Allgemeine Information

Ab dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO) als verbindliches und primäres Datenschutzrecht.

Die Checkliste Datenschutz der KBV „Das ist in puncto Datenschutz zu tun“ informiert über den wesentlichen Handlungsbedarf.

Wenngleich mit der neuen Rechtslage keine gravierenden inhaltlichen Änderungen einhergehen und auch die Grundsystematik einschließlich der meisten Grundprinzipien des Datenschutzes erhalten bleiben, gibt es gewissen Handlungsbedarf, den man angesichts des beachtlich erhöhten Sanktionsrahmens (der auch Großkonzerne beeindrucken soll) nicht ignorieren sollte. Die unmittelbare Geltung von EU-Recht und ergänzend nationalem Recht erleichtert nicht gerade die Rechtsanwendung, vielmehr scheinen Formalitäten in den Vordergrund zu treten, zu Lasten eines „originären“ Datenschutzes, der auch nach dem gesunden Menschenverstand nachvollziehbar ist bzw. sein sollte. Unserer Auffassung nach führen die EU-Vorgaben bislang eher zu Verwirrung, Unklarheiten und Unsicherheiten - auch bei Fachleuten. Deshalb werden wir uns bemühen, Ihnen hoffentlich hilfreiche Informationen und Unterlagen zur Verfügung zu stellen und Sie noch etwas eingehender über die wesentlichen Maßnahmen der erwähnten KBV-Checkliste informieren.

Ein umfangreiches Informationsangebot finden Sie auch auf der Internetpräsenz der KBV. Die KV Sachsen ist bestrebt, das Informationsangebot ständig zu aktualisieren und zu erweitern.

Hier geht es um die Bestandsaufnahme, welche Daten in der Praxis auf welcher Rechtsgrundlage verarbeitet werden. Relevante Verfahren sind z. B. Verwaltung von Patientendaten und -akten, Personaldaten und -akten, Buchhaltung und Terminverwaltung. Notwendige Inhalte sind:

  • Name/Kontaktdaten des Verantwortlichen, seines Vertreters sowie eines etwaigen DSB

  • Zweck der Verarbeitung

  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten

  • Empfänger(kategorien), denen gegenüber personenbezogene Daten offengelegt werden

  • Löschfristen

  • ggf. Übermittlung von personenbezogenen Daten in ein Drittland

  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Verarbeitungsverzeichnis Muster
Ausfüllbeispiel

 

Zusammenstellung der technischen und organisatorischen Maßnahmen (sog. TOMs), die die Praxis zum Schutz von personenbezogenen Daten ergreift - wobei es beispielhaft um folgende Maßnahmen geht:

  • Schließsystem,

  • Alarmanlage,

  • Videoüberwachung,

  • Schlüsselregelung,

  • Auswahl von Reinigungspersonal,

  • Zuordnung von Benutzerrechten,

  • Passwortvergabe,

  • Einsatz von Firewalls,

  • Einsatz von Anti-Viren-Software,

  • Verschlüsselung von Smartphone-Inhalten /

  • Notebooks,

  • Sperren von externen Schnittstellen,

  • Erstellen eines Backup- und Recoverykonzepts,

  • Testen von Datenwiederherstellung,

  • Einsatz von Aktenvernichtern, E-Mail-Verschlüsselung etc.

Eine Patienteninformation zum Datenschutz in der Arztpraxis, zum Beispiel als Aushang in den Praxisräumen und auf der Praxis-Website, sollte bereitgestellt werden.

Die EU-DSGVO bestimmt, dass die Patienten über die Verarbeitung von Daten in der Arztpraxis zu informieren sind.

Hinweis:
Hierzu wurde gemeinsam von KBV und den KVen eine Patienteninformation Datenschutz erarbeitet. Diese wurde den KVS-Mitteilungen 04/2018 beigelegt. Die Patienteninformation Datenschutz können Sie entsprechend anpassen und an geeigneter Stelle aushängen.

Verträge zur Auftragsverarbeitung mit Softwareanbietern und anderen Dienstleistern sollten angepasst oder neu abgeschlossen werden.

Es besteht die Möglichkeit, ohne explizite Rechtsgrundlage und ohne Einwilligung der Betroffenen Dritten Zugang oder die Möglichkeit zum Zugang zu personenbezogenen Daten zu verschaffen, wenn ein spezieller, den Bestimmungen des Art. 28 EU-DSGVO genügender Vertrag abgeschlossen wird – die sogenannte Auftragsverarbeitung, wie z. B. bei den Wartungsverträgen für die Praxis-EDV.

Hinweis:
Das Informationsblatt Auftragsverarbeitung enthält Informationen darüber, welche Inhalte dieser Vertrag haben muss bzw. was zu berücksichtigen ist.

Ein Datenschutzbeauftragter (DSB), der entweder in der Praxis beschäftigt ist oder als Dienstleister beauftragt wird, ist zwingend zu benennen, wenn Ärzte in der Praxis mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Der DSB, der nicht Praxisinhaber sein kann, muss für die Aufgabe fachlich qualifiziert sein oder werden. Er ist dem Sächsischen Datenschutzbeauftragten zu melden. In seltenen Fällen müssen auch kleinere Praxen einen DSB einsetzen, und zwar dann, wenn eine Datenschutzfolgenabschätzung notwendig ist, was dann der Fall ist, wenn z. B. große Mengen an personenbezogenen Daten verarbeitet oder die Praxisräume systematisch videoüberwacht werden.