Datenschutz in der Arztpraxis

Allgemeine Information

Ab dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO) als verbindliches und primäres Datenschutzrecht.

Die Checkliste Datenschutz der KBV „Das ist in puncto Datenschutz zu tun“ informiert über den wesentlichen Handlungsbedarf.

Wenngleich mit der neuen Rechtslage keine gravierenden inhaltlichen Änderungen einhergehen und auch die Grundsystematik einschließlich der meisten Grundprinzipien des Datenschutzes erhalten bleiben, gibt es gewissen Handlungsbedarf, den man angesichts des beachtlich erhöhten Sanktionsrahmens (der auch Großkonzerne beeindrucken soll) nicht ignorieren sollte. Die unmittelbare Geltung von EU-Recht und ergänzend nationalem Recht erleichtert nicht gerade die Rechtsanwendung, vielmehr scheinen Formalitäten in den Vordergrund zu treten, zu Lasten eines „originären“ Datenschutzes, der auch nach dem gesunden Menschenverstand nachvollziehbar ist bzw. sein sollte. Unserer Auffassung nach führen die EU-Vorgaben bislang eher zu Verwirrung, Unklarheiten und Unsicherheiten - auch bei Fachleuten. Deshalb werden wir uns bemühen, Ihnen hoffentlich hilfreiche Informationen und Unterlagen zur Verfügung zu stellen und Sie noch etwas eingehender über die wesentlichen Maßnahmen der erwähnten KBV-Checkliste informieren.

Ein umfangreiches Informationsangebot finden Sie auch auf der Internetpräsenz der KBV. Die KV Sachsen ist bestrebt, das Informationsangebot ständig zu aktualisieren und zu erweitern.

Hier geht es um die Bestandsaufnahme, welche Daten in der Praxis auf welcher Rechtsgrundlage verarbeitet werden. Relevante Verfahren sind z. B. Verwaltung von Patientendaten und -akten, Personaldaten und -akten, Buchhaltung und Terminverwaltung. Notwendige Inhalte sind:

Name/Kontaktdaten des Verantwortlichen, seines Vertreters sowie eines etwaigen DSB
Zweck der Verarbeitung
Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
Empfänger(kategorien), denen gegenüber personenbezogene Daten offengelegt werden
Löschfristen
ggf. Übermittlung von personenbezogenen Daten in ein Drittland
eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Verarbeitungsverzeichnis Muster
Ausfüllbeispiel

Zusammenstellung der technischen und organisatorischen Maßnahmen (sog. TOMs), die die Praxis zum Schutz von personenbezogenen Daten ergreift - wobei es beispielhaft um folgende Maßnahmen geht:

Schließsystem,
Alarmanlage,
Videoüberwachung,
Schlüsselregelung,
Auswahl von Reinigungspersonal,
Zuordnung von Benutzerrechten,
Passwortvergabe,
Einsatz von Firewalls,
Einsatz von Anti-Viren-Software,
Verschlüsselung von Smartphone-Inhalten /
Notebooks,
Sperren von externen Schnittstellen,
Erstellen eines Backup- und Recoverykonzepts,
Testen von Datenwiederherstellung,
Einsatz von Aktenvernichtern, E-Mail-Verschlüsselung etc.

Eine Patienteninformation zum Datenschutz in der Arztpraxis, zum Beispiel als Aushang in den Praxisräumen und auf der Praxis-Website, sollte bereitgestellt werden.

Die EU-DSGVO bestimmt, dass die Patienten über die Verarbeitung von Daten in der Arztpraxis zu informieren sind.

Hinweis:
Hierzu wurde gemeinsam von KBV und den KVen eine Patienteninformation Datenschutz erarbeitet. Diese wurde den KVS-Mitteilungen 04/2018 beigelegt. Die Patienteninformation Datenschutz können Sie entsprechend anpassen und an geeigneter Stelle aushängen.

Verträge zur Auftragsverarbeitung mit Softwareanbietern und anderen Dienstleistern sollten angepasst oder neu abgeschlossen werden.

Es besteht die Möglichkeit, ohne explizite Rechtsgrundlage und ohne Einwilligung der Betroffenen Dritten Zugang oder die Möglichkeit zum Zugang zu personenbezogenen Daten zu verschaffen, wenn ein spezieller, den Bestimmungen des Art. 28 EU-DSGVO genügender Vertrag abgeschlossen wird – die sogenannte Auftragsverarbeitung, wie z. B. bei den Wartungsverträgen für die Praxis-EDV.

Hinweis:
Das Informationsblatt Auftragsverarbeitung enthält Informationen darüber, welche Inhalte dieser Vertrag haben muss bzw. was zu berücksichtigen ist.

Ein Datenschutzbeauftragter (DSB), der entweder in der Praxis beschäftigt ist oder als Dienstleister beauftragt wird, ist zwingend zu benennen, wenn Ärzte in der Praxis mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Der DSB, der nicht Praxisinhaber sein kann, muss für die Aufgabe fachlich qualifiziert sein oder werden. Er ist dem Sächsischen Datenschutzbeauftragten zu melden. In seltenen Fällen müssen auch kleinere Praxen einen DSB einsetzen, und zwar dann, wenn eine Datenschutzfolgenabschätzung notwendig ist, was dann der Fall ist, wenn z. B. große Mengen an personenbezogenen Daten verarbeitet oder die Praxisräume systematisch videoüberwacht werden.

Ihre Ansprechpartner

Landesgeschäftsstelle

Herr Falk Kluge

0351 8290-9501 datenschutz@kvsachsen.de

Bezirksgeschäftsstelle Chemnitz

Frau Jana Grunewald

0371 2789-4341

Bezirksgeschäftsstelle Dresden

Herr Frank Weinert

0351 8828-3381

Bezirksgeschäftsstelle Leipzig

Frau Anna-Laura Schöne

0341 2432-2137

Sächsischer Datenschutzbeauftragter

Devrientstraße 1
01067 Dresden

Dokumente

FAQ - Fragen und Antworten zur Datenschutz-Grundverordnung
Checkliste Datenschutz
Verarbeitungsverzeichnis Muster
Verarbeitungsverzeichnis Ausfüllbeispiel
Patienteninformation Datenschutz
Checkliste Auftragsverarbeitung

Übersetzungen
Patienteninformation zum Datenschutz

Englisch
Französisch
Spanisch
Russisch
Tschechisch
Polnisch

Weiterführende Informationen

KBV - Datenschutz
Ärzteblatt - Datenschutz-Check 2018

Aktuelle Informationen

Praxis-News

Bekanntmachungen

KVS-Mitteilungen

Newsletter für Mitglieder

Veranstaltungen für Fort- und Weiterbildung

Corona

Testung und Diagnostik bei COVID-19-Symptomen

Schutzimpfung gegen COVID-19

Behandlung

Sonderregelungen

Einreichung Steuerdaten Nicht-Mitglieder

Beratungsservice

Honorar

Allgemeine Verwaltung

Bereitschaftsdienst

Buchhaltung

Qualität

Zulassung und Niederlassung

Verordnung

Bereitschaftsdienst

Honorar und Abrechnung

Allgemeine Informationen

Grundlagen

EBM

Kodierung (ICD-10-GM)

Abrechnung und IT

Gesamtvergütung

Honorarverteilungsmaßstab

Erteilung von Regelleistungsvolumen

Gesamtverträge

Honorar

Honorardaten

Honorar- und Abschlagszahlung

Verwaltungskostenumlagen

Terminservice- und Versorgungsgesetz (TSVG)

Abrechnung notärztlicher Leistungen

Quartalsabrechnung

Abrechnungshinweise

Abrechnungsabgabe

Vorabprüfung der Quartalsabrechnung

Online-Abrechnung

Erklärung zur Abrechnung

Weitere Abrechnungsunterlagen

Energiekosten

Kriegsflüchtlinge aus der Ukraine

Behandlung von Geflüchteten

Sonstige Kostenträger

Sozialversicherungsabkommen (Auslandskrankenversicherte)

Plausibilitätsprüfung

IT in der Praxis

Telematikinfrastruktur

Aktuelle Informationen

Finanzierung

TI-Einsteiger / Übersicht

Kartentypen / Elektronische Signaturen

Kommunikationsdienst im Medizinwesen (KIM)

Verzeichnisdienst (VZD)

Anwendungen in der Telematikinfrastruktur

Versichertenstammdatenmanagement (VSDM)

Notfalldatenmanagement (NFDM)

elektronischer Medikationsplan (eMP)

elektronischer Arztbrief (eArztbrief)

elektronische Arbeitsunfähigkeitsbescheinigung (eAU)

elektronisches Rezept (eRezept)

elektronische Patientenakte (ePA)

Digitale Anwendungen im Gesundheitswesen

Anwendungen der KV Sachsen

IT-Sicherheit in der Praxis

Service und Support

Praxisorganisation

Ärztliche Tätigkeit

Abwesenheit und Vertretung

Stammdaten ändern

Vertragsarztsitz ändern

Sprechzeiten

Stempel

Vordrucke

Barrierefreiheit

Ausbildung von Ärzten und Personal