Datenschutz-Check für Arztpraxen
Gesundheitsdaten sind sensible Daten
Durch Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 hat das Datenschutzrecht für Arztpraxen einen neuen Stellenwert erlangt. Gesundheitsdaten einer Person gehören nach Art. 9 Abs. 1 DSGVO zu den besonderen Arten personenbezogener Daten und sind daher besonders schützenswert. Neben der digitalen Sicherheit muss auch die ärztliche Schweigepflicht eingehalten werden.
Einrichtung eines Datenschutzmanagements
Zur Sicherstellung und zum Nachweis der Einhaltung des Datenschutzes benötigen Ärzte für ihre Praxis ein Datenschutzmanagement. Dieses umfasst unter anderem die Überprüfung aller internen Datenverarbeitungsvorgänge. Dafür müssen geeignete technisch-organisatorische Maßnahmen ergriffen und ein Verzeichnis über die Verarbeitungstätigkeiten (Art. 30 DSGVO) geführt werden.
Sind zudem mindestens 20 Personen ständig mit der automatisierten Verarbeitung der personen-bezogenen Daten beschäftigt, hat die jeweilige Arztpraxis zur Kontrolle der Einhaltung des Datenschutzes, einen internen oder externen Datenschutzbeauftragten zu benennen (Art. 37 DSG-VO). In seltenen Fällen müssen auch kleinere Arztpraxen einen Datenschutzbeauftragten einsetzen, nämlich wenn eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO erforderlich wird. Eine solche ist durchzuführen, wenn aufgrund des Umfangs und des Zwecks der Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.
Datensicherheit gegenüber dem Patienten
Das Einholen einer Einwilligung des Patienten zur Datenverarbeitung ist zwar meist aufgrund einer bestehenden gesetzlichen Grundlage entbehrlich. Allerdings kann eine Einwilligungserklärung ausnahmsweise erforderlich sein, z.B. bei der Einbeziehung einer privatärztlichen Verrechnungsstelle. Einwilligungserklärungen müssen auf die Möglichkeit eines jederzeitigen Widerrufs hinweisen und sollten dementsprechend überarbeitet werden.
Darüber hinaus bestehen für die Arztpraxen gegenüber ihren Patienten Informationspflichten. Die Praxen können entsprechende Vordrucke oder Aushänge verwenden, die die Patienten in transparenter und leicht verständlicher Form über die Datenverarbeitung informieren.
Wenn z.B. im Falle der Wartung der Praxis-EDV-Anlage, ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, ist der Abschluss eines Auftragsverarbeitungsvertrages erforderlich. Typische Auftragsverarbeitungsverhältnisse sind darüber hinaus die Nutzung von Cloud-Systemen und die Terminvergabe durch Externe.
Melde- und Benachrichtigungspflichten
Im Fall einer Datenpanne, muss die Arztpraxis als Verantwortliche gem. Art. 33 Abs. 1 DSGVO die Datenschutzverletzung unverzüglich und möglichst binnen 72 Stunden, nachdem die Verlet-zung bekannt wurde, der zuständigen Datenaufsichtsbehörde melden. Kommt die Praxis dieser Pflicht nicht nach, kann die Aufsichtsbehörde einen Bußgeldbescheid erlassen. Zudem ist bei der Feststellung eines hohen Risikos für die persönlichen Rechte und Freiheiten natürlicher Personen, eine Benachrichtigung der betroffenen Personen gem. Art. 34 Abs. 1 DSGVO erforderlich. (Hierzu ausführlich Blogbeitrag: Meldepflichtige Datenpannen im Unternehmen)