EU DS-GVO für Ärzte & Praxen
Auch in Arztpraxen soll ein Bewusstsein für den Datenschutz entwickelt werden, da seit dem 25.05.2018 in der Europäischen Union die sog. „EU-Datenschutzgrundverordnung“ (EU DS-GVO) als neues und gegenüber dem nationalen Recht vorrangiges Datenschutzrecht gilt. Ab diesem Zeitpunkt können und werden Verstöße gegen den Datenschutz grundsätzlich schärfer geahndet.
Nachfolgend einige Schritte, die jede Arztpraxis seit dem 25.05.2018 unternommen haben sollte:
- Überprüfung der internen technischen und organisatorischen Maßnahmen (TOM), z.B. der Schutz des Zugangs zu den Computern und die elektronische Verarbeitung von Patientendaten durch alle Mitarbeiter. In besonderen Fällen muss hier ein (externer) Datenschutzbeauftragter benannt werden, um z.B. eine sog. „Datenschutzfolgenabschätzung“ vornehmen zu lassen.
- Alle Arztpraxen müssen ein Datenverarbeitungsverzeichnis anlegen und führen. Diese Vorgabe geht aus Art. 30 der EU DS-GVO hervor, ist obligatorisch und stellt im ersten Schritt einen nicht zu unterschätzenden Arbeitsaufwand dar.
- Die Benennung eines (externen) Datenschutzbeauftragten ist im Regelfall erst ab 20 Mitarbeitern in der Praxis notwendig, die regelmäßig persönliche Daten automatisch verarbeiten. „Verarbeiten“ in diesem Zusammenhang kann z.B. das Abspeichern oder die Aktualisierung der Patientendaten am Computer sein. In manchen Fällen ist aber auch ein Datenschutzbeauftragter bei unter 10 Mitarbeitern zu bestellen. Hier ist grundsätzlich wichtig, dass der Gesetzgeber von „Köpfen, mit Zugriff auf Patientendaten“ in der jeweiligen Praxis ausgeht, also von der Teilzeitkraft bis hin zum Arzt selbst.
- Im Zuge der Umsetzung der EU DS-GVO ist ebenfalls die Erstellung und Umsetzung einer internen Datenschutzrichtlinie von Vorteil, um mögliche Datenschutzverletzungen ab dem 25.05.2018 vorzubeugen. Hierzu sind regelmäßige Schulungen der Mitarbeiter und Verantwortlichen zu empfehlen.
- Um einer Überprüfung durch staatliche Datenschutzbehörden oder einer Abmahnung vorzubeugen, ist auch die Überprüfung und Anpassung aller vorhandenen Verträge in der Praxis nötig. Beginnend mit den Anstellungsverträgen der Mitarbeiter, über mögliche Drittanbieterverträge mit externen Dienstleistern, im Besonderen alle IT-Dienstleister (u.a. für Websites oder Software) für die Praxis, hin zu externen Finanzdienstleistern, die z.B. Mitarbeiter- oder Patientendaten im Auftrag der Praxis verarbeiten.
- Auch im Kontakt mit Patienten, egal ob zum ersten Mal oder bereits behandelt, sind neue Vorgaben zu erfüllen, da diese gesondert auf ihre Rechte an Ihren Daten nachweislich hingewiesen werden müssen.
- Als letztes gilt es ebenfalls die hier genannten Schritte und Verpflichtungen auf Anfrage darlegen und beweisen zu können. Gerade in der Kommunikation mit den zuständigen Behörden ist die Unterstützung durch einen (externen) Datenschutzbeauftragten äußerst hilfreich, da dieser in solchen Fällen der verantwortliche Ansprechpartner ist und auch gegenüber den Patienten die Kommunikation und Anfragen bzgl. des Datenschutzes und der verbundenen Rechte übernimmt.
Bei Fragen hierzu können Sie sich jederzeit an unser Team wenden.