Sie befinden sich hier: Startseite » Mitglieder » KVS-Mitteilungen » 2018 » 04/2018 » Datenschutz

Neues Datenschutzrecht - was tun?

Ab dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO) als verbindliches und primäres Datenschutzrecht

Dieser Ausgabe liegt die Checkliste Datenschutz der KBV „Das ist in puncto Datenschutz zu tun“ bei. Sie informiert über den wesentlichen Handlungsbedarf. Wenngleich mit der neuen Rechtslage keine gravierenden inhaltlichen Änderungen einhergehen und auch die Grundsystematik einschließlich der meisten Grundprinzipien des Datenschutzes erhalten bleiben, gibt es gewissen Handlungsbedarf, den man angesichts des beachtlich erhöhten Sanktionsrahmens (der auch Großkonzerne beeindrucken soll) nicht ignorieren sollte. Die unmittelbare Geltung von EU-Recht und ergänzend nationalem Recht erleichtert nicht gerade die Rechtsanwendung, vielmehr scheinen Formalitäten in den Vordergrund zu treten, zu Lasten  eines „originären“ Datenschutzes, der auch nach dem  gesunden Menschenverstand nachvollziehbar ist bzw. sein sollte. Unserer Auffassung nach führen die EU-Vorgaben bislang eher zu Verwirrung, Unklarheiten und Unsicherheiten – auch bei Fachleuten.

Deshalb werden wir uns bemühen, Ihnen hoffentlich hilfreiche Informationen und Unterlagen zur Verfügung zu stellen und Sie noch etwas eingehender über die wesentlichen Maßnahmen der erwähnten KBV-Checkliste informieren:

 

  • Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten, die in der Praxis anfallen
    Hier geht es um die Bestandsaufnahme, welche Daten in der Praxis auf welcher Rechtsgrundlage verarbeitet werden. Relevante Verfahren sind z. B. Verwaltung von Patientendaten und -akten, Personaldaten und -akten, Buchhaltung und Terminverwaltung. Notwendige Inhalte sind:
    • Name/Kontaktdaten des Verantwortlichen, seines Vertreters sowie eines etwaigen DSB
    • Zweck der Verarbeitung
    • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
    • Empfänger(kategorien), denen gegenüber personenbezogene Daten  offengelegt werden
    • Löschfristen
    • ggf. Übermittlung von personenbezogenen Daten in ein Drittland
    • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Hinweis: Das Muster Verarbeitungsverzeichnis als bearbeitbare Worddatei sowie ein Ausfüllbeispiel zum Verarbeitungsverzeichnis sind auf der Internetpräsenz der KV Sachsen unter www.kvsachsen.de > Aktuelles zu finden.

 

  • Zusammenstellung der technischen und organisatorischen Maßnahmen (sog. TOM’s), die die Praxis zum Schutz von personenbezogenen Daten ergreift – wobei es beispielhaft um folgende Maßnahmen geht:
    • Schließsystem,
    • Alarmanlage,
    • Videoüberwachung,
    • Schlüsselregelung,
    • Auswahl von Reinigungspersonal,
    • Zuordnung von Benutzerrechten,
    • Passwortvergabe,
    • Einsatz von Firewalls,
    • Einsatz von Anti-Viren-Software,
    • Verschlüsselung von Smartphone-Inhalten / Notebooks,
    • Sperren von externen Schnittstellen,
    • Erstellen eines Backup- und Recoverykonzepts,
    • Testen von Datenwiederherstellung,
    • Einsatz von Aktenvernichtern, E-Mail-Verschlüsselung etc.
    • Bereitstellung einer Patienteninformation zum Datenschutz in der Arztpraxis, zum Beispiel als Aushang in den Praxisräumen und auf der Praxis-Website

Die EU-DSGVO bestimmt, dass die Patienten über die Verarbeitung von Daten in der Arztpraxis zu informieren sind.

Hinweis: Hierzu wurde gemeinsam von KBV und den KVen eine Patienteninformation Datenschutz erarbeitet. Beachten Sie bitte auch die Beilage in diesem Heft. Außerdem können Sie diese von der Internetpräsenz der KV Sachsen unter www.kvsachsen.de > Arbeiten als Arzt > Datenschutz herunterladen, entsprechend anpassen und an geeigneter Stelle aushängen.

  • Verträge zur Auftragsverarbeitung mit Softwareanbietern und anderen Dienstleistern anpassen oder neu abschließen

Es besteht die Möglichkeit, ohne explizite Rechtsgrundlage und ohne Einwilligung der Betroffenen Dritten Zugang oder die Möglichkeit zum Zugang zu personenbezogenen Daten zu verschaffen, wenn ein spezieller, den Bestimmungen des Art. 28 EU-DSGVO genügender Vertrag abgeschlossen wird – die sogenannte Auftragsverarbeitung, wie z. B. bei den Wartungsverträgen für die Praxis-EDV.

Hinweis: Das Informationsblatt Auftragsverarbeitung dazu finden Sie auf der Internetpräsenz der KV Sachsen unter www.kvsachsen.de > Arbeiten als Arzt > Datenschutz

  • Beauftragung eines Datenschutzbeauftragten


Ein Datenschutzbeauftragter (DSB), der entweder in der Praxis beschäftigt ist oder als Dienstleister beauftragt wird, ist zwingend zu benennen, wenn Ärzte in der Praxis mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Der DSB, der nicht Praxisinhaber sein kann, muss für die Aufgabe fachlich qualifiziert sein oder werden. Er ist dem Sächsischen Datenschutzbeauftragten zu melden. In seltenen Fällen müssen auch kleinere Praxen einen DSB einsetzen, und zwar dann, wenn eine Datenschutzfolgenabschätzung notwendig ist, was dann der Fall ist, wenn z. B. große Mengen an personenbezogenen Daten verarbeitet oder die Praxisräume systematisch videoüberwacht werden.

Ein umfangreiches Informationsangebot finden Sie auch auf der Internetpräsenz der KBV. Die KV Sachsen ist bestrebt, das Informationsangebot ständig zu aktualisieren und zu erweitern.

Informationen
www.kvsachsen.de > Arbeiten als Arzt > Datenschutz

www.kbv.de  > Service > Service für die Praxis > Praxisführung > Datenschutz
www.aerzteblatt.de  > Archiv > Aktuell > Datenschutz-Check 2018

                                – Informationen der BÄK und KBV / klu –