Service Hotline

Wir freuen uns auf Ihren Anruf unter
05772 911 610

oder Ihre E-Mail an
beratung@meyer-wagenfeld.de

DSGVO in der Arztpraxis: Eine Zusammenfassung nach einem halben Jahr

Knapp ein halbes Jahr ist die neue Datenschutzgrundverordnung (DSGVO) nun für die gesamte EU gültig – Zeit für einen allgemeinen Rückblick und eine kurze Zusammenfassung darüber, was sich seit Inkrafttreten der neuen Regelungen für die Artpraxis geändert hat.

Bereits im April 2016 wurde die Datenschutzgrundverordnung durch das EU-Parlament verabschiedet. Zwei Jahre später sollen die neuen Regelungen wirksam sein und umgesetzt werden – sicherlich ausreichend Vorlaufzeit, um sich dem Schutz personenbezogener Daten, einem so wichtigen Thema, zu widmen und entsprechende Maßnahmen zur Erfüllung der neuen Forderungen zu ergreifen – so zumindest die Theorie.

Tatsächlich kam der 25. Mai dann doch eher plötzlich. Verunsicherung durch die neuen Gesetzestexte machte sich breit und die Befürchtung, hohe Bußgelder zu erwarten, ließ vielen kleinen und großen Betrieben keine Ruhe. Wie sehr auch Arztpraxen und diverse medizinische Einrichtungen durch dieses Thema verunsichert waren, konnten wir von Meyer-Wagenfeld besonders anhand der uns erreichenden Anrufe und E-Mails unserer Kunden deutlich merken. Nicht nur, dass Gesundheitsdaten zu sehr sensiblen Daten gehören und somit besonders zu schützen sind, auch der mit der DSGVO verbundene Aufwand zur Umsetzung neuer Maßnahmen hat viele Praxen stark beansprucht.

Wie viele bzw. wenige Unternehmen zum Stichtag 25. Mai 2018 tatsächlich alle neuen EU-Datenschutzrichtlinien umgesetzt haben, bleibt nur zu mutmaßen. Fest steht: Die erwartete Abmahnwelle ist mild ausgefallen – eine Chance, um durchzuatmen und dennoch eifrig dort weiterzumachen, wo noch Handlungsbedarf besteht, denn das Thema Datenschutz hat an Wichtigkeit und Brisanz nicht abgenommen.

Was sind nun die wichtigsten Neuerungen, die eine Arztpraxis seit Inkrafttreten der DSGVO betreffen? Welche internen technischen und organisatorischen Maßnahmen müssen in der Praxis vorgenommen werden? Nachstehend erhalten Sie hierzu eine kleine Checkliste.

Checkliste DSGVO in der Praxis

Benennung eines Datenschutzbeauftragten

„Benötigt unsere Praxis einen internen oder externen Datenschutzbeauftragten?“ wird wohl in den meisten Praxen eine sehr häufig gestellte Frage gewesen sein. Das Bayerische Landesamt für Datenschutzaufsicht hat hierzu die relevanten Gesetze unter die Lupe genommen und die einzelnen Rechtsbegriffe für die Anwendung in Arztpraxen übersichtlich erklärt.
Kurzgefasst: Die Benennung eines Datenschutzbeauftragten ist für Praxen dann verpflichtend, wenn mindestens zehn Personen (einschließlich des/der behandelnden Arztes/Ärzte und unabhängig von Voll- oder Teilzeitbeschäftig, Ausbildung oder Leiharbeit) ständig mit der automatisierten Verarbeitung personenbezogener Daten (dazu gehören Patienten- sowie Personaldaten) beschäftigt sind (vgl. Art. 37 DSGVO,  § 38 Abs. 1 BDSG-neu). Das betrifft alle Personen des Praxisteams, die sich schwerpunktmäßig z. B. um die Verwaltung der Patientendaten für Behandlungs- oder Abrechnungszwecke kümmern.

Ausnahmen bestätigen bekanntlich die Regel: So gilt die Bestellpflicht für einen Datenschutzbeauftragten unabhängig der Personenanzahl, wenn die Praxis einer Datenschutzfolgenabschätzung unterliegt (vgl. Art. 35 DSGVO,  § 38 Abs. 1 BDSG-neu). Diese ist z. B. dann durchzuführen, wenn die Art der Verarbeitung, insbesondere durch Einsatz neuer Technologien (z. B. Telemedizin), der Umfang oder der Zweck der Verarbeitung ein hohes Risiko erwarten lassen. Auch kann eine Datenschutzfolgenabschätzung erforderlich werden, wenn besondere Kategorien personenbezogener Daten verarbeitet werden (vgl. Art. 9 und Art. 35 DSGVO).
Was ist darüber hinaus zu beachten? Praxisinhaber sind aufgrund eines möglichen Interessenkonflikts gemäß Art. 38 DSGVO nicht für die Benennung zum Datenschutzbeauftragten vorgesehen. Ist ein interner bzw. externer Datenschutzbeauftragter für die Praxis benannt worden, so sind seine Kontaktdaten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen (vgl. Art. 37 DSGVO).

Zusätzlich interessant: Nach Angaben der Kassenärztlichen Vereinigung Bayerns gebe es keine gesetzliche Pflicht, den Datenschutzbeauftragten von externer Stelle zu beziehen. So kann diese Aufgabe intern z. B. an fachkundige und zuverlässige Praxismitarbeiter vergeben werden.

Patientenaufklärung und Einverständniserklärungen

Wie wichtig die transparente und leicht verständliche Aufklärung über den Umgang mit den erhobenen personenbezogenen Daten ist, dürfte sicher längst bekannt sein. Die Patientenaufklärung über den Datenschutz in der Praxis kann mithilfe eines Informationsblattes im Wartezimmer abgedeckt werden. Hier sollten mindestens die Rechtsgrundlage sowie der Zweck der Datenverarbeitung, Rechte der Patienten und ggf. Kontaktdaten des Datenschutzbeauftragten offengelegt werden.

Wer sicher gehen möchte, dass seine Patienten gut aufgeklärt sind, kombiniert die Datenschutzinformation mit der Patienten-Einverständniserklärung auf einem einzigen Formular (wie z. B. hier erhältlich). So können Patienten nach der Auskunft über den Datenschutz in der Praxis auch ihre Einwilligung für die Weitergabe ihrer Daten z. B. an private Verrechnungsstellen unterzeichnen. Das Formular von Meyer-Wagenfeld ist in Zusammenarbeit mit einem Rechtsanwalt erarbeitet worden und auch bequem mit bereits eingedruckten Praxisdaten erhältlich.

Verzeichnisse für Verarbeitungsvorgänge

Dies wird in den meisten Fällen wohl die umfangreichste Aufgabe im Rahmen der neuen Datenschutzrichtlinie sein. Vor Erstellung der Verzeichnisse für die internen Verarbeitungstätigkeiten in der Arztpraxis ist eine Überprüfung aller elektronischen und auf Papier erfolgenden Datenverarbeitungen notwendig. Wird im Rahmen der Prüfung deutlich, dass Verarbeitungsvorgänge nicht DSGVO-konform sind, sind geeignete Maßnahmen zu ergreifen. Anschließend sind die einzelnen Tätigkeiten, in denen die Praxis personenbezogene Daten verarbeitet, in Verzeichnissen zu dokumentieren (Mustervorlagen finden sich in verschiedenen Formen online), die auf Verlangen der Aufsichtsbehörde vorzulegen sind. In diesen Verzeichnissen müssen alle Tätigkeiten aufgeführt sein, in denen Patientendaten sowie Daten des Personals erhoben, gespeichert, bearbeitet oder weitergeleitet werden. Wird bei der Verzeichniserstellung deutlich, dass bestimmte Datenverarbeitungsvorgänge aufgrund z. B. des Datenumfangs einem hohen Datenschutzrisiko unterliegen, wird ggf. eine Datenschutz-Folgenabschätzung erforderlich.

Interne Datenschutzrichtlinie

Zur Unterstützung eines besseren Bewusstseins über den Datenschutz in der Praxis, ist eine interne Datenschutzrichtlinie nützlich. Datenpannen lassen sich besser vermeiden, wenn in der internen Richtlinie klare Verantwortlichkeiten und Abläufe im Umgang mit den personenbezogenen Daten innerhalb des Teams festgehalten werden.

Welche DSGVO-relevanten Maßnahmen hat unser Meyer-Wagenfeld-Team
bereits vorgenommen?

Anpassung der Datenschutzerklärungen auf Praxishomepages

Besonders von einer Abmahnung bedroht schienen öffentlich einsehbare Informationen zu sein. So zogen es viele Ärzte vor, ihre Webseite vorerst offline zu schalten. Ein radikaler Schritt, um einer Abmahnung aus dem Weg zu gehen, die aus der möglicherweise nicht DSGVO-konformen Datenschutzerklärung resultieren könnte. Arztpraxen, die ihre Homepage von Meyer-Wagenfeld beziehen, brauchten sich hier keine Sorgen zu machen: Als Serviceleistung hat sich ein fleißiges Team an sämtliche Praxishomepages von Meyer-Wagenfeld-Kunden gesetzt, die Datenschutzerklärungen entsprechend der EU-DSGVO aktualisiert und nach Bedarf den Kontakt zum Datenschutzbeauftragten der jeweiligen Praxis eingepflegt.

Neu im Sortiment: Datenschutzformular für Patienteninformation

Neben den vielen zu erledigenden Aufgaben, die durch die DSGVO in den Praxen zu erledigen waren (und immer noch sind), sollte ein praktischer Helfer her, der zumindest die Patientenaufklärung über den Datenschutz in der Praxis erleichtert. Somit haben wir von Meyer-Wagenfeld in Zusammenarbeit mit einem Rechtsanwalt ein hilfreiches Datenschutzformular entwickelt. Das zweiseitige DIN A4-Blatt klärt die Patienten zum einen leicht verständlich über den Umgang mit personenbezogenen Daten in der Arztpraxis auf, während es darüber hinaus auch eine Einverständniserklärung enthält. Mit dieser Erklärung können die Patienten auf dem selbigen Formular in die Datenweitergabe an z. B. Krankenkassen, mitbehandelnde Ärzte oder private Verrechnungsstellen einstimmen. Das ausgefüllte Blatt lässt sich dann bequem archivieren und schafft durch seine einfache Handhabung Zeit für den restlichen Praxisalltag.

Wer eine etwas umfangreichere Übersicht zu den nötigen Schritten im Rahmen der DSGVO wünscht, kann gerne auch unseren Blogartikel Herausforderung DSGVO: Ein Überblick für Arztpraxen und MVZ besuchen.


Quellen und weiterführende Informationen:

www.lda.bayern.de/media/FAQ_DSB_im_medizinischen_Bereich.pdf

www.kvb.de/fileadmin/kvb/dokumente/Praxis/Praxisfuehrung/KVB-Infoblatt-FAQ-DSGVO.pdf

www.kbv.de/media/sp/Checkliste_Empfehlungen_aerztliche_Schweigepflicht_Datenschutz.pdf

www.datenschutzkonferenz-online.de/media/dskb/20180426_dskb_dsb_bestellpflicht.pdf

www.aerzteblatt.de/archiv/196629/Datenschutz-Check-2018-Was-muessen-Arztpraxen-angesichts-der-neuen-Vorschriften-zum-Datenschutz-tun

Vanessa Harder

ja