Loading...

ZFA-Logo

Unterstützung auf dem Weg zum neuen Datenschutz

PDF

Joachim Schütz

Seit dem 25. Mai gelten die Vorschriften der neuen Datenschutz-Grundverordnung (DS-GVO) und des neuen Bundesdatenschutzgesetzes (BDSG). Die neuen Regelungen gelten seither ohne weitere Übergangsfristen, und zwar nicht nur für „Unternehmen“ (Art. 4 Nr. 18 DS-GVO), sondern für alle natürlichen und juristischen Personen – also auch für Hausärzte und Hausarztpraxen. Die meisten der zu beachtenden Vorschriften sind nicht neu, sondern waren bereits im zuvor geltenden BDSG geregelt. Insofern sind die aktuell spürbare Verunsicherung und Hektik, wenn es um die neuen Datenschutzregeln geht, auf den ersten Blick schwer nachzuvollziehen.

Viele Prinzipien, die das deutsche Recht derzeit schon kennt, finden sich auch in den neuen Datenschutzgesetzen wieder. Die Gründe für die vielfach wahrzunehmenden Aufgeregtheiten müssen demnach woanders gesucht werden: Das Thema „Datenschutz“ wurde bislang von vielen eher als eine Art lästige Pflicht empfunden, die völlig überbewertet wird, Geld kostet und am Ende doch nichts bringt. Ist man bisher mit dieser Einstellung an das Thema Datenschutz herangegangen, blieb dies meist ohne negative Folgen, weil effektive Sanktionen und Überprüfungen durch die Behörden eher die Ausnahme waren. Diese Zeiten sind jetzt aber vorbei. Wenn nämlich die Datenschutzbehörden – wie angekündigt – ihre Ressourcen stark erweitern und sich der Bußgeldrahmen verzehnfacht, wird ein datenschutzrechtliches „es wird schon gutgehen“ in Zukunft teuer.

Zum Schutz der Daten von Patienten und Mitarbeitern und zur Unterstützung datenschutzkonformen Handelns, haben wir unseren Mitgliedern die wichtigsten (Neu-)Regelungen in einem Merkblatt zusammengefasst und für die praktische Umsetzung der neuen DS-GVO einige Mustervorlagen und Checklisten zur Verfügung gestellt. Sie finden diese unter https://hausarzt.link/dsgvo.

Um welche Daten geht es?

Verschärft wird der Schutz von personenbezogenen Daten: Das sind alle Einzelangaben über persönliche oder sachliche Verhältnisse einer Person wie Name, Anschrift, Geburtsdatum, Gesundheitsdaten, Bankverbindung oder Sozialversicherungsnummer. Im Fokus stehen dabei nicht nur die Patienten, sondern auch das Praxisteam. Der Datenschutz bezieht sich auf jede Form des Verarbeitens, also etwa Erheben, Speichern, Verändern, Übermitteln, Sperren und Löschen. Verarbeitungen sind künftig grundsätzlich verboten, es sei denn, das Gesetz erlaubt dies. Da Ärzte oft Daten verarbeiten müssen, um ihre Vertragspflichten zu erfüllen (Behandlungsver­trag, Arbeitsvertrag), wird die Verarbeitung vielfach bereits gesetzlich gerechtfertigt sein.

Es empfiehlt sich aber, ab sofort Patienten, Mitarbeiter und Dienstleister besser über die Verwendung ihrer Daten zu informieren und freiwillige Einwilligungen einzuholen. Setzen Ärzte die Änderungen nicht um, ist mit höheren Bußgeldern als bisher zu rechnen.

Welche Maßnahmen sollten Ärzte konkret angehen?

  • Verarbeitungsverzeichnisse erstellen: Nach Art. 30 DSGVO müssen Praxisinhaber in einzelnen Verzeichnissen alle (auch manuelle) Verarbeitungstätigkeiten auflisten. Es dokumentiert Vorgänge, wie und welche Daten die Praxis verarbeitet sowie zu welchem Zweck. Der Hausärzteverband hat dazu ein Muster samt Ausfüllhilfe erarbeitet.
  • IT-Sicherheit prüfen: Wie bisher soll­ten Praxen technisch-organisatorische Maß­nahmen (TOM) ergreifen, um einem Missbrauch vorzubeugen. So sollte man einen „Internetrechner“ installieren, der nicht mit den Patientendaten vernetzt ist. Auch der Zugang zu entsprechenden Dateien muss durch Passwörter, Festlegung von Zugangsberechtigungen, etc. auf einem hohen Sicherheitsniveau geregelt werden.
  • Was tun bei Datenpannen? Hackerangriffe, Fehlversand von Arztbriefen oder versehentliches Löschen von Daten müssen Ärzte künftig in der Regel innerhalb von max. 72 Stunden an die zuständige Aufsichtsbehörde melden. In Fällen mit einer besonders hohen Gefährdung von Patientenrechten müssen auch diese benachrichtigt werden.
  • Datenschutzbeauftragter: Oft werden Praxen keinen Datenschutzbeauftragten brauchen, sofern weniger als zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Mitgezählt werden Hausärzte und Angestellte. So ist auch die MFA „ständig beschäftigt“, wogegen das für eine Reinigungskraft oder einen Famulanten nicht zutrifft. Mittlerweile haben die Datenschutzbehörden von Bund und Ländern hierzu auch ein sogenanntes Beschlusspapier (26. April) vorgelegt.
  • Datenschutz-Verpflichtung von Beschäftigten einholen: Bei der Aufnahme der Beschäftigung müssen Praxisinhaber ihre Beschäftigten, die mit personenbezogenen Daten umgehen, informieren und verpflichten, dass sie die DS-GVO einhalten. Hinzu kommt wie bisher die Verpflichtung, Angestellte nach Paragraf 203 StGB (Verstoß gegen das Patientengeheimnis) zu belehren. Die Belehrungen sollten Praxisinhaber dokumentieren.

Weitere Tipps zu nötigen Schritten in der Praxis erhalten Sie unter https://hausarzt.link/7vHZI.

Joachim Schütz

Geschäftsführer und Justiziar des Deutschen Hausärzteverbandes


(Stand: 14.06.2018)

Als Abonnent können Sie die vollständigen Artikel gezielt über das Inhaltsverzeichnis der jeweiligen Ausgabe aufrufen. Jeder Artikel lässt sich dann komplett auf der Webseite anzeigen oder als PDF herunterladen.