• FAQ Datenschutz in der Arztpraxis (Landesbeauftragter für Datenschutz und Informationsfreiheit BW)
• Datenschutz-Check 2018 für Arztpraxen Bundesärztekammer/KBV
• Empfehlungen zur ärztlichen Schweigepflicht der Bundesärztekammer/KBV
• KBV - Praxisinformationen
• KBV - Was Praxen ab dem 25. Mai 2018 beachten müssen
• Technische Anlage zu den Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis

Ein Datenschutzbeauftragter ist in jedem Fall zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei weniger als zehn Mitarbeitern empfiehlt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder seit 26.04.2018 folgendes.

Mitteilung an Landesdatenschutzbeauftragten über Bestellung eines betrieblichen Datenschutzbeauftragten

Bei Ärzten ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten auszugehen. Wenn weniger als zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist in der Regel kein Datenschutzbeauftragter zu benennen.

Aber: Bei Ärzten, die zu mehreren in einer Berufsausübungsgemeinschaft oder einer Praxisgemeinschaft zusammengeschlossen sind, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgeabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen.

Zum Datenschutzbeauftragten kann ein Mitarbeiter benannt werden oder eine externe Person / Einrichtung.

• Mustertext Benennung zum Datenschutzbeauftragten
• Mustertext Erfassung Praxismitarbeiter, die mit der elektronischen Verarbeitung personenbezogener Daten beauftragt sind

Bei der Datenerhebung müssen von jedem Verantwortlichen den betroffenen Personen bestimmte Informationen über die Verarbeitung ihrer Daten gegeben werden. Es genügt auch ein Hinweis, wo diese Informationen zugänglich sind (Flyer/Aushang/Homepage). Die betroffenen Personen haben das Recht, Auskunft über die Verarbeitung zu erhalten. Empfehlenswert ist ein Infoblatt auszuhängen oder auszulegen.

• Muster für Praxen, Patienteninformation zum Datenschutz
  

Weil Arztpraxen mit gesundheitsbezogenen Daten umgehen müssen, sind sie verpflichtet, ein Verzeichnis ihrer Verarbeitungstätigkeiten zu führen. Auf Verlangen ist das Verzeichnis von Verarbeitungstätigkeiten der Aufsichtsbehörde vorzulegen. Liegt kein Verzeichnis vor, drohen Bußgelder.

• Muster für Praxen, Verzeichnis von Verarbeitungstätigkeiten
• Ausfüllbeispiel, Verzeichnis von Verarbeitungstätigkeiten

Wenn ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, muss ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden

• Mustervertrag zur Auftragsverarbeitung
• Mustervertrag zur Prüfung und Wartung informationstechnischer Systeme
•  Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs.3 DS-GVO

Beim Betreiben einer Website werden Daten vom Besucher erhoben und ggf. gespeichert (z.B. IP-Adresse, Ort, Datum). Die Besucher einer Praxiswebsite müssen darüber informiert werden, welche personenbezogenen Daten erhoben und gespeichert werden. Auch ist der Besucher über seine Rechte hinsichtlich der gespeicherten Daten aufzuklären.

• Informationspflichten auf der Webseite der Praxis

Ein Praxisinhaber ist in seiner Praxis für die Erhebung und Verarbeitung der personenbezogenen Daten verantwortlich (§§ 29, 32 Abs. 4 DSGVO). Wenn Mitarbeiter mit der Erhebung und Verarbeitung personenbezogener Daten betraut werden, müssen diese über den Umgang und die einzelnen einzuhaltenden Regelungen belehrt werden. Die Belehrung muss erfolgen, bevor der Mitarbeiter erstmals Kontakt mit bzw. Zugriff auf die in der Praxis erhobenen und gespeicherten personenbezogenen Daten erhält. Belehrt werden muss grundsätzlich jeder Mitarbeiter, der Zugang zu den personenbezogenen Daten erhält oder erhalten kann. Aufgrund der neuen Datenschutzgrundverordnung müssen auch bisherige Beschäftigte erneut belehrt werden.

• Merkblatt "Belehrung der Mitarbeiter über die Verschwiegenheit und Datenschutz"
• Belehrung der Mitarbeiter über Verschwiegenheit und Datenschutz

Bei Datenschutzpannen, die mit einem Risiko für betroffene Patienten einhergehen (z.B. Diebstahl von Computern oder Datensicherungen, Hackerangriffe auf den Praxiscomputer) muss eine Meldung an die zuständige Landesdatenschutzbehörde erfolgen. In Baden-Württemberg ist dies

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/

Die Mitteilung einer Datenschutzpanne muss in der Regel innerhalb von 72 Stunden, gerechnet ab dem Zeitpunkt, in dem die Praxis Kenntnis von der Panne erlangt hat, gemeldet werden. Wenn durch die Datenschutzpanne ein Verstoß gegen die ärztliche Schweigepflicht begangen worden sein könnte, entbindet das nicht von der Meldepflicht. Allerdings darf diese Meldung in einem Strafverfahren nicht gegen Ärzte der Praxis verwendet werden. Auch Fragen, die über die Meldung hinausgehen, müssen durch die Ärzte bei Gefahr einer Selbstbelastung nicht beantwortet werden.

• Mustertext Meldung einer Datenschutzpanne an die Datenschutzbehörde
• Mustertext Benachrichtigung von Patienten über die Verletzung des Schutzes personenbezogener Daten
• Onlineformular des LfDI zur Meldung von Datenpannen

• Technisch-organisatorische Maßnahmen zum Datenschutz