Datenschutz in der Arztpraxis: Diese Regeln müssen Sie im täglichen Betrieb beachten
In Ihrer Arztpraxis arbeiten Sie und Ihr Team mit sensiblen personenbezogenen Patient:innendaten. Deren ordnungsgemäße Verarbeitung ist in der Datenschutz-Grundverordnung geregelt. Worauf Sie im täglichen Betrieb achten sollten und was bei einem Verstoß gegen die DSGVO zu tun ist, erklärt Ihnen unsere Datenschutzexpertin Dr. Sandra Huber.
Welche Maßnahmen müssen Ärztinnen und Ärzte laufend umsetzen, um die DSGVO in ihrer Arztpraxis einzuhalten?
Sandra Huber: „Wichtig ist zunächst zu verstehen: In einer Arztpraxis erfordert der Datenschutz permanente Aufmerksamkeit. So sind etwa regelmäßig die Datenschutzmaßnahmen zu überprüfen und zu aktualisieren, damit sie stets den rechtlichen Anforderungen entsprechen. Die Patientinnen und Patienten sind darüber zu informieren, wie ihre personenbezogenen Daten verarbeitet, auch wie lange diese gespeichert, werden. Wenn nötig ist ihr Einverständnis einzuholen. Und schließlich ist wichtig: Wenn eine Datenschutzverletzung passiert, ist diese umgehend zu dokumentieren und zu melden.“
Muss es in Arztpraxen einen Datenschutzbeauftragten geben?
Sandra Huber: „Ein Datenschutzbeauftragter ist unter anderem dann erforderlich, wenn die Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten liegt, wie zum Beispiel in Krankenanstalten. Wann dies der Fall ist, ist aber noch nicht eindeutig geklärt. Ärztinnen und Ärzte brauchen gemäß DSGVO für gewöhnlich keinen eigenen Datenschutzbeauftragten. Aber Vorsicht: Behandeln Sie Ihre Patientinnen und Patienten gemeinsam mit angestellten Ärztinnen bzw. Ärzten in der Ordination, ist zu prüfen, ob dadurch eine derart umfangreiche Datenverarbeitung vorliegt. Dasselbe gilt im Fall von Ordinations- oder Apparategemeinschaften, wenn die Patientenverwaltung gemeinsam gemacht wird. In diesen Fällen empfiehlt die Wiener Ärztekammer einen Datenschutzbeauftragten. Wenn Sie sich unsicher sind, fragen Sie am besten bei einem Datenschutzprofi nach. “
Was ist eine Datenschutzfolgenabschätzung und benötigt eine Arztpraxis eine solche?
Sandra Huber: „Eine Datenschutz-Folgenabschätzung hat insbesondere dann zu erfolgen, wenn etwa neue Technologien verwendet werden. Oder wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Die Datenschutzfolgenabschätzung bewertet also das Risiko in Bezug auf die Verarbeitung personenbezogener Daten in einem Unternehmen, in diesem Fall der Arztpraxis, und stellt entsprechende Maßnahmen auf. Für niedergelassene Ärztinnen und Ärzte gilt eine Ausnahmeverordnung: Sie regelt, dass für die Honorarabrechnung und die Patientenverwaltung unter gewissen Umständen keine verpflichtende Datenschutzfolgenabschätzung besteht. Aber auch hier ist Vorsicht geboten: Wenn Sie in Ihrer Praxis pro Jahr mehr als 5.000 Personen – nicht Kassen- bzw. Krankheitsfälle – behandeln, empfiehlt die Wiener Ärztekammer eine Datenschutz-Folgenabschätzung durchzuführen.“
Wie hoch sind die Strafen bei einem Verstoß gegen die DSGVO?
Sandra Huber: „Das kommt einerseits auf den Einzelfall an. Andererseits sind die Strafdrohungen mit bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes zwar hoch angesetzt, werden in der Praxis aber wohl geringer ausfallen. “
Was ist eine Datenschutzverletzung?
Sandra Huber: „Eine Verletzung personenbezogener Daten entsteht, wenn Daten gestohlen oder kopiert, unautorisiert geändert oder gelöscht wurden. Das trifft also ein, wenn beispielsweise der Ordinationslaptop gestohlen wird, irrtümlich Patientendaten gelöscht oder Befunde vertauscht werden – egal, ob es sich um elektronisch oder analog verzeichnete Daten handelt.“
Welche Maßnahmen sind bei einer Datenschutzverletzung zu setzen?
Sandra Huber: „Hier sind Schnelligkeit und ein lückenloser Bericht essenziell: Melden Sie die Datenschutzverletzung mittels des eigens dafür erstellen Meldeformulars innerhalb von maximal 72 Stunden an die Datenschutzbehörde. Sind die persönlichen Rechte Ihrer Patientinnen und Patienten bedroht? Im Falle eines voraussichtlich hohen Risikos sind die Betroffenen zu benachrichtigen. Und im Zweifelsfall gilt wie immer: Wenden Sie sich an eine Expertin bzw. einen Experten für Datenschutz.“
Wann und wie sind Patientendaten zu löschen?
Sandra Huber: „Die Daten der Patientinnen und Patienten sind so lange zu speichern, wie es einen Zweck und eine Rechtsgrundlage dafür gibt. Das sind für Ärztinnen und Ärzte mindestens zehn Jahre, also durchaus auch länger. Die DSGVO legt fest, dass die Daten dann zu löschen sind, wenn sie für den jeweiligen Zweck nicht mehr gebraucht werden. Das heißt, sie müssen die Daten regelmäßig dahingehend überprüfen. Gelöscht sind Daten dann, wenn sie nicht mehr abrufbar oder vollständig anonymisiert sind.“
Patientinnen und Patienten haben ein Auskunftsrecht. Welche Daten müssen an sie übergeben werden?
Sandra Huber: „Eine Patientin bzw. ein Patient kann verlangen zu erfahren, ob und welche personenbezogenen Daten über sie bzw. ihn verarbeitet und gespeichert werden. Wichtig ist zu unterscheiden, ob es sich um einen offiziellen Antrag auf Auskunft im Sinne des Artikel 15 der DSGVO handelt oder ob lediglich ein Interesse an der eigenen Gesundheits-Akte besteht. Denn der Arbeitsaufwand in beiden Fällen unterscheidet sich naturgemäß.“
Sie wollen eine Arztpraxis gründen und wissen, welche DSGVO-Vorschriften Sie einhalten müssen?
Alle Fakten dazu lesen Sie in unserem Magazinbeitrag Praxisgründung und Datenschutz mit Expertin Dr. Sandra Huber.
Dr. Sandra Huber ist Datenschutzexpertin mit HR-Background. Sie weiß, wovon sie spricht: Mit ihrem praxisrelevanten Wissen im Arbeits- und Datenschutzrecht unterstützt sie Unternehmen bei der Erreichung ihrer Compliance-Ziele. Ihr Motto: Datenschutz soll nicht verhindern, sondern ermöglichen!