Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 und verpflichtet Arztpraxen zu einem strukturierten Umgang mit Patientendaten. Verstöße können Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes nach sich ziehen. Praxisinhaber müssen die wesentlichen Anforderungen kennen und umsetzen.
Das Wichtigste auf einen Blick
- Verzeichnis von Verarbeitungstätigkeiten (VVT) ist für Praxen mit mehr als 20 Beschäftigten verpflichtend, empfohlen für alle
- Datenschutzbeauftragter ist ab 20 Personen, die regelmäßig mit personenbezogenen Daten umgehen, gesetzlich vorgeschrieben
- Technisch-organisatorische Maßnahmen (TOM) wie Verschlüsselung, Zugriffskontrolle und regelmäßige Datensicherung sind Pflicht
Ausführliche Antwort
Arztpraxen verarbeiten besonders schützenswerte Daten im Sinne von Art. 9 DSGVO: Gesundheitsdaten genießen den höchsten Schutzstandard. Die Rechtsgrundlage für die Verarbeitung ist in der Regel Art. 9 Abs. 2 lit. h DSGVO (medizinische Versorgung) in Verbindung mit § 22 Abs. 1 Nr. 1 lit. b BDSG. Eine gesonderte Einwilligung des Patienten ist für die Behandlungsdokumentation nicht erforderlich.
Praktische Pflichten aus der DSGVO für Arztpraxen umfassen: Datenschutzhinweise für Patienten (Aushang oder Informationsblatt im Wartezimmer), Verzeichnis der Verarbeitungstätigkeiten (dokumentiert alle Datenverarbeitungen in der Praxis), Auftragsverarbeitungsverträge mit IT-Dienstleistern und Cloud-Anbietern, Meldepflicht bei Datenschutzverletzungen binnen 72 Stunden an die Datenschutzaufsichtsbehörde sowie Auskunftsrecht für Patienten über ihre gespeicherten Daten.
Technisch-organisatorische Maßnahmen (TOM) sind der Kern der Datensicherheit: Passwortschutz für alle Systeme, Verschlüsselung der Patientenakte auf mobilen Geräten, regelmäßige Datensicherung auf externen Medien oder in der Cloud (mit Auftragsverarbeitungsvertrag), Virenschutz und Firewall sowie Schulung aller Mitarbeiter im Datenschutz.
Worauf Ärzte besonders achten sollten
Praxisinhaber sollten mindestens einmal jährlich ihre Datenschutzdokumentation aktualisieren und neue IT-Dienstleister auf DSGVO-Konformität prüfen. Ärzteversichert empfiehlt eine Cyberversicherung, die bei Datenpannen (z.B. gestohlener Laptop mit Patientendaten) die Kosten für Benachrichtigung der Betroffenen, Rechtsberatung und Bußgelder übernimmt.
Quellen und weiterführende Informationen
- Gesetze im Internet – DSGVO Art. 9
- Bundesgesundheitsministerium – Datenschutz im Gesundheitswesen
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →