Datenschutzgrundverordnung

Datenschutz und Schweigepflicht

Ab dem 25. Mai 2018 ist die Datenschutzgrundverordnung als neues und gegenüber nationalem Recht vorrangiges Datenschutzrecht unmittelbar anzuwenden.

Allgemeines / Übersicht

Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist in jedem Fall zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Bei weniger als zehn Mitarbeitern empfiehlt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder seit 26.04.2018 Folgendes.

Mitteilung an Landesdatenschutzbeauftragten über Bestellung eines betrieblichen Datenschutzbeauftragten

Bei Ärzten ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten auszugehen. Wenn weniger als zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist in der Regel kein Datenschutzbeauftragter zu benennen.

Aber:
Bei Ärzten, die zu mehreren in einer Berufsausübungsgemeinschaft oder einer Praxisgemeinschaft zusammengeschlossen sind, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgeabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen.

Zum Datenschutzbeauftragten kann ein Mitarbeiter benannt werden oder eine externe Person / Einrichtung.

Mustertext Benennung zum Datenschutzbeauftragten

Mustertext Erfassung Praxismitarbeiter, die mit der elektronischen Verarbeitung personenbezogener Daten beauftragt sind

Patienteninformation

Bei der Datenerhebung müssen von jedem Verantwortlichen den betroffenen Personen bestimmte Informationen über die Verarbeitung ihrer Daten gegeben werden. Es genügt auch ein Hinweis, wo diese Informationen zugänglich sind (Flyer/Aushang/Homepage). Die betroffenen Personen haben das Recht, Auskunft über die Verarbeitung zu erhalten. Empfehlenswert ist ein Infoblatt auszuhängen oder auszulegen.

Muster für Praxen, Patienteninformation zum Datenschutz

Verzeichnis der Verarbeitungstätigkeit

Weil Arztpraxen mit gesundheitsbezogenen Daten umgehen müssen, sind sie verpflichtet, ein Verzeichnis ihrer Verarbeitungstätigkeiten zu führen. Auf Verlangen ist das Verzeichnis von Verarbeitungstätigkeiten der Aufsichtsbehörde vorzulegen. Liegt kein Verzeichnis vor, drohen Bußgelder.

Muster für Praxen, Verzeichnis von Verarbeitungstätigkeiten


Ausfüllbeispiel, Verzeichnis von Verarbeitungstätigkeiten


Auftragsdatenverarbeitung

Wenn ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, muss ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden

Mustervertrag zur Auftragsverarbeitung
 
Mustervertrag zur Prüfung und Wartung informationstechnischer Systeme
 
Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs.3 DS-GVO
 

Informationspflichten Website

Beim Betreiben einer Website werden Daten vom Besucher erhoben und ggf. gespeichert (z.B. IP-Adresse, Ort, Datum). Die Besucher einer Praxiswebsite müssen darüber informiert werden, welche personenbezogenen Daten erhoben und gespeichert werden. Auch ist der Besucher über seine Rechte hinsichtlich der gespeicherten Daten aufzuklären.

Informationspflichten auf der Webseite der Praxis

Belehrung Mitarbeiter

Ein Praxisinhaber ist in seiner Praxis für die Erhebung und Verarbeitung der personenbezogenen Daten verantwortlich (§§ 29, 32 Abs. 4 DSGVO). Wenn Mitarbeiter mit der Erhebung und Verarbeitung personenbezogener Daten betraut werden, müssen diese über den Umgang und die einzelnen einzuhaltenden Regelungen belehrt werden. Die Belehrung muss erfolgen, bevor der Mitarbeiter erstmals Kontakt mit bzw. Zugriff auf die in der Praxis erhobenen und gespeicherten personenbezogenen Daten erhält. Belehrt werden muss grundsätzlich jeder Mitarbeiter, der Zugang zu den personenbezogenen Daten erhält oder erhalten kann. Aufgrund der neuen Datenschutzgrundverordnung müssen auch bisherige Beschäftigte erneut belehrt werden.

Merkblatt "Belehrung der Mitarbeiter über die Verschwiegenheit und Datenschutz"
 
Belehrung der Mitarbeiter über Verschwiegenheit und Datenschutz
        

Meldepflicht bei Datenschutzverstößen

Bei Datenschutzpannen, die mit einem Risiko für betroffene Patienten einhergehen (z.B. Diebstahl von Computern oder Datensicherungen, Hackerangriffe auf den Praxiscomputer) muss eine Meldung an die zuständige Landesdatenschutzbehörde erfolgen. In Baden-Württemberg ist dies

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Königstr. 10a, 70173 Stuttgart.

Die Mitteilung einer Datenschutzpanne muss in der Regel innerhalb von 72 Stunden, gerechnet ab dem Zeitpunkt, in dem die Praxis Kenntnis von der Panne erlangt hat, gemeldet werden. Wenn durch die Datenschutzpanne ein Verstoß gegen die ärztliche Schweigepflicht begangen worden sein könnte, entbindet das nicht von der Meldepflicht. Allerdings darf diese Meldung in einem Strafverfahren nicht gegen Ärzte der Praxis verwendet werden. Auch Fragen, die über die Meldung hinausgehen, müssen durch die Ärzte bei Gefahr einer Selbstbelastung nicht beantwortet werden.

Mustertext Meldung einer Datenschutzpanne an die Datenschutzbehörde

Mustertext Benachrichtigung von Patienten über die Verletzung des Schutzes personenbezogener Daten

Technisch-organisatorische Maßnahmen

Technisch-organisatorische Maßnahmen zum Datenschutz


Zurück