Stichtag 25. Mai 2018: Was Praxen nun für den Datenschutz tun müssen

26.03.2018 |

Mit Stichtag 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung der Europäischen Union. Ihre inhaltlichen Anforderungen ähneln vielfach dem derzeit geltenden Recht. Gleichwohl bringt sie zusätzliche Pflichten auch für Praxen mit sich. Zudem drohen bei Verstößen gegen die Vorgaben des Datenschutzes deutlich härtere Sanktionen. Was niedergelassene Ärzte und Psychotherapeuten jetzt tun müssen, finden Sie hier.

Datenschutz wird noch wichtiger

Schon jetzt müssen Ärzte und Psychotherapeuten den Datenschutz wahren: gesetzliche Grundlagen sind insbesondere das SGB V und das Bundesdatenschutzgesetz. Nach der Datenschutz-Grundverordnung (DSGVO) sind Sie künftig auch verpflichtet nachzuweisen, dass Sie die datenschutzrechtlichen Grundsätze einhalten, zum Beispiel gegenüber den Aufsichtsbehörden. Außerdem kommen neue Informationspflichten gegenüber den Patienten hinzu.

Die DSGVO gilt für den gesamten öffentlichen Bereich, also für private Unternehmen, öffentliche Stellen, freiberuflich Tätige oder Vereine. Sie vereinheitlicht die Regeln zur Verarbeitung personenbezogener Daten.

Um diese Daten und ihren Schutz geht es

Unter dem Begriff „Verarbeiten“ werden alle Tätigkeiten zusammengefasst wie Erheben und Abfragen, Ordnen, Speichern, Anpassen und Ändern, Auslesen und Weiterleiten, Löschen und Vernichten der Daten. In den Praxen beginnt dieser Prozess quasi bei der Terminvereinbarung am Telefon oder dem Einlesen der elektronischen Gesundheitskarte (eGK).

Für Praxen geht es insbesondere um den Schutz der:

  • Patientendaten (Gesundheitsdaten), die Sie für die Behandlung der Patienten – ob gesetzlich oder privat versichert – benötigen, zum Beispiel Name und Versicherungsnummer, Befunde, Blutwerte, Röntgenaufnahmen
  • Personaldaten, die Sie als Arbeitgeber von Ihren Mitarbeitern benötigen – zum Beispiel Name, Adresse, Sozialversicherungsnummer

Rein private Daten des Praxisinhabers, zum Beispiel die auf seinem Rechner gespeicherten Kontaktdaten von Familie und Freunden, unterliegen nicht der Datenschutz-Grundverordnung.

 

Auf einen Blick: das ist in Puncto Datenschutz jetzt zu tun

Viele Praxen haben längst Vorkehrungen getroffen und die Einhaltung des Datenschutzes zur „Chefsache“ erklärt. Jetzt geht es vor allem darum, die getroffenen Maßnahmen zu überprüfen und dafür zu sorgen, dass das Getane in puncto Datenschutz ab 25. Mai auch belegt werden kann. So können sie drohende Sanktionen vermeiden.

Die folgende Übersicht soll dabei helfen. Sie führt auf, was Praxen und Medizinische Versorgungszentren (MVZ) vorhalten müssen, um der Informations- und Nachweispflicht nach der DSGVO gerecht zu werden. Auf den nachfolgenden Seiten werden die Punkte näher erläutert. Nicht alles ist neu, sodass vorhandene Dokumente teilweise nur angepasst werden müssen.

 

Was Praxen und MVZ ab 25. Mai benötigen

Alle:

Große Praxen und große MVZ:

Darüber hinaus kann dies erforderlich sein:

 

TIPP: Nutzen Sie die Checkliste: Das ist in puncto Datenschutz zu tun (pdf - 36 kB)

 

Bei Verstößen drohen hohe Geldstrafen

Das Ausmaß der Sanktionen richtet sich vor allem nach der Schwere und der Dauer des Vorfalls sowie nach dessen Auswirkungen auf die Patienten. Leichte Verstöße werden zunächst zu einer Beratung führen.

Dennoch sollten Praxen alle nötigen Vorkehrungen treffen. Denn die DSGVO sieht bei Verstößen generell deutlich härtere Sanktionen vor als sie bisher üblich sind. Die Aufsichtsbehörden – in der Regel die Landesdatenschutzbeauftragten – können im Einzelfall Geldbußen von bis zu 20 Millionen Euro verhängen. Liegt kein Verzeichnis von Verarbeitungstätigkeiten vor, können bis zu zehn Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes verlangt werden. Möglich sind zudem Schadensersatzforderungen von Betroffenen inklusive Schmerzensgeld, zum Beispiel wegen Rufverletzung.