Arztpraxen verarbeiten besonders sensible Daten im Sinne der DSGVO: Gesundheitsdaten. Diese genießen besonderen Schutz nach Art. 9 DSGVO. Datenschutzverstöße können Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes auslösen. Zusätzlich drohen Schadensersatzansprüche von Patienten. Diese Checkliste zeigt die wichtigsten DSGVO-Pflichten für Arztpraxen.

Die Checkliste

  1. Datenschutzbeauftragten prüfen: In Praxen, in denen mehr als 20 Personen regelmäßig Daten verarbeiten, ist ein Datenschutzbeauftragter (DSB) Pflicht. Bei regelmäßiger Verarbeitung besonderer Datenkategorien (Gesundheitsdaten) gilt die Pflicht unabhängig von der Mitarbeiterzahl.
  1. Verzeichnis von Verarbeitungstätigkeiten erstellen: Jede Praxis muss ein Verzeichnis aller Datenverarbeitungstätigkeiten führen (Art. 30 DSGVO). Darin werden Zweck, Rechtsgrundlage, betroffene Datenkategorien und Empfänger erfasst.
  1. Auftragsverarbeitungsverträge abschließen: Mit allen Dienstleistern, die Patientendaten verarbeiten (z.B. Labor, Abrechnungsstelle, IT-Dienstleister), müssen Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen werden.
  1. Datenschutzerklärung für Patienten bereitstellen: Patienten müssen bei der ersten Datenspeicherung über Zweck, Rechtsgrundlage und ihre Rechte informiert werden (Art. 13 DSGVO). Eine verständliche Datenschutzerklärung muss im Wartebereich ausgehängt oder ausgehändigt werden.
  1. Technische und organisatorische Maßnahmen (TOMs) dokumentieren: Verschlüsselung, Zugriffskontrollen, Pseudonymisierung und Backup sind TOMs, die dem Stand der Technik entsprechen müssen. Dokumentieren Sie diese.
  1. Rechte der Betroffenen sicherstellen: Patienten haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit. Legen Sie interne Prozesse fest, um diese Rechte fristgerecht (innerhalb eines Monats) zu erfüllen.
  1. Datenpannen-Meldeprozess einrichten: Bei Datenpannen (z.B. Hackerangriff, verlorener USB-Stick) muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informiert werden. Legen Sie den Meldeprozess vorab fest.
  1. Mitarbeiter auf Datenschutz verpflichten: Alle Mitarbeiter, die mit Patientendaten in Berührung kommen, müssen auf das Datengeheimnis nach Art. 5 DSGVO verpflichtet und entsprechend geschult werden.
  1. Website auf DSGVO-Konformität prüfen: Praxis-Website und Online-Terminbuchung müssen datenschutzkonform gestaltet sein: Cookie-Banner, Datenschutzerklärung, AV-Vertrag mit Website-Hoster.
  1. Regelmäßige Datenschutz-Audits durchführen: Mindestens einmal jährlich sollten alle Datenschutzmaßnahmen auf Aktualität und Wirksamkeit geprüft werden.

Typische Fehler

Kein Auftragsverarbeitungsvertrag mit dem Labor: Das Labor verarbeitet Patientendaten im Auftrag der Praxis. Ohne AVV besteht ein erhebliches Bußgeldrisiko.

Veraltete Datenschutzerklärung: Viele Praxen haben eine einmalig erstellte Datenschutzerklärung und haben diese seit Jahren nicht aktualisiert. Rechtliche Änderungen und neue Verarbeitungstätigkeiten erfordern regelmäßige Aktualisierungen.

Kein Meldeprozess für Datenpannen: Wenn im Ernstfall nicht klar ist, wer was in 72 Stunden meldet, wird die Frist unweigerlich versäumt.

Fazit

DSGVO-Konformität ist kein Einmalereignis, sondern ein laufender Prozess. Ärzteversichert empfiehlt, auch das Risiko einer Cyberversicherung in die Datenschutzplanung einzubeziehen. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →