Ärzte

EU-Datenschutz-Grundverordnung - KBV erarbeitet Praxisinformation


01.03.2018 - Die EU-Datenschutz-Grundverordnung ist ab 25. Mai geltendes nationales Recht. Für

Ärzte und Psychotherapeuten bedeutet das vor allem, dass sie die Einhaltung des Datenschutzes

nachweisen müssen. Viele Vorgaben werden jedoch schon jetzt in den Praxen berücksichtigt.


Ziel der EU-Datenschutz-Grundverordnung (EU-DSGVO) ist es, personenbezogene Daten in allen

gesellschaftlichen Bereichen – ausgenommen ist die Privatsphäre – zu schützen. Zudem geht es um

die weitgehende Vereinheitlichung europäischen Datenschutzrechts.


„Damit sind auch die Vertragsärzte und Vertragspsychotherapeuten von den schärferen Regelungen

zum Datenschutz betroffen“, stellte KBV-Vorstandsvorsitzender Dr. Andreas Gassen dar. „Wir können

die damit verbundenen zusätzlichen Belastungen leider nicht verhindern, aber wir werden die Praxen

bei der Umsetzung mit konkreten Informationen unterstützen.“


Patienten über Datenschutz informieren

Für die niedergelassenen Ärzte und Psychotherapeuten bedeutet die neue Verordnung, dass sie

nunmehr die Einhaltung des Datenschutzes in der Praxis nachweisen müssen. Dieses

Datenschutzmanagement beinhaltet unter anderem die Information der Patienten darüber, wie der

Schutz ihrer Daten gewährleistet wird.

Die wichtigsten Fakten zur Datensicherheit sollten leicht verständlich und transparent in der Praxis

dokumentiert werden – beispielsweise in einem Aushang. Dazu gehören Informationen zur Dauer der

Speicherung sowie zum Zweck der Verarbeitung.


Datenschutzrichtlinie für die Praxis

Darüber hinaus muss jede Praxis nunmehr ihre eigene Datenschutzrichtlinie formulieren. Darin

regeln Praxisinhaber, wie sie und ihr Praxisteam die Vorgaben des Datenschutzes einhalten. Es

werden die Verantwortlichkeiten beispielsweise bei Datenschutzvorfällen benannt.

Außerdem sollen in der Richtlinie die Zugriffsrechte auf die Daten sowie technische und

organisatorische Maßnahmen zum Schutz der Daten dargestellt werden.


Verzeichnis für Verarbeitungsvorgänge

Die internen Verarbeitungsvorgänge von Patientendaten müssen auch auf ihre datenschutzrechtliche

Konformität überprüft werden. Dazu ist eine Bestandsaufnahme erforderlich, welche Daten in der

Praxis auf welcher Rechtsgrundlage verarbeitet werden. Diese werden in einem Verzeichnis für

Verarbeitungsvorgänge aufgelistet. Dazu gehören die Patienten- und Personalakten sowie die

Software für die Buchhaltung und gegebenenfalls die Terminverwaltung.

Zudem ist mit der EU-DSGVO vorgeschrieben, dass Einwilligungen der Patienten zur Weitergabe

ihrer Daten, zum Beispiel an private Abrechnungszentren, auch Widerrufsmöglichkeiten enthalten

müssen. Dies ist heute schon gängige Praxis.


Datenschutzbeauftragten benennen

Sind in einer Praxis mindestens zehn Mitarbeiter mit der automatisierten Verarbeitung von

personenbezogenen Daten beschäftigt, muss ein Datenschutzbeauftragter benannt werden. Dies

kann ein entsprechend geschulter Mitarbeiter oder auch ein extern Beauftragter sein. Nicht in Frage

kommt dafür der Praxisinhaber, denn er kann und darf sich nicht selbst kontrollieren.

Zwar werden die in der DSGVO enthaltenen Vorgaben teilweise bereits in Praxen berücksichtigt,

doch neu ist nun, dass deren Einhaltung durch die Landesdatenschutzbeauftragten auch

stichprobenartig kontrolliert wird. Bei Verstößen drohen Schadensersatzforderungen sowie

Geldbußen – im Extremfall bis zu 20 Millionen Euro. Auch Schadensersatzforderungen zum Beispiel

von Patienten sind möglich.


Praxisinformation erläutert Details

Die KBV erarbeitet derzeit eine Praxisinformation, in der detailliert und praktisch beschrieben wird,

wie Ärzte und Psychotherapeuten vorgehen müssen, um die neuen Vorgaben korrekt umsetzen zu

können. Deren Veröffentlichung ist für Anfang April geplant.

Zudem werden Muster für einen Aushang entwickelt, mit dem die Patienten über die Sicherung der

Daten informiert werden sollen.

Die Bundesärztekammer und die KBV haben zudem die „Empfehlungen zur ärztlichen

Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ überarbeitet und um die

neuen Vorgaben ergänzt. Eine Veröffentlichung im Deutschen Ärzteblatt ist am 9. März erfolgt.


   Die EU-Datenschutz-Grundverordnung

  • Im Datenschutzrecht hat mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) und dem
  • neugefassten Bundesdatenschutzgesetz (BDSG) eine Neustrukturierung des Datenschutzrechts
  • stattgefunden.
  • Die EU-DSGVO ist bereits im Mai 2016 in Kraft getreten und wird nun ab 25. Mai 2018 angewendet.
  • Deutschland gehört zu den wenigen EU-Ländern, die ihr Bundesdatenschutzgesetz bereits
  • entsprechend angepasst haben.
  • Ziele sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere
  • deren Recht auf Schutz sowie der freie Verkehr personenbezogener Daten. Zudem geht es um die
  • weitgehende Vereinheitlichung europäischen Datenschutzrechts.
  • Die EU-Datenschutz-Grundverordnung betrifft alle gesellschaftlichen Bereiche, in denen mit
  • personenbezogenen Daten umgegangen wird – so auch Praxen von Ärzten und Psychotherapeuten.
  • Ausgenommen ist lediglich der private Bereich.


      © 2018 KASSENÄRZTLICHE BUNDESVEREINIGUNG (KBV)

1. Arztpraxen mit 10 oder mehr Beschäftigten müssen einen Datenschutzbeauftragten benennen.


2. Gemeinschaftspraxen müssen ebenfalls einen Datenschutzbeauftragten benennen.


3. Praxisgemeinschaften mit weniger als 10 Beschäftigten würde ich aufgrund der Bußgeldrisiken ebenfalls empfehlen, einen Datenschutzbeauftragten zu benennen.


4. Einzelärzte mit weniger als 10 Beschäftigten können davon absehen, einen Datenschutzbeauftragten zu benennen. Zur Absicherung sollte dies bei Zweifeln mit der zuständigen Aufsichtsbehörde für den Datenschutz besprochen werden.