150 150 BFS

Die neue EU-Datenschutzgrundverordnung

Die wichtigsten Fragen und Antworten im Überblick

Um einen einheitlichen Datenschutzstandard für alle EU-Länder zu gewährleisten, wurde im April 2016 die neue EU-Datenschutzgrundverordnung (DSGVO) verabschiedet. Ab dem 25. Mai 2018 ist die DSGVO dann für alle Mitgliedstaaten verbindlich und gilt unmittelbar.

Wir haben die wichtigsten Fragen und Antworten rund um die DSGVO zusammengefasst und geben einen Überblick über die Maßnahmen, die innerhalb Ihrer Praxis zu ergreifen sind. Außerdem informieren wir Sie über Veränderungen, die sich für unsere Mandanten in der Zusammenarbeit mit uns ergeben.

Bitte beachten Sie, dass die nachfolgenden Antworten lediglich eine kurze Zusammenfassung geben können, die Sie mit ersten Informationen zum Datenschutz versorgt. Die Darstellung erhebt keinen Anspruch auf Vollständigkeit und kann eine Rechtsberatung für den Einzelfall grundsätzlich nicht ersetzen. Die Hinweise wurden nach bestem Wissen und aufgrund der aktuellen Vorgabe durch den Datenschutzbeauftragten zusammengestellt.

 

Ist ein  betrieblicher Datenschutzbeauftragter für meine Praxis zu bestellen?

Es kommt darauf an: Wenn in Ihrer Praxis mehr als neun Mitarbeiter (hierzu zählen auch Teilzeitbeschäftigte und sogenannte geringfügig Beschäftigte) arbeiten, besteht die Pflicht, einen Beauftragten für den Datenschutz zu bestellen und diesen Ihrer Aufsichtsbehörde zu melden. Ist in Ihrer Praxis mehr als ein Arzt beschäftigt, ist ebenfalls ein Beauftragter für den Datenschutz zu bestellen. Das gilt unabhängig davon, wie viele Mitarbeiter Sie insgesamt beschäftigen. Zu den Aufgaben des Datenschutzbeauftragten gehört beispielsweise die Schulung der Mitarbeiter zu Datenschutzthemen. Der Beauftragte für Datenschutz kann sowohl einer Ihrer Mitarbeiter als auch ein externer Experte sein. Bei intern bestellten Datenschutzbeauftragten gibt es einige Sonderregelungen, die Sie beachten müssen. Diese betreffen beispielsweise den Kündigungsschutz.

Ausgenommen von der Pflicht zur Bestellung eines Datenschutzbeauftragten sind lediglich Einzelpraxen mit weniger als zehn Mitarbeitern.

 

Welche Maßnahmen sind nach der DSGVO im Wesentlichen innerhalb meiner Praxis zu ergreifen? 

Die Sicherheit der Datenverarbeitung: 

Die Anforderungen an die Sicherheit der Datenverarbeitung werden mit Inkrafttreten der DSGVO erheblich steigen. So werden Sie dazu verpflichtet sein, geeignete technische und organisatorische Maßnahmen umzusetzen, um eine angemessene Sicherheit der Verarbeitung zu gewährleisten. Fragen Sie sich dabei insbesondere: Haben Sie eine Passwortrichtlinie? Machen Sie regelmäßig Backups? Ist Ihr IT-Sicherheitskonzept aktualisiert? Vor allem das Thema IT-Sicherheit erhält einen weitaus höheren Stellenwert als in der bisherigen Rechtslage.

Unser Tipp für Sie: Erstellen Sie eine interne Richtlinie, die Sie bei Bedarf der zuständigen Aufsichtsbehörde vorlegen können, um zu dokumentieren, dass Sie sich mit dem Thema Datenschutz auseinandergesetzt haben.

Auftragsverarbeitung durch Dritte: 

Ebenfalls große Veränderungen werden Sie bei den Regelungen, die eine Auftragsverarbeitung durch Dritte betreffen, bemerken. Wenn Sie beispielsweise externe Dienstleister mit dem Hosting Ihrer Website oder Ihrer Buchhaltung beauftragt haben, müssen Sie künftig einen Auftragsverarbeitungsvertrag mit dem entsprechenden Dienstleister schließen. Haben Sie bereits bestehende Verträge, sollten Sie diese prüfen und entsprechend der DSGVO neu aufsetzen.

Meldepflichten bei Datenschutzverletzung

Es ist das Worst-Case-Szenario für jede Praxis: Der Verlust von Patientendaten. Etwas, das nicht passieren darf und doch passieren kann. Sollte es beispielsweise zum Verschwinden einer Patientenakte in Papierform oder zu einem Datenverlust durch einen Hackerangriff kommen, dann müssen Sie folgendes tun: Informieren Sie unverzüglich, spätestens innerhalb von 72 Stunden, nachdem Ihnen die Verletzung des Schutzes der personenbezogenen Daten bekannt wurde, die zuständige Aufsichtsbehörde. Diese Meldepflicht gilt nur dann nicht, wenn die Verletzung des Schutzes der Daten „voraussichtlich nicht zu einem Risiko für die Rechte und Pflichten natürlicher Personen“ führt. Da es sich bei Gesundheitsdaten um besonders sensible personenbezogene Daten handelt, führt ein Verlust der analogen oder digitalen Patientenakte immer zu einem solchen Risiko. Die drohenden Bußgelder für den Verstoß gegen die Meldepflicht wurden durch die DSGVO erheblich erhöht und liegen bei bis zu 10 Millionen Euro oder 2% des weltweit erzielten Jahresumsatzes.

 

Ergeben sich Änderungen in Bezug auf die Patienten-Einverständniserklärung für die Zusammenarbeit mit BFS?

Praxen, die mit BFS als Abrechnungsdienstleister zusammenarbeiten, kennen die Einverständniserklärung bereits. Diese informiert den Patienten über die Weitergabe seiner Daten zu Abrechnungszwecken an BFS. Ohne die unterzeichnete Einverständniserklärung kann BFS nicht für die Praxis tätig werden. Auch nach Inkrafttreten der DSGVO wird es natürlich weiterhin notwendig sein, die unterzeichnete Einverständniserklärung des Patienten einzuholen und zu dokumentieren.

 

Müssen meine Patienten über die Änderungen zum Datenschutz informiert werden?

Die neue DSGVO stärkt den Transparenzgedanken und die Rechte der von der Datenerhebung betroffenen Personen. Das gilt insbesondere für die Informationsrechte, was bedeutet, dass die betroffene Person einen Anspruch auf Informationen hat. Diese müssen in einer „leicht zugänglichen Form sowie in einer klaren und einfachen Sprache“ erfolgen. Sie sollten daher einen entsprechenden Standard für Ihre Patienten schaffen.

Künftig sind Sie, wie eingangs erwähnt, u.a. dazu verpflichtet, Ihre Patienten schriftlich über die Datenerhebung, Ihren Datenschutzbeauftragten und die zuständige Aufsichtsbehörde zu informieren. Diese Information muss zum Zeitpunkt der Datenerhebung erfolgen und sollte zu Nachweiszwecken stets in Textform gehalten sein. Ein Aushang in der Praxis beispielsweise wird nicht ausreichen, um der Informationspflicht nachzukommen.

Unser Tipp für Sie: Erstellen Sie ein Informationsschreiben, das sie zusätzlich in der Patientenakte dokumentieren. So können Sie für jeden einzelnen Patienten nachweisen, dass Sie ihn über die Datenerhebung informiert haben.

 

Welche Änderungen sind für meine Praxis-Website notwendig?

Auch Ihre Praxis-Homepage ist von den neu gestärkten Informationspflichten betroffen. Denken Sie also daran, die Datenschutzerklärung auf Ihrer Homepage entsprechend zu aktualisieren.

Beachten Sie außerdem: Sobald Besucher Ihrer Internetseite ein Kontaktformular ausfüllen oder eine direkte Nachricht an Sie schicken können, erheben Sie personenbezogene Daten. Hierfür benötigen Sie die Einwilligung der betroffenen Personen. Diese können Sie selbstverständlich elektronisch einholen. Dem Besucher Ihrer Internetseite muss dabei verständlich aufgeführt werden, zu welchem Zwecke seine Daten erhoben und für welchen Zeitraum diese gespeichert werden.

Datenschutz hat bei uns auch ein Gesicht:

Mandy Strothotte
Datenschutzkoordinatorin

datenschutz@meinebfs.de