Gesundheitsdaten gehören zu den sensibelsten personenbezogenen Daten überhaupt und unterliegen nach der Datenschutz-Grundverordnung (DSGVO) besonders strengen Anforderungen. Arztpraxen sind verpflichtet, ihre Datenverarbeitung rechtskonform zu gestalten und bei Verstößen empfindliche Bußgelder zu riskieren.
Das Wichtigste in Kürze
- Arztpraxen sind Verantwortliche im Sinne der DSGVO und müssen alle Anforderungen an die Verarbeitung von Gesundheitsdaten erfüllen
- Ein Datenschutzbeauftragter ist in Arztpraxen mit mehr als 20 ständig mit der Datenverarbeitung beschäftigten Personen verpflichtend
- Bußgelder bei DSGVO-Verstößen können bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen
Grundlagen: DSGVO-Anforderungen für Arztpraxen
Die DSGVO gilt seit Mai 2018 und wird durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Für Arztpraxen besonders relevant ist Art. 9 DSGVO, der die Verarbeitung besonderer Kategorien personenbezogener Daten (zu denen Gesundheitsdaten gehören) nur unter strengen Voraussetzungen erlaubt. Die Rechtsgrundlage für die Behandlung ist regelmäßig die ausdrückliche Einwilligung oder die Erfüllung des Behandlungsvertrags.
Praxen müssen ein Verzeichnis der Verarbeitungstätigkeiten führen, technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten implementieren und bei einer Datenpanne die Aufsichtsbehörde innerhalb von 72 Stunden informieren.
Schritt für Schritt: DSGVO-Compliance in der Praxis umsetzen
Im ersten Schritt wird eine Datenschutz-Folgenabschätzung (DSFA) für die wichtigsten Verarbeitungsprozesse erstellt. Die DSFA analysiert Risiken der Datenverarbeitung und dokumentiert Schutzmaßnahmen. Bei Praxen mit Videoüberwachung, Patientenportalen oder digitaler Kommunikation ist eine DSFA in der Regel erforderlich.
Im zweiten Schritt werden alle Verarbeitungsverträge mit Dienstleistern (Praxissoftware-Anbieter, IT-Dienstleister, Labore, Abrechnungsdienstleister) auf Auftragsverarbeitungsverträge nach Art. 28 DSGVO überprüft. Fehlende AVV sind eine der häufigsten Beanstandungen bei Datenschutzprüfungen.
Im dritten Schritt werden Mitarbeiter regelmäßig zu Datenschutzpflichten geschult. Die Schulungen sind zu dokumentieren. Alle Mitarbeiter, die Patientendaten verarbeiten, müssen auf Vertraulichkeit verpflichtet und über die wesentlichen DSGVO-Anforderungen informiert sein.
Häufige Fehler und wie man sie vermeidet
Ein häufiger Fehler ist die Nutzung privater E-Mail-Adressen oder Messenger-Dienste für die Übermittlung von Patientendaten ohne Ende-zu-Ende-Verschlüsselung. Auch die fehlende Verschlüsselung mobiler Geräte, auf denen Patientendaten gespeichert sind, ist ein häufig beanstandeter Mangel. Ein weiterer Fehler ist die nicht ordnungsgemäße Reaktion auf Auskunftsersuchen von Patienten, die innerhalb eines Monats beantwortet werden müssen.
Ärzteversichert empfiehlt Praxisinhabern, DSGVO-Compliance als dauerhaften Prozess zu verstehen und nicht nur einmalig umzusetzen. Im Versicherungsbereich sollte eine Cyberversicherung geprüft werden, die auch Datenpannen und Datenschutzverletzungen abdeckt.
Fazit
DSGVO-Compliance ist für Arztpraxen keine optionale Aufgabe, sondern eine gesetzliche Pflicht mit erheblichen Konsequenzen bei Verstößen. Weitere Artikel finden Sie in der Blog-Übersicht.
Quellen und weiterführende Informationen
- Bundesbeauftragter für den Datenschutz – DSGVO und Gesundheitsdaten
- Gesetze im Internet – Art. 9 DSGVO (Besondere Kategorien)
- Bundesärztekammer – Datenschutz in der Arztpraxis
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →