Zum Hauptinhalt springen

Praktische Konsequenzen der DSGVO - worauf Praxen achten müssen

Die EU-Datenschutz-Grundverordnung (DSGVO) löst in wenigen Tagen das bisherige Bundesdatenschutzgesetz ab. Der Großteil der Arztpraxen ist jedoch noch nicht darauf vorbereitet. In der vergan-genen Ausgabe von VISIONupdate hat Datenschutzbeauftragter Achim Wolf die Grundlagen der neuen Regelung vorgestellt. Im zweiten Teil erklärt er, was sich konkret ändert und welche Auswirkungen das im Praxisalltag hat.

Welches Vorgehen empfehlen Sie den Praxisinhabern?
Meiner Erfahrung nach erfüllen viele Arztpraxen die neuen datenschutzrechtlichen Anforderungen noch nicht. Um empfindliche Sanktionen zu vermeiden und als Einstieg in das Thema Datenschutz empfehle ich, folgende Punkte zu beachten:

Datenschutz ist  „Chefsache“: Das bisher meist stiefmütterlich behandelte Thema muss als einer der zentralen Prozesse jedes Unternehmens wahrgenommen werden. Praxisinhaber haben als Verantwortliche die Aufgabe, sich aktiv selbst um die Erfüllung der neuen Anforderungen zu kümmern. Interne Mitarbeiter und Datenschutzbeauftragte können sie dabei nur unterstützen.

Muss überhaupt ein Datenschutzbeauftragter bestellt werden?
Viele Praxisinhaber sind der Meinung, dass bis zu einer Zahl von 9 Personen kein Datenschutzbeauftragter gebraucht wird. Diese pauschale Aussage ist nicht richtig. Besteht für betroffene Personen ein hohes Risiko – und für die Verarbeitung von Gesundheitsdaten wird grundsätzlich ein hohes Risiko angenommen –, muss eine Datenschutzfolgeabschätzung durchgeführt werden. Dafür ist es wiederum notwendig, einen Datenschutzbeauftragten zu bestellen.

Welche Vorgänge sind von der neuen Regelung betroffen?
Jede Verarbeitung personenbezogener Daten muss als Verfahren  beschrieben werden, für den die EU-DSGVO sowohl in Bezug auf den Inhalt als auch auf die Form klare Vorgaben macht. Beispiele dafür sind die Terminvergabe, die Patientenaufnahme oder die Erfassung von Mitarbeiterdaten. Es ist durchaus möglich, dass die Aufsichtsbehörde ein solches Verzeichnis von Verarbeitungstätigkeiten anfordert.

Müssen auch Verträge erarbeitet  werden?
Wie bereits das Bundesdatenschutzgesetz so fordert auch die EU-DSGVO von den Verantwortlichen, mit jedem Auftragsverarbeiter einen schriftlichen Vertrag über die Behandlung personenbezogener Daten zu schließen. Auch hierfür gibt es eindeutige inhaltliche Vorgaben. Auftragsverarbeiter sind alle Unternehmen, die mit personenbezogenen Daten der Arztpraxis in Berührung kommen, beispielsweise IT-Dienstleister oder Firmen für die Gerätewartung.

Wie steht es um die Informationspflicht?
Werden personenbezogene Daten direkt beim Betroffenen oder indirekt erhoben, so besteht die Pflicht, diesen über die Verarbeitung der Daten zu informieren. Die EU-DSGVO macht auch dazu detaillierte Angaben.

Die von Ihnen genannten Punkte erfordern bereits ein fundiertes Wissen über die gesetzlichen Anforderungen. Können Arztpraxen diese Herausforderung alleine meistern?
Theoretisch ist es möglich, einen internen Mitarbeiter zum Datenschutzbeauftragten weiterzubilden. In der Realität gelingt dies jedoch nur selten, da ein „Schnellkurs“ bei Weitem nicht ausreicht. Es genügt nicht, zu wissen, was man tun muss, sondern auch wie. Die Dokumentationspflicht umfasst neben den oben genannten Punkten noch zahlreiche weitere Prozesse, zum Beispiel alle technisch-organisatorischen Maßnahmen wie die Zutritts-, Zugangs- und Zugriffskontrolle. Professionelle Datenschutzbeauftragte stellen ihren Kunden umfangreiche Vorlagen, Checklisten und Informationen zur Verfügung. Dies erspart den Arztpraxen sehr viel Zeit und Arbeit.
Besonders wichtig ist, dass bei aller externen Unterstützung die bereitgestellten Dokumente abschließend von der Arztpraxis selbst bearbeitet und fertiggestellt werden müssen. Die Verantwortung hierfür trägt der Praxisinhaber. Allerdings dürfen Datenschutzbeauftragte sie dabei beraten, unterstützen und kontrollieren.

 

Vielen Dank für das Gespräch.

Die bender gruppe bietet die Dienstleistung „externer Datenschutzbeauftragter“ durch die b.e.consult GmbH an. Sollten Sie hierzu Fragen haben, wenden Sie sich bitte an:

Achim Wolf
Datenschutzbeauftragter
Dr.-Rudolf-Eberle-Straße 8-10
76534 Baden-Baden

Tel.: +49 (0)7223-9669-323
Fax.: +49 (0)7223-9669-6323
Mail: a.wolf(at)be-imaging.de

 

Bildhinweis:

Quelle: Fatih Kocyildir/Shutterstock.com

Lassen Sie sich inspirieren