Die Datenschutzgrundverordnung der Europäischen Union gilt vom 25. Mai 2018 an. Zusammen mit dem im Juli 2017 neu gefassten Bundesdatenschutzgesetz erfolgte eine grundlegende Neuordnung des Datenschutzrechts in Deutschland. Diese datenschutzrechtlichen Bestimmungen sind auch für Ärztinnen und Ärzte relevant. Die Bundesärztekammer (BÄK) und die Kassenärztliche Bundesvereinigung (KBV) haben deshalb ihre "Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis" aktualisiert und ergänzt.
Wegen punktueller Gesetzesänderungen im Bereich der ärztlichen Schweigepflicht infolge des Geheimnisschutz-Neuregelungsgesetzes vom November 2017 ist zudem der Abschnitt zur "Schweigepflicht" des Papiers überarbeitet worden. Begleitend zu den "Hinweisen und Empfehlungen" bietet die Checkliste "Datenschutz-Check 2018" eine Hilfestellung. Sie benennt die wichtigsten Aspekte zum neuen Datenschutzrecht und gibt Ärztinnen und Ärzten eine Prüfliste zur Einhaltung des Datenschutzrechts an die Hand.
Zum Hintergrund: Bei der Informationsverarbeitung in der Arztpraxis sind insbesondere die Bestimmungen der EU-Datenschutzgrundverordnung und des neu gefassten Bundesdatenschutzgesetzes von Bedeutung. Mit der von Mai an geltenden neuen Rechtslage gehen zwar keine gravierenden Änderungen einher; viele Vorgaben müssen schon jetzt in den Praxen berücksichtigt werden. Datenschutz soll aber künftig besser durchgesetzt werden. Daher sind die Befugnisse der Aufsichtsbehörden für den Datenschutz erweitert und die Bußgeldrahmen drastisch erhöht worden.
Von Ärztinnen und Ärzten sind künftig zahlreiche datenschutzrechtliche Pflichten zu erfüllen: Neuerdings muss der Verantwortliche für die Datenverarbeitung (zum Beispiel der Inhaber einer Arztpraxis) die Einhaltung der Grundsätze nachweisen können. Überdies bestehen ausgeweitete Informationspflichten gegenüber Patienten. Diese erfordern die Kenntnis der rechtlichen Voraussetzungen der Verarbeitung von Patientendaten, um Patientinnen und Patienten darüber zutreffend informieren zu können. Weil Ärzte sensible Gesundheitsdaten verarbeiten, gelten für sie besondere Bestimmungen mit erhöhten Rechtmäßigkeitsanforderungen.
Besonders relevant ist künftig die Datenschutzorganisation in der Arztpraxis. Sie beinhaltet unter anderem die Überprüfung aller Verarbeitungsvorgänge im Zusammenhang mit der Berufsausübung auf ihre datenschutzrechtliche Konformität und die Erstellung eines Verzeichnisses für Datenverarbeitungstätigkeiten. Zudem muss unter Umständen ein interner oder externer Datenschutzbeauftragter in der Arztpraxis benannt werden und es bestehen Meldepflichten bei Datenpannen. Ferner gilt es, Auskunftsrechte von Patienten zu beachten. Augenmerk muss zudem auf das Verhältnis zu externen Dienstleistern und Dritten gelegt werden.
Weitere Informationen:
- Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis (pdf-Datei, 623 KB)
- Technische Anlage zu Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis (pdf-Datei, 383 KB)
- Datenschutz-Check 2018: Was müssen Arztpraxen angesichts der neuen Vorschriften zum Datenschutz tun? (pdf-Datei, 2,98 MB)
- Was Praxen und MVZ ab 25. Mai 2018 benötigen - Informationen der KBV
- DS-GVO im Gesundheitsbereich (Landesbeauftragte für den Datenschutz Niedersachsen)
Wenn Sie regelmäßig aktuelle Informationen von der Ärztekammer Niedersachsen erhalten möchten, abonnieren Sie unseren Newsletter!
Meldung von Datenschutzbeauftragten
Bitte denken Sie daran, dass der für die Praxis bestellte Datenschutzbeauftragte bei der zuständigen Aufsichtsbehörde - in Niedersachsen bei der Landesbeauftragten für den Datenschutz Niedersachsen - gemeldet werden muss. Die Landesbeauftragte hat hierfür ein Online-Formular eingerichtet:
Aufgrund mehrfacher Anfragen weisen wir zudem darauf hin, dass die DSGVO verlangt, dass die Patienten vor der Datenerhebung über die Zwecke der Verarbeitung, der möglichen Empfänger, der Dauer der Speicherung usw. informiert werden (vgl. insbesondere Art. 13 DSGVO). Diese Informationen müssen den Patienten schriftlich zur Verfügung gestellt werden. Arbeits- und zeitsparend kann dies am besten durch einen geeigneten Aushang in der Praxis geschehen. Die KBV hat insoweit eine Muster-Information erarbeitet, welche unter folgendem Link abgerufen werden kann: http://www.kbv.de/html/datensicherheit.php
Es ist nicht erforderlich, dass die Patienten alle eine Unterschrift leisten und hierin einwilligen müssen. Die DSGVO verlangt in diesem Fall lediglich die reine Information.
Eine Einwilligung der Patienten ist nur dann einzuholen, wenn die geplante Datenerhebung oder -übertragung ohne gesetzliche Grundlage erfolgt. Dies ist bspw. bei der Einschaltung privater Verrechnungsstellen oder auch bei dem Versand von personalisierten Proben an ein Labor der Fall.
Bitte denken Sie auch daran, Ihre Homepage mit den neuen Datenschutzregelungen in Einklang zu bringen. Es bedarf auch dort der Information der Patienten bzw. Besucher und damit einer Datenschutzinformation.