Wirtschaftsnachrichten für Ärzte | ARZT & WIRTSCHAFT
Recht

Datenschutz-Grundverordnung: Haben Sie die Vorgaben umgesetzt?

Judith Meister
Foto: Bernulius - stock.adobe.com

Mehr als die Hälfte der Ärztinnen und Ärzte kennt sich mit der Datenschutz-Grundverordnung nicht gut aus. Ein konkretes Fallbeispiel zeigt, wie sie Haftungsrisiken in der Praxis vermeiden können.

In kaum einem Lebensbereich offenbaren Menschen so viele vertrauliche Informationen wie beim Arzt. Das Thema Datenschutz spielt daher eine besondere Rolle. Wie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) an eine Arztpraxis konkret aussehen können, verdeutlicht folgendes Beispiel:

Ein Arzt hat eine Praxis auf dem Land mit fünf MFA, einer Reinigungskraft und einem Sicherstellungsassistenten. Die Praxis betreibt zudem eine Website, auf der online Termine angefragt werden können. Ein externer Dienstleister betreut die Website und die Praxis-IT. Die Datenverarbeitung bezüglich der Patientendaten erfolgt auf eigenen Computern und Servern innerhalb der Praxis.

In diesem Fall sind die wesentlichen Verarbeitungstätigkeiten: Gehaltsabrechnung der Mitarbeiterinnen und Mitarbeiter, Verarbeitung von Patientendaten zur Behandlung sowie zur Abrechnung über die Kassenärztliche Vereinigung und das Praxisverwaltungssystem sowie der Betrieb der Website mit der Online-Terminbuchungsmöglichkeit.

Anhand dieses Praxisbeispiels lassen sich die wichtigsten Fragen bezüglich der DSGVO durchspielen:

Muss ein Datenschutzbeauftragter benannt werden?

Nein, denn in den meisten Arztpraxen findet keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die zu einer Benennungspflicht eines Datenschutzbeauftragten (DSB) führt. Es ist nur ein DSB zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig beschäftigt“ ist zum Beispiel die MFA. „Nicht ständig beschäftigt“ ist dagegen die Putzkraft.

Ist ein Verzeichnis von Verarbeitungstätigkeiten erforderlich?

Ja, weil regelmäßig personenbezogene Daten verarbeitet werden.

Ist eine Datenschutzverpflichtung von Beschäftigten einzuholen?

Ja, da alle Mitarbeitenden mit personenbezogenen Daten umgehen.

Bestehen Informations- und Auskunftspflichten?

Ja, in der Praxis durch Flyer oder einen Aushang sowie auf der Website in der Datenschutzerklärung.

Gibt es eine Anforderung zur Datenlöschung?

Ja, aber erst nach Ablauf der gesetzlichen Aufbewahrungspflichten.

Müssen die Daten besonders gesichert werden?

Ja, weil sensible Daten verarbeitet werden, sind weitere Schutzmaßnahmen nötig.

Braucht man einen Vertrag zur Auftragsverarbeitung?

Ja, mit dem IT-Betreuer, der die Website und die Praxis-IT betreut.

Müssen Datenschutzverletzungen gemeldet werden?

Ja, aber nur bei relevanten Risiken.

Muss der Praxisinhaber eine Datenschutz-Folgeabschätzung durchführen?

Nein, denn auch bei Gesundheitsdaten besteht nicht automatisch ein hohes Risiko bei der Datenverarbeitung.

 

Keine Bagatelle
  • Bricht ein Arzt vorsätzlich die Schweigepflicht, macht er sich nach § 203 Abs. 1 StGB strafbar. Welche Konsequenzen bei Datenschutzverstößen drohen, regeln §§ 43 und 44 des Bundesdatenschutzgesetzes (BDSG).
  • Meist gelten Datenschutzverstöße „nur“ als Ordnungswidrigkeiten. Dennoch drohen Praxischefs Bußgelder bis zu 50.000 Euro.
  • Bei schweren Indiskretionen besteht überdies die Gefahr, sich nach § 44 BDSG strafbar zu machen.
  • Schädigt der Datenschutzverstoß eines Arztes oder einer Ärztin den Patienten, muss er oder sie dessen Schaden ersetzen.