Anwendung der Datenschutz-Grundverordnung in Arztpraxen

Datenschutz-Grundverordnung: Tastatur mit Richterhammer

Die Daten­schutz-Grund­verord­nung der EU (EU-DSGVO) tritt am 25. Mai 2018 in Kraft und sorgt im Vor­feld für einige Unruhe. Noch immer beste­hen viele Grau­zo­nen: Anstatt zwis­chen “legal” und “ille­gal” wird häu­fig zwis­chen “wahrschein­lich rechtssich­er” und “eher riskant” unter­schieden. Die Neuerun­gen betr­e­f­fen auch Arzt­prax­en, die naturgemäß beson­ders sen­si­ble Gesund­heits­dat­en ver­ar­beit­en. Ob dies dig­i­tal oder papierge­bun­den geschieht, ist dabei uner­he­blich. Die hohen Sank­tion­san­dro­hun­gen lösen zuerst ein­mal Angst aus. Inzwis­chen zeich­net sich allerd­ings ab, dass die zuständi­gen Auf­sichts­be­hör­den die EU-DSGVO nicht in voller Strenge zur Anwen­dung brin­gen wer­den (weit­ere Infor­ma­tio­nen). Den­noch entste­ht für Arzt­prax­en erst­mal mehr Papierkram (Artikel der Tagess­chau). Im Gegen­zug genießen Patien­ten einen besseren Daten­schutz, für den in manchen Arzt­prax­en bish­er das notwendi­ge Bewusst­sein fehlte.

Datenschutz-Grundverordnung erhöht u.a. Informationspflichten

Im Wesentlichen verän­dern sich durch die Daten­schutz-Grund­verord­nung fol­gende Aspek­te:

  • die Höhe der Bußgelder.
  • die Infor­ma­tion­spflicht­en gegenüber Ihren Patien­ten.
  • die Meldepflicht­en bei Daten­pan­nen.
  • die Regelun­gen zur Benen­nung eines Daten­schutzbeauf­tragten.
  • die Anforderun­gen an die Doku­men­ta­tion Ihrer Daten­schutzbe­mühun­gen.

Kün­ftig müssen Sie Ihre Patien­ten über Ihre Daten­ver­ar­beitung informieren. Dies geht z.B. indem Sie neuen Patien­ten einen entsprechen­den Fly­er aushändi­gen. Sie müssen Auskun­ft darüber geben kön­nen, welche Patien­ten­dat­en Sie gespe­ichert haben und müssen diese auf Wun­sch löschen kön­nen.

Als kleine Prax­is, in der weniger als 10 Per­so­n­en Dat­en ver­ar­beit­en, brauchen Sie auch kün­ftig nicht zwangsläu­fig einen Daten­schutzbeauf­tragten (weit­ere Infor­ma­tio­nen). Abge­se­hen von der geset­zlichen Pflicht kann dies zur Steigerung Ihres Daten­schutzes hil­fre­ich sein. Fern­er soll­ten Sie Ihre tech­nisch-organ­isatorischen Maß­nah­men zur Gewährleis­tung des Daten­schutzes doku­men­tieren. Dazu gehören bspw. einge­set­zte Ver­fahren zur Ver­schlüs­selung (Schutzziel “Ver­traulichkeit”) oder zur Pro­tokol­lierung über Änderun­gen an Dat­en (Schutzziel “Integrität”). Rechtliche, organ­isatorische und tech­nis­che Anforderun­gen sind hier eng verzah­nt: Wenn sich alle Mitar­beit­er mit dem sel­ben Benutzerkon­to an einem PC anmelden, lässt sich nicht fest­stellen, wer Änderun­gen vorgenom­men hat.

In einem Kon­flik­t­fall soll­ten Sie zumin­d­est nach­weisen kön­nen, dass Sie sich um den Daten­schutz geküm­mert haben. Doku­men­tieren Sie interne Richtlin­ien beim Umgang mit den Dat­en und vere­in­baren Sie schriftlich Leitlin­ien mit Ihren Mitar­beit­ern. Bspw. sollte klar sein, wo Daten­sicherun­gen abgelegt und wie diese vor unbefugtem Zugriff geschützt wer­den. Let­ztlich sind Sie im Regelfall auf der sicheren Seite, wenn Sie ver­ant­wor­tungsvoll mit Daten­schutz umge­hen, regelmäßig darüber reflek­tieren und Ihre Maß­nah­men doku­men­tieren.

Dazu kön­nen Sie sich z.B. fol­gende Fra­gen stellen:

  • Kann ich meinen Patien­ten prob­lem­los die Schritte der Daten­ver­ar­beitung und die dazuge­höri­gen Dat­en nen­nen?
  • Habe ich Richtlin­ien zum Umgang mit Patien­ten­dat­en fest­geschrieben? Sind meine Mitar­beit­er auf dieses The­ma sen­si­bil­isiert?
  • Welche tech­nisch-organ­isatorischen Maß­nah­men habe ich definiert, um den Daten­schutz zu gewährleis­ten?
  • Lässt sich tech­nisch nachvol­lziehen, wer wann welche Dat­en geän­dert hat?
  • Wo kön­nen meine Patien­ten in der Prax­is zufäl­lig Infor­ma­tio­nen über andere Patien­ten erfahren?
  • Wie würde ich Daten­pan­nen (z.B. durch Hack­er-Angriffe) reg­istri­eren? Welche Gegen­maß­nah­men habe ich getrof­fen? Welchen Not­fallplan gibt es?

Einen umfassenden Überblick, was speziell von Arzt­prax­en erwartet wird, liefert die Daten­schutz-Check­liste der Kassenärztlichen Vere­ini­gung Baden-Würt­tem­berg 2018.

Webseiten besonders im Fokus

Von der ver­schärften Infor­ma­tion­spflicht ist auch die Aus­gestal­tung Ihrer Web­seit­en betrof­fen. Da diese von Jed­er­mann ein­se­hbar sind, wer­den etwaige Ver­stöße auf Web­sites beson­ders deut­lich sicht­bar. Entsprechend steigt das Risiko für Abmah­nun­gen. Dabei sind viele Änderun­gen ein­fach umset­zbar. Dazu gehören u.a. fol­gende Maß­nah­men:

  • Ein­binden eines leicht ver­ständlichen Cook­ie-Hin­weis­es
  • Ver­schlüs­selung sämtlich­er For­mu­la­re (erkennbar an “https”)
  • Ein­fü­gen ein­er geson­derten Web­site mit Hin­weisen zum Daten­schutz

Wenn Sie beispiel­sweise ein sim­ples Kon­tak­t­for­mu­lar auf Ihrer Web­seite anbi­eten, soll­ten Sie prüfen, ob “https” vor Ihrer Web-Adresse ste­ht. Jed­er Seit­enbe­such­er kann dies in seinem Brows­er erken­nen und ein­schätzen, wie gut seine Dat­en geschützt sind. Aus tech­nis­ch­er Sicht ist diese Ver­schlüs­selung eine Stan­dar­d­an­forderung, die man an jede Web­site stellt.

Ende April 2018 hat eine Veröf­fentlichung der deutschen Daten­schutzkon­ferenz für zusät­zliche Unruhe gesorgt. Dabei befind­en sich Track­ing-Dien­ste wie Google­An­a­lyt­ics im Fokus. Viele Web­seit­en-Betreiber ver­wen­den solche Dien­ste, um Infor­ma­tio­nen über Ihre Seit­enbe­such­er zu erhal­ten. Dies ist in Hin­blick auf die Kon­trolle und Verbesserung der Wirk­samkeit ein­er Web­site sehr hil­fre­ich. Überen deren Kon­for­mität mit der Daten­schutz-Grund­verord­nung wird nun reich­lich debat­tiert. Es ist rat­sam, den Ein­satz zu prüfen und so zu mod­i­fizieren, dass das Risiko von Abmah­nun­gen min­i­mal ist. Notwendi­ge Schritte wer­den in diesem Anwalts-Blog über­sichtlich dargestellt.

Auslagerung ins Rechenzentrum gewinnt an Attraktivität

Die Aus­lagerung der Daten­ver­ar­beitung in spezial­isierte Rechen­zen­tren gewin­nt durch die neuen Vor­gaben an Attrak­tiv­ität. Diese Auf­tragsver­ar­beitung ist inzwis­chen rechtssich­er möglich. Ein pro­fes­sioneller Anbi­eter garantiert den Daten­schutz durch entsprechende Maß­nah­men. In der Regel über­steigt das Niveau des Daten­schutzes das­jenige in Ihrer Prax­is wesentlich. Daher kann dieses Out­sourc­ing das Risiko von Zwis­chen­fällen min­dern und Ihnen einige Über­legun­gen und Aufwand bei der Doku­men­ta­tion abnehmen.

Einführung zur Reflektion über Datenschutz nutzen

In erster Lin­ie sor­gen die neuen Richtlin­ien bei vie­len Unternehmen für Unmut. Sie führen zu zusät­zlichem Aufwand, dessen Nutzen und kor­rek­te Umset­zung oft unklar bleibt. Ver­suchen Sie das Beste daraus zu machen! Betra­cht­en Sie die Ein­führung der DSGVO nicht als notwendi­ges Übel. Nutzen Sie stattdessen die Gele­gen­heit, sich mit ihrem Daten­schutz zu beschäfti­gen, so wie es auch die Ärzte-Zeitung rät. Erfahrungs­gemäß ist es darum in Arzt­prax­en nicht immer gut bestellt. Dabei ist keine böse Absicht im Spiel. Im Prax­isall­t­ag fehlt häu­fig schlicht das Bewusst­sein dafür. Dabei lässt sich der Daten­schutz durch kleine Kniffe sig­nifikant verbessern. Ein extern­er Berater, der Ihre Abläufe mit einem Blick von außen betra­chtet, ist hier­bei hil­fre­ich.

Das ver­schafft Ihnen Sicher­heit und kommt auch bei den Patien­ten gut an. Diese sind zunehmend auf den Daten­schutz sen­si­bil­isiert und nehmen wahr, wie gewis­senhaft in ein­er Arzt­prax­is damit umge­gan­gen wird. Das bet­rifft z.B. die Ein­se­hbarkeit von Bild­schir­men oder die akustis­che Tren­nung zwis­chen Wartez­im­mer und Emp­fangs­bere­ich. Außer­dem bietet die Reflek­tion über Ihren Daten­schutz eine gute Möglichkeit, Schwach­stellen in den Prax­is­abläufen zu iden­ti­fizieren und zu über­denken.

Faz­it: Die Daten­schutz-Grund­verord­nung ist für Arzt­prax­en kein Grund zur Panik. Ein biss­chen Arbeit kommt allerd­ings auf Sie zu. Es lohnt sich diesen Anlass zu nutzen, Ihren Daten­schutz auf den Prüf­s­tand zu stellen.

Be First to Comment

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*