kvt Kassenärztliche
Vereinigung Thüringen

Rechtliche Anforderungen nach der Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 gilt in allen Mitgliedstaaten der Europäischen Union die Datenschutz-Grundverordnung (DS-GVO). Die Grundsätze des Datenschutzes bleiben dadurch zwar im Wesentlichen erhalten, dennoch ergeben sich bestimmte neue rechtliche Vorgaben, die auch in der Arztpraxis umgesetzt werden müssen. Wir empfehlen Ihnen die notwendigen Verkehrungen zu treffen, denn bei Verstößen sind nach der neuen Rechtslage deutliche härtere Sanktionen vorgesehen als bisher.

Wie diese Vorgaben konkret aussehen und wie Sie diese in Ihrem Praxisalltag umsetzen können, erfahren Sie an dieser Stelle. Ausführlichere Informationen finden Sie zudem in unserem speziell für Sie entwickelten Praxishandbuch zum Datenschutz.

Checkliste zur Umsetzung

Diese Checkliste der Kassenärztlichen Bundesvereinigung (KBV) zeigt Ihnen auf einen Blick den erforderlichen Umsetzungsbedarf auf. Sie dient dabei als erste Orientierung für die Umsetzung in der Praxis.

Weitere nützlichen Informationen der KBV finden Sie hier.

Verzeichnis der Verarbeitungstätigkeiten

Mit der Geltung der DS-GVO besteht für jede Praxis die Verpflichtung, ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Darin sind alle Verfahren in der Arztpraxis zu erfassen, bei denen personenbezogene Daten verarbeitet (z. B. erhoben, gespeichert, übermittel, gelöscht) werden. Inhaltlich sind folgende Informationen zu erfassen:

  • Name und Kontaktdaten des Verantwortlichen, ggf. des Datenschutzbeauftragten
  • Bennenung der Verarbeitungstätigkeit (z. B. Anlegen einer Patientenakte)
  • Zweck der Verarbeitung
  • betroffene Personengruppen (z. B. Patienten)
  • Datenkategorien (z. B. Personenstammdaten, Gesundheitsdaten)
  • Empfänger der Daten (z. B. Kassenärztliche Vereinigung)
  • Löschfristen

Wir stellen Ihnen an dieser Stelle ein Muster bereit, welches Sie bei der Erstellung heranziehen können. Auf Verlangen der Aufsichtsbehörde, ist dieser das Verzeichnis der Verarbeitungstätigkeiten vorzulegen.

Technische und organisatorische Maßnahmen zur Einhaltung des Datenschutzes

In der Arztpraxis sind bestimmte technische und organisatorische Maßnahmen zu ergreifen, welche die Sicherheit der personenbezogenen Daten gewährleisten. Diese Maßnahmen müssen darüberhinaus durch die Arztpraxis dokumentiert werden. Konkrete gesetzliche Vorgaben zum Umfang der Dokumentation gibt es nicht. Im Ergebnis sollten Sie dokumentieren, welche Maßnahmen Sie in Ihrer Praxis getroffen haben, um einer unrechtmäßigen Datenverarbeitung vorzubeugen. Hierfür stellen wir Ihnen ein Muster bereit.

Praxisinformation über die Datenverarbeitung

Aus Transparenzgesichtspunkten besteht nunmehr die Verpflichtung jeden Patienten über die Datenverarbeitung in der Arztpraxis zu informieren. Dabei handelt es sich um eine reine Information gegenüber dem Patienten auf welcher Basis und zu welchen Zwecken seine Daten in der Arztpraxis verarbeit werden. Sie bildet dabei nicht die rechtliche Grundlage für die Datenverarbeitung und darf nicht mit der Einwilligungserklärung des Patienten verwechselt werden. 

Für die praktische Umsetzung empfiehlt sich ein Aushang in der Arztpraxis oder die Aushändigung eines Informationsblattes. Hierzu können Sie die auf dieser Seite bereitgestellte Patienteninformation der Kassenärztlichen Bundesvereinigung nutzen.

Zu Nachweiszwecken kann ein Vermerk über die erfolgte Information in der Patientenakte vorgenommen werden. Möglich ist aber auch, dass die Arztpraxis einen konkreten Leitfaden entwickelt, in welchem dokumentiert wird, wie der Patient in der Praxis in der Regel die Informationen erhält.

Bestellung eines Datenschutzbeauftragten

Eine Arztpraxis muss einen Datenschutzbeauftrtagten bestellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind (§ 38 BDSG). Für kleinere Praxis besteht in der Regel keine gesetzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat dies am 26. April 2018 beschlossen. Den entsprechenden Beschluss zur Bestellpflicht für Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs stellen wir Ihnen an dieser Stelle zur Verfügung.

Als Datenschutzbeauftragter kann entweder ein fachlich qualifizierter Mitarbeiter oder ein externer Datenschützer benannt werden. Dieser kontrolliert in der Arztpraxis die Einhaltung der datenschutzrechtlichen Anforderungen und berät und informiert den Praxisinhaber sowie das Praxisteam in Angelegenheiten des Datenschutzes.

Sofern ein Datenschutzbeauftragter in Ihrer Arztpraxis bestellt wurde, sind dessen Name und Kontaktdaten dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit mitzuteilen.

Keine Bestellpflicht eines Datenschutzbeauftragten bei Einsatz der Videosprechstunde

Wenn eine Arztpraxis in Anlehnung an die Anlage 31b Bundesmantelvertrag-Ärzte (BMV-Ä) eine Videosprechstunde anbietet, muss hierfür keine sogenannte Datenschutzfolgenabschätzung durchgeführt werden. Aus diesen Gründen ist es in diesem Zusammenhang auch nicht erforderlich einen Datenschutzbeauftragten bestellen. Etwas anderes gilt nur dann, wenn in der Arztpraxis mindestens 20 Personen regelmäßig Daten verarbeiten. In diesen Fällen bestünde die gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten.

Eine Datenschutzfolgenabschätzung, bei welcher eine individuelle Risikobeurteilung sowie -eindämmung vorzunehmen wäre, ist durch die Arztpraxen beim Anbieten einer Videosprechstunde nicht erforderlich. Der Grund hierfür ist, dass bei entsprechender Beachtung der Vorgaben der Anlage 31b zum BMV-Ä („Vereinbarung über die Anforderung an die technischen Verfahren zur Videosprechstunde gemäß § 291g Absatz 4 SGB V“) bereits eine ausreichende Risikobeurteilung sowie -eindämmung durch die dort geforderten Maßnahmen erbracht wird. Nur bei solchen Telemedizinlösungen ist zwingend eine Datenschutzfolgeabschätzung durchzuführen, bei denen die Datenerfassung beispielsweise durch Sensoren erfolgt (z.B. Blutzucker, Atemgeräte,..) und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden. Bei einer Videosprechstunde, bei der die Inhalte Ende-zu-Ende verschlüsselt übertragen werden, ist dies jedoch nicht der Fall.

Die Kassenärztliche Bundesvereinigung führt auf Ihrer Webseite ein Verzeichnis aller Videoanbieter, welche eine Bescheinigung zur Einhaltung der Vorgaben der Anlage 31b BMV-Ä vorhalten können.

Verpflichtung auf das Datengeheimnis

Als Praxisinhaber müssen Sie sicherstellen, dass die Ihnen unterstellten Personen, die in Ihrer Praxis personenbezogene Daten verarbeiten, auf die Wahrung der Vertraulichkeit von personenbezogenen Daten verpflichtet werden. Die gesetzliche Regelung im Bundesdatenschutzgesetz, die dies bisher verpflichtend vorgeschrieben hat, ist mit der Geltung der Datenschutz-Grundverordnung entfallen. Aus den Grundsätzen zur Datenverabeitung wird aber nachwievor eine solche Verpflichtung abgeleitet. Wir empfehlen Ihnen deshalb, Ihre Mitarbeiter neben der Einhaltung der Schweigepflicht zusätzlich auch zur Wahrung der Vertraulichkeit von personenbezogenen Daten zu verpflichten. Hierfür stellen wir Ihnen nachfolgend ein Muster zur Verfügung.