logo

(10.1.2018) In diesem Jahr greift die Datenschutz-Grundverordnung der Europäischen Union ein (kurz: DSGVO). Damit werden die Regeln zur Verarbeitung personenbezogener Daten - insbesondere Erfassung, Schutz und Weitergabe - durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht. Inwiefern gilt dies auch für Ärzte und was ändert sich für diese nun?

Behandlungsunterlagen des PatientenGilt die DSGVO auch für Arztpraxen?

Ja, die DSGVO gilt auch für Arztpraxen. In den Arztpraxen werden viele, sogar besonders sensible Daten verwaltet, nämlich die sog. Gesundheitsdaten (vgl. Artikel 9 DSGVO).

Was will die DSGVO vom Arzt?

Diese Norm will kurz gesagt sicher stellen, dass keine (Patienten-)Daten in falsche Hände geraten, dass Klarheit herrscht, welche Daten der Arzt über den Patienten speichert und dass keine Daten verloren gehen und dass Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung der Daten und die Übertragbarkeit der Daten z.B. von Arzt zu Arzt gewährleistet sind.

Sind kleine Arztpraxen mit nur einem oder zwei Ärzten von der DSGVO ausgenommen?

Nein, alle Arztpraxen unterfallen der DSGVO.

Was muss ich tun, um die DSGVO in meiner Praxis umzusetzen?

Vereinfacht gesagt:

  1. Lassen Sie mehrere Datensicherungssysteme installieren, z.B. indem Sie die Patientendaten sowohl auf den Rechnern der Praxis (dort am besten auf mehreren Festplatten) und auch (verschlüsselt) in der sog. cloud d.h. auf einem externem Speicher (server), der in deutschland steht, sichern.
  2. Schließen Sie mit externen Dienstleistern, die Daten ihrer Patienten erhalten (z.B. Abrechnungsdienste/Inklassodienstleister), Verträge zur Auftragsdatenverarbeitung. In diesen Verträgen muss dem Dienstleister (sprich z.B. dem Abrechnungsdienst) auch ein angemessenes Informationssicherheitsniveau vorgeschrieben werden (z.B. Verschlüsselung) und es ist zu klären, wann und wie diese Daten beim Dienstleister gelöscht werden, wenn sie nicht mehr für die Ausführung des Auftrages benötigt werden. Die Einhaltung der Verträge zur ADV muss durch den Arzt (bzw. ab einer bestimmten Größe der Arztpraxis durch dessen Datenschutzbeauftragten) regelmäßig überprüft werden.
    Aufgrund des immens gestiegenen Haftungs- und Bußgeldrisikos sind alle Verträge zur Auftragsdatenverarbeitung neu zu bewerten.
  3. Bereiten Sie sich darauf vor, in der Lage zu sein, einem Patienten ab dem 25. Mai diesen Jahres auf dessen Anfrage kurzfristig einen Satz aller Daten zu geben, die Sie über ihn gespeichert haben. Das beinhaltet die gesamten Behandlungsunterlagen - zusätzlich aber auch interne Patientenstammblätter, auf denen z.B. alle Abrechnungsdaten erfasst sind. Sorgen Sie dafür, dass diese so erfasst sind, dass sie kurzfristig kopiert und dem Patienten übergeben werden können. Meinungen und Werturteile des Arztes über den Patienten gehören aber nicht dazu.

Zertifizierungsverfahren zu diesen Vorgängen (Datensicherung, Auftragsdatenverarbeitung, Datenauskunft etc.) sind derzeit in Arbeit, so dass die niedergelassenen Ärzte die Abläufe in ihrer Praxis wahrscheinlich ab Ende 2018 werden zertifizieren lassen können.

Bitte denken Sie im Übrigen daran:

Eine Auftragsverarbeitung (also z.B. die Datenweitergabe an eine Abrechnungsstelle/Inkassodienstleister), die mit vorheriger schriftlicher (!) Einwilligung des Patienten grundsätzlich legal und zulässig ist, erlaubt keine Offenbarung eines Patientengeheimnisses an diese Stelle. Sie dürfen also diesen Dienstleistern keine Patientendaten mitteilen, die Details der Behandlung und die Erkrankungen des Patienten betreffen. Weiter gegeben werden darf nur, was für die Abrechnung durch die Abrechnungsstelle unabdingbar ist. Hier geben niedergelassene Ärzte oft dem Dienstleister vollen Zugriff auf die gesamten Patientendaten, sprich alle Diagnosen, die Behandlungshistorie, Vorerkrankungen etc, obgleich für die Abrechnung gegenüber dem Patienten bestimmte Stammdaten ausreicheten (Name und Adresse des Patienten, abgerechnete Ziffern, Datum der Behandlungen, ggf. Angaben zu den einzelnen Leistungen bspw. bei gesteigerten Sätzen nach GOÄ). Das ungefilterte Weitergeben aller Patientendaten an Abrechnungsstellen ist nach § 203 StGB strafbar und es ist durchaus möglich, dass mit der Einführung der strengeren DSGVO dies auch vermehrt strafrechtlich verfolgt wird.

Muss ich jetzt auch noch eine gesonderte Einwilligung (zur allgemeinen Datennutzung) von meinen Patienten einholen?

Nein, Sie können davon ausgehen, dass der Patient mit der Übergabe der Versicherungskarte (Kassenpatient) bzw. der Mitteilung der Patientendaten durch den privat Versicherten zu Beginn der Behandlung seine Einwilligung zur Datennutzung durch Sie schlüssig zum Ausdruck gebracht hat. Das ist ausreichend.

Ab welcher Größe der Arztpraxis braucht die Praxis einen Datenschutzbeauftragten?

Ab mehr als neun Mitarbeitern (Ärzte und medizinisches Personal zusammengezählt), § 4f BDSG. Dann müssen Sie den bestellten Beauftragten auch noch der zuständigen Aufsichtsbehörde melden. Wer Aufsichtsbehörde ist (Artikel 55 DSGVO), ist je nach Bundesland spezifisch geregelt. Eine Übersicht finden Sie unter:
https://www.datenschutz.hessen.de/adr_priv.htm

Der Patient hat nach der DSGVO auch einen Anspruch auf Berichtigung seiner Daten. Bedeutet das, dass ich die Angaben in der Behandlungsakte z.B. zu medizinischen Wertungen verändern muss, wenn der Patient diese für falsch hält?

Nein, berichtigen müssen Sie nur offensichtliche Tatsachenfehler, z.B. also eine falsche Adresse, eine falsche Altersangabe etc. Medizinische Wertungen sind davon nicht erfasst.

Ab wann gelten die Regeln der DSGVO?

Ab dem 25. Mai 2018.

Werde ich mit Strafen rechnen müssen, wenn ich zum Mai 2018 die Vorgaben noch nicht einhalte?

Eher nein. Es ist zu erwarten, dass die Aufsichtsbehörden den Ärzten noch Zeit geben werden, um sich mit der unübersichtlichen Rechtslage auseinander zu setzen und die Prozesse umzustellen. Ab Ende 2018 sollten die Prozesse in Ihrer Praxis aber umgestellt sein. Sonst drohen sehr empfindliche Bußgelder.

Details zu der DSGVO finden Sie hier:

http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE

Bei Fragen zum Thema Datensicherheit in der Arztpraxis rufen Sie einfach an und lassen sich beraten.