Was müssen Arztpraxen im Umgang mit der DSGVO beachten? Hier erhalten Sie wertvolle Praxistipps und Mustervorlagen direkt zum Download.

Seit Mai 2018 gilt die neue Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO).1 Seit Inkrafttreten müssen Ärzte die Einhaltung des Datenschutzes nachweisen können und Informationspflichten gegenüber den Patienten einhalten. Bei Nichteinhaltung sieht die neue EU-DSGVO deutlich höhere Sanktionen vor als früher üblich.1–3 Erfahren Sie hier, was Sie beim Datenschutz in Ihrer Praxis beachten sollten und wie Sie Abmahnungen und Bußgelder vermeiden.

1) Legen Sie ein Verzeichnis für Verarbeitungstätigkeiten an

Alle Tätigkeiten und Vorgänge, bei denen personenbezogene Daten erfasst und/oder verarbeitet werden, müssen in einem Verzeichnis dokumentiert werden. Diese Aufstellung muss Aufsichtsbehörden – bei Aufforderung – verfügbar gemacht werden. Wird kein Verzeichnis geführt, drohen Geldbußen.1, 3

Auf der Website der Kassenärztlichen Bundesvereinigung (KBV) finden Sie hierzu eine Mustervorlage.

2) Erstellen Sie einen Datenschutzplan

Zum Schutz der Patientendaten müssen Sie geeignete technische und organisatorische Schritte veranlassen und in einem Datenschutzplan dokumentieren (siehe Servicebox). Dabei gehen aus der EU-DSGVO keine konkreten Vorgaben für den Einzelfall hervor. Im Datenschutzplan soll festgehalten sein, welche Vorkehrungen die Praxis getroffen hat, um einen Missbrauch der Patientendaten zu verhindern. Das gesamte Praxisteam sollte diese Regeln kennen und den Datenschutzplan bei Anfragen vorlegen können.1, 3

 Folgende wichtige Punkte sollte Ihr Datenschutzplan umfassen:1, 3

  • Digitale Patientendaten werden nie unverschlüsselt übermittelt (Bsp. E-Mail).
  • Zugriffsberechtigungen, Passwortschutz und automatische Bildsperre sind aktiviert (Bsp. PC).
  • Die Diskretion wird gewahrt: Anmeldung und Wartebereich sind örtlich getrennt; Schild mit Bitte auf Diskretionsabstand ist aufgestellt.
  • Patientenakten werden unter Verschluss gehalten.
  • Vertrauliche Arzt-Patienten-Gespräche erfolgen stets in geschlossenen Räumen.
  • Es gibt eine Identitätsprüfung zu Beginn der Telefonsprechstunde durch gezielte Zusatzfragen (z. B. nach Geburtstag/Wohnsitz).
  • Patientenakten werden nach DIN-Norm vernichtet.
  • Die Mitarbeiter werden zur Einhaltung von Schweigepflicht und Datenschutz geschult.

3) Stellen Sie Ihren Patienten Informationen zum Datenschutz bereit

Alle Patienten müssen darüber informiert werden, was mit ihren Gesundheitsdaten passiert. Dabei empfiehlt sich ein Aushang mit Informationen zum Datenschutz der Patienten in Ihrer Praxis. Parallel hierzu kann auch ein Informationsblatt im Wartezimmer ausgelegt werden. Zusätzlich können Sie Ihren Patienten die Datenschutzinformation auch auf der Praxiswebsite zur Verfügung stellen.1, 3

Eine Mustervorlage finden Sie auf der Website der Kassenärztlichen Bundesvereinigung (KBV).

4) Auftragsverarbeitung – Zusammenarbeit mit Dienstleistern

Werden Aufträge an externe Dienstleister vergeben, bei denen ein Zugriff auf Patienten- oder Mitarbeiterdaten erfolgen kann, muss ein sogenannter Auftragsverarbeitungsvertrag (als Anlage zum Hauptvertrag) abgeschlossen werden (Art. 28 EU-DSGVO). Eine Auftragsverarbeitung liegt beispielsweise bei der Wartung der Praxis-EDV oder bei Terminvergaben durch Externe vor.1 Darüber hinaus müssen die externen Dienstleister zur Geheimhaltung verpflichtet werden.2

Eine Mustervorlage finden Sie auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDi).

5) Patienteneinwilligungserklärung nur in bestimmten Fällen nötig

Generell gilt: Das Erfassen, Bearbeiten und Speichern von Patientendaten ist gesetzlich gestattet. Patienten müssen für diese internen Vorgänge keine Einwilligungserklärung unterschreiben.1 Dies ist nur nötig, wenn beispielsweise eine private Verrechnungsstelle einbezogen wird oder ein Informationsaustausch zwischen Haus- und Facharzt erfolgt.2, 3

In solchen Fällen müssen die Praxen nachweisen können, dass die Patienten eine Einwilligungserklärung zur Datenverarbeitung unterschrieben haben. Laut der DSGVO muss in diesem Schreiben zusätzlich ein Hinweis darauf enthalten sein, dass das Einverständnis jederzeit vom Patienten widerrufbar ist.1, 3

Auf der Website der Landesärztekammer Hessen können Sie eine Mustervorlage herunterladen.

6) Stellen Sie auf Ihrer Website eine Datenschutzinformation zur Verfügung

Passen Sie die Website Ihrer Praxis an die Anforderungen der EU-DSGVO an. Um Abmahnungen zu vermeiden, muss Ihre Webpräsenz neben dem Impressum auch eine separate Datenschutzinformation enthalten.2

Weitere Informationen hierzu erhalten Sie auf der Website der Kassenärztlichen Bundesvereinigung (KBV).

„Selbst-Check“ – Datenschutz in der Arztpraxis

Quellen:

  1. Kassenärztliche Bundesvereinigung. Datenschutz (2018). Online verfügbar unter: https://www.kbv.de/html/datensicherheit.php (abgerufen am 08.12.2020)
  2. Deutsches Ärzteblatt. Datenschutz in Arztpraxen: Achtung Chefsache, Jg. 115, Heft 29-30, 2018. https://www.aerzteblatt.de/archiv/199083/Datenschutz-in-Arztpraxen-Achtung-Chefsache (abgerufen am 08.12.2020)
  3. Kassenärztliche Bundesvereinigung. Datenschutz-Grundverordnung. Was Praxen dazu wissen müssen (November 2019). Online verfügbar unter: https://www.kbv.de/media/sp/Praxisinformation_Datenschutz_DSGVO.pdf (abgerufen am 08.12.2020)

Bildquelle: © AdobeStock.com/geschmacksRaum