Jede Arztpraxis, die Patientendaten verarbeitet, ist nach der Datenschutz-Grundverordnung (DSGVO) als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO einzustufen. Dies gilt für Einzelpraxen ebenso wie für Berufsausübungsgemeinschaften und Medizinische Versorgungszentren.
Das Wichtigste auf einen Blick
- Jede Praxis braucht ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO
- Ab 20 Mitarbeitern mit regelmäßigem Datenzugang ist ein Datenschutzbeauftragter Pflicht
- Datenpannen müssen innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden
Ausführliche Antwort
Die DSGVO gilt seit Mai 2018 verbindlich für alle Praxen in Deutschland. Ärztliche Patientendaten sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO und unterliegen damit besonders strengen Verarbeitungsanforderungen. Jede Praxis muss ein aktuelles Verarbeitungsverzeichnis führen, das alle Prozesse dokumentiert, bei denen Patientendaten verarbeitet werden: von der Terminbuchung über die Befundübermittlung bis zur Abrechnung mit der KV.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten gilt nach § 38 BDSG, wenn mindestens 20 Mitarbeiter regelmäßig personenbezogene Daten automatisiert verarbeiten. Kleine Einzelpraxen unterliegen dieser Pflicht in der Regel nicht, müssen aber alle anderen DSGVO-Anforderungen erfüllen. Für Praxen mit IT-Dienstleistern, Labors oder Abrechnungsstellen sind Auftragsverarbeitungsverträge nach Art. 28 DSGVO zwingend.
Bei einem Datenleck oder einem Cyberangriff ist die Praxis verpflichtet, den Vorfall binnen 72 Stunden der zuständigen Landesdatenschutzbehörde zu melden. Kommt es zu einem Bußgeldverfahren, können Datenschutzbehörden Geldbußen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängen, bei schwerwiegenden Verstößen bis zu 20 Millionen Euro oder 4 %.
Worauf Ärzte besonders achten sollten
Praxisneuöffnungen und MVZ-Gründungen sollten den Datenschutz von Beginn an strukturiert implementieren. Ärzteversichert empfiehlt ergänzend eine Cyber-Versicherung, die neben Bußgeld-Schutz auch Betriebsunterbrechungskosten und Krisenmanagement nach einem Datenleck abdeckt.
Quellen und weiterführende Informationen
- Art. 9 DSGVO – Gesetze im Internet
- Bundesgesundheitsministerium – eHealth und Datenschutz
- Kassenärztliche Bundesvereinigung – Datenschutz
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →