Arztpraxen verarbeiten besonders sensible personenbezogene Daten im Sinne des Art. 9 DSGVO. Datenschutzverstöße können zu Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes führen. Auch wenn letzte Extrembeträge bei kleineren Praxen selten verhängt werden, sind Bußgelder von 5.000 bis 50.000 Euro in der Praxis keine Seltenheit und stellen für viele Arztpraxen eine ernsthafte wirtschaftliche Belastung dar.
Hintergrund
Typische Datenschutzverstöße in Arztpraxen sind: unzureichende Sicherung von Patientenakten (offene Monitore im Empfangsbereich, unverschlüsselte E-Mails), fehlende oder mangelhafte Datenschutzerklärung auf der Praxiswebsite, kein Auftragsverarbeitungsvertrag mit externen IT-Dienstleistern (Art. 28 DSGVO), fehlende Meldung von Datenpannen innerhalb von 72 Stunden an die Aufsichtsbehörde (Art. 33 DSGVO) sowie fehlende Benennung eines Datenschutzbeauftragten (ab 20 Personen mit regelmäßiger Datenverarbeitung). Praxen sollten ein Verzeichnis der Verarbeitungstätigkeiten führen (Art. 30 DSGVO) und alle Mitarbeiter regelmäßig schulen. Eine Cyber- oder Datenschutzhaftpflichtversicherung kann Bußgelder und Drittschäden abfedern.
Praktische Hinweise für Ärzte
- Überprüfen Sie Ihre Datenschutzerklärung und Verarbeitungsverzeichnisse mindestens jährlich.
- Schulen Sie Ihr Praxisteam regelmäßig zu DSGVO-Anforderungen und sichern Sie die Schulungen schriftlich ab.
- Schließen Sie Auftragsverarbeitungsverträge mit allen externen Dienstleistern, die Patientendaten verarbeiten.
- Melden Sie Datenpannen unverzüglich der Datenschutzaufsichtsbehörde und dokumentieren Sie alle Vorfälle.
- Ärzteversichert berät zur Datenschutzhaftpflicht und Cyberversicherung für Arztpraxen.
Quellen:
- Bundesbeauftragter für Datenschutz und Informationsfreiheit: DSGVO
- Kassenärztliche Bundesvereinigung: Datenschutz in der Praxis
- Bundesärztekammer: DSGVO-Leitfaden
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →