Aufgrund des regelmäßigen Umgangs mit Patientendaten kommt dem Datenschutz im Gesundheitsbereich, insbesondere in Kliniken und Arztpraxen eine besonders hohe Bedeutung zu. Gesundheitsinformationen gehören zur besonderen Kategorie personenbezogener Daten und sind als solche besonders schützenswert. Darüber hinaus unterliegen Ärzte und deren Mitarbeiter einer Schweigepflicht. Der Patient vertraut darauf, dass „sein“ Arzt verantwortungsvoll mit seinen Daten umgeht!
Ungeachtet ihrer Größe und Anzahl an Mitarbeitern ist es daher für Kliniken, Arztpraxen, Apotheken, physiotherapeutische Praxen sowie andere Pflege- und Heilberufe empfehlenswert, ein professionell aufgesetztes Datenschutzmanagement-System einzurichten.
Dokumentations- und Nachweispflichten
Seit Mai 2018 gelten erweiterte Dokumentations- und Nachweispflichten, um der „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO) zu genügen. Der Verantwortliche – in der Regel der Praxisinhaber oder Leiter einer Klinik – muss jederzeit nachweisen können, dass in seinen Behandlungsräumen die datenschutzrechtlichen Pflichten mit Blick auf die interne Organisation, den Umgang mit Patientendaten und externen Dienstleistern erfüllt werden.
Informations- und Auskunftsrechte der Patienten
Neben dem Einsichtsrecht gemäß § 630g BGB (Behandlungsvertrag) sieht die DSGVO neue Informations- und Auskunftspflichten (Art 13 und 14 DSGVO) gegenüber denjenigen vor, die von einer Verarbeitung ihrer Daten betroffen sind.
Den Betroffenen steht ein Auskunftsanspruch gegenüber der medizinischen Einrichtung hinsichtlich des Umgangs mit ihren personenbezogenen Daten zu (Art. 15 DSGVO). Da die DSGVO hier eine sehr kurze Reaktionszeit von nur 4 Wochen vorschreibt, sollte dieser Prozess vorbereitet sein.
Verzeichnis der Verarbeitungstätigkeiten (VVT)
Alle datenschutzrechtlich relevanten Verarbeitungstätigkeiten und -vorgänge in der Praxis sind in einem entsprechenden Verzeichnis zu dokumentieren. Darüber hinaus sollte in einer internen Datenschutzrichtlinie zum Umgang mit Patientendaten eindeutig festgelegt werden wer, wann welche Daten und zu welchem Zweck verarbeiten und übermitteln darf.
Technische und organisatorische Maßnahmen (TOM)
Geeignete technische und organisatorische Vorkehrungen (TOM) sind einzurichten, um ein angemessenes Schutzniveau mit den Patientendaten zu gewährleisten (Art. 32 Abs. 1 DSGVO). Naturgemäß ist das geforderte Schutzniveau beim Umgang mit Gesundheitsdaten sehr hoch.
Unter Umständen muss eine sog. Datenschutzfolgenabschätzung durchgeführt werden (Art. 35 DSGVO), um mögliche erhöhte Risiken bei der Verarbeitung von Patientendaten abzuschätzen und Maßnahmen der Abhilfe zu bestimmen.
Löschpflichten
Die Aufbewahrungsfrist für Gesundheitsdaten sind spezialgesetzlich in § 630f Abs. 3 BGB geregelt, der eine Aufbewahrung der Dokumentation der Behandlung von 10 Jahren vorschreibt. Nach Art 17 DSGVO sind diese Daten nach Ablauf dieser Frist zu löschen.
Sollte aber nach Ende einer gesetzlichen Aufbewahrungsfrist das Interesse des Berechtigten an der Speicherung das an der Löschung überwiegen, beispielsweise in den Bereichen der Medikamentenunverträglichkeiten, ist eine weitere Speicherung der Gesundheitsdaten zulässig.
Sie möchten mehr zum Datenschutz in der Arztpraxis erfahren?
Klicken Sie hier für mehr Informationen oder ein kostenfreies und unverbindliches Informationsgespräch.
Vereinbarung mit externen Dienstleistern / Auftragsverarbeitung (AVV)
Sofern es sich um eine Auftragsverarbeitung handelt (z. B. Wartungsdienste für die Praxis-EDV, externe Labore oder private Abrechnungsstellen), sollten entsprechende Vereinbarungen getroffen werden, deren Anforderungen sich aus Art. 28 Abs. 3 DSGVO ergeben.
Einwilligung der Patienten
Die Verarbeitung von Gesundheitsdaten ist grundsätzlich untersagt, es sei denn, es liegt ein entsprechende ausdrückliche Einwilligung der betroffenen Person nach Art. 9 Abs. 2 lit. a DSGVO vor.
Die routinemäßige Behandlung von Patienten erfolgt meist auf Basis eines entsprechenden Behandlungsvertrages, sodass eine zusätzliche Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen ist. Auch ist es unproblematisch, wenn sich Ärzte untereinander – unter Wahrung des Berufsgeheimnisses – über medizinisch problematische Fälle austauschen oder sich im Rahmen der Behandlung die Fachexpertise von anderen Kollegen einholen.
Allerdings muss der Patient einwilligen, wenn Datenverarbeitungen vorgesehen sind, die über den eigentlichen Behandlungsvertrag hinausgehen (z.B., wenn die Praxis ihre Patienten an bestimmte Vorsorgeuntersuchungen erinnern möchte).
Bei der Beauftragung von Subunternehmern, z.B. einem Labor, kommt es darauf an, ob als verantwortlicher Leiter ein Laborarzt tätig wird, mit dem der Patient einen Vertrag gemäß Art. 9 Abs. 3 DSGVO schließt. In diesem Fall ist eine Einwilligung nicht erforderlich. Wird hingegen das Labor nicht von einem Berufsgeheimnisträger geführt, so ist eine Einwilligung nach Art. 9 Abs. 1 lit. a) DSGVO nötig.
Das Vorliegen von Einwilligungserklärungen zur Datenverarbeitung muss durch den Praxisinhaber nachgewiesen werden.
Vorgehen bei „Datenpannen“
Datenschutzvorfälle – sogn. Datenschutzpannen – sind unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden (Art. 33 Abs. 1 DSGVO). Da es sich hier um eine sehr kurze Meldefrist handelt, empfiehlt es sich, auf einen etwaigen meldepflichtigen Vorfall vorbereitet zu sein.
Aufsichtsbehörden
Aufsichtsbehörden haben gegenüber Berufsgeheimnisträgern nur eingeschränkte Rechte, insbesondere hinsichtlich der Auskunftserteilung über Patientengeheimnisse. Zudem bestehen für die Aufsichtsbehörden nur beschränkte Durchsuchungs- und Betretungsrechte in der Arztpraxis, soweit ihre Maßnahmen einen Verstoß gegen die Geheimhaltungspflichten von Ärzten zur Folge hätten.
Datenschutzbeauftragter
Die meisten medizinischen Einrichtungen werden unabhängig von Anzahl ihrer Mitarbeiter einen Datenschutzbeauftragten zu benennen haben (Art. 37 DSGVO), der entweder in der Praxis beschäftigt ist oder als externer Dienstleister beauftragt wird, da regelmäßig personenbezogene Daten der besondere Kategorie nach Art. 9 DSGVO verarbeitet werden. Die zu benennende Person muss für diese Aufgabe fachlich qualifiziert sein. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden.
Erfahrung zahlt sich aus
Seit vielen Jahren sind wir mit den datenschutzrechtlichen Anforderungen von Ärzten, Krankenhäusern, medizinischen Forschungseinrichtungen und Unternehmen der Gesundheitsbranche bestens vertraut und unterstützen sie kompetent bei der Umsetzung und Einhaltung der DSGVO sowie des BDSG.
Auch das von uns entwickelte Datenschutz-Management-System, der SECUFIDES Datenschutz-Monitor, ist auf die spezifischen Anforderungen für Einrichtungen des Gesundheitsbereichs ausgerichtet.
Unsere Beratungsleistung umfasst u.a.:
- Beratung in allgemeinen und ärztespezifischen datenschutzrechtlichen Fragestellungen
- Einrichtung eines Datenschutz-Management-Systems für Ihre Praxis, u.a., um die besonderen Dokumentationspflichten revisionsfest sicherzustellen
- Analyse und Überprüfung der internen Verarbeitungsvorgänge und Erstellung des Verzeichnisses von Verarbeitungstätigkeiten
- Risikoabschätzung der einzelnen Verarbeitungstätigkeit und ggfs. Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen
- Erarbeitung eines Datenschutz-Handbuchs zur Festlegung von Verantwortlichkeiten und zum Umgang mit Patientendaten
- Überprüfung und Anpassung vorhandener Verträge und Formulare für Ihre Patienten und Mitarbeiter, u.a.
- Informationsschreiben
- Einwilligungserklärungen
- Verschwiegenheitserklärungen
- Behandlungsverträge
- Unterstützung bei der Einhaltung von Betroffenenrechten wie z.B. Auskunftsanfragen, Löschung oder Übertragung
- Beratung bei der Umsetzung von Datensicherheit und der Implementierung von geeigneten technischen und organisatorischen Maßnahmen
- Überprüfung und Anpassung vorhandener Verträge mit Ihren Dienstleistern
- Datenschutzrechtliche Prüfung von medizinischen Forschungsvorhaben
- Schulungen des medizinischen Personals
- Unverzügliche Hilfe bei akuten Datenschutznotfällen
- Vertretung gegenüber Aufsichtsbehörden (als externer Datenschutzbeauftragter)
Datenschutz schafft Vertrauen
Ein professionell organisierter Datenschutz in der Praxis schafft Vertrauen bei Mitarbeitern und Patienten!
Sie möchten mehr über die datenschutzrechtlichen Anforderungen im Gesundheitsbereich erfahren?
Klicken Sie hier für mehr Informationen oder ein kostenfreies und unverbindliches Informationsgespräch.