Datenschutz im Gesundheitsbereich

Datenschutz in der Arztpraxis

Aufgrund des regelmäßigen Umgangs mit Patientendaten kommt dem Datenschutz im Gesundheitsbereich, insbesondere in Kliniken und Arztpraxen eine besonders hohe Bedeutung zu. Gesundheitsinformationen gehören zur besonderen Kategorie personenbezogener Daten und sind als solche besonders schützenswert. Darüber hinaus unterliegen Ärzte und deren Mitarbeiter einer Schweigepflicht. Der Patient vertraut darauf, dass „sein“ Arzt verantwortungsvoll mit seinen Daten umgeht!

Ungeachtet ihrer Größe und Anzahl an Mitarbeitern ist es daher für Kliniken, Arztpraxen, Apotheken, physiotherapeutische Praxen sowie andere Pflege- und Heilberufe empfehlenswert, ein professionell aufgesetztes Datenschutzmanagement-System einzurichten.

Dokumentations- und Nachweispflichten

Seit Mai 2018 gelten erweiterte Dokumentations- und Nachweispflichten, um der „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO) zu genügen. Der Verantwortliche – in der Regel der Praxisinhaber – muss jederzeit nachweisen können, dass in seinen Behandlungsräumen die datenschutzrechtlichen Pflichten mit Blick auf die interne Organisation, den Umgang mit Patientendaten und externen Dienstleistern erfüllt werden.

Informations- und Auskunftsrechte der Patienten

Neben dem Einsichtsrecht gemäß § 630g BGB (Behandlungsvertrag) sieht die DSGVO neue Informations- und Auskunftspflichten (Art 13 und 14 DSGVO) gegenüber denjenigen vor, die von einer Verarbeitung ihrer Daten betroffen sind.

Den Betroffenen steht ein Auskunftsanspruch gegenüber der Praxis hinsichtlich des Umgangs mit ihren personenbezogenen Daten zu (Art. 15 DSGVO). Da die DSGVO hier eine sehr kurze Reaktionszeit von nur 4 Wochen vorschreibt, sollte dieser Prozess vorbereitet sein.

Verzeichnis der Verarbeitungstätigkeiten (VVT)

Alle datenschutzrechtlich relevanten Verarbeitungstätigkeiten und -vorgänge in der Praxis sind in einem entsprechenden Verzeichnis zu dokumentieren. Darüber hinaus sollte in einer internen Datenschutzrichtlinie zum Umgang mit Patientendaten eindeutig festgelegt werden wer, wann welche Daten und zu welchem Zweck verarbeiten und übermitteln darf.

Technische und organisatorische Maßnahmen (TOM)

Geeignete technische und organisatorische Vorkehrungen (TOM) sind einzurichten, um ein angemessenes Schutzniveau mit den Patientendaten zu gewährleisten (Art. 32 Abs. 1 DSGVO). Naturgemäß ist das geforderte Schutzniveau beim Umgang mit Gesundheitsdaten sehr hoch.

Unter Umständen muss eine sog. Datenschutzfolgenabschätzung durchgeführt werden (Art. 35 DSGVO), um mögliche erhöhte Risiken bei der Verarbeitung von Patientendaten abzuschätzen und Maßnahmen der Abhilfe zu bestimmen.

Löschpflichten

Die Aufbewahrungsfrist für Gesundheitsdaten sind spezialgesetzlich in § 630f Abs. 3 BGB geregelt, der eine Aufbewahrung der Dokumentation der Behandlung von 10 Jahren vorschreibt. Nach Art 17 DSGVO sind diese Daten nach Ablauf dieser Frist zu löschen.

Sollte aber nach Ende einer gesetzlichen Aufbewahrungsfrist das Interesse des Berechtigten an der Speicherung das an der Löschung überwiegen, beispielsweise in den Bereichen der Medikamentenunverträglichkeiten, ist eine weitere Speicherung der Gesundheitsdaten zulässig.

Sie möchten mehr zum Datenschutz in der Arztpraxis erfahren?

Klicken Sie hier für mehr Informationen oder ein kostenfreies und unverbindliches Informationsgespräch.

Vereinbarung mit externen Dienstleistern / Auftragsverarbeitung (AVV)

Sofern es sich um eine Auftragsverarbeitung handelt (z. B. Wartungsdienste für die Praxis-EDV, externe Labore oder private Abrechnungsstellen), sollten entsprechende Vereinbarungen getroffen werden, deren Anforderungen sich aus Art. 28 Abs. 3 DSGVO ergeben.

Einwilligung der Patienten

Jede Datenverarbeitung bedarf entweder der Einwilligung der betroffenen Person oder einer sonstigen gesetzlichen Ermächtigungsgrundlage (Rechtmäßigkeit der Datenverarbeitung, Art. 6 DSGVO).

Die routinemäßige Behandlung von Patienten erfolgt meist auf Basis eines entsprechenden Behandlungsvertrages, sodass eine zusätzliche Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen ist. Auch ist es unproblematisch, wenn sich Ärzte untereinander – unter Wahrung des Berufsgeheimnisses – über medizinisch problematische Fälle austauschen oder sich im Rahmen der Behandlung die Fachexpertise von anderen Kollegen einholen.

Allerdings muss der Patient einwilligen, wenn Datenverarbeitungen vorgesehen sind, die über den eigentlichen Behandlungsvertrag hinausgehen (z.B., wenn die Praxis ihre Patienten an bestimmte Vorsorgeuntersuchungen erinnern möchte).

Bei der Beauftragung von Subunternehmern, z.B. einem Labor, kommt es darauf an, ob als verantwortlicher Leiter ein Laborarzt tätig wird, mit dem der Patient einen Vertrag gemäß Art. 9 Abs. 3 DSGVO schließt. In diesem Fall ist eine Einwilligung nicht erforderlich. Wird hingegen das Labor nicht von einem Berufsgeheimnisträgergeführt, so ist eine Einwilligung nach Art. 9 Abs. 1 lit. a) DSGVO nötig.

Das Vorliegen von Einwilligungserklärungen zur Datenverarbeitung muss durch den Praxisinhaber nachgewiesen werden.

Vorgehen bei „Datenpannen“

Datenschutzvorfälle – sogn.Datenschutzpannen – sind unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden (Art. 33 Abs. 1 DSGVO). Da es sich hier um eine sehr kurze Meldefrist handelt, empfiehlt es sich, auf einen etwaigen meldepflichtigen Vorfall vorbereitet zu sein.

Aufsichtsbehörden

Aufsichtsbehörden haben gegenüber Berufsgeheimnisträgern nur eingeschränkte Rechte, insbesondere hinsichtlich der Auskunftserteilung über Patientengeheimnisse. Zudem bestehen für die Aufsichtsbehörden nur beschränkte Durchsuchungs- und Betretungsrechte in der Arztpraxis, soweit ihre Maßnahmen einen Verstoß gegen die Geheimhaltungspflichten von Ärzten zur Folge hätten.

Datenschutzbeauftragter

Einige Arztpraxen werden einen Datenschutzbeauftragten zu benennen haben (Art. 37 DSGVO), der entweder in der Praxis beschäftigt ist oder als externer Dienstleister beauftragt wird. Das ist in jedem Fall anzunehmen, wenn Ärzte in der Praxis mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 BDSG neu). Die zu benennende Person, die nicht der Praxisinhaber sein kann, muss für diese Aufgabe fachlich qualifiziert sein. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden.

Erfahrung zahlt sich aus

Seit vielen Jahren sind wir mit den datenschutzrechtlichen Anforderungen von Ärzten, Krankenhäusern und Unternehmen der Gesundheitsbranche bestens vertraut und unterstützen sie kompetent bei der Umsetzung und Einhaltung der DSGVO sowie des neuen BDSG.

Auch das von uns entwickelte Datenschutz-Management-System, der FOXmed-Datenschutz Monitor, ist auf diese besonderen branchenspezifischen Anforderungen ausgerichtet.

Unsere Beratungsleistung umfasst u.a.:

  • Beratung in allgemeinen und ärztespezifischen datenschutzrechtlichen Fragestellungen
  • Einrichtung eines Datenschutz-Management-Systems für Ihre Praxis, u.a., um die besonderen Dokumentationspflichten revisionsfest sicherzustellen
  • Analyse und Überprüfung der internen Verarbeitungsvorgänge und Erstellung des Verzeichnisses von Verarbeitungstätigkeiten
  • Risikoabschätzung der einzelnen Verarbeitungstätigkeit und ggfs. Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen
  • Erarbeitung eines Datenschutz-Handbuchs zur Festlegung von Verantwortlichkeiten und zum Umgang mit Patientendaten
  • Überprüfung und Anpassung vorhandener Verträge und Formulare für Ihre Patienten und Mitarbeiter, u.a.
  • Informationsschreiben
  • Einwilligungserklärungen
  • Verschwiegenheitserklärungen
  • Behandlungsverträge
  • Unterstützung bei der Einhaltung von Betroffenenrechten wie z.B. Auskunftsanfragen, Löschung oder Übertragung
  • Beratung bei der Umsetzung von Datensicherheit und der Implementierung von geeigneten technischen und organisatorischen Maßnahmen
  • Überprüfung und Anpassung vorhandener Verträge mit Ihren Dienstleistern
  • Schulungen des Praxispersonals
  • Unverzügliche Hilfe bei akuten Datenschutznotfällen
  • Vertretung gegenüber Aufsichtsbehörden (als externer Datenschutzbeauftragter)

Datenschutz schafft Vertrauen

Ein professionell organisierter Datenschutz in der Praxis schafft Vertrauen bei Mitarbeitern und Patienten!

Sie möchten mehr über die datenschutzrechtlichen Anforderungen im Gesundheitsbereich erfahren?

Klicken Sie hier für mehr Informationen oder ein kostenfreies und unverbindliches Informationsgespräch.

Sie möchten mehr über Cookie erfahren?

Ich berate Sie gerne:

Terminvereinbarung

Vereinbaren Sie ein kostenfreies und unverbindliches Informationsgespräch.
Bitte rufen Sie mich an: 030 – 89 74 72 57
oder kontaktieren Sie mich per Mail

Mail Senden

Melden Sie sich für unseren Newsletter an!

TÜV Nord DSB-Zertifikat
Gesellschaft für Datenschutz und Datensicherheit e.V. GDD Mitglied LogoBundesamt für Wirtschaft und Ausfuhrkontrolle BAFA Logo