Das Wichtigste auf einen Blick
- Die DSGVO gilt auch für Ärzte – unabhängig von der Größe der Arztpraxis.
- Patientendaten sind vor missbräuchlicher Verarbeitung, Verwendung oder Weitergabe zu schützen.
- Der Datenschutz in der Arztpraxis umfasst die Arbeitsgeräte, die Praxisräume & den Internetauftritt.
- Patienten haben ein Auskunftsrecht & dürfen die Löschung ihrer Daten verlangen.
- Ein Datenschutzbeauftragter ist u. a. zu benennen, wenn mindestens 20 Personen personenbezogene Daten von Patienten verarbeiten.
Sie möchten die DSGVO in Ihrer Praxis umsetzen?
Wir informieren Sie in einer kostenfreien Ersteinschätzung über alle wichtigen Voraussetzungen, das mögliche Vorgehen und die Kosten.
Inhaltsverzeichnis
1. Was bedeutet Datenschutz in der Arztpraxis?
Datenschutz in der Arztpraxis bedeutet Schutz von personenbezogenen Daten, mit denen sich Patienten identifizieren lassen, und deren Recht auf informationelle Selbstbestimmung.
Für Datenschutz müssen Arzt- oder Zahnarztpraxen deswegen Patientendaten wie Name, Anschrift, Geburtsdatum und insbesondere Gesundheitsdaten vor missbräuchlicher Verarbeitung, Verwendung oder Weitergabe schützen.
Ob der Datenschutz in Arztpraxen umgesetzt wird, kontrollieren die Aufsichtsbehörden regelmäßig. Bei Verstößen gegen die/den DSGVO/Datenschutz drohen der Arztpraxis u. a. Bußgelder.
Welche rechtliche Grundlage hat der Datenschutz in der Arztpraxis?
Wie der Datenschutz in der Arztpraxis umzusetzen ist, regeln die EU-Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).
Die DSGVO macht verbindliche Vorgaben dazu, wie in der EU personenbezogene Daten von privaten Unternehmen nicht, teilweise oder voll automatisiert zu verarbeiten sind. Das BDSG reguliert den Datenschutz in Deutschland und ergänzt die DSGVO dort, wo die nationalen Regelungen den einzelnen Staaten überlassen sind.
Gilt die DSGVO auch für Ärzte?
Ja, die DSGVO gilt auch für Ärzte. Weil Ärzte personenbezogene Daten verarbeiten, müssen auch sie die Vorgaben der DSGVO in der Arztpraxis umsetzen. Dabei ist unwesentlich, wie viele Mitarbeiter die Praxis beschäftigt.
So muss eine Arztpraxis beim Datenschutz wie jedes andere Unternehmen auch verschiedene Maßnahmen ergreifen. Das sind u. a. die Umsetzung verschiedener technisch organisatorischer Maßnahmen (TOM), das Führen eines Verarbeitungsverzeichnisses und die Umsetzung des Datenschutzes in der Arztpraxis.
2. Patientendaten in der Arztpraxis: Was sagt die DSGVO?
Von der DSGVO in der Arztpraxis erfasst sind alle personenbezogenen Daten, mit denen sich Patienten identifizieren lassen. Darunter fallen nicht nur die Stammdaten des Patienten oder die Daten, die bei Diagnose und Behandlung erhoben werden, sondern auch alle Informationen, die der Patient im Arztgespräch offenbart.
Welche Patientendaten unterliegen dem Datenschutz?
Zu den Patientendaten, die dem Datenschutz in der Arztpraxis unterliegen, gehören u. a. folgende:
- Vorname, Zuname & Nachname
- Geburtsdatum & Geburtsort
- Geschlecht
- Adresse & Telefonnummer
- Versicherungsstatus, Krankenkasse & Versicherungsnummer
- Diagnosen, Erkrankungen & Allergien
- Labor- & Untersuchungsergebnisse
- Therpapiemaßnahmen, Medikamente & Reha-Maßnahmen
- Familiäre, berufliche & finanzielle Verhältnisse
Wann dürfen Patientendaten verarbeitet werden?
Patientendaten dürfen nur verarbeitet werden, wenn der Patient ausdrücklich eingewilligt hat oder eine gesetzliche Grundlage dafür besteht. Das ist z. B. der Fall, wenn ein Behandlungsvertrag zwischen Arzt und Patient besteht oder die Datenverarbeitung aus medizinischen Zwecken erfolgt.
Wie lange dürfen Patientendaten aufbewahrt werden?
Ärztliche Aufzeichnungen und Patientendaten sind u. a. laut § 10 Abs. 3 BO (Berufsordnung für die deutschen Ärztinnen und Ärzte) bis zu 10 Jahre nach der Behandlung aufzubewahren.
In folgenden Fällen ist eine längere Aufbewahrung von medizinischen Daten und Patientendaten notwendig:
- Bis 15 Jahre: Aufzeichnungen über die Anwendung von Blutprodukten (§ 14 TFG; bei bestimmten Blutprodukten bis 30 Jahre)
- Bis 30 Jahre: Aufzeichnungen über Röntgen- & Strahlenbehandlungen (§ 85 StrlSchG)
Nach Ablauf dieser Fristen müssen Ärzte die Patientendaten ordnungsgemäß entsorgen oder dem Patienten aushändigen – sofern personenbedingte Daten Dritter nicht enthalten sind.
Wann darf ein Arzt Patientendaten weitergeben?
Patientendaten fallen unter den Datenschutz und die ärztliche Schweigepflicht. Deswegen dürfen personenbezogene Daten von Patienten nur mit Zustimmung des Patienten und in wenigen Ausnahmefällen an Dritte übermittelt werden. Dazu gehören u. a. Krankenkassen, der Medizinische Dienst, Sozialleistungsträger und Berufsgenossenschaften.
Wer Daten eigenmächtig – also ohne Zustimmung des Patienten oder einer anderen rechtlichen Grundlage – weitergibt, begeht einen DSGVO Verstoß. Außerdem stellt die unbefugte Weitergabe personenbezogener Daten laut § 203 StGB eine Straftat dar, die mit Geld- oder Freiheitsstrafen geahndet werden kann.
Wann muss eine Arztpraxis Patientendaten löschen?
Laut DSGVO sind personenbezogene Daten zu löschen, wenn diese für die Zwecke nicht mehr notwendig sind, für die sie erhoben oder verarbeitet wurden. Zu löschen sind diese Daten auch, wenn die Einwilligung in die Speicherung und Verarbeitung widerrufen oder ihr widersprochen wird.
In der Arztpraxis ist der Löschanspruch des Patienten allerdings mit Rücksicht auf die Dokumentations- und Aufbewahrungspflichten von Ärzten eingeschränkt: Besteht eine gesetzliche, vertragliche oder satzungsmäßige Aufbewahrungspflicht, hat der Patient keinen Anspruch auf die Löschung seiner personenbezogenen Daten.
3. Datenschutz in der Arztpraxis: Welche Maßnahmen sind zu ergreifen? I Checkliste
Um den Datenschutz in der Arztpraxis sicherzustellen, sind verschiedene Maßnahmen zu ergreifen:
- Verarbeitungsverzeichnis führen
- TOM umsetzen
- Auftragsdatenverarbeitung vertraglich regeln
- Folgenabschätzung vornehmen
- Webseite DSGVO-konform gestalten
- Datenschutz im Praxisalltag umsetzen
Mit Datenschutz in der Arztpraxis sollte sich nicht erst beschäftigt werden, wenn sich ein Patient beschwert oder eine behördliche Überprüfung ansteht – dann ist es meist zu spät, wichtige Maßnahmen nachzuholen. Wer alle datenschutzrechtlichen Vorgaben umsetzen möchte, sollte daher besser präventiv vorgehen und den Schutz von Patientendaten mit Erstkontakt zum Patienten sicherstellen.
Rechtsanwalt Martin Jedwillat
Verarbeitungsverzeichnis führen
In einem Verarbeitungsverzeichnis sind alle Tätigkeiten zu dokumentieren, bei denen personenbezogene Daten von Patienten oder Mitarbeitern verarbeitet werden. Das Verzeichnis ist fortlaufend zu aktualisieren und Behörden auf Nachfrage vorzulegen.
Diese Angaben sind im Verarbeitungsverzeichnis für den Datenschutz in der Arztpraxis zu machen:
- Verarbeitungstätigkeit & -zweck
- Ansprechpartner & Datenschutzbeauftragter
- Datum der erstmaligen Verarbeitung
- Rechtsgrundlage & Verarbeitung besonderer Kategorien
- Betroffene Personen bzw. Personengruppe
- Zugriffsberechtigte
- Übersicht zu den verarbeiteten Daten
- Weitergaben & Drittlandtransfers
- Löschfrist
- TOM
- ggf. Ergebnis einer Datenschutzfolgenabschätzung
TOM umsetzen
Um den Datenschutz in der Arztpraxis sicherzustellen, sind verschiedene technische und organisatorische Maßnahmen (TOM) zu ergreifen. Im TOM-Verzeichnis sind alle Maßnahmen zu dokumentieren, mit denen personenbezogene Daten von Patienten und Mitarbeitern geschützt werden.
Mit diesen TOM können Sie den Datenschutz in der Arztpraxis sicherstellen:
- Zugangsbeschränkung: Der Zugang zu Mitarbeiter- oder Patientendaten ist auf befugte Personen beschränkt.
- Verschlüsselung: Personenbezogene Daten sind durch z. B. sicheres Passwort vor Fremdzugriff geschützt.
- Pseudonymisierung: Eine Buchstaben- oder Zahlenkombination ersetzt Daten wie u. a. Namen oder Adresse.
- Integrität: Die personenbezogenen Daten sind korrekt und aktuell – alle Änderungen sind zu dokumentieren.
- Verfügbarkeit: Auch bei technischen Problemen oder einem Stromausfall sind die Daten verfügbar und zugänglich.
- Wiederherstellung: Mitarbeiter- oder Patientendaten lassen sich nach unbeabsichtigter oder unbefugter Löschung wiederherstellen.
- Systembelastbarkeit: Durch stetige Überprüfung von Systemen und Programmen wird der Schutz vor Unfällen oder Eindringlingen sichergestellt.
- Effektivitätsprüfung: Die Funktionsfähigkeit aller TOM wird durch regelmäßige Tests überprüft.
Auftragsdatenverarbeitung vertraglich regeln
Ob Lohnbuchhaltung durch einen Steuerberater, Praxis-Software, Webseite-Hoster oder Cloud: Für die Verarbeitung von Mitarbeiter- oder Patientendaten durch Drittanbieter ist ein DSGVO-konformer Auftragsdatenverarbeitungsvertrag (ADV) notwendig.
In diesem Vertrag wird die Auftragsdatenverarbeitung zwischen der Arztpraxis und dem Drittanbieter näher geregelt. Er enthält meist folgende Regelungen:
- Gegenstand, Dauer & Vergütung
- Benennung der verarbeiteten Daten-Kategorien & betroffenen Personenkategorien
- Verlängerung & Kündigung
- Verantwortlichkeiten & Weisungsbefugnis
- Einbeziehung von gesetzlichen Pflichten
- Mitteilungs- und Mitwirkungspflichten bei Verstößen
- Berichtigung, Löschung & Sperrung von Daten
- TOM zur Gewährleistung der Datensicherheit
- Regelungen zu Subunternehmern
Folgenabschätzung vornehmen
Alle Risiken für den Datenschutz in der Arztpraxis sind in einer Folgenabschätzung zu benennen und näher zu beschreiben. Außerdem sind geeignete Maßnahmen zu benennen, mit denen sich die Risiken verhindern lassen.
Webseite DSGVO-konform gestalten
Die DSGVO macht auch Vorgaben für Webseiten. Um den Datenschutz der Arztpraxis auch auf der Praxis-Webseite sicherzustellen, braucht diese eine TLS/SSL-Verschlüsselung. Kontaktformular und Terminbuchung sind ebenfalls zu verschlüsseln.
Auf der Webseite ist zudem eine Datenschutzerklärung zur Verfügung zu stellen. Diese muss leicht zugänglich, übersichtlich und verständlich sein. Folgende Inhalte muss die Erklärung laut Art. 13 DSGVO u. a. haben:
- Seitenbetreiber: Name & Anschrift
- Datenschutzbeauftragter (wenn vorhanden): Name & Anschrift
- Überblick über verarbeiteten Daten
- Zwecke & Rechtsgrundlage für die Datenverarbeitung
- ggf. Benennung des berechtigten Interesses der Verarbeitung
- Benennung von Datenempfängern oder Empfängerkategorien
- Drittlandübertragungen
- Speicherdauer
- Benennung von Betroffenenrechten
- Bestehen einer automatisierten Entscheidungsfindung
Außerdem dürfen Fotos von z. B. Praxispersonal nur mit einer Einverständniserklärung auf der Webseite integriert werden. Liegt diese nicht vor oder wird widerrufen, ist das Bild zu löschen.
Datenschutz im Praxisalltag umsetzen
Der Datenschutz in der Arztpraxis ist auch in Sprech- oder Behandlungszimmern sicherzustellen. Zugang zu personenbezogenen Daten von Patienten dürfen nur der Arzt oder das Praxispersonal haben.
Mit diesen Maßnahmen können Sie die DSGVO im Praxisalltag umsetzen.
- Räumlichkeiten: Trennen Sie Empfang & Wartezimmer voneinander ab – dies ist auch durch einen Sichtschutz möglich.
- Empfang: Besetzen Sie den Empfang durchgehend mit Personal.
- Besucher: Stellen Sie sicher, dass sich Besucher umgehend anmelden.
- Aufnahme: Sensibilisieren Sie Ihre Mitarbeiter dafür, Patientendaten leise und diskret zu erfragen.
- Blickschutz: Schützen Sie Bildschirme, Krankenakten & Co. vor fremden Blicken.
- Patientenakten: Verschließen Sie Patientenakten in einem Schrank.
- Passwörter: Schützen Sie Computer durch sichere Passwörter, die Sie regelmäßig wechseln.
- Aktualisierungen: Aktualisieren Sie Betriebssysteme, Software & Apps regelmäßig.
- Sicherheitssoftware: Nutzen Sie eine Antivirus-Software und eine Firewall.
- Schutz: Schützen Sie Ihre Praxis vor Diebstahl & Einbruch.
- Aufklärung: Klären Sie Patienten in einem Gespräch oder durch einen Aushang über die Speicherung und Verarbeitung ihrer Daten auf.
- Einwilligung: Teilen Sie Patientendaten nur mit dem Patienten selbst oder nur nach dessen ausdrücklicher Einwilligung.
Schulung: Belehren Sie Ihre Mitarbeiter über die DSGVO, den Schutz personenbezogener Daten & alle wichtigen Maßnahmen.
4. Wann braucht eine Arztpraxis einen Datenschutzbeauftragten?
Eine Arzt- oder Zahnarztpraxis ist gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn laut Art. 37 Abs. 1 lit c DSGVO eine umfangreiche Verarbeitung von Gesundheitsdaten erfolgt oder laut § 38 Abs. 1 BDSG mindestens 20 Personen personenbezogene Daten von Patienten verarbeiten.
Ein Datenschutzbeauftragter ist zudem ab 2 Berufsträgern in einer Arztpraxis zu empfehlen..
Wer über die datenschutzrechtlichen Fachkenntnisse verfügt, darf als Datenschutzbeauftragter eingesetzt werden – dies können Mitarbeiter oder externe Personen sein. Wann diese Eignung genau vorliegt, dazu macht die DSGVO keine Angaben. Allerdings kann eine Zertifizierung durch u. a. TÜV und IHK sinnvoll sein.
Welche Aufgaben hat der Datenschutzbeauftragte in der Arztpraxis?
Ein Datenschutzbeauftragter ist zuständig für die Einhaltung des Datenschutzes in der Arztpraxis und der Datensicherheit. Deswegen hat er verschiedene Aufgaben:
- Beratung: Der Datenschutzbeauftragte berät zu den Pflichten beim Datenschutz und zur Datenschutzfolgenabschätzung.
- Planung: Er legt wirksame Maßnahmen für den Datenschutz fest.
- Überwachung: Er überwacht alle Maßnahmen für den Datenschutz und sorgt für deren Einhaltung.
- Kontrolle: Der Datenschutzbeauftragte kontrolliert regelmäßig die Datensicherheit in der Arztpraxis.
- Schulung: Er schult die Mitarbeiter regelmäßig zum Thema Datenschutz.
- Vertretung: Er arbeitet eng mit den Aufsichtsbehörden zusammen und beantwortet deren Fragen.
5. Wer hilft beim Datenschutz in der Arztpraxis?
Im Internet finden Sie zahlreiche Informationsangebote sowie verschiedene Muster und Generatoren zum Datenschutz in einer Arztpraxis. Diese bieten eine erste Orientierung zu den zahlreichen Vorgaben der DSGVO – sich aber allein auf diese zu verlassen, kann nicht immer hilfreich sein.
Das liegt daran, dass diese die Strukturen und Verarbeitungsprozesse in der Arztpraxis nicht kennen und deswegen auch nur schwer abbilden können. Wer sich dennoch darauf verlässt und Datenschutzmaßnahmen nur mangelhaft umsetzt, riskiert Abmahnungen durch Aufsichtsbehörden oder Wettbewerber.
Deswegen kann bei der Umsetzung der DSGVO in der Arztpraxis anwaltliche Unterstützung hilfreich sein. Ein Anwalt weiß, welche Vorgaben bei der Datenverarbeitung, dem Schutz von Patientendaten, in der Praxis und auf der Webseite umzusetzen sind.
Einen auf Datenschutz spezialisierten Rechtsanwalt als Datenschutzbeauftragten zu berufen, hat gleich mehrere Vorteile: Er stellt nicht nur sicher, dass Sie alle erforderlichen Maßnahmen umsetzen, sondern er kann Sie auch umfassend zu allen rechtlichen Problemstellungen beraten, Beschwerden bearbeiten, behördliche Prüfungen begleiten und vor Behörden oder Gerichten vertreten.
Rechtsanwalt Martin Jedwillat
Wie hilft mir advomare beim Datenschutz in der Arztpraxis?
advomare unterstützt Ihre Arztpraxis beim Datenschutz mit verschiedenen Aufgaben:
- Zum Datenschutz beraten
- Datenschutz als Datenschutzbeauftragter umsetzen
- Verarbeitungsverzeichnis erstellen
- TOM überprüfen & planen
- Datenverarbeitung durch Drittanbieter regeln
- DSGVO im Praxisalltag umsetzen
- Webseite gesetzeskonform gestalten
- Datenschutzerklärung erstellen
- Einwilligungserklärungen für Patienten & Mitarbeiter bereitstellen
- Mitarbeiter schulen
- Auskunftsbegehren von Behörden & Patienten bearbeiten
Sie möchten die DSGVO in Ihrer Praxis umsetzen?
Wir informieren Sie in einer kostenfreien Ersteinschätzung über alle wichtigen Voraussetzungen, das mögliche Vorgehen und die Kosten.
6. Was bedeutet die DSGVO für Patienten?
Weil Patienten das Recht auf informationelle Selbstbestimmung haben, müssen Ärzte sie über die Erhebung und Verarbeitung ihrer personenbezogenen Daten umfassend informieren und aufklären.
Worüber bin ich zu informieren?
Patienten sind laut DSGVO bei der erstmaligen Erhebung personenbezogener Daten über deren Speicherung und Weiterverarbeitung sowie den Datenschutz in der Arztpraxis zu informieren.
Dies ist möglich über einen gut sichtbaren Aushang in der Praxis oder eine Handreichung beim ersten Besuch in der Arztpraxis. Wichtig ist, dass diese Patienteninformation einfach, klar und verständlich aufgebaut ist.
Was muss ich beim Arzt unterschreiben?
Der Gesetzgeber schreibt nicht vor, dass Patienten in die Speicherung und Weiterverarbeitung ihrer personenbezogenen Daten einwilligen müssen.
Weil sie beim Arztbesuch einen Behandlungsvertrag abgeschlossen haben, der die Datenverarbeitung rechtfertigt, reicht es aus, wenn Patienten die Informationen zum Datenschutz in der Arztpraxis zur Kenntnis nehmen.
Welche Patientendaten darf ich einsehen?
Patienten haben neben dem Recht auf Einsicht in ihre Patientenakte laut § 630g BGB auch ein Auskunftsrecht nach Art. 15 DSGVO. Ärzte sind daher verpflichtet, auf Nachfrage des Patienten Auskunft über die Speicherung und Verarbeitung ihrer personenbezogenen Daten zu erteilen.
Darf ich meine Daten vom Arzt korrigieren lassen?
Ärzte sind verpflichtet, die personenbezogenen Daten ihrer Patienten aktuell und korrekt zu verarbeiten. Deswegen dürfen Patienten laut Art. 16 DSGVO die Korrektur falscher oder unvollständiger personenbezogener Daten verlangen. Die Arztpraxis hat die Daten dann umgehend zu korrigieren und die Anpassung zu dokumentieren.
Kann ich meine Krankenakte löschen lassen?
Ja, Patienten dürfen Ihre Krankenakte löschen lassen – allerdings erst nach Ablauf der ärztlichen Aufbewahrungspflicht. So muss eine Arztpraxis Gesundheitsdaten ihrer Patienten 10 Jahre lang aufbewahren, bei bestimmten Behandlungsarten sogar bis zu 30 Jahre.
Erst nach Ablauf dieser Frist dürfen Patienten die Löschung ihrer personenbezogenen Daten verlangen.
7. FAQ: häufigste Fragen zum Datenschutz in der Arztpraxis
Was bedeutet Datenschutz im Gesundheitswesen?
Unter Datenschutz im Gesundheitswesen wird der Schutz personenbezogener Daten von u. a. Patienten, Ärzten und medizinischem Personal vor missbräuchlicher Verarbeitung, Verwendung oder Weitergabe verstanden. Weil auch Ärzte vertrauliche Daten verarbeiten, gelten für sie ebenfalls die strengen Vorgaben der DSGVO.
Wie gestalte ich meine Arztpraxis DSGVO-konform?
Um Ihre Arztpraxis DSGVO-konform zu gestalten, sind u. a. folgende Maßnahmen zu ergreifen:
– Erhebung, Verarbeitung und Weitergabe von Patientendaten in einem Verarbeitungsverzeichnis dokumentieren.
– Technisch organisatorische Maßnahmen wie Verschlüsselung und Pseudonymisierung umsetzen.
– Verarbeitung von Patientendaten durch Drittanbieter mit einem Auftragsdatenverarbeitungsvertrag (ADV) regeln.
– Risiken für den Datenschutz in einer Folgenabschätzung beschreiben und Maßnahmen zu deren Verhindern benennen.
– Datenschutz in Sprech- und Behandlungszimmer sicherstellen.
Welche Strafen drohen einer Arztpraxis bei Datenschutz-Verstößen?
Die §§ 42 und 43 des Bundesdatenschutzgesetzes (BDSG) regeln die Sanktionen, die ein Verstoß gegen den Datenschutz in der Arztpraxis nach sich ziehen können. Dabei wird zwischen Ordnungswidrigkeiten (§ 43 BDSG) und Straftaten (§ 42 BDSG) unterschieden.
Folgende Strafen drohen bei einem Datenschutz-Verstoß in der Arztpraxis:
– Bußgeld von bis zu 50.000 €: u. a. Verstoß gegen Melde- oder Auskunftspflicht, Verstoß gegen die Zweckbindung & unzulässige Erhebung von personenbezogenen Daten entgegen den Willen von Patienten
– Bußgeld von bis zu 300.000 €: u. a. erschlichene Datenübermittlung, Nutzung personenbezogener Daten zu Werbezwecken trotz Widerruf des Betroffenen, Verstoß gegen die Informationspflicht bei Kenntnis unrechtmäßiger Datenerhebung
– Freiheitsstrafe von bis zu 2 Jahren: u. a. absichtliche Datenschutz-Verstöße mit der Absicht der Bereicherung
(Bild: Henrik Dolle – stock.adobe.com)