Allgemeiner Gesundheitszustand, spezielle Blutergebnisse, sexuelle Orientierung: Bei jeder ärztlichen Untersuchung werden Mengen an besonders sensiblen personenbezogenen Daten erhoben. Diese werden gespeichert, aufbewahrt und oftmals auch an Dienstleister zur Verarbeitung weitergegeben.
Seit dem 25. Mai 2018 findet die Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO) auch in Deutschland Anwendung. Mit dem Gesetz wird das Datenschutzrecht europaweit vereinheitlicht. Personenbezogene Daten sollen mit den neuen Bestimmungen besser geschützt und ihre Weitergabe geregelt werden. Da der Gesundheitssektor häufig auch mit sensiblen personenbezogenen Daten zu tun hat, gilt hier besondere Vorsicht. Verantwortlich für den Schutz der Patientendaten ist in der Regel der behandelnde Arzt. Die Neuregelungen, zu denen die EU-DSGVO führt, stellen das Gesundheitswesen, insbesondere niedergelassene Ärzte, vor finanzielle und organisatorische Herausforderungen.
Die vier unseres Erachtens wichtigsten Herausforderungen haben wir für Sie punktuell zusammengefasst:
1. Informationspflicht bei der Erhebung von Patientendaten
Die Arztpraxis hat die Pflicht, ihre Patienten über die Erhebung der personenbezogenen Daten und deren Verarbeitung umfassend zu informieren. Dies gilt beispielsweise für die Zwecke der Verarbeitung der Daten, die Rechtsgrundlage zur Erhebung und etwaige Beschwerderechte. Auf Antrag des Patienten muss zudem mindestens innerhalb eines Monats nach der Antragstellung über weitere Details Auskunft gegeben werden.
Unser Tipp:
- Definition und Strukturierung des Informationsprozesses (insbes. Verantwortliche, Ablauf, Dokumentation der Information)
- Nutzung einheitlicher Vorlagen
- Im ganzen Land werden Verbraucher derzeit mit Informationen zur DSGVO überschwemmt.
- Haben Sie daher Verständnis, wenn einige Ihrer Patienten keine Freudensprünge über einen weiteren „Vortrag“ zu den neuen Datenschutzbestimmungen machen.
2. Beweispflichtige Dokumentation der Einwilligung
Der Patient muss in die Nutzung und Verarbeitung seiner Gesundheitsdaten ausdrücklich einwilligen, wenn keine speziellere gesetzliche Ausnahme greift. Die Voraussetzung der “Ausdrücklichkeit” stellt höhere Anforderungen an den Konkretheitsgrad, als dies bei einer “normalen” Einwilligung der Fall ist. Diese Einwilligung sollte unbedingt beweispflichtig dokumentiert und gespeichert werden. Hierfür bietet sich die Unterschrift des Betroffenen an. Das geht mit einem gewissen Verwaltungsaufwand einher, auf den Sie vorbereitet sein sollten. Außerdem gelten Sonderregelungen für Minderjährige; hier kommt es auf die Einwilligung der Erziehungsberechtigten an.
Unser Tipp:
- Vorbereitung auf Verwaltungsaufwand durch umfassende Einwilligungsvorlagen
Technische Lösungen zur Dokumentation der Einwilligung
3. Auftragsverarbeitung und Weitergabe von Gesundheitsdaten
Sie verarbeiten nicht alle personenbezogenen Daten in Ihrer Praxis? Wenn Sie diese Informationen an externe Dienstleister weiterleiten oder diese darauf Zugriff haben (wie z.B. IT-Dienstleister), sollten Sie prüfen, ob Sie den gesetzlichen Anforderungen entsprechende Auftragsverarbeitungsverträge abgeschlossen haben. Geht es um die Weitergabe originärer Gesundheitsdaten, müssen Sie dafür die Einwilligung des Betroffenen – also des Patienten, dessen Daten Sie weitergeben – einholen. Es sei denn, es greift eine spezielle gesetzliche Ausnahme. Dies gilt z.B. bei Abrechnungsdienstleistern. Generell gilt: Daten müssen bei Ihren Partnern ebenso gut geschützt sein, wie in Ihrem eigenen Unternehmen.
Unser Tipp:
- Erstellung eines Verfahrensverzeichnisses (Übersicht, welche personenbezogenen Daten von wem und wie verarbeitet werden)
- Kontrolle der technischen und organisatorischen Maßnahmen Ihrer Dienstleistungspartner, um sicherzustellen, dass diese die Daten Ihrer Patienten ausreichend schützen.
- Abschluss von Auftragsverarbeitungsverträgen
- Einholung ausdrücklicher Einwilligungserklärungen
4. IT-Sicherheits- und Datenschutzkonzept
Patientendaten sind, wie andere personenbezogene Daten auch, unter anderem nach dem Stand der Technik durch technische und organisatorische Maßnahmen vor unbefugtem Zugriff zu schützen. Datenpannen müssen Sie umgehend melden und die Betroffenen darüber informieren. Sicherheitsvorfälle führen nicht nur zu einem Verlust an Vertrauen in Ihre Arztpraxis, sondern schaden auch Ihrer Reputation. Der Gesetzgeber ahndet Verstöße mit empfindlichen Geldbußen von bis zu 20 Millionen Euro oder maximal vier Prozent des Vorjahresumsatzes.
Unser Tipp:
Patientendaten sind bei Cyberkriminellen beliebt. In Anbetracht des enormen Schadens, der bei einem Cyber-Sicherheitsvorfall entstehen kann, ist Prävention der wichtigste Bestandteil des IT-Sicherheits- und Datenschutzkonzepts.
- Aktualisierung der IT-Systeme und Anpassung an den Stand der Technik
- Nutzung von Technik, in der IT-Sicherheit und Datenschutz schon integriert wurden und die den Umgang durch nutzerfreundliche Voreinstellungen erleichtert
- IT- Sicherheitstraining für alle MitarbeiterInnen
- Einrichtung von Meldeketten bei Datenschutzpannen
Für den Fall, dass es doch zu einer Datenpanne kommt:
- Notfallcheckliste
- Zuverlässige Dienstleistungs- und Notfall-Partner, die erreichbar sind.
- Versicherung gegen Cybersicherheitsvorfälle
Unser Autor: