Inhaltsverzeichnis
Was ist ein Datenschutz Audit?
Vorteile eines Datenschutz-Audits
Wann ist ein Datenschutzaudit sinnvoll?
Wie wird ein Datenschutz Audit vorbereitet?
Was wird im Datenschutz Audit geprüft?
Nachbereitung eines Datenschutz Audits
Datenschutz Audit im DSB-Paket-Preis
FAQ zum Thema Datenschutz Audit
DSGVO in der ärztlichen Praxis
Arztpraxen müssen nachweisen können, dass sie die datenschutzrechtlichen Grundsätze aus der Datenschutz-Grundverordnung (DS-GVO) einhalten. Zum einen müssen Praxen auf Anfrage einige Datenschutz-Dokumente vorhalten. Des Weiteren müssen Sie Ihre Patienten über die Verarbeitung der personenbezogenen Daten aufklären. Der Datenschutz Arztpraxis ist ernstzunehmen und in der Arztpraxis geht es vor allem um folgende Daten:
- Patientendaten (Gesundheitsdaten), die Sie für die Behandlung der Patienten – ob gesetzlich oder privat versichert – benötigen, zum Beispiel Vorname, Nachname, Adresse und Versicherungsnummer, sowie Befunde. Dazu gehören auch Daten, die aus äußerlichen Untersuchungen bzw. Analysen von körpereigenen Substanzen stammen und Informationen über Behinderungen, akute Krankheiten, Vorerkrankungen sowie Krankheitsrisiken.
- Personaldaten, die sie in der Eigenschaft als Arbeitgeber von ihren Angestellten benötigen, wie zum Beispiel Vorname, Nachname, Adresse oder Sozialversicherungsnummer.
Wann dürfen Patientendaten verarbeitet werden?
Die Verarbeitung personenbezogener Daten ist gemäß DSGVO nur zulässig, wenn hierfür eine geeignete Rechtsgrundlage vorliegt.
Die Verarbeitung von Gesundheitsdaten durch eine Arztpraxis kann in der Regel auf den Behandlungsvertrag, der mit dem Patienten geschlossen wird, gestützt werden. Deshalb darf der Arzt bzw. die Praxis die für die Begründung, Erfüllung und Abwicklung des Vertrags notwendigen Daten verarbeiten. Dazu gehören beispielsweise Name, Anschrift, Versicherungsnummer des Patienten, Arztbriefe, Laborberichte und die ärztliche Dokumentation von Anamnese und Behandlung. Für die Erbringung von Gesundheitsdienstleistungen ist somit keine Einwilligung des Patienten erforderlich, da mit dem Behandlungsvertrag eine hinreichende Rechtsgrundlage vorhanden ist.
Gesetzliche Bestimmungen können die Verarbeitung von Patientendaten notwendig machen, beispielsweise im Zusammenhang mit der Übermittlung von Informationen an Berufsgenossenschaften, Gesundheitsämter (gemäß Infektionsschutzgesetz), Krebsregister und die Ärztliche Stelle (für Röntgenprüfungen), sowie für Abrechnungszwecke gegenüber der Krankenversicherung.
Datenschutz: Einwilligung der Patienten erforderlich?
Für die umfangreiche Datenverarbeitung zum Zwecke der ärztlichen Behandlung muss grundsätzlich keine Einwilligung eingeholt werden. Demgegenüber benötigt der behandelnde Arzt jedoch eine Einwilligung für die Verarbeitung besonderer Daten von Patienten für zusätzliche Leistungen, die nicht unmittelbar mit dem Behandlungsvertrag in Verbindung stehen (Art. 9 Abs. 2 lit. a) DSGVO). Dazu gehören zum Beispiel:
- Schriftliche oder telefonische Terminerinnerung (Recall-Services)
- Weitergabe der Daten von privatversicherten Patienten an einen medizinischen Abrechnungsdienst
- Informationsweitergabe zwischen Haus- und Facharzt
- Auskünfte über die Behandlung an Ehepartner und Angehörige
Die Einwilligung muss nicht zwingend schriftlich eingeholt werden. Im Zweifel muss der Arzt allerdings nachweisen, dass die Einwilligung unter Einhaltung aller gesetzlichen Wirksamkeitsvoraussetzungen abgegeben wurde. Dazu eignet sich ein vom Patienten unterschriebenes Formular am besten.
Typische Fehler beim Datenschutz in der Arztpraxis
1. Übersendung von Erinnerungs-E-Mails an Patienten mit offenem Mail-Verteiler
Häufig erinnern Zahnarztpraxen den Patienten in regelmäßigen Abständen per E-Mail an den fälligen Kontrollbesuch. Für die Durchführung dieses sog. Recall-Service und die damit verbundene zusätzliche Datenverarbeitung holen sich Arztpraxen häufig keine Einwilligung ein. Dies ist falsch, da diese Art der Verarbeitung nicht vom Behandlungsvertrag gedeckt ist. Darüber hinaus werden vom Praxispersonal manchmal aus Unachtsamkeit oder Unwissenheit mit offenem Verteiler, d. h. mit E-Mail-Adressen anderer Patienten in der Empfängerzeile versendet. Dies mündet regelmäßig in einem Verstoß gegen Datenschutz und einem Verstoß gegen die ärztliche Schweigepflicht.
2. Mangelnde Diskretion am Eingangsbereich in der Arztpraxis
Der Datenschutz beginnt am Empfang der Arztpraxis. Hier schildert jeder Patient den Grund seines Besuchs und kommuniziert seine Versicherungsinformation. Oftmals verfügen Praxen über einen offenen Wartebereich oder keinen ausreichenden Diskretionsabstand, sodass andere Patienten häufig persönliche oder sogar sensible Gesundheitsdaten erfahren. Auch bei der Entgegennahme von Anrufen und der telefonischen Besprechung von Gesundheitsthemen sollte das Praxispersonal besonders auf Diskretion achten und sicherstellen, dass die Identität des Anrufers zweifelsfrei festgestellt wurde.
3. Online-Terminvereinbarung in der Arztpraxis
Schnell und einfach lässt sich über Terminvereinbarungsportale der nächste freie Termin beim Arzt buchen. Die klassische Arztpraxis vergisst bei diesem Punkt häufig, dass sie selbst die Sicherheit der Daten gewährleisten muss. So sollte bspw. die Übertragung der Daten sicher verschlüsselt sein, damit unbefugte Dritte keinen Zugriff erhalten, wenn ein Patient einen Termin vereinbart. Darüber hinaus darf es nicht sein, dass Arztpraxen die Behandlung verweigern, wenn Patienten aufgrund von Datenschutzbedenken der Übermittlung ihrer Daten an die Buchungsportale nicht zustimmen.
4. Weitergabe von Gesundheitsdaten an eine externe Abrechnungsstelle und/oder an einen Rechtsanwalt ohne Einwilligung des Patienten
Immer häufiger beschweren sich Patienten bei den Datenschutz-Aufsichtsbehörden, dass deren Behandlungsdaten ohne das Einholen einer entsprechenden Einwilligung an eine externe Abrechnungsstelle weitergeleitet wurden. Darüber hinaus kommt es auch deshalb zu Beschwerden, weil Ärzte die Behandlungsdaten ihrer nicht zahlungswilligen Patienten an ihre Anwälte weitergeben, um Zahlung einzutreiben.
5. Mail-Versand von Gesundheitsdaten an den Patienten
Beim Versand von Gesundheitsdaten an den Patienten oder an Dritte per Mail lauert die nächste Datenschutz-Stolperfalle. Der standardmäßige E-Mail-Versand erfüllt die gesetzlichen Anforderungen an die Vertraulichkeit der sensiblen Daten nicht. Daher kommt es in den Arztpraxen häufig zu Datenschutzverstößen. Der niedergelassene Arzt als Berufsgeheimnisträger muss sicherstellen, dass angemessene Sicherheitsmaßnahmen eingerichtet wurden. Bei der Übermittlung von Gesundheitsdaten per Mail ist es unerlässlich, sowohl eine Transport- als auch eine Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) einzurichten. Beispielsweise würde eine Verschlüsselung mittels PGP oder S/MIME den Anforderungen an die Inhaltsverschlüsselung gerecht werden. Die Transportverschlüsselung wird durch die entsprechende Konfiguration des E-Mail-Servers erreicht und ist mittlerweile gängige Praxis. Sollte ein E-Mail-Austausch ohne zeitaufwendige Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) erfolgen, muss der Patient zuvor in diese riskante Datenverarbeitung wirksam einwilligen.
Datenschutzbeauftragter Pflicht in der Arztpraxis – Ab wann ist ein DSB nötig?
Größere Praxen und MVZ benötigen zwingend einen betrieblichen Datenschutzbeauftragten. Die Pflicht zur Benennung eines Datenschutzbeauftragten in der Arztpraxis besteht, wenn mindestens 20 Personen regelmäßig Daten automatisiert – beispielsweise am Computer – verarbeiten. In einigen Fällen muss ein Datenschutzbeauftragter in einer Arztpraxis benannt werden (auch wenn weniger als 20 Mitarbeiter angestellt sind), etwa wenn eine Datenschutz-Folgenabschätzung notwendig wird. Aufgabe des externen Datenschutzbeauftragten für Arztpraxen ist es, die Einhaltung des Datenschutzes und der Datensicherheit in der Praxis zu kontrollieren und geeignete Maßnahmen festzulegen. Der Datenschutzbeauftragte informiert und berät das Praxisteam über ihre Datenschutz-Pflichten. Des Weiteren dient er den Datenschutz-Aufsichtsbehörden als Ansprechpartner.
Die Rolle des Datenschutzbeauftragten kann beispielsweise ein fachlich qualifizierter Mitarbeiter (sog. interner Datenschutzbeauftragter) übernehmen. Alternativ kann die Arztpraxis Datenschutz extern beauftragen. Hierfür kommen externe Datenschutzberater oder ein Fachanwalt für Datenschutz in Betracht. Der Praxisinhaber sollte diese Rolle aufgrund von Interessenkonflikten nicht ausüben. Der Name und die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und dem Landesdatenschutzbeauftragten mitgeteilt werden (Art. 37 Abs. 7 DSGVO).
Praxistipp: Die Vorgaben zum Datenschutz müssen von jeder Arztpraxis umgesetzt werden. Dies gilt unabhängig davon, wie groß die Arztpraxis ausgestaltet ist, bzw. wie viele Mitarbeiter in dieser angestellt sind. Selbst wenn die Benennung eines Datenschutzbeauftragten nicht erforderlich ist, müssen dennoch alle Vorgaben aus der DSGVO umgesetzt werden. Was genau zu den DSGVO-Pflichten in einer Arztpraxis gehört, erfahren Sie in den nachfolgenden Praxistipps.
Arztpraxis Datenschutz-Pflichten
Patienteninformation zum Datenschutz in der Arztpraxis
Praxen müssen die Patienten über die Verarbeitung ihrer Daten aufklären. Dies sollte so früh wie möglich zum Zeitpunkt der Datenerhebung erfolgen. Diese sog. Datenschutzinformation oder Datenschutzerklärung muss die in Art. 13 DSGVO aufgeführte Mindestinhalte enthalten. Dazu gehören insbesondere Angaben zum Zweck und der Rechtsgrundlage der Datenverarbeitung und die Empfänger der Daten. Auch die Kontaktdaten der Praxis und gegebenenfalls des Datenschutzbeauftragten sind zu nennen.
Praxistipp: Um alle Patienten zu erreichen, empfiehlt sich ein Aushang in der Praxis, z. B. im Empfangsbereich oder im Wartezimmer. Die Patienteninformation kann darüber hinaus auf der Praxis-Homepage veröffentlicht werden. Eine telefonische Aufklärung über die Datenverarbeitung, zum Beispiel bei der ersten Kontaktaufnahme am Telefon, ist wenig praktikabel.
Arztpraxis Website: Datenschutzerklärung
Zahlreiche Praxen verfügen über eine Internetseite oder eine Facebook-Page. Auch Terminerinnerungen per SMS oder Patienten-Newsletter gehören zunehmend zum Serviceangebot einiger Arztpraxen. Dabei werden personenbezogene Daten des Patienten beispielsweise in Form von Name, Telefonnummer, Adressdaten, Versicherungsnummer und IP-Adresse verarbeitet. Über diese Datenerhebung müssen Arztpraxen die betroffenen Personen informieren. Deshalb brauchen Sie für eine datenschutzkonforme Internetpräsenz immer eine sog. Datenschutzinformation – umgangssprachlich oft als Datenschutzerklärung bezeichnet.
Praxistipp: Prüfen Sie, ob auf Ihrer Internet- oder Facebook-Seite eine Datenschutzerklärung eingestellt ist und diese alle nötigen Angaben enthält. Zu jedem eingesetzten Dienst und jeder Social-Media-Präsenz sollte sich ein entsprechender Textbaustein in Ihrer Datenschutzerklärung finden. Des Weiteren ist innerhalb der Social-Media-Präsenzen, z. B. Facebook, Instagram, LinkedIn, Xing etc., auf die Einbindung bzw. Verlinkung der eigenen Datenschutzerklärung und Impressum zu achten. Außerdem können Sie die Datenschutzerklärung für Patienten auf Ihrer Praxis-Internetseite veröffentlichen.
Cookie-Banner auf der Praxis-Website
Auf einigen Praxis-Websites werden Analysetools für statistische Zwecke oder zum Werbe-Tracking eingesetzt. Auch wenn diese Daten nicht ausgewertet werden, besteht für den Praxisinhaber datenschutzrechtlicher Handlungsbedarf.
Praxistipp: Prüfen Sie, ob auf Ihrer Website Analyse- oder Marketingtools genutzt werden (von denen Sie bisher nichts nutzen). Sofern diese Daten nicht benötigt und deshalb nicht ausgewertet werden, ist eine Deaktivierung dieser technisch nicht notwendigen Dienste aus Gründen der Datenminimierung empfohlen. Sofern Analyse- oder Marketingtools weiterhin genutzt werden sollen, ist die Implementierung eines Cookie-Banners auf der Webseite verpflichtend. Dieser Banner muss beim erstmaligen Besuch der Website angezeigt werden und insbesondere folgende Anforderungen erfüllen:
- Der Banner darf den Zugriff auf die Datenschutzinformation und das Impressum nicht verdecken oder beeinträchtigen.
- Ohne aktive und wirksame Einwilligung des Nutzers, dürfen nur technisch notwendige Cookies gesetzt werden, die für die Funktionsfähigkeit der Website erforderlich sind.
- Eine Einwilligungserklärung muss den Anforderungen des Art. 7 DSGVO erfüllen (Opt-In).
- Die Widerrufsmöglichkeit der Einwilligung muss so einfach sein wie die Erteilung.
- Separate Auflistung und Auswahlmöglichkeit der Dienste, die verwendet werden.
Datensicherheit in der Arztpraxis: Technische und organisatorische Maßnahmen
Praxen sind für den Schutz personenbezogener Daten verantwortlich. Hierzu müssen sie angemessene technische und organisatorische Maßnahmen etablieren und diese dokumentieren. Die DSGVO macht keine konkreten Vorgaben, welche einzelnen Maßnahmen zur Datensicherheit dokumentiert werden sollen. Diese können je nach räumlicher und technischer Praxisausstattung unterschiedlich ausfallen. Eine Übersicht mit Praxismaßnahmen zur Datensicherheit in medizinischen Einrichtungen finden Sie auf der Seite des Selbst-Checks des Bayerisches Landesamt für Datenschutzaufsicht (BayLDA).
Praxistipp: Praxen sollten alle getroffenen Vorkehrungen zum Schutz personenbezogener Daten dokumentieren, um dies der Aufsichtsbehörde im Zweifelsfall darlegen zu können.
Insbesondere die folgenden Aspekte sind relevant, um einen Missbrauch personenbezogener Daten zu vermeiden:
- Patientendaten werden keinesfalls unverschlüsselt über das Internet übermittelt, zum Beispiel per E-Mail.
- Zugriffsberechtigungen sind klar definiert, um festzulegen, welche Personen in der Praxis auf Dateien und Ordner zugreifen können.
- Diskretion in den Praxisräumlichkeiten wird gewährleistet, beispielsweise durch die separate Anordnung der Patienten-Anmeldung vom Wartebereich. Alternativ können Schilder Patienten darauf hinweisen, am Tresen Abstand zu halten, wenn mehrere betroffene Personen warten.
- Patientenakten werden sicher aufbewahrt: Computer sind passwortgeschützt, die automatische Bildschirmsperre ist aktiviert, und Patientenunterlagen werden so positioniert, dass sie für andere nicht einsehbar sind. Bei Abwesenheit des Arztes oder Psychotherapeuten werden die Akten stets verschlossen aufbewahrt.
- Vertrauliche Arzt-Patienten-Gespräche finden ausschließlich in geschlossenen Räumen statt.
- Bei virtuellen Videosprechstunden zwischen Arzt und Patient muss der eingesetzte Videodienstanbieter vertraglich zusichern, dass das Gespräch während der gesamten Übertragung Ende-zu-Ende verschlüsselt ist.
- Es ist definiert, wann und durch wen personenbezogene Daten gelöscht werden, im Regelfall, sobald die Aufbewahrungsfrist abläuft.
- Patientenakten werden datenschutzkonform vernichtet.
- Es ist klar definiert, was bei Datenpannen und Datenschutzverstößen zu tun ist und wer die Meldung übernimmt.
Verzeichnis über die Datenverarbeitungen in der Arztpraxis
Praxen sind zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Darin werden datenschutzrelevante Geschäftsabläufe beziehungsweise Vorgänge erfasst, bei denen in der Praxis personenbezogene Daten von Patienten, Mitarbeitern, Dienstleistern, Websitebesuchern etc. verarbeitet werden.
Die Aufstellung und Beschreibung der datenschutzrelevanten Geschäftsprozesse sind auf Verlangen der Aufsichtsbehörde bereitzustellen. Liegt kein Verarbeitungsverzeichnis vor, drohen Geldstrafen.
Praxistipps:
Schritt 1: Für das Erstellen des Verzeichnisses sollten Sie zunächst überlegen, wo überall in der Praxis personenbezogene Daten verarbeitet werden. Dabei ist es sinnvoll, Tätigkeiten mit dem gleichen Zweck zusammenzufassen. Einige Beispiele für Verarbeitungstätigkeiten finden Sie in dem Arztpraxis Verzeichnis Muster des Bayerischen Landesamtes für Datenschutzaufsicht. Einige andere Tätigkeiten, die in den meisten Praxen anfallen dürften, sind z. B.:
- Terminplanung
- Nutzerverwaltung in der Praxisverwaltungssoftware
- ärztliche/psychotherapeutische Dokumentation in der Patientenakte
- Rechnungsstellung
- Abrechnung mit den Krankenkassen
- Lohnabrechnung
- Buchhaltung
Schritt 2: Im nächsten Schritt fügen Sie zu jeder Tätigkeit die in der DSGVO geforderten Angaben hinzu. Das sind:
- Zwecke der Verarbeitung (z. B. Erfüllung des Behandlungsvertrages, ärztliche Dokumentation)
- betroffene natürliche Personen (z. B. Patienten, Beschäftigte, Dienstleister)
- Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Personaldaten)
- Kategorien von Empfängern gegenüber denen die Daten offengelegt werden (z. B. Krankenkassen, Abrechnungsstelle, Kassenärztliche Vereinigungen)
- Besondere Sicherheitsmaßnahmen bezogen auf die einzelne Verarbeitungstätigkeit
- Geplante Löschung der Daten (z. B. zehn Jahre)
- Kontaktdaten Ihrer Praxis
- Kontaktdaten Ihres Datenschutzbeauftragten
Auftragsverarbeitung in der Arztpraxis: Zusammenarbeit mit Dienstleistern
Die Praxissoftware wird gewartet, ein Abrechnungsservice hilft bei der Rechnungsstellung, Akten- und Datenträger müssen nach Ablauf der Aufbewahrungsfrist vernichtet werden. Immer dann, wenn ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, ist der Abschluss eines Auftragsverarbeitungsvertrages erforderlich. Arztpraxen müssen sich davon überzeugen, dass der Dienstleister die Datenschutzbestimmungen einhält und entsprechende technische und organisatorische Maßnahmen umgesetzt hat.
Praxistipps:
Schritt 1: Schauen Sie zunächst, ob Sie für jeden Ihrer Dienstleistungsverträge (z. B. zur Wartung der Praxis-EDV) jeweils einen Auftragsverarbeitungsvertrag abgeschlossen haben.
Schritt 2: Ist das nicht der Fall, sprechen Sie Ihren Dienstleister auf einen Auftragsverarbeitungsvertrag an. In der Regel wird er Ihnen einen Entwurf zusenden. Bitte prüfen Sie jeden AV-Vertragsentwurf, ob dieser den Anforderungen aus Art. 28 DSGVO standhält.
Schritt 3: Treten Sie regelmäßig mit den beauftragten Dienstleistern in Kontakt und vergewissern Sie sich darüber, dass diese auch weiterhin einen angemessenen Datenschutz gewährleisten.
Auf Betroffenenanfragen von Patienten vorbereiten
Praxen sollten sich und ihre Mitarbeiter auf etwaige Anfragen zum Datenschutz vorbereiten. Jede betroffene Person (z. B. Patient, ehemalige Mitarbeiter oder ehemalige Mitarbeiter, Dienstleister) kann Auskunft darüber verlangen, ob personenbezogene Daten über ihn verarbeitet werden. Falls dies der Fall ist, hat der Betroffene das Recht zu erfahren, welche konkreten Daten verarbeitet werden. Die Praxis muss dem Betroffenen innerhalb der Frist von einem Monat unter Berücksichtigung der in Art. 15 DSGVO aufgezählten Informationen antworten. In das Antwortschreiben zur Auskunftsanfrage gehören unter anderem folgende Informationen: Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, Empfänger und Empfängerkategorien, Speicherdauer, Rechtebelehrung, Beschwerderecht, die Herkunft, Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling. Darüber hinaus gewährt Art. 15 Abs. 3 DSGVO dem Patienten ein Recht auf Aushändigung einer Kopie seiner verarbeiteten personenbezogenen Daten.
Recht auf Löschung:
Neben dem Auskunftsrecht können Patienten auch die Löschung der bei ihrem Arzt gespeicherten personenbezogenen Daten verlangen. Die Praxis muss dem Betroffenen auch bei Löschanfragen innerhalb der Frist von einem Monat antworten. Allerdings müssen Praxen beachten, dass im Rahmen der ärztlichen Tätigkeit einige gesetzliche Aufbewahrungspflichten die Durchsetzung des Löschungsanspruchs hemmen. Solche Pflichten sind beispielsweise bezüglich der ärztlichen Dokumentation in der Berufsordnung (§ 10 Abs. 3 Muster-Berufsordnung) und im Patientenrechtegesetz (§ 630f Abs. 3 BGB) verankert. Gemäß diesen Vorschriften ist der Arzt dazu verpflichtet, die korrekte Dokumentation für einen Zeitraum von zehn Jahren nach Abschluss der Behandlung aufzubewahren. In besonderen Fällen können sich auch längere Aufbewahrungsfristen ergeben (etwa bei Röntgenaufnahmen: 30 Jahre).
Praxistipp: Ob Auskunftsersuchen oder Löschanfrage, die Umsetzung in der Praxis hat ihre Stolperfallen. Es ist daher sinnvoll, Prozesse oder Verfahrensabläufe in der Arztpraxis zu beschreiben, um vollständig und innerhalb der gesetzlichen Frist auf Anfragen zu antworten. Insbesondere gut informierte Mitarbeiter und klare Verantwortlichkeiten können helfen, der Geltendmachung von Betroffenenrechten durch Patienten adäquat zu entsprechen sowie Bußgelder und andere Sanktionen zu vermeiden.
Datenschutz-Folgenabschätzung durchführen
In einigen Praxen kann die Durchführung einer Datenschutz-Folgenabschätzung notwendig sein, insbesondere wenn die Datenverarbeitung aufgrund ihres Umfangs und Zwecks ein erhebliches Datenschutzrisiko birgt. Beispiele hierfür sind eine systematische Videoüberwachung der Praxisräume oder die Implementierung telemedizinischer Dienste wie etwa das Angebot von Videosprechstunden. Sollten Zweifel hinsichtlich der Erforderlichkeit einer Datenschutz-Folgenabschätzung bestehen, kann diese Frage an die Datenschutz-Aufsichtsbehörde gerichtet werden.
Praxistipp: Ist eine Datenschutz-Folgenabschätzung erforderlich, muss ein Datenschutzbeauftragter benannt werden, auch wenn in der Praxis weniger als zwanzig Mitarbeiter tätig sind (§ 38 Absatz 1 Satz 2 BDSG).
Auf einen möglichen Datenschutzverstoß in der Arztpraxis vorbereiten
Auch im Praxisalltag kann es schnell passieren: Versehentlich wird eine Rechnung an einen falschen Patienten versendet und dieser erhält Einblicke in die Diagnose und Behandlungen eines anderen Patienten. Weitere Beispiele für Datenpannen in der Arztpraxis sind vergessene oder gestohlene Dienstgeräte (Laptops, Handys), versehentlicher Mail-Versand mit offenem Verteilerkreis, Fehler in der Praxissoftware mit unberechtigten Zugriffen und Diebstahl von Login-Daten infolge einer Phishing-Attacke. Da auch Arztpraxen dazu verpflichtet sind, eine Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden, müssen sie ihre Mitarbeiter zu diesem Thema sensibilisieren und einen Vorfallreaktionsplan etablieren.
Datenschutz im Gesundheitswesen: Was passiert bei der Nichteinhaltung der DSGVO?
Der Datenschutz in der Arztpraxis sollte nicht auf die leichte Schulter genommen werden. Bei Datenschutzverletzungen (Datenpannen) können die Konsequenzen für betroffene Personen sehr weitreichend sein. Jede Datenpanne muss daher sehr ernst genommen und regelmäßig innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden.
FAQs zu Datenschutz Arztpraxis
Jede Arztpraxis, in der mindestens 20 Personen mit der Verarbeitung personenbezogener Daten befasst sind, muss einen betrieblichen Datenschutzbeauftragten benennen. Die Inhaber der Arztpraxis, Auszubildende, Leiharbeitnehmer und Praktikanten sind dabei zu berücksichtigen.
Gemeinschaftspraxen bestehen aus rechtlich selbständigen Praxen. Jede Praxis innerhalb der Gemeinschaft muss für sich prüfen, ob sie einen Datenschutzbeauftragten benennen muss. Die einzelne Mitgliedspraxis muss einen Datenschutzbeauftragten benennen, wenn sie mindestens 20 Mitarbeiter beschäftigt.
Immer wenn ein Datenschutzbeauftragter benannt werden muss, muss dieser auch der Aufsichtsbehörde gemeldet werden (Art. 37 Abs. 7 DSGVO). Außerdem müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden.
Unter der Rechenschaftspflicht (gemäß Art. 5 Abs. 2 DSGVO) versteht man die Nachweispflicht des Verantwortlichen (der Arztpraxis), dass die Grundsätze zur Verarbeitung personenbezogener Daten eingehalten werden. Dazu gehören:
· Verzeichnis von Verarbeitungstätigkeiten, das die Praxis auf Verlangen der Aufsichtsbehörde vorlegen kann.
· Dokumentation der ergriffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten.
· Datenschutzinformation für Patienten auslegen.
· Abschluss von Auftragsverarbeitungsverträgen mit Dienstleistern wie, z. B. mit Softwareanbieter, Abrechnungsstellen, IT-Dienstleistern.
Eine sog. Datenschutzverletzung – umgangssprachlich auch Datenpanne oder Datenleck bezeichnet – ist eine Verletzung der Sicherheit, die zu einer unbefugten Vernichtung, Verarbeitung oder Offenlegung von personenbezogenen Daten führt. Der Praxisinhaber hat jede Datenschutzverletzung (z. B. Diebstahl von Endgeräten, Fehlversendung, Cyberangriffe, Ransomware-Attacken) bei der Aufsichtsbehörde zu melden, sofern diese ein Risiko für die Rechte und Freiheiten des Patienten darstellen.
Wenn personenbezogene Daten nicht aufgrund einer gesetzlichen Anordnung oder zur Erfüllung des konkreten Behandlungsvertrages weitergegeben werden dürfen, ist eine Schweigepflichtentbindung/Einwilligung beim Patienten einzuholen. Dazu zählt z. B. die Datenübermittlung an Angehörige von Patienten oder an Abrechnungsstellen für Abrechnung von Privatversicherten.
Hierfür muss eine Einwilligung des Patienten vorliegen, da dieser Zweck der Datenverarbeitung nicht vom Behandlungsvertrag gedeckt ist.
Jede Praxis muss ihre Patienten mithilfe einer Datenschutzinformation – umgangssprachlich auch Datenschutzerklärung oder Patienteninformation zum Datenschutz genannt – über die Datenverarbeitung informieren. Diese Datenschutzinformation muss nicht unterzeichnet werden. Es reicht eine bloße Möglichkeit zur Kenntnisnahme, z. B. durch Aushang am Empfangsbereich oder im Wartezimmer.
Die Kommunikation zwischen dem behandelnden Arzt und Patient ist aufgrund sensibler Daten besonders vertraulich. Der Austausch von Gesundheitsdaten sollte niemals über unverschlüsselte E-Mails erfolgen. Auch am Telefon muss der Gesprächspartner eindeutig als der Patient identifiziert werden und Diskretion innerhalb der Praxis gewahrt bleiben. Die Kommunikation hinsichtlich Terminvereinbarung ist hingegen unkritisch und daher ohne Risiko möglich.
Von einem Einsatz von WhatsApp in Arztpraxen wird abgeraten, da die Adressdaten aus dem telefoneigenen Kontaktbuch ausgelesen und ohne Einwilligung der Betroffenen an die Server von WhatsApp übertragen werden.
Ja, alle Mitarbeiter in der Arztpraxis müssen regelmäßig (bestenfalls jährlich) im Datenschutz geschult werden.
Ja, Praxisinhaber sollten alle Mitarbeiter auf einen vertraulichen Umgang mit personenbezogenen Daten und auf die Einhaltung des ärztlichen Berufsgeheimnisses verpflichten. Dies kann mithilfe einer schriftlichen Vertraulichkeitsverpflichtung und durch die Publizierung von Richtlinien oder Arbeitsanweisungen zum Datenschutz erfolgen.