Seit Mai 2018 gilt die sog. Datenschutz-Grundverordnung, die auch für Arztpraxen und Krankenhäuser eine neue Rechtslage im Datenschutzbereich gebracht hat. Die Bundesärztekammer und die Kassenärztliche Bundesvereinigung haben am 9. März 2018 dazu ihre Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis diesbezüglich überarbeitet und neu herausgegeben. Darin finden Sie detaillierte Ausführungen zur Umsetzung der Datenschutz-Grundverordnung. Auch die sog. technische Anlage wurde ergänzt sowie eine kurze Checkliste zum Überblick über das nun konkret Notwendige erstellt.

Zugleich hat die Kassenärztliche Bundesvereinigung eigene praxisnahe Mustertexte und –formulare sowie eine Checkliste herausgegeben. Sie finden diese Dokumente unten verlinkt.

Die Landesärztekammer Brandenburg wird im Brandenburgischen Ärzteblatt ab der Mai-Ausgabe sowie hier diese Materialien vorstellen und ggf. konkretisierende Hinweise zur Umsetzung geben.

Darüber hinaus steht Ihnen die Rechtsabteilung der LÄKB für Fragen zur neuen Rechtslage zur Verfügung (recht@laekb.de, Tel. 0331-505 605 560). Bitte beachten Sie dabei aber, dass aufgrund der neuen Rechtslage (es gibt bislang noch keine Urteile sowie kaum einheitliche Ansichten zur Auslegung) konkrete Auskünfte bei Einzelfragen oft noch nicht sicher gegeben werden können.

Büro der Rechtsabteilung

Wichtige Information

Website-Datenschutzerklärung sorgfältig erstellen!

Angesichts aktueller Abmahnverfahren durch Rechtsanwälte in anderen Bundesländern, die der Landesärztekammer kürzlich bekannt geworden sind, wird vor nicht vorhandenen, veralteten oder sachlich falschen Datenschutzerklärungen von Websites gewarnt.

Zuständig für den Datenschutz ist die bzw. der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg.

Adresse:
LDA Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow

Die Rechtslage dazu ist derzeit in den Einzelheiten noch unklar. Jedenfalls brauchen Sie einen Datenschutzbeauftragten, wenn mindestens zehn Personen in Ihrer Praxis mit der Verarbeitung von personenbezogenen Daten regelmäßig beschäftigt sind. Weitere Informationen dazu können Sie in unserem Artikel im Ärzteblatt Mai 2018 nachlesen.

Sollte in Ihrer Arztpraxis ein Datenschutzbeauftragter erforderlich sein (siehe Frage 2), ist die Information über die Benennung und der Person der zuständigen Aufsichtsbehörde mitzuteilen. Im Land Brandenburg ist das die bzw. der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg.

Adresse:
LDA Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow

Nach Auffassung der zuständigen Aufsichtsbehörde in Brandenburg sind die Patienten aktiv zumindest einmalig bei einem Arztbesuch (nicht bereits bei einem Telefonat zur Terminvereinbarung) auf einen ausliegenden Flyer hinzuweisen, auf dem die wichtigsten Informationen als Kurzfassung abgedruckt sind. Für weitergehende Informationen kann dann wieder mittels Link und/oder QR-Code auf die Webseite mit den vollständigen Informationen verwiesen werden. Als Standort für den Flyer empfielt sich der Empfangstresen. Zusätzlich sollten die vollständigen Informationen ohne Internetzugang also z.B. durch einen Aushang in der Arztpraxis vorliegen.

Als Nachweis über den erfolgten Hinweis sollte entweder elektronisch ein Haken im Verwaltungssystem oder ein Stempel in der Patientenakte gesetzt werden. Weitergehende Hinweise finden Sie unter der Frage: Welche sind die wichtigsten Informationen zum Datenschutz?

Einen Auftragsverarbeitungsvertrag müssen Sie mit Dritten abschließen, die weisungsgebunden personenbezogene Daten Ihrer Arztpraxis verarbeiten können. Zur Verarbeitung genügt bereits die Möglichkeit der Kenntnisnahme. Ein typisches Beispiel für eine Auftragsverarbeitung ist die Wartung des IT-Systems durch externe Unternehmen. Keine Auftragsverarbeitung liegt dagegen bei der Zusammenarbeit mit Berufsgruppen vor, die dem Berufsgeheimnis unterliegen, wie Rechtsanwälte oder Steuerberater. Ebenso keinen Auftragsverarbeitungsvertrag benötigen Sie bei der Übermittlung von personenbezogenen Daten an die Krankenkassen und die Kassenärztliche Vereinigung, soweit es um die Erfüllung gesetzlicher Verpflichtungen wie z. B. die Abrechnung der erbrachten Leistung geht.

Die zuständige Aufsichtsbehörde kann lediglich prüfen, ob die betroffene Arztpraxis die erforderlichen organisatorischen Maßnahmen zum Datenschutz getroffen hat. Dazu gehört insbesondere ein Verzeichnis über die Verarbeitungstätigkeiten, eine Übersicht über die getroffenen technisch-organisatorischen Maßnahmen und ggf. die Benennung eines Datenschutzbeauftragten bzw. eine Überprüfung, ob die erforderlichen Verträge über eine Auftragsverarbeitung mit Dritten abgeschlossen wurden. Die Aufsichtsbehörde darf jedoch insbesondere keinen Einblick in die geschützten Patientendaten erhalten.

Eine Datenschutzfolgenabschätzung dient der Prüfung von Risiken und Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Eine solche Abschätzung wird immer dann nötig, wenn besonders hohe Risiken für sensible Daten wie Gesundheitsdaten bestehen. Wann ein erhöhtes Risiko im Einzelfall anzunehmen ist, kann aufgrund der noch unklaren Rechtslage nicht eindeutig gesagt werden. Sollte eine Datenschutzfolgenabschätzung erforderlich sein, prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.

Bei der Überweisung eines Patienten an einen Facharzt oder der Übersendung eines Befundes an einen anderen Arzt ist vor der Übermittlung von Patientendaten stets das Einverständnis des betroffenen Patienten einzuholen. Aus beweisrechtlichen Gründen sollte dies schriftlich erfolgen. Technisch ist darauf zu achten, dass Sie den möglichst sichersten Weg für die Übersendung wählen. Es sollten daher insbesondere keine unverschlüsselten E-Mails dafür genutzt werden.

Grundsätzlich sieht die Datenschutzgrundverordnung Strafen in Form von Bußgeldern bis zu einer Höhe von 20 Mio. Euro oder 4 % des Jahresumsatzes gegenüber den Verantwortlichen vor. In der Praxis ist jedoch davon auszugehen, dass die Behörden zumindest in der Anfangszeit nach Inkrafttreten der Datenschutzgrundverordnung zunächst einen Hinweis erteilen werden, bevor Strafen in Form von Bußgeldern drohen. Weiterhin wären Strafen nur in verhältnismäßiger Höhe zulässig. Bei der Festsetzung der Höhe sind unter anderem die Art und die Schwere des Verstoßes, sowie der Grad des Verschuldens beim Verantwortlichen zu berücksichtigen.

Sollte bei Ihnen in der Arztpraxis ein Verstoß gegen den Datenschutz vorgefallen sein, z. B. durch Versenden von Patientendaten an eine falsche Adresse, so ist dieser Vorfall der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden mitzuteilen. Gegebenenfalls sind auch die Betroffenen wie z. B. Patienten über den Vorfall zu informieren. Zuständig für den Datenschutz ist die bzw. der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg.

Adresse:
LDA Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow

Die wichtigsten Informationen zum Datenschutz über die der Patient einmalig aktiv zu informieren ist, sind in Art. 13 Absatz 1 DSGVO benannt. Dazu gehören insbesondere:

  1. Name und die Kontaktdaten des Verantwortlichen (Praxisinhaber) sowie gegebenenfalls seines Vertreters;
  2. Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (in Arztpraxis häufig Art.
    9 Abs. 2
    Buchst. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 Buchst. b BDSG);
  4. Gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (z.B. Mitarbeiter der Arztpraxis)

 Häufig gestellte Fragen

FAQs zum Datenschutzrecht
Häufig gestellte Fragen, die beim telefonischen Beratungsgespräch an den Datenschutzbeauftragten zum Datenschutzrecht gestellt wurden.

Weitere Informationen finden Sie hier...

Checkliste und Bestellung eines Datenschutzbeauftragten

pdf, 122.51 kB

Erstellung eines Verzeichnisses zu Datenverarbeitungsvorgängen

pdf, 63.44 kB

Erstellung einer Datenschutzerklärung für die Website

pdf, 117.30 kB

Checkliste BÄK

pdf, 3.12 MB

Checkliste KBV

pdf, 107.32 kB

Patienteninformation zum Datenschutz (KBV)

docx, 39.46 kB

Verzeichnis von Verarbeitungstätigkeiten (KBV)

docx, 39.96 kB

Musterverzeichnis für Verarbeitungstätigkeiten (KBV)

pdf, 84.61 kB

Technische Anlage zu den Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis (2018)

pdf, 392.11 kB

Datenschutzgrundverordnung – Informationen für die Praxis (KBV)

pdf, 569.17 kB