Der Datenschutz umfasst organisatorische und technische Maßnahmen gegen Missbrauch von Daten innerhalb einer Organisation. Die Schweigepflicht ist die rechtliche Verpflichtung bestimmter Berufsgruppen, ihnen anvertraute Geheimnisse nicht unbefugt an Dritte weiterzugeben.
- FAQ Datenschutz in der Arztpraxis (Landesbeauftragter für Datenschutz und Informationsfreiheit BW)
- Datenschutz-Check 2018 für Arztpraxen Bundesärztekammer/KBV
- Empfehlungen zur ärztlichen Schweigepflicht der Bundesärztekammer/KBV
- KBV - Praxisinformationen
- KBV - Was Praxen ab dem 25. Mai 2018 beachten müssen
- Technische Anlage zu den Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis
Ein Datenschutzbeauftragter ist in jedem Fall zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei weniger als zehn Mitarbeitern empfiehlt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder seit 26.04.2018 folgendes.
Bei Ärzten ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten auszugehen. Wenn weniger als zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist in der Regel kein Datenschutzbeauftragter zu benennen.
Aber: Bei Ärzten, die zu mehreren in einer Berufsausübungsgemeinschaft oder einer Praxisgemeinschaft zusammengeschlossen sind, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgeabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen.
Zum Datenschutzbeauftragten kann ein Mitarbeiter benannt werden oder eine externe Person / Einrichtung.
Bei der Datenerhebung müssen von jedem Verantwortlichen den betroffenen Personen bestimmte Informationen über die Verarbeitung ihrer Daten gegeben werden. Es genügt auch ein Hinweis, wo diese Informationen zugänglich sind (Flyer/Aushang/Homepage). Die betroffenen Personen haben das Recht, Auskunft über die Verarbeitung zu erhalten. Empfehlenswert ist ein Infoblatt auszuhängen oder auszulegen.
Wenn ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, muss ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden
Beim Betreiben einer Website werden Daten vom Besucher erhoben und ggf. gespeichert (z.B. IP-Adresse, Ort, Datum). Die Besucher einer Praxiswebsite müssen darüber informiert werden, welche personenbezogenen Daten erhoben und gespeichert werden. Auch ist der Besucher über seine Rechte hinsichtlich der gespeicherten Daten aufzuklären.
Sofern Ärztinnen und Ärzte eine Webseite betreiben, sind sie datenschutzrechtlich Verantwortliche/r und müssen daher sicherstellen, dass bei der Verarbeitung personenbezogener Daten auf ihrer Website alle Vorgaben der Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Die vom Landesamt für Datenschutz- und Informationssicherheit (LfDI) veröffentlichten FAQ beantworten häufige Fragen rund um Cookies und Tracking, beschreiben datenschutzfreundliche Lösungen bei der Einbindung von (Medien-) Inhalten und stellen häufig auftretende Standardfehler dar, die bei der Umsetzung in die Praxis zu vermeiden sind.
Ein Praxisinhaber ist in seiner Praxis für die Erhebung und Verarbeitung der personenbezogenen Daten verantwortlich (§§ 29, 32 Abs. 4 DSGVO). Wenn Mitarbeiter mit der Erhebung und Verarbeitung personenbezogener Daten betraut werden, müssen diese über den Umgang und die einzelnen einzuhaltenden Regelungen belehrt werden. Die Belehrung muss erfolgen, bevor der Mitarbeiter erstmals Kontakt mit bzw. Zugriff auf die in der Praxis erhobenen und gespeicherten personenbezogenen Daten erhält. Belehrt werden muss grundsätzlich jeder Mitarbeiter, der Zugang zu den personenbezogenen Daten erhält oder erhalten kann. Aufgrund der neuen Datenschutzgrundverordnung müssen auch bisherige Beschäftigte erneut belehrt werden.
Bei Datenschutzpannen, die mit einem Risiko für betroffene Patienten einhergehen (z.B. Diebstahl von Computern oder Datensicherungen, Hackerangriffe auf den Praxiscomputer) muss eine Meldung an die zuständige Landesdatenschutzbehörde erfolgen. In Baden-Württemberg ist dies
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/
Die Mitteilung einer Datenschutzpanne muss in der Regel innerhalb von 72 Stunden, gerechnet ab dem Zeitpunkt, in dem die Praxis Kenntnis von der Panne erlangt hat, gemeldet werden. Wenn durch die Datenschutzpanne ein Verstoß gegen die ärztliche Schweigepflicht begangen worden sein könnte, entbindet das nicht von der Meldepflicht. Allerdings darf diese Meldung in einem Strafverfahren nicht gegen Ärzte der Praxis verwendet werden. Auch Fragen, die über die Meldung hinausgehen, müssen durch die Ärzte bei Gefahr einer Selbstbelastung nicht beantwortet werden.