Im Zuge der GOÄ-Optimierung führen viele Praxen neue Softwarelösungen, automatisierte Abrechnungssysteme oder digitale Kommunikationswege mit privaten Krankenversicherungen ein. All diese Neuerungen können eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich machen – insbesondere dann, wenn besonders sensible Gesundheitsdaten systematisch verarbeitet werden. Wer die DSFA-Pflicht übersieht, riskiert nicht nur Bußgelder, sondern auch den Vertrauensverlust bei Privatpatienten, für die Diskretion besonders wichtig ist.

Die Checkliste

  1. DSFA-Pflicht für neue Abrechnungssysteme prüfen: Führen Sie eine neue Software zur GOÄ-Optimierung ein? Klären Sie vorab, ob diese Verarbeitung eine DSFA nach Art. 35 DSGVO erfordert. Maßgeblich ist das Risiko für die betroffenen Patienten.
  1. Blacklist der Datenschutzbehörde prüfen: Die deutschen Datenschutzbehörden veröffentlichen Listen von Verarbeitungsarten, für die eine DSFA immer erforderlich ist. Prüfen Sie, ob Ihre geplanten GOÄ-Prozesse darauf stehen.
  1. Systematische Verarbeitung von Gesundheitsdaten bewerten: GOÄ-Abrechnungssysteme verarbeiten per Definition besondere Kategorien personenbezogener Daten (Gesundheitsdaten). Das erhöht die Wahrscheinlichkeit einer DSFA-Pflicht erheblich.
  1. Automatisierte Entscheidungen und Scoring prüfen: Wenn ein System automatisch Abrechnungsoptimierungen oder Empfehlungen trifft, kann das als automatisierte Entscheidungsfindung gelten – was eine DSFA begründen kann.
  1. Verarbeitungszweck klar dokumentieren: Eine DSFA beginnt immer mit einer klaren Beschreibung des Verarbeitungszwecks: Welche Daten werden warum, wie und von wem verarbeitet?
  1. Risiken für Privatpatienten identifizieren: Welche Risiken entstehen für Patienten durch die Nutzung des neuen Systems? Denken Sie an unbefugten Zugriff, Datenpannen, Weitergabe an unberechtigte Dritte.
  1. Technische Schutzmaßnahmen festlegen: Welche Maßnahmen werden ergriffen, um die identifizierten Risiken zu minimieren? Verschlüsselung, Zugangsbeschränkung und Pseudonymisierung sind typische Instrumente.
  1. Datenschutzbeauftragten einbeziehen: Falls ein DSB bestellt ist, muss er bei der DSFA konsultiert werden. Seine Stellungnahme ist schriftlich zu dokumentieren.
  1. DSFA-Ergebnis schriftlich festhalten: Die vollständige DSFA-Dokumentation muss archiviert und auf Anfrage der Datenschutzbehörde vorgelegt werden können.
  1. DSFA bei Änderungen der Systeme aktualisieren: Eine einmal erstellte DSFA ist kein Dauerdokument. Bei wesentlichen Änderungen am System oder Verarbeitungsprozess muss sie aktualisiert werden.
  1. Privatpatienten über neue Verarbeitungsprozesse informieren: Wenn sich die Verarbeitung von Patientendaten durch neue GOÄ-Abrechnungssysteme ändert, müssen Patienten nach Art. 13 DSGVO aktiv informiert werden.

Typische Fehler

DSFA erst nach Systemeinführung beauftragt: Die DSFA muss vor der Inbetriebnahme eines Systems durchgeführt werden, nicht danach. Nachträgliche Abschätzungen erfüllen die DSGVO-Anforderungen nicht.

Risikobewertung oberflächlich: Eine DSFA, die nur formal erstellt wurde, ohne echte Risikoidentifikation und -abwägung, bietet im Streitfall keinen Schutz.

Patienten nicht informiert: Wenn ein neues Abrechnungssystem eingeführt wird, ohne Patienten zu informieren, verletzt die Praxis die Transparenzpflicht nach DSGVO.

Fazit

Die Datenschutz-Folgenabschätzung ist ein wichtiger Baustein bei der GOÄ-Optimierung mit neuen Systemen. Ärzteversichert empfiehlt, DSFA-Pflichten bei jeder Systemänderung frühzeitig zu prüfen und den Datenschutzbeauftragten einzubeziehen. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →