Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europaweit gültige Datenschutzverordnung, die seit Mai 2018 verbindlich gilt und die Verarbeitung personenbezogener Daten nach Grundsätzen wie Zweckbindung, Datensparsamkeit, Richtigkeit, Integrität und Rechenschaftspflicht regelt. Für Arztpraxen gelten besondere Anforderungen, da Gesundheitsdaten nach Art. 9 DSGVO als besondere Kategorie personenbezogener Daten einem erhöhten Schutzniveau unterliegen.
Bedeutung für Ärzte
Arztpraxen müssen ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen, das alle Datenverarbeitungsvorgänge (Patientenakten, Abrechnungsdaten, Videosprechstunde, Newsletter) listet. Bei einer Praxis mit mehr als zehn Mitarbeitern ist ein betrieblicher Datenschutzbeauftragter nach § 38 BDSG zu bestellen. Technisch-organisatorische Maßnahmen (TOMs) umfassen Verschlüsselung von Datenträgern, Zugangskontrolle zu Patientenakten, regelmäßige Datensicherungen und Mitarbeiterschulungen. Datenschutzverstöße, z. B. ein offener E-Mail-Verteiler mit Patientennamen oder ein unverschlüsseltes Laptop im Wartezimmer, müssen innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. Bußgelder können bis zu 4 Prozent des weltweiten Jahresumsatzes betragen.
Abgrenzung
Die DSGVO gilt parallel zur ärztlichen Schweigepflicht nach § 203 StGB und dem Patientenrechtegesetz (§ 630f BGB); alle drei Regelungskreise ergänzen sich. Die Schweigepflicht ist strafrechtlich sanktioniert und schützt vor unbefugter Offenbarung; die DSGVO schützt vor jedweder unrechtmäßiger Datenverarbeitung, nicht nur vor Offenbarung.
Beispiel
Eine Praxis versendet nach einem Datenbankfehler Befundberichte an falsche Patienten per E-Mail. Dies ist eine meldepflichtige Datenpanne nach Art. 33 DSGVO. Die Praxis muss innerhalb von 72 Stunden das Landesdatenschutzzentrum informieren und betroffene Patienten nach Art. 34 DSGVO benachrichtigen. Ärzteversichert empfiehlt, für solche Vorfälle einen Notfallplan und benannte Verantwortliche vorab festzulegen, um die Meldefristen einhalten zu können.
Quellen
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
- Kassenärztliche Bundesvereinigung (KBV)
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →