Top Treffer für „

Kein Treffer. Bitte überprüfen Sie Ihre Suche.


Ihre Sparkasse

Finden Sie weitere Informationen bei Ihrer Sparkasse vor Ort.

Schliessen

1 Jahr DSGVO – 10 häufigste Fehlerquellen in der Arzt- und Zahnarztpraxis

Taisija Taksijan, LL. M. Fachanwältin für Medizinrecht der Kanzlei legal-point

Taisija Taksijan, LL. M.
Fachanwältin für Medizinrecht der Kanzlei legal-point

Als Arzt oder Zahnarzt sind Sie stets mit der Erfassung und Speicherung von Patientendaten befasst. Das sind besonders sensible Daten, die Sie nur unter besonderen datenschutzrechtlichen Voraussetzungen verwenden dürfen. Verstöße können hart bestraft werden. Die DSGVO sieht ein Bußgeld von bis zu 20 Mio. € bzw. 4 % des Jahresumsatzes vor. Es folgt ein Überblick der 10 häufigsten DSGVO-Fehlerquellen, die Sie unbedingt vermeiden sollten.

 1. Patienteninformation

 Patienten müssen konkret darüber informiert werden, was mit ihren Daten passiert und über welche Rechte sie verfügen. Mittlerweile gibt es zahlreiche Muster datenschutzkonformer Informationsschreiben für Patienten, die alle erforderlichen Informationen enthalten und nach nur geringfügiger Anpassung für die eigene Praxis verwendet werden können. Wichtig ist, diese auch nachweisbar in der Praxis einzusetzen.

Tipp: Die Information kann an der Rezeption oder im Wartezimmer der Praxis gut sicht- und lesbar ausgehangen werden. Erforderlich ist zudem eine aktive Unterrichtung des Patienten. Die Informationsschreiben sollten den Patienten ausgehändigt werden. Eine Unterschrift der Patienten ist nicht erforderlich. Sie müssen jedoch nachweisen können, den Patienten informiert zu haben. Jedenfalls auf eine belastbare Dokumentation – etwa ein Vermerk über die Aushändigung der Informationen in der Patientenakte – sollte daher auf keinen Fall verzichtet werden.

2. Outsourcing der Datenverarbeitung

Wenn Sie etwa zur Wartung Ihres IT-Systems oder Vernichtung von Patientenakten externe Dienstleister beauftragen, gewähren Sie Dritten Zugang zu den sensiblen Patientendaten. Es handelt sich in der Regel um sog. privilegierte Auftragsverarbeitung. Sie ist privilegiert, weil es für sie weder einer weiteren gesetzlichen Rechtsgrundlage noch einer Einwilligung der Patienten bedarf. Erforderlich ist aber ein Vertrag über die Auftragsverarbeitung nach den Vorgaben der DSGVO (Art. 28), der den externen Dienstleister streng weisungsgebunden einbindet. Auch und gerade bei Auslagerung der Datenverarbeitung aus Ihrer Praxis bleiben Sie insgesamt für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.

Tipp 1: Schließen Sie unbedingt schriftliche Verträge ab, mit denen Sie zugleich dokumentieren, dass Sie Ihren Pflichten als Datenverarbeiter nachkommen. Zur Vermeidung von Strafbarkeitsrisiken sollten Sie außerdem unbedingt darauf achten,

  • dass Ihre Dienstleister jeweils nur die Informationen erhalten, die sie zur Vertragserfüllung auch wirklich brauchen,
  • die von Ihnen eingesetzten Personen vertraglich zur Geheimhaltung verpflichtet sind
  • und ein Hinweis auf die Strafbarkeit der eingesetzten Personen bei Offenlegung enthalten ist.

 Tipp 2: Trotz der bestehenden Outsourcing-Möglichkeiten sollten Sie nicht auf Einholung der Patienteneinwilligung im Sinne einer Entbindung von der Schweigepflicht verzichten. Die straf- und datenschutzrechtlichen Vorschriften, die eine Datenweitergabe an Dritte insofern erleichtern, können die ärztliche Schweigepflicht aus den Berufsordnungen regelmäßig nicht einschränken.

3. Schlechte Bewertung in Arztportalen

Es ist Ihr gutes Recht, eine schlechte Bewertung aus dem Netz entfernen zu lassen, wenn sie beleidigend ist oder unzutreffende Tatsachen enthält. Ein unliebsamer Kommentar wird auch entfernt, wenn der Autor auf Nachforschungen des Providers des Bewertungsportals nicht reagiert. Hierfür muss der betroffene Arzt oder Zahnarzt den Portalbetreiber durch eine eigene (Gegen-)Darstellung des Sachverhalts über die unzulässige Bewertung informieren. Sie sollten im Rahmen dieser Information aber keine identifizierenden Patientendaten gegenüber dem Portalbetreiber preisgeben, sondern den Sachverhalt zunächst darstellen, ohne das Rückschlüsse auf die Identität des Patienten möglich sind. Andernfalls liegt ein Verstoß gegen das Datenschutzrecht sowie die ärztliche Schweigepflicht vor. Hierüber beschweren sich die betroffenen Patienten, die sich bereits um eine schlechte Bewertung bemüht haben, gern mal auch bei den zuständigen Datenschutzbehörden.

Tipp: Überprüfen Sie daher lieber einmal mehr Ihre Gegendarstellung, bevor sie diese an den Portalprovider richten.

4. Honorarabrechnung

Die Abrechnung vertrags/zahnärztlicher Leistungen mit der zuständigen KV/KZV ist gesetzlich geregelt und bedarf daher keiner Einwilligung durch die Patienten. Anders verhält es sich bei der Abrechnung privatärztlicher Leistungen. Während Sie als Arzt oder Zahnarzt Patientendaten für die Abrechnung Ihres Honorars regelmäßig auch ohne Einwilligung des Patienten auf Grundlage des Behandlungsvertrages nutzen können, benötigen Sie bei Einbindung einer Verrechnungsstelle einer ausdrücklichen vorherigen Einwilligung des (Privat-)Patienten.

Werden die Honorarforderungen an eine private Verrechnungsstelle verkauft und wird Letztere im eigenen Namen tätig, ergeben sich – ohne vorherige Einwilligung durch den Patienten – nicht nur datenschutz-, sondern auch berufs- und strafrechtliche Risiken.

Wird die Verrechnungsstelle lediglich mit der Einziehung der Honorarforderung beauftragt, liegt in der Regel eine privilegierte Auftragsverarbeitung vor (vgl. Outsourcing der Datenverarbeitung, s.o). Die Verrechnungsstelle wird dann nicht mehr als „Dritter“ behandelt, an den die Daten – ohne gesetzliche Erlaubnis oder Einwilligung des Betroffenen –weitergegeben werden dürfen. Der Patient muss nach der DSGVO nicht vorher einwilligen. Einwilligungen sollten aber im Sinne einer Entbindung von der ärztlichen Schweigepflicht trotzdem eingeholt werden.

Tipp: Seit der Neuerung der strafrechtlichen Regelungen rund um die Weitergabe von Daten an externe Dritte sind die Mitarbeiter der privatärztlichen Verrechnungsstellen gesetzlich zur Geheimhaltung verpflichtet. Das bedeutet für Sie, dass Sie in diesen Auftragsverarbeitungsverträgen auf die entsprechende Verpflichtung der mitwirkenden Personen zur Geheimhaltung und den Hinweis auf die Strafbarkeit ausnahmsweise verzichten können.

5. E-Mail-Verkehr

Ärzte und Zahnärzte sind als Verarbeiter sensibler Gesundheitsdaten zur Gewährleistung eines angemessenen Schutzniveaus verpflichtet. Hierfür müssen sensible Gesundheitsdaten – wie Diagnosen, radiologische Bilder oder Arztbriefe – bei der elektronischen Übermittlung verschlüsselt werden. Die Übermittlung dieser Daten durch Versenden einer einfachen, nicht verschlüsselter E-Mail kommt nur unter besonderen Umständen – etwa bei medizinischen Notfällen – in Betracht.

Tipp: Bei weniger sensiblen Daten – etwa Terminanfragen, die keine Gesundheitsdaten enthalten – dürfte eine unverschlüsselte Übermittlung per E-Mail regelmäßig ausreichen.

6. Datenschutzbeauftragter

Sie benötigen einen Datenschutzbeauftragten und müssen diesen der Aufsichtsbehörde anzeigen, wenn

  • in Ihrer Praxis 10 (demnächst: 20) oder mehr Mitarbeiter ständig mit der automatisierten Datenverarbeitung beschäftigt sind oder
  • Sie zu Durchführung einer Datenschutz-Folgeabschätzung verpflichtet sind.

Letzteres ist bei einer umfangreichen Datenverarbeitung (z.B. bei großen Praxiseinheiten) oder bei hohem Risiko der jeweiligen Datenverarbeitung (z.B. beim Einsatz neuer Technologien wie Big Data Anwendungen oder KI sowie z.B. bei Videoüberwachung der Praxisräumlichkeiten) der Fall.

Tipp: Wenn Sie sich für einen internen Datenschutzbeauftragten aus Ihrer Praxis entscheiden, beachten Sie, dass für diesen besondere Kündigungsvorschriften gelten.

7. Verarbeitungsverzeichnis

Das von der DSGVO vorgeschriebene Verarbeitungsverzeichnis sollte alle Tätigkeiten der Datenverarbeitung in der Arztpraxis enthalten und beschreiben. Insbesondere müssen auch

  • Angaben zum Zweck der Datenverarbeitung,
  • Kategorien betroffener Personen und Daten,
  • Löschungsfristen sowie
  • die Beschreibung der technischen und organisatorischen Maßnahmen zur Wahrung eines angemessenen Schutzniveaus

enthalten sein. Auch wenn die erstmalige Erstellung des Verzeichnisses in der Regel mit zeitintensiver Arbeit verbunden ist, sollte Ihre Praxis über eins verfügen. Das Verarbeitungsverzeichnis muss auf Anfrage der Aufsichtsbehörden zur Verfügung gestellt werden.

Tipp: Das Verarbeitungsverzeichnis kann auch im elektronischen Format geführt werden, dies erleichtert insbesondere die Datenpflege und Aktualisierung.

8. Dokumentation

Als Praxisinhaber trifft Sie eine umfassende Dokumentations- und Rechenschaftspflicht, durch die die Einhaltung aller Vorgaben der DSGVO nachgewiesen werden soll. Insbesondere muss sich aus Ihrer Dokumentation ergeben, dass Sie

  • die Patienten ausreichend informiert,
  • die erforderlichen Sicherheitsmaßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus in Ihrer Praxis ergriffen,
  • die Erforderlichkeit einer Datenschutz-Folgeabschätzung und eines Datenschutz-beauftragten überprüft und
  • letzteren im Bedarfsfall der zuständigen Behörde angezeigt

haben.

Tipp: Das Verarbeitungsverzeichnis, das in erster Linie gerade dem Nachweis der Einhaltung datenschutzrechtlicher Vorgaben dient, bietet eine gute Grundlage für eine strukturierte Dokumentation.

9. Aktualisierung

Ist Ihre Praxis längst datenschutzkonform, können Sie sich auf Ihren Praxisalltag konzentrieren. Bei den datenschutzrechtlichen Verpflichtungen handelt es sich jedoch um fortwährende Pflichten, die stets – je nach der aktuellen Praxissituation – variieren können. Achten Sie insbesondere bei Veränderungen Ihrer Praxisprozesse darauf, ob die datenschutzrechtlichen Anforderungen weiterhin eingehalten werden.

Tipp: Haben Sie einen neuen Datenschutzbeauftragten oder haben Sie sich dafür entschieden, neue Technologien in Ihrer Praxis zu verwenden, aktualisieren bzw. ergänzen Sie dann insbesondere Ihre Patienteninformation sowie das Verarbeitungsverzeichnis. Bringt die Neuerung neue Datenschutz-Risiken mit sich, sollte eine erneute Prüfung erfolgen, ob nun eine Datenschutz-Folgeabschätzung und damit auch ein Datenschutzbeauftragter erforderlich ist.

 10. Kommunikation mit der Datenschutzbehörde

Werden Sie zur Übersendung des Verarbeitungsverzeichnisses oder Übermittlung sonstiger datenschutzrelevanter Informationen gebeten, müssen Sie reagieren.

Tipp: Investieren Sie vorher in eine professionelle und spezialisierte Rechtsberatung und seien Sie auf eine Prüfung vorbereitet. Eine datenschutzrechtliche Prüfung seitens der Aufsichtsbehörde kann – wegen eines unzufriedenen Patienten oder auch ehemaligen Praxismitarbeiters – schneller als zunächst vermutet erfolgen.