Ab 25. Mai 2018 findet ein neues Datenschutzrecht in Europa Anwendung. Dieses gilt unmittelbar auch für Ärzte, Zahnärzte, Apotheker und alle Heilberufe und legt diesen neue organisatorische, dokumentarische sowie informatorische Pflichten auf.

Was ist neu im Datenschutzrecht?

Ab dem 25.05.2018 gilt die EU-Datenschutzgrundverordnung 2016/679 (DSGVO) allgemein und unmit­telbar in allen Mitgliedstaaten der EU. Ihr Zweck ist die Angleichung des Datenschutzrechts in Europa. Zudem tritt gemeinsam mit der DSGVO am 25.05.2018 das neue Bundesdatenschutzgesetz in Kraft. Ferner gelten bereits seit November 2017 neue strafrechtliche Bestimmungen zum Umgang mit Patientendaten und zur ärztlichen Schweigepflicht.

Besonders geschützt ist nun die Verarbeitung personenbezogener Daten. In Praxen geschieht dies z.B. durch jede Form der Speicherung von Daten in der elektronischen Patientenakte.

Was müssen Praxisinhaber tun?

Praxisinhaber sollten sich umfassend über die neuen Anforderungen im Datenschutzrecht informieren, um die wichtigsten Anforderungen des neuen Rechts nachweisbar erfüllen zu können.

Dies kann in sechs Schritten geschehen:

Schritt 1: Prüfung, ob in der Praxis ein Datenschutzbeauftragter benötigt wird

Sobald in einer Praxis mindestens 10 Mitarbeiter mit der Datenverarbeitung beschäftigt sind, ist zwingend ein Datenschutzbeauftragter zu benennen. Allerdings können dazu auch Praxen mit weniger Personal verpflichtet sein. Hier existieren Unterschiede, die sich nach der jeweiligen Praxisgröße und dem Umfang der zu verarbeitenden Daten richten.

Schritt 2: Einrichtung eines Verarbeitungsverzeichnisses aller Datenverarbeitungsverfahren 

Gemäß Art. 30 DSGVO ist jede Praxis zum Führen eines Verarbeitungsverzeichnisses über alle Datenverarbeitungsverfahren verpflichtet. Ein solches Verfahren stellt z.B. bereits das Führen einer elektronischen Patientenakte dar.

Schritt 3: Regelmäßige GAP-Analyse (inkl. evtl. notwendiger Datenschutz-Folgenabschätzung)

Die GAP-Analyse verlangt vom Praxisinhaber als datenschutzrechtlichem Verantwortlichen, die Datenverarbeitungsvorgänge regelmäßig auf Schwachstellen zu überprüfen und dies zu dokumentieren.

Teilweise ist auch die Durchführung einer sog. Datenschutz-Folgenabschätzung notwendig. Dabei handelt es sich um eine präzise datenschutzrechtliche Risikoanalyse bezüglich der Datenverarbeitungsprozesse, die jedoch bereits vor Beginn der Datenverarbeitungstätigkeit notwendig ist und ggf. in Abstimmung mit der Datenschutzbehörde zu erfolgen hat.

Schritt 4: Wahrung der Informationspflichten gegenüber dem Patienten

Nach der DSGVO haben Patienten einen umfangreichen Informationanspruch hinsichtlich der Verarbeitung ihrer Daten. Jeder Patient muss über seine Rechte aufgeklärt und bei Datenerhebung informiert werden. Es empfiehlt sich die Entwicklung einer allgemeinen Patienteninformation zur Erhebung personenbezogener Daten, die dem Patienten zugänglich gemacht werden muss.

Schritt 5: Technische und organisatorische Maßnahmen ergreifen, um die Datensicherheit zu gewährleisten

Auch (Zahn)Ärzte sind nun verpflichtet, im Interesse des Datenschutzes technische und organisatorische Maßnahmen zu treffen, durch die die Sicherheit der Datenverarbeitung in der Praxis gewährleistet wird, wie. z.B. Verschlüsselungsmaßnahmen oder die Beschränkung von Zugriffsrechten auf Daten.

Schritt 6: Überprüfung und Anpassung vorhandener Verträge mit Dienstleistern

Verträge mit externen Dienstleistern sind an das neue Datenschutzrecht anzupassen.

Wenn Praxen die sechs geschilderten Schritte abarbeiten und weiterführende Informationen einholen, ist die erste essentielle Etappe gemeistert.

Was können wir für Sie tun?

Wenn Sie Interesse an weiterführenden Informationen haben können Sie uns gerne kontaktieren und wir übersenden Ihnen unseren kostenfreien Newsletter zum neuen Datenschutzrecht.

Sollte für die Umsetzung unsere Unterstützung notwendig sein, stehen wir gerne zur Verfügung. Abgestimmt auf die individuelle Praxissituation bieten wir  Praxen unsere Hilfestellung an. Diese reicht von der Klärung von Einzelfragen, über die rechtliche Prüfung bereits unternommener Maßnahmen bis hin zur Entwicklung eines Gesamtkonzeptes zur Umsetzung der neuen Vorschriften.

Wir wünschen nun gutes Gelingen beim Umsetzen der neuen datenschutzrechtlichen Anforderungen.