Datenschutz 2018 (EU-DSGVO)

  • Ab dem 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (EU-DSGVO) als neues und gegenüber dem nationalen Recht vorrangiges Datenschutzrecht unmittelbar anzuwenden.
  • Die DSGVO bringt auch für Ärzte eine Reihe von Veränderungen für den Umgang mit personenbezogenen Daten mit sich.
  • Die wichtigsten Punkte im Überblick:
loewe-rechtliche-grundlagen

Datenschutzbeauftragter (DSB)

In der Arztpraxis findet in aller Regel keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten statt, die zu einer Benennungspflicht führt. Es ist daher ein Datenschutzbeauftragter (DSB) nur zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig beschäftigt“ ist z. B. die Sprechstundenhilfe. „Nicht ständig beschäftigt“ ist dagegen beispielsweise, wer als Putzkraft theoretisch Daten zur Kenntnis nehmen kann.

Patienteninformation

Jeder Verantwortliche hat den betroffenen Personen schon bei der Datenerhebung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Zumindest muss er darauf hinweisen, wo die Informationen leicht zugänglich sind (z. B. Flyer, Aushang, Homepage). Die betroffenen Personen haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten. Um alle Patienten zu erreichen, empfiehlt sich ein Aushang in der Praxis oder ein Informationsblatt, das im Wartezimmer ausgelegt wird. Die Patienteninformation kann zusätzlich auf der Homepage der Praxis veröffentlicht werden. Eine persönliche Information, zum Beispiel bei der ersten Kontaktaufnahme am Telefon, ist nicht erforderlich.

Verzeichnis der Verarbeitungstätigkeiten

Arztpraxen gehen mit gesundheitsbezogenen Daten um und müssen ein Verzeichnis ihrer Verarbeitungstätigkeiten führen. Darin werden Tätigkeiten beziehungsweise Vorgänge erfasst, bei denen in der Praxis personenbezogene Daten verarbeitet werden. Die Aufstellung und Beschreibung der Tätigkeiten ist auf Verlangen der Aufsichtsbehörde bereitzustellen. Liegt kein Verzeichnis vor, drohen Geldstrafen.

Auftragsverarbeitung – Anpassung der bestehenden Verträge

Immer dann, wenn ein externer Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen kann, ist der Abschluss eines Vertrages zur Auftragsverarbeitung (als Anlage zum Hauptvertrag) erforderlich.

Datenschutz-Folgeabschätzung – Telemedizin

Da auch bei Gesundheitsdaten nicht immer ein hohes Risiko bei der Datenverarbeitung besteht, muss nur in Ausnahmefällen eine Datenschutz-Folgeabschätzung vorgenommen werden. Vorstellbar ist dies bei telemedizinischen Verfahren, bei denen eine hohe Anzahl von Gesundheitsdaten über neue Technologien verarbeitet, neue Geschäftsfelder eröffnet oder über das Internet kommuniziert werden. Das Risiko definiert sich dabei nicht ausschließlich an der Menge oder an der Art der Daten, sondern besonders am Informationsgehalt über den einzelnen Betroffenen, der sich aus ihrer Verarbeitung und dem Kontext ergibt. (z. B. Profiling, Scoring, Tracking etc.)

Vielleicht ebenfalls interessant:

Schweigepflicht

loewe-rechtliche-grundlagen

Rechtliche Grundlagen

loewe-rechtliche-grundlagen

Werberecht

loewe-rechtliche-grundlagen
icon-arrow-download icon-arrow-right-round icon-arrow-right icon-bars icon-checkmark--checked icon-checkmark icon-chevron-left icon-chevron-right icon-contact-external icon-contact icon-down icon-login icon-parapgrah icon-search icon-up