Arztpraxen verarbeiten besonders schützenswerte Gesundheitsdaten und können bei Datenschutzverletzungen empfindliche Bußgelder der Datenschutzbehörden erhalten. Die DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor.
Das Wichtigste auf einen Blick
- Bußgelder nach Art. 83 DSGVO können auch für kleine Praxen fünf- bis sechsstellig sein
- Meldepflicht bei Datenpannen an die Datenschutzbehörde innerhalb von 72 Stunden (Art. 33 DSGVO)
- Häufige Verstöße: keine Zugangsbeschränkung zu Patientendaten, fehlende Auftragsverarbeitungsverträge
Ausführliche Antwort
Arztpraxen sind Verantwortliche nach Art. 4 DSGVO und müssen Patientendaten nach den Grundsätzen des Art. 5 DSGVO verarbeiten: Zweckbindung, Datenminimierung, Vertraulichkeit und Integrität. Verstöße werden von den Landesbeauftragten für Datenschutz geahndet. Bekannte Praxisfälle: Patientendaten an unberechtigte Dritte übermittelt, Patientenakten unverschlüsselt versandt oder Mitarbeiter ohne Zugangsbeschränkung auf alle Daten zugelassen.
Die Bußgelder für Arztpraxen waren in der Vergangenheit oft im niedrigen fünfstelligen Bereich, steigen aber. Neben dem Bußgeld können Datenpannen zu Schadensersatzansprüchen von Patienten führen (Art. 82 DSGVO), die über die Haftpflicht versichert sein müssen.
Pflichten der Praxis: Verzeichnis der Verarbeitungstätigkeiten führen, Auftragsverarbeitungsverträge mit allen Dienstleistern abschließen, die Patientendaten verarbeiten (IT-Dienstleister, Cloud-Anbieter, Abrechnungsstellen), und im Datenschutzvorfall unverzüglich handeln: interne Beurteilung, 72-Stunden-Meldung an die Aufsichtsbehörde, ggf. Benachrichtigung betroffener Patienten.
Worauf Ärzte besonders achten sollten
Viele Cyberversicherungen übernehmen auch DSGVO-Bußgelder und die Kosten für Rechtsberatung nach einer Datenpanne. Ärzteversichert prüft, ob die bestehende Praxisversicherung Datenschutzverletzungen ausreichend abdeckt, und empfiehlt Policen mit explizitem DSGVO-Schutz.
Quellen und weiterführende Informationen
- Art. 83 DSGVO – Datenschutz-Grundverordnung – Gesetze im Internet
- Kassenärztliche Bundesvereinigung – Datenschutz in der Arztpraxis
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →