DS-GVO für Ärzte

Das Gespenst der Datenschutz-Grundverordnung geistert momentan in zahlreichen Fachmedien für verschiedene Branchen. Die einschlägigen Zeitschriften und Internetportale für Ärzte schweigen sich allerdings weitestgehend zu diesem Thema aus. Das ist unverständlich, weil ja gerade die Ärzte mit den hochsensibelsten Daten tagtäglich zu tun haben und zum 25.05.2018 die neuen und auch die alten Vorgaben umgesetzt haben müssen, weil die Verstöße ab diesem Zeitpunkt unter Strafe (Geldbuße in Höhe von 4% des jährlichen Praxisumsatzes) gestellt sind.

Nun, was muss jeder Arzt ob alleine oder mit anderen Ärzten in einer Praxis zum neuen Datenschutz wissen: Das Ziel der neuen Vorschriften ist es, die Transparenz für die Verbraucher/Patienten zu schaffen. Sie sollen wissen, welche Daten von Ihnen wo und wofür gespeichert und verwendet werden. Um das zu gewährleisten, müssen Sie ab dem 25.05.2018 Ihre Patienten darüber informieren, wie die Patientendaten in Ihrer Praxis verarbeitet und Datenschutzanforderungen erfüllt werden. Folgende Informationen sollen frei zugänglich (z.B. im Wartezimmer und/oder am Empfang) für Patienten in der Praxis vorgehalten werden:

  • Name und Kontaktdaten der Praxis
  • Name und Kontaktdaten des Datenschutzbeauftragten (Pflicht bei Praxen mit mehr als 10 Mitarbeitern, die mit Patientendaten zu tun haben)
  • Zwecke der Datenverarbeitung ( z. B. Terminvereinbarung, Abrechnung, Verordnungen, Übermittlung an andere Leistungserbringer, etc)
  • Mögliche Empfänger der Daten (z.B. Kassenärztliche Vereinigung, Prüfungseinrichtung)
  • Rechtsgrundlage der Datenverarbeitung
  • Aufklärung über die datenschutzrechtliche Ansprüche des Patienten (Auskunft, Berichtigung, Löschung, Sperrung, Widerspruchsrecht, Datenübertragung)
  • Recht des Patienten auf Widerruf der Einwilligung in die Datenspeicherung
  • Recht des Patienten auf die Beschwerde beim Datenschutzbeauftragten

Sollten Sie also Daten von Patienten speichern, ohne deren Einwilligung nachweisen zu können oder innerhalb von 4 Wochen die Patientenanfrage über die Art der von ihm in Ihrer Praxis gespeicherten Daten und den Zweck deren Verarbeitung nicht beantworten können, müssen Sie mit einer Überprüfung der Einhaltung der Datenschutzvorgaben durch den Datenschutzbeauftragten des Landes rechnen. In Bayern werden bereits jetzt Briefe an Unternehmen verschickt, die sich nach dem Stand der Umsetzung der DS-GVO erkundigen.

Um die Auskunft über die Patientendaten überhaupt geben zu können, müssen Sie in Ihrer Praxis einen Verzeichnis der verarbeitender Tätigkeiten führen, aus dem hervorgeht:

  • Name und Kontaktdaten des Verantwortlichen (z.B. Praxisinhabers) und seines Vertreters (ggfl. auch Datenschutzbeauftragten)
    Zweck der Datenverarbeitung
  • Kategorisierung der betroffenen Personengruppen (Patienten, Arbeitnehmer)
  • Kategorisierung weiterer Empfänger der Daten (z.B. Kassenärztliche Vereinigung, PVS)
  • Kategorisierung der Daten (von allgemein zugänglichen wie Adresse bis zu hochsensiblen wie z.B. Diagnosen, Behandlungsdaten)
  • Löschungsfristen für einzelne Datenkategorien
  • Maßnahmen der Datensicherheit

Die oben aufgeführten Vorgaben müssen ab 25.05.2018 erfüllt sein. Denn ab diesem Tag kann sich jeder Patient und/oder (Ex)Mitarbeiterin um die Auskunft über die Datenverarbeitung Ihrer Daten bitten. Sofern Sie diese Auskunft innerhalb von 4 Wochen nicht geben können, darf diese Person sich bei offiziellen Stellen beschweren. Auf die Beschwerde hin muss dann ein Prüfverfahren gegen Ihre Praxis eingeleitet werden, in dem die Einhaltung der Datenschutzvorschriften geprüft wird.  Wenn Sie also nicht zumindest in groben Zügen mit den Anforderungen auseinandersetzen, droht Ihnen eine empfindliche Geldbuße. Daher müssen Sie sich jetzt mit diesem Gespenst auseinandersetzen, ob Sie nun wollen oder nicht. Gerne stelle ich Ihnen Vorlagen zur Verfügung, mit denen Sie das Thema schnell und sicher in den Griff bekommen.