Der Datenschutz in der Arztpraxis ist weit mehr als eine gesetzliche Pflicht – er ist die Grundlage für das Vertrauen zwischen Arzt und Patient. Kaum ein Bereich arbeitet mit so sensiblen Informationen wie das Gesundheitswesen, weshalb die Anforderungen der DSGVO hier besonders streng sind. Jede Arztpraxis muss gewährleisten, dass Patientendaten wie Befunde, Diagnosen oder Kontaktdaten sicher verarbeitet, gespeichert und weitergegeben werden. Fehler im Umgang mit Gesundheitsdaten können nicht nur zu hohen Bußgeldern führen, sondern auch das Vertrauen der Patienten nachhaltig schädigen. In diesem Artikel erfahren Sie, welche gesetzlichen Grundlagen für den Datenschutz in Arztpraxen gelten, welche typischen Fehler es zu vermeiden gilt und wie Sie Ihre Praxis datenschutzkonform organisieren. Von AV-Verträgen mit Dienstleistern über die sichere IT-Infrastruktur bis hin zum richtigen Umgang mit Patientendaten – hier finden Sie alle wichtigen Informationen und Praxistipps.
Inhaltsverzeichnis
- Datenschutz in der Arztpraxis: Gesetzliche Grundlagen
- Arztpraxis Datenschutz: Welche Daten müssen geschützt werden?
- Datenschutz-Grundverordnung (DSGVO) in der Arztpraxis
- Wann dürfen Patientendaten in der Arztpraxis verarbeitet werden?
- Arztpraxis Datenschutz: Einwilligung der Patienten erforderlich?
- Typische Fehler beim Datenschutz in der Arztpraxis
- 1. Übersendung von Erinnerungs-E-Mails an Patienten mit offenem Mail-Verteiler
- 2. Mangelnde Diskretion am Eingangsbereich in der Arztpraxis
- 3. Online-Terminvereinbarung in der Arztpraxis
- 4. Weitergabe von Gesundheitsdaten an eine externe Abrechnungsstelle und/oder an einen Rechtsanwalt ohne Einwilligung des Patienten
- 5. Mail-Versand von Gesundheitsdaten an den Patienten
- Datenschutzbeauftragter Pflicht in der Arztpraxis – Ab wann ist ein DSB nötig?
- Arztpraxis Datenschutz-Praxistipps
- 1. Patienteninformation zum Datenschutz in der Arztpraxis bereitstellen
- 2. Arztpraxis Website: Datenschutzerklärung
- 3. Cookie-Banner auf der Praxis-Website einbinden
- 4. Datenschutz und IT-Sicherheit in der Arztpraxis: Technische und organisatorische Maßnahmen umsetzen
- 5. Verzeichnis über die Datenverarbeitungen in der Arztpraxis
- 6. Auftragsverarbeitung in der Arztpraxis: Zusammenarbeit mit Dienstleistern
- 7. Auf Betroffenenanfragen von Patienten vorbereiten
- 8. Datenschutz-Folgenabschätzung durchführen
- 9. Auf einen möglichen Datenschutzverstoß in der Arztpraxis vorbereiten
- 10. Auftragsverarbeitung in der Arztpraxis: AV-Verträge für den Datenschutz abschließen
- 11. Online-Terminvereinbarung in der Arztpraxis datenschutzkonform nutzen
- 12. Datenschutz Arztpraxis: Keine Gesundheitsdaten unverschlüsselt per E-Mail versenden
- FAQs zu Datenschutz Arztpraxis
Datenschutz in der Arztpraxis: Gesetzliche Grundlagen
Patienten müssen sich darauf verlassen können, dass die dem Arzt anvertrauten hochsensiblen Daten vertraulich bleiben. Der Datenschutz für die Arztpraxis spielt deshalb eine zentrale Rolle. Einerseits ist der Arzt gemäß seiner Berufsordnung zur Verschwiegenheit verpflichtet. Andererseits sind im Umgang mit personenbezogenen Daten für diesen Berufsstand folgende weitere Gesetze zu beachten:
• Datenschutz-Grundverordnung (DSGVO)
• Bundesdatenschutzgesetz (BDSG)
• Muster-)Berufsordnung für die in Deutschland tätigen Ärztinnen und Ärzte
• Strafgesetzbuch (StGB): § 203, Verletzung von Privatgeheimnissen
Arztpraxis Datenschutz: Welche Daten müssen geschützt werden?
Ärzte erhalten von Berufs wegen zwangsläufig sehr viele personenbezogene Daten und verarbeiten diese in automatisierter Form. Darunter fallen insbesondere die im Behandlungsverhältnis verarbeiteten personenbezogenen Daten wie:
- Name
- Geburtsdatum
- Geschlecht
- Anschrift
- Versicherungsstatus
- Befunde
- Diagnosen
- Therapiemaßnahmen
- Medikamentierungen
- Behandlungspläne
- Arztbriefe
- u.v.m.
Wenn solche oder ähnliche personenbezogene Daten im Rahmen der ärztlichen Tätigkeit bekannt werden, ist für jede Praxis ein umfassendes Datenschutzkonzept unerlässlich. Dieses umfasst neben einer detaillierten Planung auch konkrete technische und organisatorische Maßnahmen sowie regelmäßige Kontrollen. Eventuell unterliegt der Arztpraxis sogar einer Pflicht zur Bestellung eines Datenschutzbeauftragten. Andernfalls entstehen erhebliche Datenschutzrisiken. Nachstehend erhalten Sie einen Überblick über typische Fehler beim Datenschutz in der Arztpraxis.
Datenschutz-Grundverordnung (DSGVO) in der Arztpraxis
Arztpraxen müssen nachweisen können, dass sie die datenschutzrechtlichen Grundsätze aus der Datenschutz-Grundverordnung (DS-GVO) einhalten. Zum einen müssen Praxen auf Anfrage einige Datenschutz-Dokumente vorhalten. Des Weiteren müssen Sie Ihre Patienten über die Verarbeitung der personenbezogenen Daten aufklären. Der Datenschutz Arztpraxis ist ernstzunehmen und in der Arztpraxis geht es vor allem um folgende Daten:
- Patientendaten (Gesundheitsdaten), die Sie für die Behandlung der Patienten – ob gesetzlich oder privat versichert – benötigen, zum Beispiel Vorname, Nachname, Adresse und Versicherungsnummer, sowie Befunde. Dazu gehören auch Daten, die aus äußerlichen Untersuchungen bzw. Analysen von körpereigenen Substanzen stammen und Informationen über Behinderungen, akute Krankheiten, Vorerkrankungen sowie Krankheitsrisiken.
- Personaldaten, die sie in der Eigenschaft als Arbeitgeber von ihren Angestellten benötigen, wie zum Beispiel Vorname, Nachname, Adresse oder Sozialversicherungsnummer.
Wann dürfen Patientendaten in der Arztpraxis verarbeitet werden?
Die Verarbeitung personenbezogener Daten ist gemäß DSGVO nur zulässig, wenn hierfür eine geeignete Rechtsgrundlage vorliegt.
Die Verarbeitung von Gesundheitsdaten durch eine Arztpraxis kann in der Regel auf den Behandlungsvertrag, der mit dem Patienten geschlossen wird, gestützt werden. Deshalb darf der Arzt bzw. die Praxis die für die Begründung, Erfüllung und Abwicklung des Vertrags notwendigen Daten verarbeiten. Dazu gehören beispielsweise Name, Anschrift, Versicherungsnummer des Patienten, Arztbriefe, Laborberichte und die ärztliche Dokumentation von Anamnese und Behandlung. Für die Erbringung von Gesundheitsdienstleistungen ist somit keine Einwilligung des Patienten erforderlich, da mit dem Behandlungsvertrag eine hinreichende Rechtsgrundlage vorhanden ist.
Gesetzliche Bestimmungen können die Verarbeitung von Patientendaten notwendig machen, beispielsweise im Zusammenhang mit der Übermittlung von Informationen an Berufsgenossenschaften, Gesundheitsämter (gemäß Infektionsschutzgesetz), Krebsregister und die Ärztliche Stelle (für Röntgenprüfungen), sowie für Abrechnungszwecke gegenüber der Krankenversicherung.
Arztpraxis Datenschutz: Einwilligung der Patienten erforderlich?
Für die umfangreiche Datenverarbeitung zum Zwecke der ärztlichen Behandlung muss grundsätzlich keine Einwilligung eingeholt werden. Demgegenüber benötigt der behandelnde Arzt jedoch eine Einwilligung für die Verarbeitung besonderer Daten von Patienten für zusätzliche Leistungen, die nicht unmittelbar mit dem Behandlungsvertrag in Verbindung stehen (Art. 9 Abs. 2 lit. a) DSGVO). Dazu gehören zum Beispiel:
- Schriftliche oder telefonische Terminerinnerung (Recall-Services)
- Weitergabe der Daten von privatversicherten Patienten an einen medizinischen Abrechnungsdienst
- Informationsweitergabe zwischen Haus- und Facharzt
- Auskünfte über die Behandlung an Ehepartner und Angehörige
Die Einwilligung muss nicht zwingend schriftlich eingeholt werden. Im Zweifel muss der Arzt allerdings nachweisen, dass die Einwilligung unter Einhaltung aller gesetzlichen Wirksamkeitsvoraussetzungen abgegeben wurde. Dazu eignet sich ein vom Patienten unterschriebenes Formular am besten.
Typische Fehler beim Datenschutz in der Arztpraxis
1. Übersendung von Erinnerungs-E-Mails an Patienten mit offenem Mail-Verteiler
Häufig erinnern Zahnarztpraxen den Patienten in regelmäßigen Abständen per E-Mail an den fälligen Kontrollbesuch. Für die Durchführung dieses sog. Recall-Service und die damit verbundene zusätzliche Datenverarbeitung holen sich Arztpraxen häufig keine Einwilligung ein. Dies ist falsch, da diese Art der Verarbeitung nicht vom Behandlungsvertrag gedeckt ist. Darüber hinaus werden vom Praxispersonal manchmal aus Unachtsamkeit oder Unwissenheit mit offenem Verteiler, d. h. mit E-Mail-Adressen anderer Patienten in der Empfängerzeile versendet. Dies mündet regelmäßig in einem Verstoß gegen Datenschutz und einem Verstoß gegen die ärztliche Schweigepflicht.
2. Mangelnde Diskretion am Eingangsbereich in der Arztpraxis
Der Datenschutz beginnt am Empfang der Arztpraxis. Hier schildert jeder Patient den Grund seines Besuchs und kommuniziert seine Versicherungsinformation. Oftmals verfügen Praxen über einen offenen Wartebereich oder keinen ausreichenden Diskretionsabstand, sodass andere Patienten häufig persönliche oder sogar sensible Gesundheitsdaten erfahren. Auch bei der Entgegennahme von Anrufen und der telefonischen Besprechung von Gesundheitsthemen sollte das Praxispersonal besonders auf Diskretion achten und sicherstellen, dass die Identität des Anrufers zweifelsfrei festgestellt wurde.
3. Online-Terminvereinbarung in der Arztpraxis
Schnell und einfach lässt sich über Terminvereinbarungsportale der nächste freie Termin beim Arzt buchen. Die klassische Arztpraxis vergisst bei diesem Punkt häufig, dass sie selbst die Sicherheit der Daten gewährleisten muss. So sollte bspw. die Übertragung der Daten sicher verschlüsselt sein, damit unbefugte Dritte keinen Zugriff erhalten, wenn ein Patient einen Termin vereinbart. Darüber hinaus darf es nicht sein, dass Arztpraxen die Behandlung verweigern, wenn Patienten aufgrund von Datenschutzbedenken der Übermittlung ihrer Daten an die Buchungsportale nicht zustimmen.
4. Weitergabe von Gesundheitsdaten an eine externe Abrechnungsstelle und/oder an einen Rechtsanwalt ohne Einwilligung des Patienten
Immer häufiger beschweren sich Patienten bei den Datenschutz-Aufsichtsbehörden, dass deren Behandlungsdaten ohne das Einholen einer entsprechenden Einwilligung an eine externe Abrechnungsstelle weitergeleitet wurden. Darüber hinaus kommt es auch deshalb zu Beschwerden, weil Ärzte die Behandlungsdaten ihrer nicht zahlungswilligen Patienten an ihre Anwälte weitergeben, um Zahlung einzutreiben.
5. Mail-Versand von Gesundheitsdaten an den Patienten
Beim Versand von Gesundheitsdaten an den Patienten oder an Dritte per Mail lauert die nächste Datenschutz-Stolperfalle. Der standardmäßige E-Mail-Versand erfüllt die gesetzlichen Anforderungen an die Vertraulichkeit der sensiblen Daten nicht. Daher kommt es in den Arztpraxen häufig zu Datenschutzverstößen. Der niedergelassene Arzt als Berufsgeheimnisträger muss sicherstellen, dass angemessene Sicherheitsmaßnahmen eingerichtet wurden. Bei der Übermittlung von Gesundheitsdaten per Mail ist es unerlässlich, sowohl eine Transport- als auch eine Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) einzurichten. Beispielsweise würde eine Verschlüsselung mittels PGP oder S/MIME den Anforderungen an die Inhaltsverschlüsselung gerecht werden. Die Transportverschlüsselung wird durch die entsprechende Konfiguration des E-Mail-Servers erreicht und ist mittlerweile gängige Praxis. Sollte ein E-Mail-Austausch ohne zeitaufwendige Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) erfolgen, muss der Patient zuvor in diese riskante Datenverarbeitung wirksam einwilligen.
Datenschutzbeauftragter Pflicht in der Arztpraxis – Ab wann ist ein DSB nötig?
Größere Praxen und MVZ benötigen zwingend einen betrieblichen Datenschutzbeauftragten. Die Pflicht zur Benennung eines Datenschutzbeauftragten in der Arztpraxis besteht, wenn mindestens 20 Personen regelmäßig Daten automatisiert – beispielsweise am Computer – verarbeiten. In einigen Fällen muss ein Datenschutzbeauftragter in einer Arztpraxis benannt werden (auch wenn weniger als 20 Mitarbeiter angestellt sind), etwa wenn eine Datenschutz-Folgenabschätzung notwendig wird. Aufgabe des externen Datenschutzbeauftragten für Arztpraxen ist es, die Einhaltung des Datenschutzes und der Datensicherheit in der Praxis zu kontrollieren und geeignete Maßnahmen festzulegen. Der Datenschutzbeauftragte informiert und berät das Praxisteam über ihre Datenschutz-Pflichten. Des Weiteren dient er den Datenschutz-Aufsichtsbehörden als Ansprechpartner.
Die Rolle des Datenschutzbeauftragten kann beispielsweise ein fachlich qualifizierter Mitarbeiter (sog. interner Datenschutzbeauftragter) übernehmen. Alternativ kann die Arztpraxis Datenschutz extern beauftragen. Hierfür kommen externe Datenschutzberater oder ein Fachanwalt für Datenschutz in Betracht. Der Praxisinhaber sollte diese Rolle aufgrund von Interessenkonflikten nicht ausüben. Der Name und die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und dem Landesdatenschutzbeauftragten mitgeteilt werden (Art. 37 Abs. 7 DSGVO).
Praxistipp: Die Vorgaben zum Datenschutz müssen von jeder Arztpraxis umgesetzt werden. Dies gilt unabhängig davon, wie groß die Arztpraxis ausgestaltet ist, bzw. wie viele Mitarbeiter in dieser angestellt sind. Selbst wenn die Benennung eines Datenschutzbeauftragten nicht erforderlich ist, müssen dennoch alle Vorgaben aus der DSGVO umgesetzt werden. Was genau zu den DSGVO-Pflichten in einer Arztpraxis gehört, erfahren Sie in den nachfolgenden Praxistipps.
Arztpraxis Datenschutz-Praxistipps
1. Patienteninformation zum Datenschutz in der Arztpraxis bereitstellen
Praxen müssen die Patienten über die Verarbeitung ihrer Daten aufklären. Dies sollte so früh wie möglich zum Zeitpunkt der Datenerhebung erfolgen. Diese sog. Datenschutzinformation oder Datenschutzerklärung muss die in Art. 13 DSGVO aufgeführte Mindestinhalte enthalten. Dazu gehören insbesondere Angaben zum Zweck und der Rechtsgrundlage der Datenverarbeitung und die Empfänger der Daten. Auch die Kontaktdaten der Praxis und gegebenenfalls des Datenschutzbeauftragten sind zu nennen.
Praxistipp: Um alle Patienten zu erreichen, empfiehlt sich ein Aushang in der Praxis, z. B. im Empfangsbereich oder im Wartezimmer. Die Patienteninformation kann darüber hinaus auf der Praxis-Homepage veröffentlicht werden. Eine telefonische Aufklärung über die Datenverarbeitung, zum Beispiel bei der ersten Kontaktaufnahme am Telefon, ist wenig praktikabel.
2. Arztpraxis Website: Datenschutzerklärung
Zahlreiche Praxen verfügen über eine Internetseite oder eine Facebook-Page. Auch Terminerinnerungen per SMS oder Patienten-Newsletter gehören zunehmend zum Serviceangebot einiger Arztpraxen. Dabei werden personenbezogene Daten des Patienten beispielsweise in Form von Name, Telefonnummer, Adressdaten, Versicherungsnummer und IP-Adresse verarbeitet. Über diese Datenerhebung müssen Arztpraxen die betroffenen Personen informieren. Deshalb brauchen Sie für eine datenschutzkonforme Internetpräsenz immer eine sog. Datenschutzinformation – umgangssprachlich oft als Datenschutzerklärung bezeichnet.
Praxistipp: Prüfen Sie, ob auf Ihrer Internet- oder Facebook-Seite eine Datenschutzerklärung eingestellt ist und diese alle nötigen Angaben enthält. Zu jedem eingesetzten Dienst und jeder Social-Media-Präsenz sollte sich ein entsprechender Textbaustein in Ihrer Datenschutzerklärung finden. Des Weiteren ist innerhalb der Social-Media-Präsenzen, z. B. Facebook, Instagram, LinkedIn, Xing etc., auf die Einbindung bzw. Verlinkung der eigenen Datenschutzerklärung und Impressum zu achten. Außerdem können Sie die Datenschutzerklärung für Patienten auf Ihrer Praxis-Internetseite veröffentlichen.
3. Cookie-Banner auf der Praxis-Website einbinden
Auf einigen Praxis-Websites werden Analysetools für statistische Zwecke oder zum Werbe-Tracking eingesetzt. Auch wenn diese Daten nicht ausgewertet werden, besteht für den Praxisinhaber datenschutzrechtlicher Handlungsbedarf.
Praxistipp: Prüfen Sie, ob auf Ihrer Website Analyse- oder Marketingtools genutzt werden (von denen Sie bisher nichts nutzen). Sofern diese Daten nicht benötigt und deshalb nicht ausgewertet werden, ist eine Deaktivierung dieser technisch nicht notwendigen Dienste aus Gründen der Datenminimierung empfohlen. Sofern Analyse- oder Marketingtools weiterhin genutzt werden sollen, ist die Implementierung eines Cookie-Banners auf der Webseite verpflichtend. Dieser Banner muss beim erstmaligen Besuch der Website angezeigt werden und insbesondere folgende Anforderungen erfüllen:
- Der Banner darf den Zugriff auf die Datenschutzinformation und das Impressum nicht verdecken oder beeinträchtigen.
- Ohne aktive und wirksame Einwilligung des Nutzers, dürfen nur technisch notwendige Cookies gesetzt werden, die für die Funktionsfähigkeit der Website erforderlich sind.
- Eine Einwilligungserklärung muss den Anforderungen des Art. 7 DSGVO erfüllen (Opt-In).
- Die Widerrufsmöglichkeit der Einwilligung muss so einfach sein wie die Erteilung.
- Separate Auflistung und Auswahlmöglichkeit der Dienste, die verwendet werden.
4. Datenschutz und IT-Sicherheit in der Arztpraxis: Technische und organisatorische Maßnahmen umsetzen
Praxen sind für den Schutz personenbezogener Daten verantwortlich. Hierzu müssen sie angemessene technische und organisatorische Maßnahmen etablieren und diese dokumentieren. Die DSGVO macht keine konkreten Vorgaben, welche einzelnen Maßnahmen zur Datensicherheit dokumentiert werden sollen. Diese können je nach räumlicher und technischer Praxisausstattung unterschiedlich ausfallen. Eine Übersicht mit Praxismaßnahmen zur Datensicherheit in medizinischen Einrichtungen finden Sie auf der Seite des Selbst-Checks des Bayerisches Landesamt für Datenschutzaufsicht (BayLDA). Für die Auswahl geeigneter Maßnahmen lohnt sich auch ein Blick in den Katalog zur Stand der Technik in der IT-Sicherheit vom Bundesverband IT-Sicherheit e.V. und in die Fragen und Antworten zur Datensicherheit der Kassenärztlichen Bundesvereinigung.
Praxistipp: Praxen sollten alle getroffenen Vorkehrungen zum Schutz personenbezogener Daten dokumentieren, um dies der Aufsichtsbehörde im Zweifelsfall darlegen zu können. Insbesondere die folgenden Aspekte sind relevant, um einen Missbrauch personenbezogener Daten zu vermeiden:
- Patientendaten werden keinesfalls unverschlüsselt über das Internet übermittelt, zum Beispiel per E-Mail.
- Zugriffsberechtigungen sind klar definiert, um festzulegen, welche Personen in der Praxis auf Dateien und Ordner zugreifen können.
- Diskretion in den Praxisräumlichkeiten wird gewährleistet, beispielsweise durch die separate Anordnung der Patienten-Anmeldung vom Wartebereich. Alternativ können Schilder Patienten darauf hinweisen, am Tresen Abstand zu halten, wenn mehrere betroffene Personen warten.
- Patientenakten werden sicher aufbewahrt: Computer sind passwortgeschützt, die automatische Bildschirmsperre ist aktiviert, und Patientenunterlagen werden so positioniert, dass sie für andere nicht einsehbar sind. Bei Abwesenheit des Arztes oder Psychotherapeuten werden die Akten stets verschlossen aufbewahrt.
- Vertrauliche Arzt-Patienten-Gespräche finden ausschließlich in geschlossenen Räumen statt.
- Bei virtuellen Videosprechstunden zwischen Arzt und Patient muss der eingesetzte Videodienstanbieter vertraglich zusichern, dass das Gespräch während der gesamten Übertragung Ende-zu-Ende verschlüsselt ist.
- Es ist definiert, wann und durch wen personenbezogene Daten gelöscht werden, im Regelfall, sobald die Aufbewahrungsfrist abläuft.
- Patientenakten werden datenschutzkonform vernichtet.
- Es ist klar definiert, was bei Datenpannen und Datenschutzverstößen zu tun ist und wer die Meldung übernimmt.
5. Verzeichnis über die Datenverarbeitungen in der Arztpraxis
Praxen sind zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Darin werden datenschutzrelevante Geschäftsabläufe beziehungsweise Vorgänge erfasst, bei denen in der Praxis personenbezogene Daten von Patienten, Mitarbeitern, Dienstleistern, Websitebesuchern etc. verarbeitet werden. Die Aufstellung und Beschreibung der datenschutzrelevanten Geschäftsprozesse sind auf Verlangen der Aufsichtsbehörde bereitzustellen. Liegt kein Verarbeitungsverzeichnis in der Arztpraxis vor, drohen Geldstrafen.
Praxistipps:
Schritt 1: Für das Erstellen des Verzeichnisses sollten Sie zunächst überlegen, wo überall in der Praxis personenbezogene Daten verarbeitet werden. Dabei ist es sinnvoll, Tätigkeiten mit dem gleichen Zweck zusammenzufassen. Einige Beispiele für Verarbeitungstätigkeiten finden Sie in dem Arztpraxis Verzeichnis Muster des Bayerischen Landesamtes für Datenschutzaufsicht. Einige andere Tätigkeiten, die in den meisten Praxen anfallen dürften, sind z. B.:
- Terminplanung
- Nutzerverwaltung in der Praxisverwaltungssoftware
- ärztliche/psychotherapeutische Dokumentation in der Patientenakte
- Rechnungsstellung
- Abrechnung mit den Krankenkassen
- Lohnabrechnung
- Buchhaltung
Schritt 2: Im nächsten Schritt fügen Sie zu jeder Tätigkeit die in der DSGVO geforderten Angaben hinzu. Das sind:
- Zwecke der Verarbeitung (z. B. Erfüllung des Behandlungsvertrages, ärztliche Dokumentation)
- betroffene natürliche Personen (z. B. Patienten, Beschäftigte, Dienstleister)
- Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Personaldaten)
- Kategorien von Empfängern gegenüber denen die Daten offengelegt werden (z. B. Krankenkassen, Abrechnungsstelle, Kassenärztliche Vereinigungen)
- Besondere Sicherheitsmaßnahmen bezogen auf die einzelne Verarbeitungstätigkeit
- Geplante Löschung der Daten (z. B. zehn Jahre)
- Kontaktdaten Ihrer Praxis
- Kontaktdaten Ihres Datenschutzbeauftragten
6. Auftragsverarbeitung in der Arztpraxis: Zusammenarbeit mit Dienstleistern
Die Praxissoftware wird gewartet, ein Abrechnungsservice hilft bei der Rechnungsstellung, Akten- und Datenträger müssen nach Ablauf der Aufbewahrungsfrist vernichtet werden. Immer dann, wenn ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, ist der Abschluss eines Auftragsverarbeitungsvertrages erforderlich. Arztpraxen müssen sich davon überzeugen, dass der Dienstleister die Datenschutzbestimmungen einhält und entsprechende technische und organisatorische Maßnahmen umgesetzt hat.
Praxistipps:
Schritt 1: Schauen Sie zunächst, ob Sie für jeden Ihrer Dienstleistungsverträge (z. B. zur Wartung der Praxis-EDV) jeweils einen Auftragsverarbeitungsvertrag abgeschlossen haben.
Schritt 2: Ist das nicht der Fall, sprechen Sie Ihren Dienstleister auf einen Auftragsverarbeitungsvertrag an. In der Regel wird er Ihnen einen Entwurf zusenden. Bitte prüfen Sie jeden AV-Vertragsentwurf, ob dieser den Anforderungen aus Art. 28 DSGVO standhält.
Schritt 3: Treten Sie regelmäßig mit den beauftragten Dienstleistern in Kontakt und vergewissern Sie sich darüber, dass diese auch weiterhin einen angemessenen Datenschutz gewährleisten.
7. Auf Betroffenenanfragen von Patienten vorbereiten
Praxen sollten sich und ihre Mitarbeiter auf etwaige Anfragen zum Datenschutz vorbereiten. Jede betroffene Person (z. B. Patient, ehemalige Mitarbeiter oder ehemalige Mitarbeiter, Dienstleister) kann Auskunft darüber verlangen, ob personenbezogene Daten über ihn verarbeitet werden. Falls dies der Fall ist, hat der Betroffene das Recht zu erfahren, welche konkreten Daten verarbeitet werden. Die Praxis muss dem Betroffenen innerhalb der Frist von einem Monat unter Berücksichtigung der in Art. 15 DSGVO aufgezählten Informationen antworten. In das Antwortschreiben zur Auskunftsanfrage gehören unter anderem folgende Informationen: Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, Empfänger und Empfängerkategorien, Speicherdauer, Rechtebelehrung, Beschwerderecht, die Herkunft, Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling. Darüber hinaus gewährt Art. 15 Abs. 3 DSGVO dem Patienten ein Recht auf Aushändigung einer Kopie seiner verarbeiteten personenbezogenen Daten.
Recht auf Löschung:
Neben dem Auskunftsrecht können Patienten auch die Löschung der bei ihrem Arzt gespeicherten personenbezogenen Daten verlangen. Die Praxis muss dem Betroffenen auch bei Löschanfragen innerhalb der Frist von einem Monat antworten. Allerdings müssen Praxen beachten, dass im Rahmen der ärztlichen Tätigkeit einige gesetzliche Aufbewahrungspflichten die Durchsetzung des Löschungsanspruchs hemmen. Solche Pflichten sind beispielsweise bezüglich der ärztlichen Dokumentation in der Berufsordnung (§ 10 Abs. 3 Muster-Berufsordnung) und im Patientenrechtegesetz (§ 630f Abs. 3 BGB) verankert. Gemäß diesen Vorschriften ist der Arzt dazu verpflichtet, die korrekte Dokumentation für einen Zeitraum von zehn Jahren nach Abschluss der Behandlung aufzubewahren. In besonderen Fällen können sich auch längere Aufbewahrungsfristen ergeben (etwa bei Röntgenaufnahmen: 30 Jahre).
Praxistipp: Ob Auskunftsersuchen oder Löschanfrage, die Umsetzung in der Praxis hat ihre Stolperfallen. Es ist daher sinnvoll, Prozesse oder Verfahrensabläufe in der Arztpraxis zu beschreiben, um vollständig und innerhalb der gesetzlichen Frist auf Anfragen zu antworten. Insbesondere gut informierte Mitarbeiter und klare Verantwortlichkeiten können helfen, der Geltendmachung von Betroffenenrechten durch Patienten adäquat zu entsprechen sowie Bußgelder und andere Sanktionen zu vermeiden.
8. Datenschutz-Folgenabschätzung durchführen
In einigen Praxen kann die Durchführung einer Datenschutz-Folgenabschätzung notwendig sein, insbesondere wenn die Datenverarbeitung aufgrund ihres Umfangs und Zwecks ein erhebliches Datenschutzrisiko birgt. Beispiele hierfür sind eine systematische Videoüberwachung der Praxisräume oder die Implementierung telemedizinischer Dienste wie etwa das Angebot von Videosprechstunden. Sollten Zweifel hinsichtlich der Erforderlichkeit einer Datenschutz-Folgenabschätzung bestehen, kann diese Frage an die Datenschutz-Aufsichtsbehörde gerichtet werden.
Praxistipp: Ist eine Datenschutz-Folgenabschätzung erforderlich, muss ein Datenschutzbeauftragter benannt werden, auch wenn in der Praxis weniger als zwanzig Mitarbeiter tätig sind (§ 38 Absatz 1 Satz 2 BDSG).
9. Auf einen möglichen Datenschutzverstoß in der Arztpraxis vorbereiten
Auch im Praxisalltag kann es schnell passieren: Versehentlich wird eine Rechnung an einen falschen Patienten versendet und dieser erhält Einblicke in die Diagnose und Behandlungen eines anderen Patienten. Weitere Beispiele für Datenpannen in der Arztpraxis sind vergessene oder gestohlene Dienstgeräte (Laptops, Handys), versehentlicher Mail-Versand mit offenem Verteilerkreis, Fehler in der Praxissoftware mit unberechtigten Zugriffen und Diebstahl von Login-Daten infolge einer Phishing-Attacke. Da auch Arztpraxen dazu verpflichtet sind, eine Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden, müssen sie ihre Mitarbeiter zu diesem Thema sensibilisieren und einen Vorfallreaktionsplan etablieren.
10. Auftragsverarbeitung in der Arztpraxis: AV-Verträge für den Datenschutz abschließen
In jeder Arztpraxis werden häufig externe Dienstleister für IT-Services, Praxissoftware oder Datenanalysen eingesetzt. Damit der Datenschutz in der Arztpraxis gewahrt bleibt, ist nach DSGVO zwingend ein Auftragsverarbeitungsvertrag (AV-Vertrag) erforderlich. Dieser regelt Rechte und Pflichten zwischen Praxis und Dienstleister und stellt sicher, dass sensible Patientendaten ausschließlich datenschutzkonform verarbeitet werden. Ein AV-Vertrag muss klare Vorgaben zu Datenspeicherung, Datenlöschung und technischen Sicherheitsmaßnahmen enthalten. Beispiel: Die Auslagerung von Gesundheitsdaten in eine Cloud ist ohne AV-Vertrag ein Verstoß gegen den Datenschutz und kann hohe Bußgelder nach sich ziehen. Damit Ihre Arztpraxis dauerhaft rechtssicher bleibt, sollten AV-Verträge regelmäßig geprüft und an aktuelle gesetzliche Vorgaben angepasst werden.
11. Online-Terminvereinbarung in der Arztpraxis datenschutzkonform nutzen
Viele Arztpraxen setzen heute Online-Terminbuchungssysteme ein, um den Patientenservice zu verbessern. Doch beim Thema Datenschutz in der Arztpraxis sind hier strenge DSGVO-Anforderungen zu beachten. Die Software muss eine sichere Datenübertragung (End-to-End-Verschlüsselung) gewährleisten und personenbezogene Daten wie Name, Geburtsdatum oder Gesundheitsinformationen nur so lange wie nötig speichern. Wichtig ist zudem, dass Patienten vorab transparent über die Verarbeitung informiert werden und eine Einwilligung erteilen. Jede Arztpraxis sollte die Anbieter von Termin-Tools vertraglich als Auftragsverarbeiter binden und dafür einen AV-Vertrag nach DSGVO abschließen. Nur so ist sichergestellt, dass die Online-Terminvereinbarung den hohen Anforderungen an den Gesundheitsdatenschutz entspr
12. Datenschutz Arztpraxis: Keine Gesundheitsdaten unverschlüsselt per E-Mail versenden
Ein häufiger Fehler in Arztpraxen ist der Versand sensibler Gesundheitsdaten per unverschlüsselter E-Mail. Dies verstößt klar gegen die DSGVO und gefährdet den Datenschutz in der Arztpraxis, da Dritte vertrauliche Patientendaten abfangen können. Jede Arztpraxis sollte deshalb ausschließlich verschlüsselte E-Mail-Systeme oder sichere Patientenportale einsetzen. Wenn ein unverschlüsselter Versand ausnahmsweise unvermeidbar ist, muss zuvor eine ausdrückliche Einwilligung des Patienten eingeholt werden. Zusätzlich sollten Ärzte und Mitarbeiter geschult werden, wie sie mit sensiblen Patientendaten sicher umgehen. Klare Richtlinien und moderne Verschlüsselungslösungen sind entscheidend, um Verstöße zu vermeiden und den Gesundheitsdatenschutz in der Arztpraxis langfristig sicherzustellen.
Datenschutz im Gesundheitswesen: Was passiert bei der Nichteinhaltung der DSGVO?
Der Datenschutz in der Arztpraxis sollte nicht auf die leichte Schulter genommen werden. Bei Datenschutzverletzungen (Datenpannen) können die Konsequenzen für betroffene Personen sehr weitreichend sein. Jede Datenpanne muss daher sehr ernst genommen und regelmäßig innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden.
FAQs zu Datenschutz Arztpraxis
Grundsätzlich gilt: Jede Arztpraxis benötigt einen Datenschutzbeauftragten, da sie täglich besonders sensible Gesundheitsdaten verarbeitet. Dies ist unabhängig von der Anzahl der Mitarbeiter notwendig, weil Patientendaten gemäß DSGVO zu den besonders schützenswerten Datenkategorien gehören. Der Datenschutzbeauftragte sorgt dafür, dass alle gesetzlichen Vorgaben eingehalten werden, Risiken minimiert und Patientendaten zuverlässig geschützt werden. Für den Datenschutz in der Arztpraxis ist die Benennung daher ein unverzichtbarer Bestandteil der rechtssicheren Organisation.
Gemeinschaftspraxen bestehen aus rechtlich selbständigen Praxen. Jede Praxis innerhalb der Gemeinschaft muss für sich prüfen, ob sie einen Datenschutzbeauftragten benennen muss. Die einzelne Mitgliedspraxis muss einen Datenschutzbeauftragten benennen, wenn sie sensible Daten verarbeitet oder mindestens 20 Mitarbeiter beschäftigt.
Ja. Wenn eine Arztpraxis verpflichtet ist, einen Datenschutzbeauftragten zu benennen, muss dieser auch gemäß Art. 37 Abs. 7 DSGVO bei der zuständigen Aufsichtsbehörde gemeldet werden. Zusätzlich müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden, um Transparenz zu schaffen.
Unter der Rechenschaftspflicht (gemäß Art. 5 Abs. 2 DSGVO) versteht man die Nachweispflicht des Verantwortlichen (der Arztpraxis), dass die Grundsätze zur Verarbeitung personenbezogener Daten eingehalten werden. Dazu gehören:
· Verzeichnis von Verarbeitungstätigkeiten, das die Praxis auf Verlangen der Aufsichtsbehörde vorlegen kann.
· Dokumentation der ergriffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten.
· die Bereitstellung einer Datenschutzinformation für Patienten,
· und abgeschlossene Auftragsverarbeitungsverträge mit externen Dienstleistern (z. B. Softwareanbieter, IT-Dienstleister, Abrechnungsstellen)..
Eine Datenschutzverletzung (Datenpanne) liegt vor, wenn Patientendaten unbefugt vernichtet, verändert, offengelegt oder gestohlen werden – etwa durch Cyberangriffe, Ransomware, Fehlversendungen oder Geräte-Diebstahl. In diesem Fall muss die Arztpraxis die Datenschutzverletzung unverzüglich der Aufsichtsbehörde melden, sofern ein Risiko für die Patientenrechte besteht.
Wenn personenbezogene Daten nicht aufgrund einer gesetzlichen Anordnung oder zur Erfüllung des konkreten Behandlungsvertrages weitergegeben werden dürfen, ist eine Schweigepflichtentbindung/Einwilligung beim Patienten einzuholen. Dazu zählt z. B. die Datenübermittlung an Angehörige von Patienten oder an Abrechnungsstellen für Abrechnung von Privatversicherten.
Für einen Recall-Service (z. B. Erinnerung an Vorsorgetermine) ist eine vorherige Einwilligung des Patienten erforderlich. Da dieser Service nicht unmittelbar Teil des Behandlungsvertrags ist, fällt er unter die erweiterten DSGVO-Vorgaben für den Datenschutz Arztpraxis.
Patienten müssen durch eine Datenschutzinformation (Patienteninformation/Datenschutzerklärung) transparent informiert werden. Diese muss nicht unterschrieben werden, es genügt die Möglichkeit der Kenntnisnahme – z. B. durch Aushang am Empfang oder im Wartezimmer.
Eine Arztpraxis darf nur verschlüsselte E-Mails für den Versand sensibler Gesundheitsdaten nutzen. Telefonische Kommunikation ist möglich, aber nur, wenn der Gesprächspartner eindeutig identifiziert wird und Diskretion gewahrt bleibt. Für einfache Terminvereinbarungen sind diese Kommunikationswege unproblematisch.
Vom Einsatz von WhatsApp in der Arztpraxis wird abgeraten. Grund: Adressdaten werden automatisch aus dem Telefonbuch ausgelesen und ohne Einwilligung an die Server des Anbieters übertragen – ein klarer Verstoß gegen den Gesundheitsdatenschutz.
Ja, alle Mitarbeiter müssen regelmäßig – idealerweise jährlich – zu den Themen Datenschutz, Patientendaten und DSGVO geschult werden. Schulungen sind ein wichtiger Bestandteil der Datenschutz-Compliance in Arztpraxen.
Ja. Alle Mitarbeiter sollten schriftlich zur Vertraulichkeit im Umgang mit Patientendaten verpflichtet werden. Ergänzend sollten Praxisrichtlinien oder Arbeitsanweisungen zum Datenschutz veröffentlicht werden, damit das gesamte Team die DSGVO-konformen Standards einhält.
