Da denk man doch, man hätte alles unter Kontrolle und der Datenschutz würde reibungslos in der Praxis funktionieren. Doch immer wieder zeigt sich, dass in Arztpraxen Datenpannen passieren, die sich leicht hätten vermeiden lassen können. Anhand der folgenden 5 Fragen können Sie überprüfen, ob der Datenschutz in ihrer Praxis in die richtige Richtung geht.
1. Müssen Patienten vor jeder Behandlung eine Datenschutzerklärung unterschreiben?
Das Instrument der „Datenschutzerklärung“ ist rechtlich nicht definiert, insofern kommt es immer auf den jeweiligen Inhalt an, ob eine Unterschrift erforderlich ist oder nicht.
In einigen Arztpraxen werden die Patientinnen und Patienten vor der Behandlung aufgefordert, eine „Datenschutzerklärung“ zu unterschreiben. Der Inhalt dieser Erklärung ist dabei nicht immer derselbe. In manchen Fällen werden Einwilligungen zu verschiedenen Datenverarbeitungen eingeholt, in anderen Fällen handelt es sich um die Hinweise zur Datenverarbeitung nach den Artikeln 13 und 14 DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More. Die meisten Datenverarbeitungen in einer Arztpraxis sind durch den Behandlungsvertrag abgedeckt, auch wenn dieser nicht schriftlich geschlossen wird. Eine gesonderte Unterschrift ist daher in der Regel nicht erforderlich. Eine Unterschrift kann dann erforderlich sein, wenn die „Datenschutzerklärung“ mit einem Anamnesebogen verbunden wird. Dann dient die Unterschrift dazu, die getätigten Angaben zu bestätigen.
2. Darf ich Patientinnen und Patienten an einen Untersuchungstermin erinnern (Recall-System)?
Ja, sofern die Patientinnen und Patienten vor der Datennutzung informiert wurden und nicht widersprochen haben.
Bereits mit der Erinnerung an einen Untersuchungstermin werden besondere Kategorien personenbezogener Daten verarbeitet. Die Versendung einer Terminerinnerung mit einer Postkarte ohne Briefumschlag ist daher nicht zulässig. Gleiches gilt für elektronische Terminerinnerungsservices. Diese müssen die Anforderungen der Artikel 25 und 32 DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More erfüllen und eine nach dem Stand der Technik gesicherte digitale Kommunikation gewährleisten. Die Ärztinnen oder Ärzte treten dabei als Auftraggeber auf und sind für die Datenverarbeitung beim Auftragsverarbeiter verantwortlich. Das bedeutet auch, dass sie sich regelmäßig von der ordnungsgemäßen Leistungserbringung überzeugen müssen
Sofern die Terminerinnerung durch einen Auftragsverarbeiter erfolgt, müssen die Patientinnen und Patienten vor einer Weitergabe der Daten an den Auftragsverarbeiter im Rahmen der Informationspflicht nach Artikel 13 DSGVO über diesen Auftragsverarbeiter informiert werden. Dies betrifft auch telefonischen Terminvereinbarungen.
3. Wann muss ich einen Datenschutzbeauftragten (DSB) benennen?
Grundsätzlich ist ein/e DSB zu benennen, wenn zehn oder mehr Personen einschließlich der oder dem Verantwortlichen mit der VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... von Gesundheitsdaten befasst sind. Allerdings kann auch eine Pflicht zur Benennung des DSB bereits bei weniger als zehn Personen bestehen. Dies ist dann der Fall, wenn eine weit über das normale Maß hinausgehende, umfangreiche Datenverarbeitung erfolgt oder eine Pflicht zur Erstellung einer Datenschutzfolgenabschätzung nach Artikel 35 DSGVO besteht. Einige Datenschutzbehörden bieten eine Übersicht von Verarbeitungsvorgängen, die diese Pflicht auslösen.
Eine durchschnittliche Arztpraxis (unter Einsatz einer üblichen Praxisverwaltungssoftware, ohne Einsatz neuartiger Technologien) wird in der Regel keine/n DSB benennen müssen, sofern weniger als zehn Personen Gesundheitsdaten verarbeiten. Für den Fall, dass ein/e DSB benannt werden muss, ist die Benennung der zuständigen Aufsichtsbehörde schriftlich mitzuteilen. Für das Land NRW finden Sie das Meldeformular hier. Die Erreichbarkeit der oder des DSB muss in den Informationspflichten nach Artikel 13 DSGVO und, sofern vorhanden, auch auf der eigenen Homepage genannt werden.
4. Wie lange dürfen Patientenakten gespeichert werden und können Patienten die Löschung von Daten verlangen.
Die Löschung von personenbezogenen Daten ist in Artikel 17 DSGVO geregelt. Personenbezogene DatenAlle Auskünfte, die sich auf eine bestimmte oder bestimmbare natürliche Person („betroffene ... sind demnach zu löschen, wenn diese zur Aufgabenerfüllung nicht mehr erforderlich sind und keine Aufbewahrungspflichten oder vorrangige Interessen der Betroffenen einer Löschung entgegenstehen. Aufbewahrungspflichten im Gesundheitswesen ergeben sich z.B. aus dem Bürgerlichen Gesetzbuch:
Aus § 630f Absatz 3 BGB ergibt sich die Verpflichtung, Patientenakten mindestens zehn Jahre nach Abschluss der Behandlung aufzubewahren.
Das Strahlenschutzgesetz, das Transplantationsgesetz, das Transfusionsgesetz und ggf. weitere fachrechtliche Vorschriften sehen für bestimmte Daten eine Aufbewahrungsfrist von 30 Jahren vor.
Zur Abwehr von Schadensersatzansprüchen aufgrund der Verletzung des Körpers kann nach § 823 Bürgerliches Gesetzbuch (BGB) in Verbindung mit § 199 Absatz 2 BGB in begründeten Ausnahmefällen, unabhängig von der Art der Daten, auch eine Aufbewahrungsfrist von 30 Jahren nach dem jeweiligen Eingriff zulässig sein. Die Verantwortlichen müssen abwägen, aufgrund welcher Behandlungsfälle derartige Klagen nach Ablauf der Mindestaufbewahrungszeit in Betracht kommen können. Eine pauschale Aufbewahrung aller Daten für 30 Jahre ist nicht zulässig.
Patientinnen und Patienten haben erst nach Ablauf dieser Fristen einen Anspruch auf Löschung ihrer Daten. Die Verantwortlichen haben die Patientinnen und Patienten über die festgelegte Speicherdauer zu informieren.
Sofern die Behandlung nach medizinischen Gesichtspunkten abgeschlossen ist und die Daten nur deswegen noch nicht gelöscht werden, weil die Aufbewahrungsfristen noch nicht abgelaufen sind, sind die Patientendaten gemäß Artikel 18 Abs.1 lit. c DSGVO in der VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... einzuschränken. Sie dürfen ohne besondere Zugriffsermächtigungen nicht mehr frei zugänglich im Praxisverwaltungssystem gespeichert werden. Wird die Patientin oder der Patient vor Ablauf der Aufbewahrungsfristen erneut wegen der gleichen Erkrankung behandelt, ist ein Zugriff auf die früheren, eigenen Dokumentationen wieder zulässig.
5. In welchem Zeitraum muss eine Überprüfung auf Aktualität des Verzeichnisses von Verarbeitungstätigkeiten (VVT) erfolgen und wer kann mit der Prüfung beauftragt werden
Ein wesentlicher Bestandteil der Beschreibung der einzelnen Verarbeitungsvorgänge im VVT sind die getroffenen technisch-organisatorischen Schutzmaßnahmen. Durch die fortschreitende technische Entwicklung sowohl auf der Seite der Schutzmaßnahmen als auch auf der Seite der Bedrohungen, ist von der verantwortlichen Stelle regelmäßig zu prüfen, ob die getroffenen Maßnahmen noch den Stand der Technik im Sinne der Artikel 25 und Artikel 32 DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More entsprechen.
Aus datenschutzrechtlicher Sicht wird eine jährliche Überprüfung des gesamten VVT empfohlen, auch wenn technische oder organisatorische Änderungen bei den jeweiligen Verarbeitungstätigkeiten bei Bedarf geprüft und eingepflegt werden.
Bei der Überprüfung empfiehlt es sich, sowohl technischen, fachlichen und datenschutzrechtlichen Sachverstand einzubeziehen.
Weitere Fragen und Antworten zu der DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More im Gesundheitsbereich finden sie auf der Homepage der LfDI Niedersachsen.
Falls Sie sich rund um das Thema Datenschutzberaten lassen wollen, finden Sie uns hier.