Datenschutzbeauftragter (DSB)
In der Arztpraxis findet in aller Regel keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die zu einer Benennungspflicht führt. Es ist daher ein Datenschutzbeauftragter (DSB) nur zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig beschäftigt“ ist z. B. die Sprechstundenhilfe. „Nicht ständig beschäftigt“ ist dagegen beispielsweise, wer als Putzkraft theoretisch Daten zur Kenntnis nehmen kann.
Patienteninformation
Jeder Verantwortliche hat den betroffenen Personen schon bei der Datenerhebung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Zumindest muss er darauf hinweisen, wo die Informationen leicht zugänglich sind (z. B. Flyer, Aushang, Homepage). Die betroffenen Personen haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten. Um alle Patienten zu erreichen, empfiehlt sich ein Aushang in der Praxis oder ein Informationsblatt, das im Wartezimmer ausgelegt wird. Die Patienteninformation kann zusätzlich auf der Homepage der Praxis veröffentlicht werden. Eine persönliche Information, zum Beispiel bei der ersten Kontaktaufnahme am Telefon, ist nicht erforderlich.
Verzeichnis der Verarbeitungstätigkeiten
Arztpraxen gehen mit gesundheitsbezogenen Daten um und müssen ein Verzeichnis ihrer Verarbeitungstätigkeiten führen. Darin werden Tätigkeiten beziehungsweise Vorgänge erfasst, bei denen in der Praxis personenbezogene Daten verarbeitet werden. Die Aufstellung und Beschreibung der Tätigkeiten ist auf Verlangen der Aufsichtsbehörde bereitzustellen. Liegt kein Verzeichnis vor, drohen Geldstrafen.
Auftragsverarbeitung – Anpassung der bestehenden Verträge
Immer dann, wenn ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, ist der Abschluss eines Vertrages zur Auftragsverarbeitung (als Anlage zum Hauptvertrag) erforderlich.
Datenschutz-Folgeabschätzung – Telemedizin
Da auch bei Gesundheitsdaten nicht immer ein hohes Risiko bei der Datenverarbeitung besteht, muss nur in Ausnahmefällen eine Datenschutz-Folgeabschätzung vorgenommen werden. Vorstellbar ist dies bei telemedizinischen Verfahren, bei denen eine hohe Anzahl von Gesundheitsdaten über neue Technologien verarbeitet, neue Geschäftsfelder eröffnet oder über das Internet kommuniziert werden. Das Risiko definiert sich dabei nicht ausschließlich an der Menge oder an der Art der Daten, sondern besonders am Informationsgehalt über den einzelnen Betroffenen, der sich aus ihrer Verarbeitung und dem Kontext ergibt. (z. B. Profiling, Scoring, Tracking etc.)
Downloads

-
Arbeitshilfe des BayLDA
Arbeitshilfe BayLDA
-
Kurzpapier der DSK
Kurzpapier DSK
Fragen und Antworten

-
Muss ich von meinen Patienten ab dem 25. Mai 2018 (Inkrafttreten EU-DSGVO) eine Vereinbarung zur Datenverarbeitung unterschreiben lassen?
Datenschutz DSGVO PatienteninformationDatenverarbeitungMFA
(Art. 9 Abs. 2 h) DSGVO erlaubt die Verarbeitung von Gesundheitsdaten u. a. dann, wenn diese für Zwecke der Gesundheitsvorsorge, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheitsbereich oder aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufes erforderlich ist. Diese Daten müssen gemäß Art. 9 Abs. 3 DSGVO von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal muss dem Berufsgeheimnis unterliegen.
Diese Voraussetzungen sehen wir – in Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht – in einer Arztpraxis als erfüllt an, so dass eine Einwilligung des Betroffenen / Patienten nicht erforderlich ist. Zum einen ist die Verarbeitung personenbezogener Daten für die medizinische Diagnostik notwendig, zum anderen besteht zwischen Arzt und Patient ein Behandlungsvertrag, weshalb die Datenerhebung (Verarbeitung) auch durch § 630 f BGB zwingend vorgeschrieben ist.
-
Besteht zwischen einem externen Betriebsarzt und der ihn beauftragenden Firma ein Auftragsdatenverarbeitungsverhältnis gemäß Art. 28 EU-DSGVO?
Datenschutz DSGVOBetriebsarzt Auftragsdatenverarbeitung
Der Betriebsarzt eines betriebsärztlichen Dienstes wird vom Unternehmer schriftlich bestellt (externer Arzt oder Angestellter des Unternehmens) und ist diesem direkt unterstellt. Eine Weisungsbefugnis gegenüber den Mitarbeitern ergibt sich hieraus nicht, sodass keine Auftragsdatenverarbeitung gemäß Art. 28 EU-DSGVO vorliegt und somit auch kein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 EU-DSGVO) geführt werden muss.
-
Darf ich nach der DSGVO weiterhin personenbezogene Daten via E-Mail, Telefax und / oder WhatsApp versenden?
Datenschutz DSGVOFax E-Mail WhatsAppMFA
Es ist dringend zu empfehlen, bei der Kommunikation mit den Patienten via E-Mail eine Verschlüsselung vorzusehen, da andernfalls die sensiblen Patientendaten nicht End-zu-End verschlüsselt und damit letztendlich wie eine Postkarte für Dritte einsehbar sind. Es sollte daher streng darauf geachtet werden, welche Informationen über den „normalen“ E-Mail-Weg verschickt werden. Unproblematisch sind sicherlich Inhalte zur Praxisorganisation, die eventuell auch auf der Website der Arztpraxis auffindbar sind. Auch Terminerinnerungen oder reine Terminvereinbarungen sind weniger kritisch, wenn sie keine Hinweise auf die Art der Untersuchung enthalten und zuvor das Einverständnis des Patienten eingeholt wurde. Deshalb ist auch in solchen Fällen zu beachten, dass Terminvereinbarungen, aus denen der Grund des Arztbesuches hervorgeht, vertraulich sind. Daher sollte insbesondere auch das Praxispersonal für einen datenschutzkonformen Umgang mit Patientendaten sensibilisiert werden.
Grundsätzlich ist auch bei der Versendung von Patientendaten per Fax eine besondere Sorgfalt anzuwenden, da es sich auch hierbei um eine Art „offene Zustellung“ handelt. Soweit dennoch im Einzelfall Patientendaten per Fax versandt werden sollen, muss zwingend beim Versenden der Patientendaten sichergestellt sein, dass nur der Empfänger selbst oder ausdrücklich dazu ermächtigte Dritte Kenntnis vom Inhalt des Schreibens erhalten. Dies gilt insbesondere dann, wenn ärztliche Mitteilungen an den Patienten gefaxt werden (in dessen Wohnung beziehungsweise an dessen Arbeitsplatz). Diese Sicherung kann zum Beispiel durch Ankündigung der Übersendung beim Empfänger erreicht werden. Wichtig ist ebenfalls, dass regelmäßig gespeicherte Fax-Rufnummern überprüft werden.
Bitte beachten Sie: Eine Fehlzustellung bei der Übertragung von Telefaxen mit besonders schutzwürdigem Inhalt, wie beispielsweise medizinische Daten, kann gravierende Folgen für den Absender, Empfänger und den Betroffenen haben. Deshalb sollte zumindest in diesen Fällen eine unverschlüsselte Datenübertragung unterbleiben. Auch der Kommunikationsweg über WhatsApp ist nicht zu empfehlen. Laut der neuen Richtlinie dürfen Ärzte und Arbeitgeber Messenger-Dienste nur anwenden, wenn die Datensicherheit und der Schutz vor unberechtigten Datenzugriffen sichergestellt sind. Dies ist bei WhatsApp gerade nicht der Fall, da die App sich den Zugang zu den Kontakten beziehungsweise zum Adressbuch der User verschafft.
Sollten Sie alternative Kommunikations-Apps verwenden wollen ist dringend zu empfehlen, sich vor Nutzung mit dem zuständigen Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach, Tel. 0981 53 1300, Fax 0981 53 98 1300, E-Mail: poststelle@lda.bayern.de, in Verbindung zu setzen, um dies überprüfen zu lassen.
-
Müssen die Mitarbeiter in einer Arztpraxis zum Datengeheimnis verpflichtet werden?
Datenschutz DSGVO MitarbeiterpflichtenDatengeheimnisMFA
Die DSGVO enthält zwar keine ausdrückliche Regelung zur Verpflichtung von Mitarbeitern auf das Datengeheimnis, jedoch hat jeder Verantwortliche die Pflicht, seine Mitarbeiter entsprechend anzuweisen. Das Landesamt für Datenschutzaufsicht empfiehlt deshalb, die Mitarbeiter nachweisbar über ihre Pflichten nach der DSGVO zu unterrichten.
Die Kassenärztliche Vereinigung Bayerns (KVB) hat hierzu im Internet unter www.kvb.de ein entsprechendes Muster „Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DS-GVO)“ veröffentlicht, das auf die Belange einer Arztpraxis angepasst wurde. -
Wie muss eine datenschutzrechtskonforme Vereinbarung bei einer Praxisgemeinschaft nach Art. 26 DSGVO (gemeinsam Verantwortliche) aussehen?
Datenschutz DSGVO PraxisgemeinschaftArt. 26 DSGVOMFA
Die Datenschutzkonferenz (DSK) hat ein Kurzpapier herausgegeben, das als Hilfestellung für eine Vereinbarung nach Art. 26 DSGVO dienen soll. Daraus geht hervor, dass insbesondere folgende Punkte in einer solchen Vereinbarung zwingend mitaufgenommen werden müssen:
» Festhalten der Vertragsparteien
» Aufgabenbeschreibung mit Abgrenzung, welcher Verantwortliche welche Aufgabe übernimmt
» Festlegung des Zwecks und der Mittel der Datenverarbeitung
» Pflichten der jeweiligen VertragsparteiDie Vereinbarung sollte außerdem zwingend die tatsächlichen Funktionen und Beziehungen der gemeinsamen Verantwortlichen gegenüber der betroffenen Person widerspiegeln. Des Weiteren sollte eine interne Ausgleichsregelung für den Fall getroffen werden, dass ein Verantwortlicher wegen des Fehlers des anderen von der betroffenen Person aufgrund von Art. 26 Abs. 3 DSGVO in Anspruch genommen wird.
-
Müssen Arztpraxen die Patienteninformation zum Datenschutz von den Patienten unterschreiben lassen?
Datenschutz DSGVO PatienteninformationMFA Patient
Nein.
Nach Art. 9 Abs. 2 h DSGVO ist die Verarbeitung von Gesundheitsdaten u. a. dann erlaubt, wenn diese für Zwecke der Gesundheitsvorsorge, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheitsbereich oder aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufes erforderlich ist. Diese Daten müssen gemäß Art. 9 Abs. 3 DSGVO von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal muss dem Berufsgeheimnis unterliegen. Diese Voraussetzungen sehen wir – in Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht – in einer Arztpraxis als erfüllt an, so dass eine Einwilligung des Betroffenen / Patienten nicht erforderlich ist. Zum einen ist die Verarbeitung personenbezogener Daten für die medizinische Diagnostik notwendig, zum anderen besteht zwischen Arzt und Patient ein Behandlungsvertrag, weshalb die Datenerhebung (Verarbeitung) auch durch § 630 f BGB zwingend vorgeschrieben ist. -
Brauche ich eine schriftliche Einwilligung des Patienten für die Einbeziehung einer privaten Verrechnungsstelle?
Datenschutz DSGVOEinwilligung Datenweitergabe VerrechnungsstelleMFA Patient
Ja, in diesen Fällen müssen Praxen nachweisen können, dass die Patienten eine Einwilligungserklärung zur Datenweitergabe unterschrieben haben. Zu beachten ist, dass seit dem 25. Mai 2018 Einwilligungserklärungen den Hinweis erhalten müssen, dass der Patient sein Einverständnis jederzeit widerrufen kann.
-
Muss ich nach der DSGVO 2018 von jedem Patienten, der mir mit einem gültigen Überweisungsschein zugewiesen wird, einen Verarbeitungsvertrag für personenbezogene Daten unterschreiben lassen?
Datenschutz DSGVOVerarbeitungsvertragMFA
Nein.
Der Abschluss eines Vertrages zur Auftragsverarbeitung ist immer nur dann notwendig, wenn Dritte als Dienstleister die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten, z. B. die Praxissoftware warten oder Akten- und Datenträger nach Ablauf der Aufbewahrungsfrist vernichten. -
Müssen eigene Patienten eine Einverständniserklärung zur Weitergabe unterschreiben, wenn ich Befunde, z. B. Laborwerte oder selbst erhobene Befunde, an andere Kollegen weiterleiten möchte?
Datenschutz DSGVOSchweigepflicht DatenweitergabeMFA
Für die Weitergabe an Dritte ist auf das Informationsblatt der Bundesärztekammer und der KBV hinzuweisen. Darin finden Sie unter Punkt 2.4.1 die Voraussetzungen für eine Einwilligung zur Datenweitergabe. Im Grundsatz gilt hier, dass eine Weitergabe nur mit Einwilligung erfolgen kann, wobei eine Schriftform nicht in jedem Fall notwendig ist und konkludentes Verhalten ausreichen kann. In Zweifelsfällen ist zu Beweiszwecken eine schriftliche Einwilligung empfehlenswert.
-
Ist bei der Beauftragung eines Labors ein Auftragsverarbeitungsvertrag zu schließen?
Datenschutz DSGVOAuftragsdatenverarbeitung LaborMFA
Nein.
Der behandelnde Arzt beauftragt das Labor mit stillschweigender Vollmacht (sog. Innenvollmacht) des Patienten mit Laboruntersuchungen. Der Vertrag über die Laboruntersuchung wird also unmittelbar zwischen Patient und Laborarzt geschlossen, d. h. nicht der behandelnde Arzt schließt den Vertrag mit dem Labor, sondern der Patient, vertreten durch den behandelnden Arzt. Der behandelnde Arzt übermittelt die Patientendaten daher nicht selbst als verantwortliche Stelle, sondern als Vertreter des Patienten. Da es nicht zu einer Datenübermittlung durch den behandelnden Arzt im rechtlichen Sinne kommt, benötigt der behandelnde Arzt auch keine datenschutzrechtliche Einwilligung des Patienten. Es bedarf daher auch keines Vertrags zur Auftragsdatenverarbeitung nach Art. 28 DSGVO. Bei der Erteilung von Laboraufträgen handelt es sich nicht um eine Auftragsverarbeitung, weil es sich bei der laborärztlichen Tätigkeit um eine Tätigkeit „höherer Art“ handelt, die der strengen Weisungsgebundenheit der Auftragsdatenverarbeitung fremd ist. Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) stellen hierzu in ihrem Kurzpapier Nr. 13 allerdings fest, dass ein Austausch zwischen Berufsgeheimnisträgern (§ 203 StGB) keine Auftragsdatenverarbeitung nach Art. 28 DSGVO darstellt. Die Überweisung der Labortätigkeit ist für Kassenpatienten wie bisher nach SGB V mit den Überweisungsscheinen abschließend geregelt. Für Patienten ist weiterhin eine schriftliche Information zur Proben- und Datenweitergabe an das Labor erforderlich. -
Wer ist die in der Patienteninformation anzugebende Aufsichtsbehörde?
Datenschutz DSGVO PatienteninformationAufsichtsbehördeMFA
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Hausanschrift:
Promenade 18
91522 Ansbach
DeutschlandErreichbarkeit:
Telefon +49 (0) 981 180093–150
Telefax +49 (0) 981 180093–850
E-Mail: poststelle@lda.bayern.de
Internet: www.lda.bayern.deDas BayLDA überwacht die Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern, das heißt, in den privaten Wirtschaftsunternehmen, bei den freiberuflich Tätigen, in Vereinen und Verbänden sowie im Internet.
-
Dürfen Auskünfte an Apotheken zu ausgestellten Rezepten erteilt werden?
Datenschutz Auskunft an ApothekenDatenschutz Apotheken Rezepte Auskünfte DSGVO
Gemäß § 17 Abs. 5 Apothekenbetriebsordnung (ApBetrO) müssen die abgegebenen Arzneimittel den Verschreibungen und den damit verbundenen Vorschriften des Sozialgesetzbuch V (SGB V) zur Arzneimittelversorgung entsprechen. Enthält eine Verschreibung einen für den Abgebenden erkennbaren Irrtum, ist sie nicht lesbar oder ergeben sich sonstige Bedenken, so darf das Arzneimittel nicht abgegeben werden, bevor die Unklarheit beseitigt ist.
Daher dürfen auch weiterhin Anfragen von Apotheken zu ausgestellten Rezepten beantwortet werden, auch dann, wenn diese telefonisch erfolgen. In einem solchen Fall ist aber sicherzustellen, dass die Nachfrage auch tatsächlich aus der Apotheke kommt, die der Patient zur Einlösung der Verordnung aufgesucht hat. Einer Schweigepflichtentbindungserklärung bedarf es nicht.
Weitere Informationen finden Sie auf Seite 145 der KVB INFOS 10/2018.
-
Dürfen Anfragen vom Zentrum Bayern Familie und Soziales (ZBFS) beantwortet werden?
Datenschutz Schweigepflicht ZBFS
In Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht kann die Frage dann klar bejaht werden, wenn sich der Patient gegenüber dem ZBFS einverstanden erklärt, dass es bei den von ihm benannten Ärzten Befundberichte einholen darf und das ZBFS im Zweifelsfall dem Arzt das Vorliegen dieser Einverständniserklärung bestätigt (vgl. dazu Bayerisches Ärzteblatt 10/2018, S. 511).
-
Ist es weiterhin möglich, dass Schülerinnen und Schüler ihr Praktikum in einer Arztpraxis ableisten?
Datenschutz Schweigepflicht DSGVO Schülerpraktikum ArztpraxisDatenschutz SchweigepflichtMFA
In Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht kann die Frage dann bejaht werden, wenn die betreffenden Patienten hierüber aufgeklärt und ihre ausdrückliche Einwilligung erklärt haben (Art. 9 Abs. 1 lit. a, Art. 6 Abs. 1 lit. a und Art. 7 DS-GVO). Wichtig ist hierbei, dass selbstverständlich auch die Praktikanten zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DS-GVO) verpflichtet werden.
-
Inwieweit ist der Einsatz von Cloud-Computing in der Arztpraxis zulässig?
Datenschutz Arztpraxis Cloud-ComputingDatenschutz DSGVO
In Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) kann die Frage nur dann bejaht werden, wenn die datenschutzrechtlichen Vorgaben von Art. 28 Datenschutz-Grundverordnung (DS-GVO) und Art. 35 DS-GVO – wie nachfolgend kurz dargestellt – beachtet werden.
Nach den „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung“ der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung ist eine externe Verarbeitung (u. a. Speicherung, Archivierung etc.) von Patientendaten außerhalb des eigenen Praxisverwaltungssystems grundsätzlich als möglich erachtet worden. Dabei sind aber, wie unter Punkt 5.2. der technischen Anlagen aufgeführt, sehr strenge rechtliche Vorgaben zu beachten (vgl. § 203 Abs. 3 S. 2 StGB und ggf. Artikel 28 DS-GVO).- Art. 28 DS-GVO
Es ist davon auszugehen, dass in der Regel eine Fallkonstellation vorliegt, die den Abschluss eines Vertrags zur Auftragsverarbeitung im Sinne des Art. 28 DS-GVO erfordert. Problematisch im Hinblick auf den Abschluss eines DS-GVO konformen Vertrages zur Auftragsverarbeitung im Sinne des Art. 28 DS-GVO erscheint dabei insbesondere die Feststellung der Zuverlässigkeit sowie die Durchführung wirksamer Kontrollen. Jedenfalls solange keine sinnvollen, ausreichend umfassenden Zertifizierungen in diesem Sektor vorliegen, kann sich dies, je nach Dienstleistung, schwierig gestalten. Gefährdungspotenzial ist hier unter anderem dann vorhanden, wenn der Auftragsverarbeiter in einem Drittland niedergelassen ist. Eine besonders sorgfältige Auswahl der Auftragsverarbeiter ist hier gerade auch im Hinblick auf die Art der verarbeiteten Daten unabkömmlich. Zurückhaltung ist auch geboten in Bezug auf die von Dienstleistern häufig versprochenen angeblichen Anonymisierungen, welche sich nach unserer Erfahrung häufig als Pseudonymisierungen entpuppen und darüber hinaus insbesondere bei vielen Arten ärztlicher Dokumentation technisch schwierig umsetzbar sind.
- Art. 35 DS-GVO
Das BayLDA ist der Auffassung, dass je nach eingesetztem Produkt, durchaus häufig von einem hohen Risiko bei dem Einsatz von Cloud-Diensten ausgegangen werden muss, weshalb der Einsatz von Cloud-Lösungen häufig die Durchführung einer Datenschutzfolgenabschätzung auslöst.
Das Thema wurde aber bislang noch nicht abschließend beurteilt und das BayLDA hat uns mitgeteilt, dass es sich diesbezüglich mit den anderen deutschen Aufsichtsbehörden austauscht. -
Welche erforderlichen Informationen müssen in der Datenschutzerklärung auf der Praxis-Homepage enthalten sein?
Datenschutz DSGVO Homepage Datenschutzerklärung
Artikel 13 der DSGVO definiert, welche erforderlichen Informationen in der Datenschutzerklärung enthalten sein müssen. Hierzu zählen:
Informationen zur Identität des Verantwortlichen (Art. 13 Abs. 1 DSGVO)
- Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- wenn die Verarbeitung auf Artikel 6 Absatz 1 f ) beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
- gegebenenfalls Übermittlung in Drittstaaten
Informationen zur fairen und transparenten Verarbeitung (Art. 13 Abs. 2 DSGVO)
- Dauer der Speicherung
- Rechte der Betroffenen auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
- Widerrufbarkeit von Einwilligungen
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- Verpflichtung zur Bereitstellung personenbezogener Daten
- Informationen über automatisierte Entscheidungsfindung und Profiling
Welche der aufgezählten Punkte für die eigene Webseite relevant werden, hängt von den erhobenen Daten ab. Nach Art. 12 DSGVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen.
-
Anfragen von gesetzlichen Krankenkassen – Wann bedarf es der Einverständniserklärung des Patienten?
DSGVO Schweigepflicht Krankenkasse DatenschutzDatenschutz EinverständnisMFA
Ergänzend zu den gesetzlichen Grundlagen, regeln die zwischen der Kassenärztlichen Bundesvereinigung (KBV) und den Spitzenverbänden der Krankenkassen geschlossenen Bundesmantelverträge (BMV), einschließlich der Vordruckvereinbarungen, die Modalitäten zur Auskunftserlaubnis und -verpflichtung gegenüber Krankenkassen.
Danach ist der Vertragsarzt grundsätzlich berechtigt und verpflichtet, den Krankenkassen für die Erfüllung ihrer gesetzlichen Aufgaben Auskünfte zu erteilen.Die Kassenärztliche Vereinigung Bayerns (KVB) hat sich ausführlich mit dem Thema befasst und hierzu ein Informationspapier veröffentlicht, dass insbesondere auch die Frage klärt, wann Praxen berechtigt sind, die Auskunft zu verweigern.