Ärzte, Therapeuten und andere Heilberufe trefften durch die DSGVO strengere Datenschutz-Pflichten gegenüber Patienten Bild: Corbis

Am 25. Mai tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft, die in zahlreichen Punkten strengere Schutzvorgaben macht, auch bei der Verarbeitung besonders sensibler Daten. Diese hat auch zu Unsicherheiten bei Berufsgruppen im Gesundheitswesen wie Ärzten, Apothekern und anderen Therapeuten geführt. Beim Unabhängigen Landeszentrum für Datenschutz (ULD) gibt es jetzt ausführliche Hinweise, worauf die Verantwortlichen hier achten müssen.

Konkrete Bestimmungen der Datenschutzgrundverordnung für Heilberufe finden sich im neuen 2. Teil des Bundesdatenschutzgesetzes (BDSG), das zum selben Datum wie die DSGVO, also am 25. Mai 2018, in Kraft tritt.

  • Als Verantwortliche i. S. des Gesetzes gelten Betreiber bzw. Betreiberinnen der Praxen oder Apotheken.
  • Sie sind verpflichtet, für die Einhaltung der Datenschutzvorgaben zu sorgen
  • und müssen dazu mittels einer entsprechenden Dokumentation auch nachweisen, wie die Einhaltung der Vorgaben umgesetzt wird 

Rechtsgrundlage der Datenverarbeitung

Nach der DSGVO ist die Verarbeitung personenbezogener Daten nur dann erlaubt, wenn dies auf Basis einer Rechtsgrundlage bzw. nach Einwilligung der Betroffenen geschieht.

  • Diese Voraussetzung wird bei den Heilberufen üblicherweise mit dem Behandlungsvertrag erfüllt. Allerdings erstreckt sich diese Einwilligung nicht auf alle Daten.
  • So muss etwa für Zusatzdienste wie beispielsweise Terminerinnerungen oder Hinweise auf anstehende Vorsorgetermine eine separate Zustimmung eingeholt werden.
  • Gleiches gilt beispielsweise für die Weitergabe von Daten an privatärztliche Verrechnungsstellen oder auch bei Bonitätsprüfungen von Privatpatienten durch Anfragen bei der Schufa oder ähnlichen Auskunfteien.
  • Die Einwilligungen müssen dabei nicht zwingend schriftlich eingeholt werden,
  •  allerdings lässt sich über die Schriftform der Nachweis über die Zustimmung am einfachsten erbringen.

Ärzte und Apotheker haben umfangreiche Informationspflichten

Nach Art. 13 DSGVO müssen die Betroffenen ausführlich über ihre Rechte im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten informiert werden. Hierzu gehören beispielsweise Angaben zu:

  • Name und Kontaktdaten des Verantwortlichen
  • Zweck der Datenverarbeitung und die Rechtsgrundlage
  • Weitere Empfänger der personenbezogenen Daten, sofern diese weitergegeben werden
  • Dauer der Speicherung
  • Auskunftsrechte, Recht auf Löschung, Widerspruchsrecht etc.

Eine genaue Auflistung aller Informationspflichten finden Sie auf der Website des Unabhängigen Landeszentrums für Datenschutz (ULD) in Schleswig-Holstein.

Das ULD empfiehlt, diese Informationen über Handzettel oder Flyer bei der Anmeldung bzw. Aufnahme an die Patienten auszuhändigen und diese Informationen auch auf der Website zugänglich zu machen.

Verzeichnis der Verarbeitungstätigkeiten

Nach Art. 35 DSGVO müssen die Verantwortlichen ein Verzeichnis der Verarbeitungstätigkeiten führen, mit dem das früher vorgeschriebene Verfahrensverzeichnis ersetzt wird.  Das ULD will noch vor dem Inkrafttreten der DSGVO ein Muster für die Beschreibung der Verarbeitungstätigkeiten bereitstellen.

Wann ist bei Heilberufen ein Datenschutzbeauftragter nötig?

Bei der Frage nach der Notwendigkeit für einen eigenen Datenschutzbeauftragten kommt es zunächst auf die Größe des Betriebs an.

  • Sind in der Regel ständig mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, muss ein betrieblicher Datenschutzbeauftragter ernannt werden.
  • Daneben gibt es die Vorgabe, dass die Verarbeitung von Gesundheitsdaten in großem Maßstab einen Datenschutzbeauftragten notwendig macht. Im Normalfall wird man diesen Tatbestand in Arztpraxen oder auch Apotheken als nicht gegeben ansehen, sodass hier kein Datenschutzbeauftragter benannt werden muss.
  • Anders sieht dies etwa bei Krankenhäusern, medizinische Versorgungszentren, Pflegeinrichtungen, ambulanten Pflegediensten etc. aus.
  • Auch bei größeren Gemeinschaftspraxen könnte diese Voraussetzung erfüllt sein, wobei es zu diesem Punkt in Fachkreisen durchaus unterschiedliche Meinungen gibt. 

Datenschutz-Folgeabschätzung im Gesundheitswesen

Auch für die Pflicht zur Durchführung einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO gilt, dass diese nur dann gegeben ist, wenn die Daten in großem Maßstab verarbeitet werden. Somit besteht für die überwiegende Zahl von Praxen und Apotheken ebenfalls keine Pflicht zur Durchführung dieser Maßnahme.

Weitere News zum Thema:

Welche Pflichten bringt die DSGVO für Website-Inhaber?

Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung

Vorbereitung der DSGVO in der Anwaltskanzlei

Video-Seminar zum neuen Datenschutzrecht

Ab dem 25.5.2018 gilt die DSGVO unmittelbar in allen Mitgliedstaaten. Der Referent Prof. Dr. Boris Paal erläutert die Auswirkungen des neuen Datenschutzrechts. Die Seminarinhalte sind:

  •     Überblick über die die DSGVO und das BDSGneu,
  •     Anwendungsbereiche, Bußgelder und Sanktionen und
  •     Leitfaden Datenschutz 2018/Compliance-Management

Videogebühr: 98 EUR zzgl. USt.

Hier können Sie das Video herunterladen.

Download des Wirtschaftsministers zu IT-Verschlüsselungsverfahren

Im vom Wirtschaftsministerium in Auftrag gegebenen "Kompass IT-Verschlüsselung", der hat deshalb einen Leitfaden zum Thema Verschlüsselungsverfahren veröffentlicht der von der Goldmedia GmbH, dem Institut für Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen und dem Institut für das Recht der Netzwirtschaften, Informations- und Kommunikationstechnologie (IRNIK) erstellt wurde, findet sich ein umfassender Überblick zu den verschiedensten Verschlüsselungstechniken. Behandelt werden etwa Themen wie:

  • E-Mail-Verschlüsselung mit unterschiedlichen Verfahren wie S/MIME oder PGP sowie manuellen Verfahren
  • Gateway-Lösungen für verschlüsselte E-Mails
  • De-Mail für die rechtsverbindliche Zustellung von E-Mails
  • Einsatz von E-Mail-Verschlüsselung auf Smartphones
  • Verschlüsselung bei der Internet-Telefonie (VoIP)
  • Verschlüsselung bei der Nutzung von Messenger-Lösungen
  • Verschlüsselung von Datenträgern
  • Verschlüsselung von Daten in der Cloud
  • Verschlüsselung bei der Internetnutzung (HTTPS, VPN)

Das Thema ist nicht zuletzt im Hinblick auf den 25. Mai und die DSGVO brisant. Der Kompass IT-Verschlüsselung steht auf der Website des Bundeswirtschaftsministeriums zum Download zur Verfügung.

Schlagworte zum Thema:  Gesundheitswesen, Datenschutz, Compliance, Datenschutzbeauftragter, EU-Datenschutzverordnung, Datenschutz-Grundverordnung

Aktuell
Meistgelesen