Datenschutz-Check für Arztpraxen

20. Januar 2020 | IT- und Datenschutzrecht

Das Thema Datensicherheit spielt vor allem in Arztpraxen eine große Rolle. Patientendaten wie Name, Versicherungsnummer, Befunde, Blutwerte oder Röntgenaufnahmen sind besonders sensible personenbezogene Daten, mit denen die Praxen entsprechend vorsichtig umgehen müssen.

Gesundheitsdaten sind sensible Daten

Durch Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 hat das Datenschutzrecht für Arztpraxen einen neuen Stellenwert erlangt. Gesundheitsdaten einer Person gehören nach Art. 9 Abs. 1 DSGVO zu den besonderen Arten personenbezogener Daten und sind daher besonders schützenswert. Neben der digitalen Sicherheit muss auch die ärztliche Schweigepflicht eingehalten werden.

Einrichtung eines Datenschutzmanagements

Zur Sicherstellung und zum Nachweis der Einhaltung des Datenschutzes benötigen Ärzte für ihre Praxis ein Datenschutzmanagement. Dieses umfasst unter anderem die Überprüfung aller internen Datenverarbeitungsvorgänge. Dafür müssen geeignete technisch-organisatorische Maßnahmen ergriffen und ein Verzeichnis über die Verarbeitungstätigkeiten (Art. 30 DSGVO) geführt werden.

Sind zudem mindestens 20 Personen ständig mit der automatisierten Verarbeitung der personen-bezogenen Daten beschäftigt, hat die jeweilige Arztpraxis zur Kontrolle der Einhaltung des Datenschutzes, einen internen oder externen Datenschutzbeauftragten zu benennen (Art. 37 DSG-VO). In seltenen Fällen müssen auch kleinere Arztpraxen einen Datenschutzbeauftragten einsetzen, nämlich wenn eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO erforderlich wird. Eine solche ist durchzuführen, wenn aufgrund des Umfangs und des Zwecks der Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.

Datensicherheit gegenüber dem Patienten

Das Einholen einer Einwilligung des Patienten zur Datenverarbeitung ist zwar meist aufgrund einer bestehenden gesetzlichen Grundlage entbehrlich. Allerdings kann eine Einwilligungserklärung ausnahmsweise erforderlich sein, z.B. bei der Einbeziehung einer privatärztlichen Verrechnungsstelle. Einwilligungserklärungen müssen auf die Möglichkeit eines jederzeitigen Widerrufs hinweisen und sollten dementsprechend überarbeitet werden.

Darüber hinaus bestehen für die Arztpraxen gegenüber ihren Patienten Informationspflichten. Die Praxen können entsprechende Vordrucke oder Aushänge verwenden, die die Patienten in transparenter und leicht verständlicher Form über die Datenverarbeitung informieren.

Wenn z.B. im Falle der Wartung der Praxis-EDV-Anlage, ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, ist der Abschluss eines Auftragsverarbeitungsvertrages erforderlich. Typische Auftragsverarbeitungsverhältnisse sind darüber hinaus die Nutzung von Cloud-Systemen und die Terminvergabe durch Externe.

Melde- und Benachrichtigungspflichten

Im Fall einer Datenpanne, muss die Arztpraxis als Verantwortliche gem. Art. 33 Abs. 1 DSGVO die Datenschutzverletzung unverzüglich und möglichst binnen 72 Stunden, nachdem die Verlet-zung bekannt wurde, der zuständigen Datenaufsichtsbehörde melden. Kommt die Praxis dieser Pflicht nicht nach, kann die Aufsichtsbehörde einen Bußgeldbescheid erlassen. Zudem ist bei der Feststellung eines hohen Risikos für die persönlichen Rechte und Freiheiten natürlicher Personen, eine Benachrichtigung der betroffenen Personen gem. Art. 34 Abs. 1 DSGVO erforderlich. (Hierzu ausführlich Blogbeitrag: Meldepflichtige Datenpannen im Unternehmen)

Ihre Autoren

Isabelle Bulenda, LL.M.

Rechtsanwältin

Assoziierte Partnerin

Fachanwältin für Informationstechnologierecht

Dr. Caroline Charlotte Sohns

Rechtsanwältin

Sozia

Fachanwältin für Arbeitsrecht

Zum Newsletter anmelden

Ansprechpartner

Thomas Altendorfer

Diplom-Volkswirt

Rechtsanwalt

Steuerberater

Partner

Til Ammermann

Diplom-Kaufmann

Wirtschaftsprüfer

Steuerberater

Partner

Thomas Baransky

Diplom-Betriebswirt (FH)

Steuerberater

Sozius

Lars Bellmer

Steuerberater

Dr. Christian Bereska

Rechtsanwalt

Partner

Fachanwalt für Handels- und Gesellschaftsrecht

Fachanwalt für Bau- und Architektenrecht

Zertifizierter Testamentsvollstrecker (AGT)

Philipp M. v. Bismarck

Rechtsanwalt, Notar a.D.

Dr. Björn Bogner, LL.M.

Rechtsanwalt

Partner

Fachanwalt für Arbeitsrecht

Fachanwalt für gewerblichen Rechtsschutz

Zertifizierter Compliance Officer (School GRC)

Jonathan Branch

Rechtsanwalt

Sozius

Fachanwalt für Internationales Wirtschaftsrecht

Frederik Brandes

Steuerberater

Isabelle Bulenda, LL.M.

Rechtsanwältin

Assoziierte Partnerin

Fachanwältin für Informationstechnologierecht

Steuerberater

Sozius

Anna Dietrich

Rechtsanwältin

Mathias Dietrich

Diplom-Finanzwirt (FH)

Rechtsanwalt

Steuerberater

Partner

Rolf Dittmar

Diplom-Ingenieur

Wirtschaftsprüfer

Steuerberater

Fachanwältin für Arbeitsrecht

Dr. Lea Frey

Rechtsanwältin

Sozia

Hans G. Fritsche

Rechtsanwalt

Sozius

Fachanwalt für Insolvenzrecht

Dr. Martin Gerigk

Rechtsanwalt

Sozius

Fachanwalt für Versicherungsrecht

Partner

Steuerberaterin

Partnerin

Fachanwältin für Steuerrecht

Steuerberater

Björn Knuth, LL.M.

Rechtsanwalt

Sozius

Fachanwalt für Arbeitsrecht

Kirstin Krüger

Rechtsanwältin

Sozia

Fachanwältin für Bau- und Architektenrecht

Marco Kuhlenkamp

Steuerberater*, B.Sc.

*Fachberater für Unternehmensnachfolge

(DStV e.V.)

Dr. Michael Kunst

Diplom-Volkswirt

Rechtsanwalt, Notar m.d. Amtssitz in Hannover

Wirtschaftsprüfer

Partner

Fachanwalt für Steuerrecht

Norman Kühn, LL.M.

Rechtsanwalt

Tobias Lerch

Rechtsanwalt

Sozius

Fachanwalt für Handels- und Gesellschaftsrecht

Monika Martyniak

Diplom-Ökonomin

Wirtschaftsprüferin

Steuerberaterin

Sozia

Steuerberater

Partner

Fachanwalt für Steuerrecht

Antje Pietrek

Rechtsanwältin

Fachanwältin für Arbeitsrecht

Fachanwältin für Familienrecht

Mediatorin

Fachanwalt für Arbeitsrecht

Fachanwalt für Handels- und Gesellschaftsrecht

Fachanwalt für Erbrecht

Zertifizierter Testamentsvollstrecker (AGT)

Michael Rudolph

Diplom-Ökonom

Steuerberater

Sozius

Maximilian Sauer

Rechtsanwalt

Dr. Ralf Schlottau

Rechtsanwalt, Notar m. d. Amtssitz in Celle

Partner

Fachanwalt für Agrarrecht

Fachanwalt für Handels- und Gesellschaftsrecht

Zertifizierter Stiftungsmanager (DSA)

Dr. Stephan Schmack

Rechtsanwalt

Sozius

Dr. Philipp Schulz

Rechtsanwalt

Partner

Fachanwalt für Versicherungsrecht

Jan Schätzel

Rechtsanwalt

Sozius

Dr. Hermann Schünemann

Rechtsanwalt, Notar m. d. Amtssitz in Celle

Fachanwalt für Versicherungsrecht

Fachanwalt für Medizinrecht

Valentin R. Seidenfus

Rechtsanwalt

Steuerberater

Partner

Fachanwalt für Steuerrecht

Zertifizierter Testamentsvollstrecker (AGT)

Dr. Caroline Charlotte Sohns

Rechtsanwältin

Sozia

Fachanwältin für Arbeitsrecht

Konrad Solf

Rechtsanwalt

Thomas Stillahn

Rechtsanwalt

Partner

Fachanwalt für Arbeitsrecht

Mediator

Coach der Wirtschaft (IHK)

Rudolf Tschense

Rechtsanwalt

Dr. Karl-Heinz Vehling

Executive MBA HSG

Rechtsanwalt

Partner

Zertifizierter Compliance Officer

Zertifizierter Compliance Auditor

Fachanwalt für Handels- und Gesellschaftsrecht

Dr. Tim Wittwer, LL.M.

Rechtsanwalt

Assoziierter Partner

Fachanwalt für gewerblichen Rechtsschutz

Steffen Zaiser

Rechtsanwalt