Datenschutz in der Arztpraxis

Was müssen Sie beim Thema Datenschutz in der Arztpraxis beachten? Hier erfahren Sie, wann Sie einen Datenschutzbeauftragten brauchen und welche Pflichten Sie als Arzt erfüllen müssen. Außerdem erklären wir, welche Strafen bei Verstößen gegen die DSGVO drohen.

Nutzen Sie auch unsere Vorlagen rund um die Datenschutzerklärung und die Praxishomepage, die Sie am Seitenende downloaden können.

Diesen Artikel teilen

Was ist die DSGVO?

Seit 2018 gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO) in jedem Mitgliedsstaat der Europäischen Union. Die EU-DSGVO schafft einheitliche Regeln für

  • die ganz und teilweise automatisierte Verarbeitung personenbezogener Daten
  • die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden

Ärzte verarbeiten personenbezogene Daten. Darum gilt die DSGVO auch für sie – ohne Ausnahme und unabhängig von der Anzahl der Mitarbeiter oder Patienten in der Arztpraxis. Auch das Bundesdatenschutzgesetz (BDSG) gilt weiterhin.

Wenn Sie mehr über die speziellen Anwendungsbereiche der DSGVO in der Arztpraxis erfahren wollen, zum Beispiel die Impressumspflicht auf der Homepage oder die fachgerechte Entsorgung von Patientenakten, laden Sie unsere Praxisinfos herunter.

Nutzen Sie auch unsere Vorlagen zur Verschwiegenheitserklärung für Mitarbeiter und externe Dienstleister. Bei Fragen zum neuen Datenschutzrecht hilft Ihnen unsere kostenlose Rechtsberatung für Mitglieder gerne weiter. Regelmäßig veranstalten wir auch Online-Seminare zum Datenschutz.

 

Jetzt anmelden

Prinzipien des Datenschutzes

Diese allgemeinen Grundsätze des Datenschutzes müssen Sie immer beachten:

  1. Rechtmäßigkeit der Erhebung
  2. Zweckbindung
  3. Datenminimierung (Datensparsamkeit)
  4. Speicherbegrenzung
  5. Vertraulichkeit
  6. Rechenschaftspflicht

Gesundheitsdaten verarbeiten

Daten dürfen nur verarbeitet werden, wenn die betroffene Person ausdrücklich einwilligt oder eine gesetzliche Grundlage besteht. Das kann zum Beispiel der Behandlungsvertrag zwischen Arzt und Patient sein.

In Artikel 9 der DSGVO heißt es, dass Gesundheitsdaten als besondere Kategorie sensibler Daten speziell geschützt werden müssen. Die Verarbeitung dieser Gesundheitsdaten ist aber speziell für medizinische Zwecke in der Arztpraxis ausdrücklich erlaubt.

Für alle Verarbeitungsvorgänge außerhalb des Behandlungsvertrages ist eine gesonderte schriftliche Einwilligungserklärung notwendig, also z. B. wenn Sie Patientendaten an ein privates Abrechnungs-Unternehmen übermitteln. Die Praxis muss nachweisen können, dass eine solche Einwilligungserklärung vorliegt.

Die Einwilligung kann schriftlich, in Textform, elektronisch oder mündlich gegeben werden. Aus Beweisgründen rate ich zu einer schriftlichen Erklärung. Sie kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Andrea Schannath
Rechtsberatung

Datenschutzrechtliche Pflichten für niedergelassene Ärzte und Patienteninformation

Folgende Informationen rund um die Datenverarbeitung müssen Ärzte ihren Patienten geben. Sie können dafür ein Formular nutzen.

  • Namen und Kontaktdaten des Verantwortlichen und ggfs. des Datenschutzbeauftragten (z. B. E-Mail-Adresse)
  • Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (also die ärztliche Behandlung)
  •  ggfs. Empfänger der personenbezogenen Daten (z. B. die Kassenärztliche Vereinigung)
  • ggfs. Absicht des Verantwortlichen, die gespeicherten Daten an ein Drittland oder eine internationale Organisation zu übermitteln
  • Kategorien personenbezogener Daten, die verarbeitet werden, sofern die Daten nicht direkt beim Patienten erhoben werden


Als Praxisinhaber müssen Sie darüber hinaus weitere Informationen zur Verfügung stellen. Dafür reicht ein Aushang in der Arztpraxis oder ein Hinweis auf der Praxiswebseite:

  • Dauer der Speicherung oder Kriterien für die Festlegung dieser Dauer
  • Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung
  • Widerspruchsrecht gegen die Verarbeitung
  • Recht auf Datenübertragung
  • Recht, die Einwilligung jederzeit zu widerrufen
  • Beschwerderecht bei einer Aufsichtsbehörde (Landesbeauftragter für den Datenschutz)
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
  • Verpflichtung, die Daten bereitzustellen, bzw. Folgen bei Nichtbereitstellung
  • ggfs. Informationen zu automatisierter Entscheidungsfindung und Profiling

Für die Datenschutzerklärung auf Ihrer Homepage können Sie sogenannte „Datenschutz-Generatoren“ im Internet einsetzen. Die Textbausteine der Muster-Datenschutzerklärung lassen sich schnell und einfach an die technischen Bedingungen Ihrer Praxiswebseite anpassen.

Falls Patienten von ihrem Auskunftsrecht Gebrauch machen, müssen Ärzte die personenbezogenen Daten in Kopie zur Verfügung stellen. Das geht auch in einem gängigen elektronischen Format (z. B. PDF, JPG).

Aufbewahrungsfristen

Patientenunterlagen müssen in der Regel 10 Jahre lang aufbewahrt werden. Darum kann ein Anspruch auf Löschung der Patientendaten frühestens nach 10 Jahren geltend gemacht werden. Mehr über die Aufbewahrungsfristen und die Entsorgung von Patientenakten lesen Sie im Praxisärzte-Blog.

Datenschutzbeauftragter

Ein Datenschutzbeauftragter soll die Einhaltung des Datenschutzes und der Datensicherheit (z. B. IT-Sicherheit der Praxis-EDV) kontrollieren. Er ist Ansprechpartner für alle Fragen zum Thema Datenschutz.

Sie können einen betrieblichen Datenschutzbeauftragten oder externe Datenschutzbeauftragte bestellen. Praxisinhaber und Datenschutzbeauftragter dürfen nicht ein und dieselbe Person sein.  

Ob Sie einen Datenschutzbeauftragten benennen müssen, hängt u. a. von der Mitarbeiterzahl und vom Umfang der Datenverarbeitung in der Arztpraxis ab. Sie brauchen einen Datenschutzbeauftragten, wenn

  • die Praxis mehr als 20 Mitarbeiter hat, die mit der automatisierten Verarbeitung personenbezogener Daten ständig beschäftigt sind. Zu den Mitarbeitern zählt auch Praxisinhaber, aber nicht das Reinigungspersonal
  • eine umfangreiche Verarbeitung (durch mindestens 10 Personen) z. B. von sensiblen Gesundheitsdaten stattfindet
  • eine Datenschutz-Folgenabschätzung nötig ist

Der Praxisinhaber muss den Datenschutzbeauftragten der zuständigen Aufsichtsbehörde melden.

Datenschutz in der Telematikinfrastruktur

Bei der gemäß Art. 35 Abs. 10 DSGVO normierten, vorgezogenen Datenschutz-Folgenabschätzung (DSFA) übernimmt der Gesetzgeber die Verantwortlichkeit für die Durchführung und entlastet Praxisinhaber. Die Datenschutz-Folgenabschätzung in der TI ist also bereits durchgeführt. Sie liegt dem „Digitale Versorgung und Pflege - Modernisierungs-Gesetz“ (DVPMG) als Anlage zu § 307 SGB V bei.

Strafen bei Verstößen

Leider kommt es im Umgang mit Patientendaten manchmal zu Datenpannen und Verstößen gegen die ärztliche Schweigepflicht:

  • Der Tresen ist unbeaufsichtigt – jemand könnte sich Zutritt zu den Patientenakten, Computern und Ablagen verschaffen
  • Akten werden auf dem Tisch im Behandlungsraum liegen gelassen oder bleiben auf dem Bildschirm angezeigt, während Patienten sich dort alleine aufhalten
  • Patienten im Wartezimmer können mithören, welche sensiblen Daten am Anmeldetresen ausgetauscht werden (z. B. Testergebnisse)
  • Anfragen per Telefon oder E-Mail werden beantwortet, ohne dass die Praxis die Identität des Anfragenden prüft
  • Die Informations-Übermittlung an die Krankenkasse ist detaillierter als nötig

Gerade dort, wo viele Informationen fließen – am Empfang – muss der Umgang mit Datensicherheit immer wieder geschult werden.

Wenn gegen die gesetzlichen Bestimmungen verstoßen wurde, hat der Praxisinhaber gemäß DS-GVO die Pflicht, dies der Aufsichtsbehörde innerhalb von 72 Stunden zu melden. Betroffene Patienten müssen ebenfalls informiert werden. Legen Sie in Ihrer internen Datenschutzlinie genau fest, wer für die Information zuständig ist.

Bei Verstößen gegen die Datenschutz-Grundverordnung können im schlimmsten Fall hohe Geldbußen bis zu 20 Millionen Euro drohen. Solche Rekordstrafen sind allerdings für Konzerne wie Google in das Gesetz geschrieben worden. Arztpraxen können beim ersten Verstoß eher mit einer Verwarnung rechnen.

Das Strafmaß richtet sich u. a nach:

  • Schwere der Datenschutzverletzung
  • Umsatz des Unternehmens
  • Anzahl der Verstöße

Neben materiellen sind auch immaterielle Schadensersatzansprüche der betroffenen Personen möglich.

Sichern Sie sich ab

Mitglieder im Virchowbund können sich kostengünstig gegen Regress, IT-Risiken und Kosten durch Datenschutzverletzungen versichern lassen. Mehr erfahren

Checkliste zur Datenschutz-Grundverordnung

Überprüfen Sie zuerst alle Verarbeitungsvorgänge von Daten, unabhängig ob diese elektronisch oder in Papierform erfolgen. Die Überprüfung muss auch technisch-organisatorische Maßnahmen einschließen.

Dann sollte ein internes Datenschutzmanagement in der Praxis eingeführt werden, um sicherzustellen und dokumentiert nachweisen zu können, dass der Datenschutz entsprechend den gesetzlichen Vorgaben der DSGVO und des BDSG in der Praxis eingehalten wird. Dazu müssen Sie Folgendes umsetzen:

  • interne Datenschutzrichtlinie erstellen
  • Verzeichnis für die Verarbeitungsvorgänge in der Praxis anlegen
  • Formulare und Verträge überprüfen
  • Mitarbeiter schulen
  • Datenschutz-Folgenabschätzung erstellen
  • Datenschutzbeauftragten benennen
  • Homepage überprüfen
  • Daten sichern

In der internen Datenschutzrichtlinie legen Sie fest

  • wie Patientendaten erfasst werden
  • wer für was zuständig ist
  • wer welche Zugriffsmöglichkeiten auf die Daten hat
  • wie verfahren wird, wenn ein Patient Auskunft über seine Daten haben, sie berichtigen oder löschen möchte
  • wer für die Meldung von Datenverstößen zuständig ist
  • weitere Details nach Bedarf

Das Verzeichnis für die Verarbeitungsvorgänge listet auf, welche Daten auf welcher Rechtsgrundlage in der Praxis verarbeitet werden. Für jede Gruppe von Datenverarbeitungs-Vorgängen müssen Sie ein entsprechendes Formular ausfüllen.

Manche Formen der Verarbeitung haben ein hohes Risiko für die Rechte und Freiheiten Ihrer Patienten zur Folge. Dann muss vorab eine Folgenabschätzung durchgeführt werden. In einer Einzelpraxis wird das aber normalerweise nicht notwendig sein.

Lassen Sie sich von allen Mitarbeitern und von externen Dienstleistern eine Verschwiegenheitsverpflichtung unterschreiben. Eine Vorlage dafür können Sie hier gemeinsam mit weiteren Mustern und Vorlagen herunterladen, wenn Sie bereits Mitglied im Virchowbund sind.

In diesem Fall können Sie sich bei datenschutzrechtlichen Fragen auch kostenlos an unsere Rechtsberatung wenden. Das spart viel Zeit, Geld und Ärger.

 

Zur Mitgliedschaft

 

Mitglieder wissen mehr!

Virchowbund-Mitglieder erhalten vollen Zugriff auf

  • über 90 Praxisinfos und Musterverträge zum Download
  • persönliche Rechtsberatung
  • exklusive Partnerangebote
  • Webinare, Networking-Events
  • u. v. m.

Entdecken Sie alle Vorteile.

Mitglied werden

Praxis-Knowhow

Digitale Praxis

Tipps und Anregungen, wenn Sie in Ihrer Arztpraxis digital arbeiten wollen – mit Mehrwert für Arzt und Patienten.

Praxis-Knowhow

Praxiswebseite

Eine gut programmierte, ansprechende und übersichtliche Praxis-Homepage muss weder aufwändig noch teuer sein.

Praxis-Knowhow

Praxisbegehung

Erfahren Sie, wie die Kontrolle abläuft und laden Sie die Checkliste Praxisbegehung herunter.

Downloads für Mitglieder

Cookie-Einstellungen

Wir nutzen Cookies, um Ihnen die bestmögliche Nutzung unserer Webseite zu ermöglichen und unsere Kommunikation mit Ihnen zu verbessern. Wir berücksichtigen Ihre Auswahl und verwenden nur die Daten, für die Sie uns Ihr Einverständnis geben.

Diese Cookies helfen dabei, unsere Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriffe auf sichere Bereiche ermöglichen. Unsere Webseite kann ohne diese Cookies nicht richtig funktionieren.

Diese Cookies helfen uns zu verstehen, wie Besucher mit unserer Webseite interagieren, indem Informationen anonym gesammelt werden. Mit diesen Informationen können wir unser Angebot laufend verbessern.

Diese Cookies werden verwendet, um Besuchern auf Webseiten zu folgen. Die Absicht ist, Anzeigen zu zeigen, die relevant und ansprechend für den einzelnen Benutzer und daher wertvoller für Publisher und werbetreibende Drittparteien sind.