Checkliste: EBM-Controlling – Datenschutz-Folgenabschätzung für Ärzte

Nicht jede Verarbeitung personenbezogener Daten in einer Arztpraxis löst eine Pflicht zur Datenschutz-Folgenabschätzung (DSFA) aus – aber manche tun es. Gerade im Bereich EBM-Controlling, wenn neue Abrechnungssoftware, automatisierte Auswertungssysteme oder neue Schnittstellen zur KV eingeführt werden, kann eine DSFA nach Art. 35 DSGVO erforderlich sein. Wer das übersieht, riskiert nicht nur Bußgelder, sondern kann auch das Vertrauen von Patienten und der Datenschutzbehörde verspielen.

Die Checkliste

1. DSFA-Pflicht prüfen: Ist bei neuen oder veränderten Verarbeitungsprozessen im EBM-Controlling eine DSFA nach Art. 35 DSGVO erforderlich? Kriterien: Verarbeitung besonderer Kategorien von Daten (Gesundheitsdaten), systematische Überwachung, automatisierte Entscheidungen.

1. Blacklist der Datenschutzbehörde prüfen: Die deutschen Datenschutzbehörden veröffentlichen Listen von Verarbeitungsarten, für die eine DSFA zwingend erforderlich ist. Prüfen Sie, ob Ihre EBM-Prozesse darauf stehen.

1. Whitelist beachten: Ebenso gibt es Positivlisten, auf denen Verarbeitungsarten stehen, die keine DSFA erfordern. Klären Sie, ob Ihre Prozesse dort aufgeführt sind.

1. Verarbeitungszweck dokumentieren: Die DSFA beginnt mit einer klaren Beschreibung des Verarbeitungszwecks. Warum wird welche Datenverarbeitung im EBM-Controlling eingesetzt?

1. Risiken für Betroffene identifizieren: Welche Risiken entstehen für Patienten und Mitarbeiter durch die betreffende Verarbeitung? Denken Sie an Datenpannen, unbefugten Zugriff, Profilerstellung.

1. Verhältnismäßigkeit bewerten: Steht der Eingriff in die Privatsphäre der Betroffenen in einem angemessenen Verhältnis zum verfolgten Zweck? Diese Abwägung muss schriftlich dokumentiert werden.

1. Technische und organisatorische Maßnahmen (TOM) benennen: Welche Maßnahmen werden ergriffen, um die identifizierten Risiken zu mindern? Verschlüsselung, Zugangsbeschränkung, Pseudonymisierung?

1. Datenschutzbeauftragten einbeziehen: Falls ein DSB bestellt ist, muss er bei der Durchführung der DSFA konsultiert werden. Seine Stellungnahme ist zu dokumentieren.

1. Ggf. Datenschutzbehörde konsultieren: Wenn die Maßnahmen das verbleibende Risiko nicht ausreichend mindern, muss die Datenschutzbehörde vorab konsultiert werden (Art. 36 DSGVO).

1. DSFA-Ergebnis dokumentieren und archivieren: Die vollständige DSFA muss schriftlich festgehalten und aufbewahrt werden. Sie muss bei einer Prüfung vorgelegt werden können.

1. DSFA regelmäßig aktualisieren: Eine DSFA ist kein einmaliges Dokument. Bei wesentlichen Änderungen der Verarbeitungsprozesse muss sie überarbeitet werden.

Typische Fehler

DSFA-Pflicht nicht erkannt: Neue Abrechnungssysteme oder KI-gestützte Auswertungstools werden ohne Prüfung eingeführt, ohne dass die DSFA-Pflicht geprüft wurde.

DSFA oberflächlich durchgeführt: Eine DSFA, die nur pro forma erstellt wird, ohne echte Risikoabwägung, erfüllt die DSGVO-Anforderungen nicht und bietet im Streitfall keinen Schutz.

DSB nicht einbezogen: Obwohl ein Datenschutzbeauftragter bestellt ist, wird er bei der DSFA nicht konsultiert. Das ist ein formaler Verfahrensfehler.

Fazit

Die Datenschutz-Folgenabschätzung ist ein wichtiges Instrument, das auch im EBM-Controlling nicht übersehen werden darf. Ärzteversichert empfiehlt, bei jeder größeren Änderung der Abrechnungsprozesse eine DSFA-Prüfung vorzuschalten. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

• BaFin – Datenschutz-Folgenabschätzung und Aufsicht
• Bundesärztekammer – Datenschutz in der Arztpraxis
• Bundesministerium für Gesundheit – DSGVO im Gesundheitswesen