit zu verstehen und umfasst u. a. das Erheben, Erfassen, Speichern, Verändern, Verwenden, Übermitteln, Bereitstellen und Löschen von personenbezogenen Daten.

Werden personenbezogene Daten verarbeitet, so besteht ein Recht des Patienten auf Auskunft gegenüber dem behandelnden Arzt über diese Daten und der spezifischen Umstände ihrer Verarbeitung.

Dies umfasst eine Auskunft über die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger der Daten, die Dauer der Datenspeicherung, das Bestehen eines Rechts auf Berichtigung oder Löschung, Einschränkung der Verarbeitung oder eines Widerspruchs gegen diese Verarbeitung, das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie über die Herkunft der Daten.

Der  Verantwortliche einer Arztpraxis (Praxisleitung) muss einen betrieblichen Datenschutzbeauftragten bestellen, wenn mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung von personenbezogenen/ -beziehbaren Daten beschäftigt sind  (Art. 38 BDSG neu).

Wie bisher ist es der Praxis freigestellt, einen Praxismitarbeiter oder eine externe Person zum Datenschutzbeauftragten zu bestellen. Eine schriftliche Bestellung ist gesetzlich nicht mehr vorgeschrieben, jedoch weiterhin zu empfehlen.

Beschluss der Datenschutzaufsichtsbehörden (26. April 2018)

• Praxisinhaber und die Gesellschafter einer BAG bei der Berechnung der Personenzahl zu berücksichtigen sind
• allein die Tatsache, dass mehr als ein Arzt in einer Praxis ist, nicht zur Pflicht zur Bestellung eines Datenschutzbeauftragten führt
• Praxen, die zur Durchführung einer Datenschutzfolgenabschätzung verpflichtet sind, immer einen Datenschutzbeauftragten bestellen müssen

Beschlüsse der Datenschutzkonferenz (DSK)

Meldepflicht

Sofern ein Datenschutzbeauftragter bestellt werden muss, ist dieser der zuständigen Datenschutzaufsichtsbehörde, in Bayern dem Bayerischen Landesamt für Datenschutzaufsicht, zu melden.

Online-Meldeformular

Der vom Bayerischen Landesamt für Datenschutzaufsicht erstellte Selbst-Check gibt einen Überblick über Praxismaßnahmen zur Cybersicherheit für medizinische Einrichtungen.

Mit den genannten Maßnahmen kann jede Praxis die Verfügbarkeit sensibler Daten ermittelt und ggf. Handlungsbedarf identifizieren.

Best Practice-Prüfkriterien (Selbst Check)

Behördenübersicht (zuständig bei Cyberattacken)

Seit 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DS-GVO) der Europäischen Union.

Nach Art. 5 Abs. 2 DSGVO muss ein Verantwortlicher (eine Praxis) nachweisen können, dass sie bei der Verarbeitung von personenbezogenen Daten die Grundsätze nach Art. 5 Abs. 1 DSGVO eingehalten werden. Die DSGVO bezeichnet diesen Nachweis, der schriftlich oder elektronisch vorliegen muss, als Rechenschaftspflicht.

Die seit 25. Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) sowie auch das ab diesem Zeitpunkt geltende Bundesdatenschutzgesetz (BDSG) enthalten keine ausdrückliche Regelung zur Verpflichtung von Mitarbeitern auf das Datengeheimnis.

Jedoch trifft den Verantwortlichen (die Praxisleitung) die Pflicht den Mitarbeitern "Weisungen" zur Verarbeitung personenbezogener Daten zu erteilen.

Das Landesamt für Datenschutzaufsicht empfiehlt, Mitarbeiter nachweisbar über ihre Pflichten nach der DSGVO zu unterrichten.