So machen Sie Ihre Arztpraxis DSGVO-konform
So machen Sie Ihre Arztpraxis DSGVO-konform
Patricia Bauer
Patricia Bauer
Aktualisiert am

... Datenschutz DSGVO-konforme Arztpraxis
Inhalt
  1. 1. Sind Arztpraxen von der DSGVO betroffen?
  2. 2. Praxisinternes Datenschutz­management
  3. 3. Diese Rechte haben Patienten & Mitarbeiter
  4. 4. Online: Internetauftritt der Arztpraxis nach DSGVO optimieren
  5. 5. Offline: Praxisalltag nach DSGVO gestalten
  6. 6. Checkliste & Muster
Ersteinschätzung erhalten

So machen Sie Ihre Arztpraxis DSGVO-konform

So machen Sie Ihre Arztpraxis DSGVO-konform

Zusammenfassung

Seit Inkrafttreten der DSGVO im Jahr 2018 müssen Arztpraxen mit regelmäßigen und gründlichen Datenschutz-Kontrollen rechnen. Ärzte verarbeiten sensible Patientendaten, Datenschutzverstöße könnten für betroffene Patienten gravierende Konsequenzen haben. Um DSGVO-konform zu sein, muss eine Praxis zahlreiche Offline- und Online-Maßnahmen umsetzen.

 

Auf einen Blick

  • Die DSGVO schützt personenbezogene Daten und schränkt deren Verarbeitung und Speicherung stark ein.
  • Die DSGVO gilt sowohl für kleine als auch für große Praxen.
  • Beschäftigt die Arztpraxis mehr als 10 Mitarbeiter, ist ein Datenschutzbeauftragter Pflicht.
  • Patienten und Mitarbeiter haben zahlreiche Auskunftsrechte und können die Löschung ihrer Daten verlangen.
  • Der Internetauftritt der Praxis benötigt ausreichende Verschlüsselung, Datenschutzerklärung und Impressum.
  • In den Praxisräumen hat Diskretion oberste Priorität.
  • Schützen Arztpraxen die gesammelten Patienten- und Mitarbeiterdaten nicht ausreichend, drohen empfindliche Bußgelder.
  • Für Arztpraxen kann es sinnvoll sein, auf die Expertise eines Anwalts zu setzen, um schnell und unkompliziert DSGVO-konform zu werden.

 

Sie möchten Ihre Praxis DSGVO-konform gestalten?

advocado findet für Sie den passenden Anwalt für Datenschutzrecht & DSGVO aus einem Netzwerk mit über 500 Partner-Anwälten. Dieser kontaktiert Sie innerhalb von 2 Stunden* für eine kostenlose Ersteinschätzung zu Ihren Handlungsoptionen. Anschließend erhalten Sie ein Festpreisangebot für die Umsetzung der DSGVO in Ihrer Arztpraxis.

Schildern Sie dafür bitte hier Ihr Anliegen.

 

1. Sind Arztpraxen von der DSGVO betroffen?

Ja, Arztpraxen sind von der DSGVO betroffen. Die Datenschutz-Grundverordnung (kurz DSGVO) der Europäischen Union ist seit dem 25. Mai 2018 umzusetzen. Sie regelt EU-weit die Verarbeitung personenbezogener Daten durch private Unternehmen – also auch Arztpraxen.

Personenbezogen sind Daten, mit denen sich einzelne Personen identifizieren lassen – z. B. Name, Anschrift oder Geburtsdatum.

Der Datenschutz hat für Arztpraxen einen hohen Stellenwert: Neue Informationspflichten gegenüber den Patienten sind entstanden und die Einhaltung des Datenschutzes wird von den Aufsichtsbehörden insbesondere bei Arztpraxen regelmäßig kontrolliert.

Arztpraxen erfassen – neben Namen und Kontaktdaten – viele hochsensible personenbezogene Gesundheitsdaten:

  • Krankheitsbilder
  • Behandlungsverläufe und -zeiträume
  • Personaldaten (z. B. von Arzthelferinnen)

 

Grundsätzlich verbietet die DSGVO für Arztpraxen die Verarbeitung personenbezogener Gesundheits- und Personaldaten. Gestattet ist dies nur bei gesetzlicher Befugnis aufgrund eines Behandlungsvertrages oder durch Einwilligung des Patienten. Bei Mitarbeitern ergibt sich die Befugnis zur Datenverarbeitung aus dem Arbeitsverhältnis.

 

Aufgrund der Fülle an diesen fremden Daten müssen sowohl große als auch kleine Arztpraxen DSGVO-konform sein. Bei Verstößen – etwa weil Daten nicht ausreichend gesichert sind oder erforderliche Verzeichnisse fehlen – drohen Bußgelder.

Wie hoch diese ausfallen, ist einzelfallabhängig. So sind z. B. die Schwere des Verstoßes und der Jahresumsatz der Arztpraxis einzubeziehen. Die Datenschutzbehörden können theoretisch Bußgelder im zweistelligen Millionenbereich verhängen.

 

 
 

 

2. Praxisinternes Datenschutz­management

Die DSGVO sieht für Arztpraxen ein gut funktionierendes Datenschutzmanagement vor.

Folgendes müssen Sie dafür tun:

 

Verarbeitungsverzeichnis

Gemäß Art. 30 DSGVO muss Ihre Arztpraxis ein Verarbeitungsverzeichnis führen. Darin protokollieren Sie alle Tätigkeiten, bei denen es zu einer Verarbeitung personenbezogener Daten kommt. Dazu zählen z. B.:

  • Verarbeitung von Patientendaten zur Behandlung
  • Verarbeitung von Patientendaten zur Abrechnung mit den Krankenkassen
  • Personalverwaltung

Für jede Tätigkeit sind folgende Angaben zu machen:

 

 

Beispiel 1

Beispiel 2

Benennung der Verarbeitungs­tätigkeit

Verarbeitung von Patientendaten

Lohnabrechnung

Ansprechpartner

Dr. Max Mustermann

Dr. Max Mustermann

Datum der erstmaligen Ausführung

01.11.2019

30.11.2018

Rechtsgrundlage

Behandlungsvertrag

Arbeitsvertrag

Verarbeitungs­zweck

Behandlung

Auszahlung der Gehälter, Abfuhr von Steuern

Betroffener Personenkreis

Patienten

Praxispersonal

Benennung verarbeiteter Daten

Name & Adresse des Patienten, Diagnose, Behandlungs­daten

Name & Adresse des Arbeitnehmers, Kontodaten, Lohndaten, Steuerdaten usw.

Benennung der Datenempfänger

Vor-, mit- und nachbehandelnde Ärzte

Finanzamt

Drittlandtransfer

Nein

Nein

Löschfrist

10 Jahre (gesetzliche Aufbewahrungsfrist)

10 Jahre (gesetzliche Aufbewahrungsfrist)

Technische/organisa­torische Maßnahmen (TOM)

Verweis auf das IT-Sicherheits­konzept

Verweis auf das IT-Sicherheits­konzept

 

Das Verarbeitungsverzeichnis ist regelmäßig zu aktualisieren und der Datenschutzbehörde auf Nachfrage in schriftlicher oder elektronischer Form vorzulegen.

Aufgrund der Fülle von relevanten Tätigkeiten und Angaben kann schnell etwas übersehen werden. Damit das nicht passiert und Ihr Verzeichnis vollständig ist, können Sie Ihre Verarbeitungsprozesse anwaltlich überprüfen lassen. Ein Anwalt kann dafür sorgen, dass das Verarbeitungsverzeichnis der DSGVO-Kontrolle Ihrer Arztpraxis standhält.

 

TOM-Verzeichnis

Laut DSGVO muss Ihre Arztpraxis zusätzlich ein umfassendes Verzeichnis der technischen und organisatorischen Maßnahmen (kurz: TOM-Verzeichnis) führen, mit denen Sie Daten schützen.

Gemäß Art. 32 Absatz 1 DSGVO sind für Arztpraxen folgende Maßnahmen unumgänglich:

  • Pseudonymisierung: Daten werden z. B. durch Zahlenfolgen ersetzt und können nicht mehr ohne Weiteres zugeordnet werden. Beispiel: Speicherung einer Patienten-Identifikationsnummer statt einer E-Mail-Adresse.

  • Verschlüsselung: Alle Datensätze müssen vor Fremdzugriff geschützt sein. Beispiel: Zugang zu Datenarchiven nur mit Passwort.

  • Gewährleistung der Vertraulichkeit: Nur Berechtigte dürfen Zugang zu Aktenschränken, Computern und Serverräumen haben.

  • Schutz der Integrität: Die verarbeiteten Daten müssen richtig sein. Änderungen und Löschungen dürfen nur Berechtigte vornehmen. Außerdem sind diese zu dokumentieren.

  • Gewährleistung der Verfügbarkeit: Die Daten müssen auch bei technischen Widrigkeiten – z. B. bei einem Stromausfall – verfügbar sein.

  • Gewährleistung der Systembelastbarkeit: Es ist regelmäßig zu testen, ob die Systeme Unfällen oder Eindringlingen standhalten.

  • Wiederherstellungsmöglichkeit: Personenbezogene Daten müssen nach einem physischen oder technischen Zwischenfall wiederhergestellt und erneut verfügbar gemacht werden können.

  • Effektivitätsprüfung: Es ist regelmäßig zu überprüfen, ob die oben genannten Maßnahmen funktionieren und effektiv sind.

 

Auch beim TOM-Verzeichnis gilt: Unvollständigkeit kann zu Strafen durch die Datenschutzbehörde führen. Dem können Sie durch fachkundige Prüfung aller Maßnahmen vorbeugen.

 

Auftragsdatenverarbeitung: Verträge mit Drittanbietern

Wenn Sie Daten von Drittanbietern verarbeiten lassen, muss Ihre Arztpraxis DSGVO-konforme Verträge (Auftragsdatenverarbeitungsvertrag oder ADV) mit diesen geschlossen haben.

Drittanbieter sind z. B.:

  • Steuerbüros (Ecovis, ETL)
  • Cloud-Computing-Anbieter (Google, Amazon)
  • Anbieter von Praxisverwaltungssoftware (TURBOMED, MEDISTAR)
  • Website-Hoster (1 & 1, Strato)

 

Der Vertrag zur Auftragsdatenverarbeitung sollte mindestens folgende Punkte beinhalten:

  • Gegenstand & Dauer der Auftragsdatenverarbeitung
  • Rechte & Pflichten von Arztpraxis und Drittanbieter
  • Gewährleistung der Datensicherheit durch geeignete technische & organisatorische Maßnahmen
  • Regelungen zur Berichtigung, Löschung & Sperrung übermittelter Daten
  • Sofortige Mitteilungspflichten des Drittanbieters bei Datenschutzverletzungen
  • Vergütung
  • Haftung des Drittanbieters bei unzulässiger bzw. unsachgemäßer Datenverarbeitung
  • Vertragsstrafen
  • Sonderkündigungsrechte

 

Bestanden bereits vor der neuen DSGVO Verträge mit Drittanbietern, müssen diese unbedingt an die neuen Anforderungen angepasst werden! Bei Datenschutzkontrollen werden die Verträge sorgfältig geprüft – Unvollständigkeit oder mangelhafte Regelungen können zu Strafen führen.

Damit Ihre Verträge sowohl vollständig als auch rechtssicher sind, können Sie einen Anwalt mit deren Erstellung betrauen. Er kann datenschutzrechtliche Probleme erkennen und diesen durch rechtssichere Formulierungen vorbeugen. Schildern Sie dafür hier Ihr Anliegen.

 

Datenschutzbeauftragter

Eine Arztpraxis muss in der Regel nur dann einen Datenschutzbeauftragten ernennen, wenn sie 10 Mitarbeiter oder mehr beschäftigt. Ein Datenschutzbeauftragter stellt alle notwendigen Datenschutzmaßnahmen sicher.

Als Datenschutzbeauftragter kommt grundsätzlich jeder infrage, der über datenschutzrechtliche Fach- und Sachkunde verfügt. Die DSGVO macht keine Angaben, wann diese vorliegt.

Da die Auswahl des Datenschutzbeauftragten im Zweifel aber vor der Aufsichtsbehörde zu rechtfertigen ist, kann eine Zertifizierung (z. B. durch TÜV oder IHK) sinnvoll sein. Anwälte sind dank ihrer juristischen Ausbildung besonders qualifiziert.

Als Datenschutzbeauftragte nicht infrage kommen Praxisinhaber oder ein IT-Verantwortlicher – Interessenkonflikte sind so ausgeschlossen.

 

Datenschutz-Folgenabschätzung

Gemäß Art. 35 DSGVO ist für Ihre Arztpraxis eine Datenschutz-Folgenabschätzung erforderlich, wenn die Verarbeitung personenbezogener Daten besonders hohe Risiken für die Patienten oder Mitarbeiter birgt und ein Bruch der ärztlichen Schweigepflicht möglich ist. Mögliche Risiken sind zu benennen und deren Eintritt durch geeignete Maßnahmen zu verhindern.

Ein besonders hohes Risiko kann z. B. am Empfang der Arztpraxis entstehen: Wenn ein Patient sich gerade anmeldet und weitere Patienten die Praxis betreten, können diese mithören. Um das zu verhindern, kann die Arzthelferin das Gespräch kurz unterbrechen und den Neuankömmling bis zu seiner Anmeldung ins Wartezimmer schicken.

Alle Risiken und Maßnahmen sind schriftlich zu dokumentieren.

 

Besonderheiten bei Gemeinschaftspraxis oder Praxisgemeinschaft

Wenn Sie in einer Gemeinschaftspraxis oder Praxisgemeinschaft tätig sind, gelten datenschutzrechtliche Sonderregelungen.

Gemeinschaftspraxen gelten als Berufsausübungsgemeinschaft. Das heißt, dass die beteiligten Ärzte in der Regel einen gemeinsamen Patientenstamm und einen gemeinsamen Datenbestand haben.

Der Patient schließt mit allen Ärzten der Gemeinschaftspraxis einen gemeinsamen Behandlungsvertrag. Deshalb sind die Ärzte untereinander von der Schweigepflicht befreit und dürfen sich über den Patienten austauschen.

Gehören Sie zu einer Praxisgemeinschaft, gilt keine Befreiung von der Schweigepflicht. Die Ärzte haben sich nur zur gemeinsamen Nutzung der Praxisräume zusammengeschlossen – nicht aber zur gemeinsamen Behandlung der Patienten. Grundsätzlich hat jeder Arzt seine eigenen Patienten und alleinigen Zugriff auf deren Daten.

 

DSGVO Arztpraxis

Sie möchten die DSGVO für Ihre Arztpraxis umsetzen? advocado findet für Sie den passenden Anwalt. Er kontaktiert Sie für eine kostenlose Ersteinschätzung zu Ihrem Anliegen. Schildern Sie dafür bitte hier Ihr Anliegen.

 

3. Diese Rechte haben Patienten & Mitarbeiter

Um die Rechte der Patienten und Mitarbeiter zu stärken, sieht die DSGVO für Arztpraxen einige Informations- und Auskunftspflichten vor:

 

Patienten- und Mitarbeiterinformationen zum Datenschutz

Gemäß Art. 13 DSGVO ist jeder Betroffene bei der erstmaligen Erhebung seiner persönlichen Daten aktiv über die Speicherung und Weiterverarbeitung zu informieren.

Zur Patienteninformation können Sie einen verständlichen, klar und einfach formulierten, allgemein sichtbaren Aushang in den Praxisräumen machen. Meldet sich ein neuer Patient in der Arztpraxis an, muss das Praxispersonal ihn proaktiv auf den Aushang hinweisen und ihm auf Wunsch eine Kopie aushändigen können.

 

Der Patient muss die Informationen nur zur Kenntnis nehmen – eine Einwilligung für die Speicherung und Weiterverarbeitung seiner Daten wird in der Regel nicht benötigt.

Das liegt daran, dass der Patient mit dem Arztbesuch einen Behandlungsvertrag abschließt. Dieser rechtfertigt die Datenerhebung und -verarbeitung.

 

Ihre Mitarbeiter können Sie unmittelbar mit Abschluss des Arbeitsvertrages darüber informieren, dass die DSGVO in der Arztpraxis gilt. Eine explizite Einwilligung ist auch hier nicht notwendig.

 

Auskunftsrechte

Neben dem Recht auf Akteneinsicht nach § 630g BGB steht jedem Patienten ein Auskunftsrecht nach Art. 15 DSGVO zu. Das heißt, dass der Arzt auf Nachfrage Auskunft über Art und Umfang der gespeicherten Daten geben muss.

Grundsätzlich kann nur der Patient selbst Auskünfte verlangen. Wollen Angehörige die Akte eines verstorbenen Patienten einsehen, gelten nicht länger die Vorschriften der DSGVO für die Arztpraxis – diese sind nur bei lebenden Personen anwendbar.

Allerdings gilt die ärztliche Schweigepflicht gemäß § 203 Absatz 5 StGB auch über den Tod hinaus. Die Angehörigen benötigen deshalb eine sogenannte „Offenbarungsbefugnis”. Diese ergibt sich z. B. aus einer lebzeitigen Erklärung des Patienten oder einer Erbberechtigung.

Mitarbeiter können sich ebenfalls auf Art. 15 DSGVO berufen.

 

Recht auf Berichtigung & Vervollständigung von Daten

Laut DSGVO ist jede Arztpraxis verpflichtet, die personenbezogenen Daten auf dem neuesten Stand zu halten und – wenn notwendig – zu berichtigen.

Fällt einem Patienten oder Mitarbeiter auf, dass gespeicherte Daten falsch oder unvollständig sind, kann er nach Art. 16 DSGVO Berichtigung und Vervollständigung verlangen. Laut DSGVO muss die Arztpraxis dann sofort handeln und Anpassungen protokollieren.

 

Recht auf Löschung

Aufgrund der ärztlichen Aufbewahrungspflicht müssen Sie Gesundheitsdaten mindestens zehn Jahre lang aufbewahren. Gibt es z. B. Röntgenbilder oder Befunde von Strahlenbehandlungen, erhöht sich die Zeitspanne sogar auf 30 Jahre.

Erst nach Ablauf der gesetzlichen Aufbewahrungspflicht können Patienten die Löschung ihrer Daten verlangen.

Damit widerspricht die ärztliche Berufsordnung der DSGVO: Gemäß Art. 17 DSGVO sind personenbezogene Daten zu löschen, sobald deren Erhebungs- oder Verarbeitungszweck nicht mehr gegeben ist.

Für Mitarbeiter bedeutet das: Endet das Arbeitsverhältnis, dürfen die Daten nicht länger gespeichert werden.

 

Damit die Löschung der Daten reibungslos abläuft, müssen Sie in Ihrer Arztpraxis ein sogenanntes Löschkonzept etablieren. Hier legen Sie für verschiedene Datensätze Löschfristen, Startzeitpunkte der Löschfristen und Verantwortlichkeiten fest.

 

4. Online: Internetauftritt der Arztpraxis nach DSGVO optimieren

Ihr Internetauftritt ist das Aushängeschild Ihrer Arztpraxis. Mit einer Website können Sie Patienten auf Ihre Leistungen, Behandlungsschwerpunkte und Referenzen aufmerksam machen. Außerdem können Sie hier alle wichtigen Informationen für Patienten (Sprechzeiten, Anfahrt usw.) übersichtlich zusammenfassen.

Damit die Internetseite nicht nur informativ ist, sondern auch grundlegende DSGVO-Standards für Arztpraxen erfüllt, müssen Sie Folgendes beachten:

 

Website-Verschlüsselung

Ihre Internetseite braucht eine angemessene Verschlüsselung (TLS/SSL). Wenn Sie Kontaktformulare nutzen – damit z. B. Patienten Anfragen senden oder Termine vereinbaren können –, müssen diese ebenfalls verschlüsselt sein.

Ein erster Indikator dafür, dass Ihre Website angemessen verschlüsselt ist, ist die Adresszeile im Internetbrowser: Diese muss mit „https” beginnen.

Stellen Sie nur eine E-Mail-Adresse zur Kontaktaufnahme bereit, müssen Sie den Seitenbesucher unmittelbar darauf hinweisen, dass die E-Mail-Kommunikation nicht verschlüsselt ist und daher keine sensiblen Gesundheitsdaten versendet werden dürfen.

 

Datenschutzerklärung

Zu jeder öffentlichen Internetseite gehört eine Datenschutzerklärung. Nach Art. 12 DSGVO muss diese leicht zugänglich und in präziser, verständlicher Sprache verfasst sein.

Gemäß § 13 DSGVO sind u. a. folgende Inhalte verpflichtend für die Datenschutzerklärung auf der eigenen Website:

  • Name & Anschrift des Seitenbetreibers (in der Regel der Eigentümer der Arztpraxis)
  • Name & Anschrift des Datenschutzbeauftragten (soweit vorhanden)
  • Überblick über die erfassten Daten (z. B. IP-Adresse, Verweildauer)
  • Rechtsgrundlage für die Datenverarbeitung über die Website (z. B. berechtigtes Interesse an der Verbesserung und Stabilität der Website nach Art. 6 Absatz 1 f DSGVO)
  • Speicherdauer

 

Ob zusätzliche Angaben zu berücksichtigen sind, hängt stark von der Art Ihrer Internetseite ab: Sogenannte „Einfach-Homepages” (nur Informationen zu Arzt, Adresse und Telefonnummer) haben geringere Anforderungen als solche, die z. B. eine Online-Terminvergabe anbieten.

Mit Mustern aus dem Internet müssen Sie daher vorsichtig sein: Diese sind nicht auf Ihre Internetseite zugeschnitten bzw. können unvollständig sein. Die Datenschutzbehörde hätte dann einen Grund, eine Geldbuße zu verhängen.

 

Ein Anwalt kann den Bedarf Ihrer Internetseite analysieren, Probleme erkennen und eine rechtssichere Datenschutzerklärung erstellen. So wird Vollständigkeit und DSGVO-Konformität gewährleistet.

advocado findet für Sie den passenden Anwalt aus einem Netzwerk mit über 500 Partner-Anwälten. Dieser kontaktiert Sie innerhalb von 2 Stunden* für eine kostenlose Ersteinschätzung zu Ihren Handlungsoptionen. 

Anwalt kontaktieren & Praxis-Website prüfen lassen.

 

Impressum

Gemäß § 5 Telemediengesetz muss jede Internetseite außerdem ein Impressum beinhalten.

Relevante Inhalte sind u. a.:

  • Name & Anschrift des Seitenbetreibers
  • Kontaktdaten für eine schnelle Kontaktaufnahme (einschließlich E-Mail-Adresse)
  • Angaben zur zuständigen Landesärztekammer
  • Umsatzsteueridentifikationsnummer

 

Fotos nur mit Einverständnis

Wenn Sie auf Ihrer Internetseite Fotos vom Praxispersonal zeigen wollen, benötigt Ihre Arztpraxis laut DSGVO bei jedem Bild eine schriftliche Einverständniserklärung der abgebildeten Person. Widerruft eine Person später ihr Einverständnis, müssen Sie das Bild unverzüglich entfernen.

 

5. Offline: Praxisalltag nach DSGVO gestalten

Oberste Priorität im Praxisalltag hat die Diskretion: Nur das Praxispersonal darf auf die Patienten- und Personaldaten zugreifen können.

 

Belehrung der Mitarbeiter

Als Praxisinhaber stehen Sie in der Pflicht, Ihre Mitarbeiter umfassend über die DSGVO für die Arztpraxis, das Datengeheimnis und die ärztliche Schweigepflicht zu belehren. Nur so ist ein DSGVO-konformer Praxisalltag gewährleistet.

 

Empfang, Wartezimmer & Behandlungsräume

Die größte Gefahr von Datenschutzverletzungen besteht am Empfang, im Wartezimmer und in den Behandlungsräumen – also überall dort, wo sich die Patienten und ggf. deren Angehörige aufhalten.

Damit keine Daten in die falschen Hände geraten, sind folgende Vorsichtsmaßnahmen zu ergreifen:

  • Zutrittskontrolle – Besucher der Arztpraxis müssen sich unmittelbar nach Ankunft anmelden
  • Diskretionsbereich am Empfang
  • Diskrete Erhebung von Anmelde- und Patientendaten
  • Durchgehende Besetzung des Empfangs durch Praxispersonal
  • Schutz der Bildschirme, Telefone, Handys usw. vor Blicken und Zugriff Fremder
  • Sicherung der Patientenakten z. B. durch abschließbare Schränke
  • Abtrennung des Wartezimmers, sodass Dritte keine Gespräche am Empfang oder in Behandlungsräumen mithören können
  • Patienten halten sich nie alleine in den Behandlungsräumen auf (Alternative: Patient kann während der Abwesenheit des Arztes keine fremden Informationen einsehen)
  • Schutz der Arztpraxis gegen Diebstahl & Einbruch

 

Absicherung und Verwaltung von Patientendaten am Computer

Damit elektronische Patientenakten und sonstige Daten nicht gehackt und eingesehen werden können, können Sie folgende Maßnahmen ergreifen:

  • Schutz der Computer durch sichere Passwörter
  • Regelmäßiger Wechsel der Passwörter
  • Sperrung unbeaufsichtigter Computer
  • Installation aktueller Virenschutzprogramme & Firewalls
  • Individuelle Einsichtsbefugnisse für jeden Mitarbeiter

 

Datenweitergabe nur an befugte Personen

Laut DSGVO muss Ihre Arztpraxis sicherstellen, dass sie gespeicherte Daten nur mit dem Patienten selbst oder ausdrücklich dazu befugten Personen teilt. Folgende Problemfälle sind möglich:

  • Angehörige & Bevollmächtigte: Vor allem bei älteren oder stark beeinträchtigten Patienten kann es vorkommen, dass Angehörige oder Pflegebevollmächtigte Arztbriefe oder Rezepte abholen wollen. Das geht nur, wenn der Patient der Arztpraxis eine entsprechende Einwilligung gegeben hat.

  • Rezeptversendung an Apotheken oder Pflegeheime: Auch hierfür muss die ausdrückliche Einwilligung des Patienten vorliegen.

  • Besprechung mit Arztkollegen: Will der Arzt mit einem vor- oder nachbehandelnden Kollegen über den Patienten und seine Behandlung sprechen, darf er das aufgrund des Behandlungsvertrages. Erhofft er sich lediglich eine zweite Meinung zum Krankheitsbild, darf er nur allgemeine Angaben zum Zustand des Patienten teilen – nicht aber seinen Namen nennen.

  • Krankenkassen & Gesundheitsämter: Patientendaten dürfen nur dann an Krankenkassen & Gesundheitsämter weitergegeben werden, wenn diese über eine entsprechende Rechtsgrundlage verfügen. Beispiele für solche Rechtsgrundlagen wären die Abrechnung mit der gesetzlichen Krankenkasse oder der Infektionsschutz durch das Gesundheitsamt.

  • Polizei & Staatsanwaltschaft: In Ausnahmefällen sind Patientendaten an Polizei oder Staatsanwaltschaft herauszugeben – z. B. wenn der Befund helfen kann, einen Täter zu identifizieren und weitere Straftaten so zu verhindern. Eine Einverständniserklärung des Patienten ist dann nicht notwendig.

 

6. Checkliste & Muster

Die Erfüllung der DSGVO ist für alle Arztpraxen verpflichtend. Damit auch Ihre Arztpraxis DSGVO-konform ist und die Datenschutzbehörden nichts beanstanden können, müssen Sie alle geforderten Maßnahmen sorgfältig durchführen.

Die folgende Checkliste kann Ihnen die weitere Planung und Umsetzung erleichtern:

Alle Arztpraxen müssen:

✓    Verarbeitungsverzeichnis erstellen
✓    TOM-Maßnahmen zusammenstellen
✓    Auftragsdatenverarbeitungsverträge anpassen oder neu abschließen
✓    Löschkonzept entwickeln
✓    Datenschutzfolgenabschätzung vornehmen
✓    Patienten informieren – z. B. durch Aushang am Empfang
✓    Personal belehren
✓    Daten vor Fremdzugriff schützen
✓    Empfang vor unberechtigten Zuhörern abschirmen

 

Große Arztpraxen (mehr als 10 Mitarbeiter) müssen außerdem:

✓    Datenschutzbeauftragten ernennen
✓    Kontaktdaten des Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde hinterlegen

 

Bei Betrieb einer Internetseite denken Sie unbedingt an:

✓    Website-Verschlüsselung
✓    Datenschutzerklärung
✓    Impressum

 

Vor allem für die Verzeichnisse und Auftragsdatenverarbeitungsverträge finden Sie im Internet zahlreiche Muster, Vordrucke und Generatoren. Diese können Sie als erste grobe Orientierung nutzen – Sie müssen Sie aber an die Bedürfnisse Ihrer Arztpraxis anpassen.

Je nach Konzeption Ihrer Datenverarbeitungsprozesse und Praxisstruktur können sich Unterschiede bei den notwendigen Inhalten ergeben. Im schlimmsten Fall bieten Sie mit unvollständigen oder fehlerhaften Dokumenten der Datenschutzbehörde eine unnötige Angriffsfläche.

 

Ein Anwalt kann gewährleisten, dass alle Verfahrensverzeichnisse und Verträge DSGVO-konform sind. Indem er alle Verarbeitungstätigkeiten sorgsam prüft und eine individuelle Bedarfsanalyse vornimmt, wird nichts übersehen. Darüber hinaus kann er dabei helfen, Ihren Praxisalltag und Ihren Internetauftritt rechtssicher zu gestalten.

Sie möchten die DSGVO in
Ihrer Arztpraxis umsetzen?
Ein advocado Partner-Anwalt erläutert Ihnen in einer kostenlosen Ersteinschätzung das mögliche Vorgehen.
Jetzt DSGVO umsetzen Ratgeber Mockup
Hat Ihnen der Beitrag weitergeholfen?
4.156 Leser finden diesen Beitrag hilfreich.

Patricia Bauer
Über die Autorin
Patricia Bauer

Patricia Bauer findet als Mitglied der juristischen Redaktion von advocado praktische Lösungen für Ihre Rechtsprobleme. Durch ein Jurastudium kann sie auf umfangreiches Fachwissen aus Erb-, Vertrags- und Markenrecht zurückgreifen und komplexe juristische Sachverhalte leicht verständlich und lösungsorientiert aufbereiten.