EU-DatenschutzgrundverordnungDatenschutz: Erste Hilfe für Arztpraxen

  • 4 Min.
  • 27. März 2018

Die ab 25. Mai geltenden neuen Vorschriften zum Datenschutz bereiten vielen Vertragsärzten derzeit Kopfzerbrechen. Erste Hilfsmittel wie eine Patienteninfo oder Mustervorlagen für die Praxen könnten den Druck jetzt lindern.

Berlin. Künftig müssen Vertragsärzte stringenter nachweisen, dass sie und ihre Mitarbeiter in den Praxen die Datenschutzvorschriften einhalten. Das geht auf die EU-Datenschutzgrundverordnung zurück, die Ärzte von 25. Mai 2018 an umsetzen müssen, sonst drohen hohe Bußgelder. Damit müssen Ärzte noch besser belegen, dass sie dem Datenmissbrauch vorbeugen – beispielsweise indem

  • Patientendaten nur verschlüsselt über das Internet verschickt werden,
  • Zugriffsberechtigungen, Zuständigkeiten für Löschung und bei Datenpannen klar geregelt sind,
  • in den Praxisräumen auf Diskretion geachtet wird,
  • Patientenakten (in Papierform oder digital) sicher geschützt sind und nach DIN-Norm vernichtet werden.

Seit Mitte März bieten Bundesärztekammer und Kassenärztliche Bundesvereinigung einen „Datenschutz-Check” an, der die Änderungen für Praxen zusammenfasst. Ebenso hat das Bayerische Landesamt für Datenschutzaufsicht einen übersichtlichen Check auf zwei Seiten für Arztpraxen zusammengestellt.

Nun legt die Kassenärztliche Bundesvereinigung (KBV) nach und stellt erste Mustervorlagen und eine Praxisinformation für Patienten bereit. Auch der Deutsche Hausärzteverband erarbeitet derzeit ein Informationspaket für seine Mitglieder.

Muster für ein Verarbeitungsverzeichnis

Neu ist künftig, dass Praxen in einem Verzeichnis Vorgänge dokumentieren müssen, wie Mitarbeiter personenbezogene Daten verarbeiten. Dabei geht es nicht nur um Daten von Patienten (Gesundheitsdaten, Name, Versicherungsnummer), sondern auch um die der Mitarbeiter selbst (Name, Kontakt, Sozialversicherungsnummer). Ebenso sind Praxiswebsite (Anfragen übers Kontaktformular, Praxisnewsletter, Terminerinnerung per SMS) oder Facebook-Auftritt der Praxis dabei zu berücksichtigen.

Ärzte können eine Word-Vorlage für ein Verzeichnis online bei der KBV herunterladen, zusätzlich bietet sie ein Formulierungsbeispiel für die Nutzung von Praxisverwaltungssystemen und für das Führen von Personalakten an. Auch das Bayerische Landesamt für Datenschutzaufsicht bietet hierzu eine Vorlage für Arztpraxen.

Im Verzeichnis müssen Praxen einmalig die alle Tätigkeiten zur Datenverarbeitung festhalten und dieses dann lediglich aktualisieren, wenn sich an den Vorgängen etwas ändert. Für jeden Vorgang müssen Ärzte Folgendes angeben:

Zudem enthält das Verzeichnis die Kontaktdaten der Praxis und des Datenschutzbeauftragten, sofern dieser nötig ist. Einen Datenschutzbeauftragten (intern oder extern) werden wie bisher meist nur Praxen ab zehn Mitarbeitern brauchen.

Die KBV rät aber, beim Anlegen des Verzeichnisses sollten Ärzte bereits darauf achten, ob sie Datenverarbeitungen „mit besonders hohem Risiko” vornehmen. Ist das der Fall, braucht es eine Datenschutz-Folgenabschätzung sowie einen Datenschutzbeauftragten. Eine Folgenabschätzung muss etwa erfolgen, wenn die Praxis videoüberwacht wird. Auf Verlangen muss man das Verzeichnis der Aufsichtsbehörde vorlegen.

Muster für eine Patienteninformation

Darüber hinaus müssen Ärzte und Praxismitarbeiter ihre Patienten künftig möglichst beim Erstkontakt aufklären, wie sie deren Daten verarbeiten. Dies müsse allerdings nicht gleich beim ersten Telefonat erfolgen, beruhigt die KBV, es reiche ein Aushang zum Beispiel im Wartezimmer. Hierzu stellt sie online ein Word-Muster zur Verfügung, in dem Praxen nur noch die Kontaktdaten der Praxis, ggf. des Datenschutzbeauftragten und der zuständigen Aufsichtsbehörde ergänzen müssen.

In manchen Fällen wie etwa bei der Zusammenarbeit mit Privaten Verrechnungsstellen müssten Patienten der Datenverarbeitung zustimmen. Hierzu müssen Praxen ihre Einwilligungserklärungen anpassen und vom Patienten unterschreiben lassen, so die KBV.

Zusammenarbeit mit Dienstleistern prüfen

Etwas mehr Aufwand dürfte hingegen die Kontrolle von Verträgen mit Dienstleistern bereiten. Viele Praxen haben etwa die Wartung ihrer EDV, das Vernichten von Patientenakten oder die Rechnungstellung an Privatpatienten (Private Verrechnungsstellen) an Unternehmen ausgelagert. Als Auftraggeber müssen Vertragsärzte sich davon überzeugen, dass diese Dienstleister sich an die Datenschutzvorschriften halten, sagt die KBV. Denn all diese Dienstleister verarbeiten personenbezogene Daten „im Auftrag” der Praxis.

In der Regel gibt es daher bereits Verträge zur Auftragsverarbeitung – diese sollten nun einmal angepasst werden. Existiert noch kein solcher Vertrag, müssen Praxen und Dienstleister diesen als Vertragsanhang nun ergänzen. Viele Dienstleister werden den Praxen hier entsprechende Vertragsvorlagen bereitstellen können. Kein Vertrag zur Auftragsdatenverarbeitung ist der KBV zufolge bei Terminservicestellen der KVen, die rein technische IT-Wartung (Kühlung, Stromzufuhr) oder zur Zusammenarbeit mit Steuerberatern, Rechtsanwälten oder Wirtschaftsprüfern nötig.

Darüber hinaus sollten Praxisinhaber sich von den Unternehmen ein Datenschutzsiegel oder eine Zertifizierung, etwa nach ISO/IEC 27001, zeigen lassen, rät die Körperschaft.

Weiterlesen

TI E-Arztbrief: Pauschale wird nicht immer gekürzt

Befragung Wie sicher ist man nach dem Erste-Hilfe-Kurs?

Übergangsfrist E-Arztbrief erst ab März 2024 Pflicht

E-Mail-Adresse vergessen? Schreiben Sie uns.
Passwort vergessen? Sie können es zurücksetzen.
Nur wenn Sie sich sicher sind.
Sie haben noch kein Passwort?

Gleich registrieren ...

Für Hausärzte, VERAH® und ÄiW (Allgemeinmedizin und Innere Medizin mit hausärztlichem Schwerpunkt) ist der Zugang immer kostenfrei.

Mitglieder der Landesverbände im Deutschen Hausärzteverband profitieren außerdem von zahlreichen Extras.

Hier erfolgt die Registrierung für das Portal und den Newsletter.

Persönliche Daten
Ihr Beruf
Legitimation

Die Registrierung steht exklusiv ausgewählten Fachkreisen zur Verfügung. Damit Ihr Zugang freigeschaltet werden kann, bitten wir Sie, sich entweder mittels Ihrer EFN zu legitimieren oder einen geeigneten Berufsnachweis hochzuladen.

Einen Berufsnachweis benötigen wir zur Prüfung, wenn Sie sich nicht mittels EFN autorisieren können oder wollen.
Mitglied im Hausärzteverband
Mitglieder erhalten Zugriff auf weitere Inhalte und Tools.
Mit der Registrierung als Mitglied im Hausärzteverband stimmen Sie zu, dass wir Ihre Mitgliedschaft überprüfen.
Newsletter
Sie stimmen zu, dass wir Ihre E-Mail-Adresse für diesen Zweck an unseren Dienstleister Mailjet übermitteln dürfen. Den Newsletter können Sie jederzeit wieder abbestellen.
Das Kleingedruckte
Die Zustimmung ist notwendig. Sie können Sie jederzeit widerrufen, außerdem steht Ihnen das Recht zu, dass wir alle Ihre Daten löschen. Jedoch erlischt dann Ihr Zugang.
Sie können auch den NOT-Operator verwenden, wenn Sie einen bestimmten Begriff ausschließen wollen. Beispiel: nephropathie NOT diabetes findet alle Inhalte zur Nephropathie, in denen nicht der Begriff Diabetes vorkommt.

Ergebnisse einschränken? Optional, falls Sie nur in bestimmten Bereichen suchen wollen.

Newsletter abbestellen

Wenn Sie den Newsletter abbestellen wollen, geben Sie bitte Ihre E-Mail-Adresse an und wählen Sie die gewünschte Funktion. Wir senden Ihnen dann eine E-Mail zur Bestätigung.