Sie befinden sich hier: Startseite » Mitglieder » Arbeiten als Arzt » Datenschutz in der Arztpraxis

Datenschutz in der Arztpraxis

Allgemeine Information

Ab dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO) als verbindliches und primäres Datenschutzrecht.

Im Downloadbereich finden Sie die Checkliste Datenschutz der KBV „Das ist in puncto Datenschutz zu tun“ bei. Sie informiert über den wesentlichen Handlungsbedarf. Wenngleich mit der neuen Rechtslage keine gravierenden inhaltlichen Änderungen einhergehen und auch die Grundsystematik einschließlich der meisten Grundprinzipien des Datenschutzes erhalten bleiben, gibt es gewissen Handlungsbedarf, den man angesichts des beachtlich erhöhten Sanktionsrahmens (der auch Großkonzerne beeindrucken soll) nicht ignorieren sollte. Die unmittelbare Geltung von EU-Recht und ergänzend nationalem Recht erleichtert nicht gerade die Rechtsanwendung, vielmehr scheinen Formalitäten in den Vordergrund zu treten, zu Lasten  eines „originären“ Datenschutzes, der auch nach dem  gesunden Menschenverstand nachvollziehbar ist bzw. sein sollte. Unserer Auffassung nachführen die EU-Vorgaben bislang eher zu Verwirrung, Unklarheiten und Unsicherheiten - auch bei Fachleuten. Deshalb werden wir uns bemühen, Ihnen hoffentlich hilfreiche Informationen und Unterlagen zur Verfügung zu stellen und Sie noch etwas eingehender über die wesentlichen Maßnahmen der erwähnten KBV-Checkliste informieren.

Ein umfangreiches Informationsangebot finden Sie auch auf der Internetpräsenz der KBV. Die KV Sachsen ist bestrebt, das Informationsangebot ständig zu aktualisieren und zu erweitern.

Nach oben

Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten

Hier geht es um die Bestandsaufnahme, welche Daten in der Praxis auf welcher Rechtsgrundlage verarbeitet werden. Relevante Verfahren sind z. B. Verwaltung von Patientendaten und -akten, Personaldaten und -akten, Buchhaltung und Terminverwaltung. Notwendige Inhalte sind:

  • Name/Kontaktdaten des Verantwortlichen, seines Vertreters sowie eines etwaigen DSB
  • Zweck der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • Empfänger(kategorien), denen gegenüber personenbezogene Daten  offengelegt werden
  • Löschfristen
  • ggf. Übermittlung von personenbezogenen Daten in ein Drittland
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Downloads hier und im rechten Seitenrand:

Nach oben

Technische und organisatorische Maßnahmen

Zusammenstellung der technischen und organisatorischen Maßnahmen (sog. TOM’s), die die Praxis zum Schutz von personenbezogenen Daten ergreift - wobei es beispielhaft um folgende Maßnahmen geht:

  • Schließsystem,
  • Alarmanlage,
  • Videoüberwachung,
  • Schlüsselregelung,
  • Auswahl von Reinigungspersonal,
  • Zuordnung von Benutzerrechten,
  • Passwortvergabe,
  • Einsatz von Firewalls,
  • Einsatz von Anti-Viren-Software,
  • Verschlüsselung von Smartphone-Inhalten /
  •  Notebooks,
  • Sperren von externen Schnittstellen,
  • Erstellen eines Backup- und Recoverykonzepts,
  • Testen von Datenwiederherstellung,
  • Einsatz von Aktenvernichtern, E-Mail-Verschlüsselung etc. 

Nach oben

Bereitstellung einer Patienteninformation zum Daten­schutz

Eine Patienteninformation zum Daten­schutz in der Arztpraxis, zum Beispiel als Aushang in den Praxisräumen und auf der Praxis-Website, sollte bereitgestellt werden.

Die EU-DSGVO bestimmt, dass die Patienten über die Verarbeitung von Daten in der Arztpraxis zu informieren sind.

Hinweis:

Hierzu wurde gemeinsam von KBV und den KVen eine Patienteninformation Datenschutz erarbeitet. Dieses wurde den KVS-Mitteilungen 04/2018 beigelegt. Sie können die Patienteninformation Datenschutz hier oder im rechten Rand herunterladen und entsprechend anpassen und an geeigneter Stelle aushängen.

Nach oben

Verträge zur Auftragsverarbeitung

Verträge zur Auftragsverarbeitung mit Softwareanbietern und anderen Dienstleistern sollten angepasst oder neu abgeschlossen werdem.

Es besteht die Möglichkeit, ohne explizite Rechtsgrundlage und ohne Einwilligung der Betroffenen Dritten Zugang oder die Möglichkeit zum Zugang zu personenbezogenen Daten zu verschaffen, wenn ein spezieller, den Bestimmungen des Art. 28 EU-DSGVO genügender Vertrag abgeschlossen wird – die sogenannte Auftragsverarbeitung, wie z. B. bei den Wartungsverträgen für die Praxis-EDV.

Hinweis:

Das Informationsblatt Auftragsverarbeitung, welche Inhalte dieser Vertrag haben muss bzw. was zu berücksichtigen ist, finden Sie auf im Downloadbereich auf der rechten Seite oder hier

Nach oben

Beauftragung eines Datenschutzbeauftragten

Ein Datenschutzbeauftragter (DSB), der entweder in der Praxis beschäftigt ist oder als Dienstleister beauftragt wird, ist zwingend zu benennen, wenn Ärzte in der Praxis mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Der DSB, der nicht Praxisinhaber sein kann, muss für die Aufgabe fachlich qualifiziert sein oder werden. Er ist dem Sächsischen Datenschutzbeauftragten zu melden. In seltenen Fällen müssen auch kleinere Praxen einen DSB einsetzen, und zwar dann, wenn eine Datenschutzfolgenabschätzung notwendig ist, was dann der Fall ist, wenn z. B. große Mengen an personenbezogenen Daten verarbeitet oder die Praxisräume systematisch videoüberwacht werden.

Nach oben