Datenschutz

Allgemeines zum Datenschutz  

Es ist nicht so lange her, da wurde um den Datenschutz in Deutschland ein großer Wirbel gemacht. Viele Praxen (und auch andere Unternehmen) waren verunsichert, was denn jetzt überhaupt noch mit den Kunden- bzw. Patientendaten gemacht werden darf.  

Damals haben wir uns entschlossen, auch im Bereich Datenschutz Hilfestellungen zu bieten, auch wenn dies sicher nicht unser Kernthema ist.  

Die DGSVO 

Seit dem 25.05.2018 ist die Europäische Datenschutzgrundverordnung (EU-DSGVO) der Europäischen Union in Deutschland in Kraft. Als Europäische Verordnung ist sie unmittelbar wirksam und muss nicht erst in nationales Recht umgewandelt werden. Die Verordnung betrifft die Verarbeitung von personenbezogenen Daten innerhalb der EU bzw. von EU-Bürgern. Dabei spielt es keine Rolle, ob die Erhebung der Daten automatisch oder durch Menschen erfolgt. Die DSGVO schützt nur personenbezogene Daten, Daten von Firmen und Unternehmen sind nicht betroffen.  

Das Prinzip der Datenverarbeitung 

Für die Benutzung von persönlichen Daten gilt das Rechtsprinzip „Verbot mit Erlaubnisvorbehalt“. Das bedeutet nichts anders, als dass man erst einmal personenbezogene Daten prinzipiell nicht nutzen darf, es sei denn, es gibt dafür eine Rechtsgrundlage (das ist selten, betrifft aber zum Beispiel Meldepflichten), oder aber der Betroffene gibt seine Erlaubnis dazu (das ist der Regelfall bei Datennutzung). Bei der Nutzung müssen folgende Punkte beachtet werden: 

  • Der Betroffene muss immer darüber informiert werden, welche seiner Daten erhoben und wozu sie benutzt werden.  
  • Der Betroffene hat dabei immer ein Widerspruchsrecht.  
  • Es dürfen generell nur diejenigen Daten genutzt werden, die für den Zweck erforderlich sind.  
  • Die Daten dürfen nur für den vorgesehenen Zweck verwendet werden. Der Zweck wird im Augenblick der Erhebung festgelegt. Zweckänderungen sind nicht zulässig.  
  • Es gilt das Ziel der Minimierung: Es sollen so wenig Daten erfasst und gespeichert werden wie möglich 
  • Gespeicherte Daten müssen stimmen. Falsche oder veraltete Daten müssen gelöscht werden. Der Betroffene kann Aktualisierungen verlangen.  
  • Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck, aus dem sie erhoben wurden, notwendig sind. 

Akteure im Datenschutz 

Die am Datenschutz Beteiligten sind die Verantwortlichen, die Betroffenen und die Dritten. Ein Verantwortlicher ist derjenige, der Daten erhebt und diese Daten verarbeitet. Ein Betroffener ist derjenige, dessen Daten gesammelt und verarbeitet werden. Ein Dritter ist jemand, der, aus welchen Gründen auch immer (berechtigt oder unberechtigt), Einsicht in die Daten des Betroffenen erhält, oder erhalten kann.  

 Der Datenschutz dient somit dem Schutz des Betroffenen vor Dritten. Der Betroffene hat gegenüber dem Verantwortlichen folgende Rechte:  

  •  Auskunftsrecht: Der Betroffene hat jederzeit das Recht, sich darüber zu informieren, welche Daten über ihn gespeichert wurden. Die Auskunft hat zeitnah und kostenfrei zu erfolgen. 
  • Recht auf Berichtigung: Der Betroffene hat ein Recht darauf, dass falsche Daten berichtigt werden. 
  • Einschränkung und Löschung: Der Betroffene kann jederzeit verlangen, dass seine Daten gelöscht werden. 
  • Recht auf Übertragbarkeit: Bei einem Anbieter-Wechsel (neuer Stromanbieter, neue Arztpraxis) muss der alte Anbieter die Daten für den neuen Anbieter zur Verfügung stellen. 
  • Widerspruchsrecht: Der Betroffene hat ein Widerspruchsrecht in Bezug auf die Nutzung von Daten.
  • Einsichtsrecht: Der Betroffene besitzt ein Einsichtsrecht für alle seine Daten, auch alle medizinischen Daten. Er kann also Einsicht in die Patientenakte verlangen. Früher waren persönliche Notizen und Anmerkungen vom Arzt über den Patienten ausgenommen, dies ist heute nicht mehr der Fall. 
  • Sonstige Rechte: Der Betroffene hat das Recht darauf, dass automatisiert ermittelte Ergebnisse (z.B. bei Bewerbungen, automatisiert ermittelte Diagnosen) noch einmal von einem Menschen kontrolliert werden.  

Hinzu kommt noch der sogenannte Datenschutzbeauftragte. Der Datenschutzbeauftragte dient in einem Unternehmen als Ansprechpartner in Sachen Datenschutz, sowohl für das Unternehmen, als auch für mögliche Betroffene und auch für die Behörden. Ein Datenschutzbeauftragter kann intern oder extern sein; er sollte schriftlich benannt werden. Der Begriff ist nicht geschützt, das heißt es ist nicht geregelt, welche Qualifikation er besitzen muss. Er muss nur über die notwendige „Fachkunde“ verfügen.  

Datenschutz in der Arztpraxis  

Datenschutz und Schweigepflicht 
Die Schweigepflicht besteht in vollem Umfang weiter. Sie hat Vorrang vor dem Datenschutz und Verstöße werden auch strenger bewertet. Auch von der Schweigepflicht kann der Betroffene den Verantwortlichen prinzipiell entbinden. Dabei sind keine gesonderten Einwilligungen für Datenschutz und Schweigepflicht notwendig.  

 Weder Datenschutz noch Schweigepflicht entbinden im medizinischen System von gesetzlichen Meldepflichten.  

Datenschutz-Maßnahmen   

Datenschutzbeauftragter 
Da in einer Arztpraxis auf regelmäßiger Basis medizinische Daten verarbeitet werden, müsste streng genommen jede Praxis einen Datenschutzbeauftragten bestellen. Es hat sich jedoch durchgesetzt, dass dieser erst bindend wird, wenn 10 oder mehr Mitarbeiter (inklusive Arzt) Zugang zu empfindlichen Daten haben.  

 Der Datenschutzbeauftragte hat nur beratende Funktion. Er entbindet den Verantwortlichen nicht von irgendwelchen Pflichten oder Verantwortungen. Auch für eine Praxis / Einrichtung, die keinen Datenschutzbeauftragten benötigt, bietet sich das Bestimmen eines datenschutzverantwortlichen Mitarbeiters an.  

Die Einwilligungserklärung 
In der Einwilligungserklärung stimmt der Betroffene der Nutzung seiner Daten durch den Verantwortlichen zu. In einer Praxis stimmt der Patient damit der Verarbeitung und Erhebung seiner Daten zu medizinischen Zwecken zu. Folgendes sollte bei der Einwilligungserklärung beachtet werden:  

  • Die Einwilligung muss nicht schriftlich erfolgen, aber die Nachweispflicht liegt beim Verantwortlichen. Daher ist die Schriftform ratsam.  
  • Die Einwilligung muss freiwillig erfolgen. 
  • Eine vorgelegte Einwilligungserklärung muss verständlich und klar als solche erkennbar sein.
  • Eine Einwilligung kann auch unwirksam sein, wenn sie nicht den Vorgaben entspricht oder nicht angemessen ist.  
  • Man sollte sich keine Einwilligung holen, wo keine notwendig ist oder wo man sie nicht braucht.  
  • Einwilligungen können auch jederzeit widerrufen werden, darauf muss auch hingewiesen werden. Ein Kontakt für den Widerruf muss genannt werden.  
  • Die Einwilligung muss durch „aktives Handeln“ erfolgen. Der Hinweis auf ein Widerspruchsrecht alleine ist keine Einwilligung. 

Datenschutzfolgeabschätzung
Immer, wenn bei der Verwendung von IT-Systemen hohe Risiken für die Rechte und Freiheiten der betroffenen Personen bestehen, ist das Unternehmen / die Einrichtung verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) zu erstellen. Eigentlich regelt die DSGVO, dass immer dann, wenn ein Datenschutzbeauftragter notwendig ist, auch eine DSFA vorhanden sein muss. Es hat sich jedoch durchgesetzt, dass in einer Arztpraxis eine Datenschutzfolgeabschätzung erwartet wird, auch wenn der Beauftragte erst ab 10 daten-verarbeitenden Personen notwendig ist.   

Eine Datenschutzfolgeabschätzung muss enthalten:  

  • Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge, inklusive des Zwecks der Verarbeitung.  
  • Eine Prüfung der Rechtmäßigkeit der Verarbeitung. 
  • Eine Bewertung der Notwendigkeit der Datenerhebung und Verarbeitung, sowie der Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.  
  • Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, Sicherheitsmaß-nahmen und Vorkehrungen. Mögliche Risiken können sein: 
    • Diskriminierung 
    • Identitätsdiebstahl 
    • Finanzieller Verlust 
    • Rufschädigung 
    • Hinderung der Kontrolle über eigene Daten 
    • Profilbildung mit Standortdaten  

Verarbeitungsverzeichnis 
Im Verarbeitungsverzeichnis werden alle Verarbeitungstätigkeiten aufgelistet, die in dem Unternehmen (in der Praxis) vorgenommen werden. Ein Verarbeitungsverzeichnis ist notwendig, wenn: 

  • besondere Risiken bestehen,  
  • die Verarbeitung regelmäßig erfolgt,  
  • es sich um besonders sensible Daten handelt, 
  • das Unternehmen mehr als 250 Mitarbeiter hat. 

Da in einer Praxis auf regelmäßiger Basis persönliche Daten verarbeitet werden, ist ein Verarbeitungsverzeichnis notwendig. Im Verzeichnis wird Folgendes vermerkt:  

  • Eine allgemeine Beschreibung der (Praxis-)Organisation in Bezug auf Datenschutz.  
  • Die Dauer der Aufbewahrung. 
  • Ob Daten ins Ausland übertragen werden. 

Man merkt hier schon, dass es Überschneidungen zur Datenschutzfolgeabschätzung gibt. Es ist natürlich immer möglich, in dem einen Dokument auf das andere Bezug zu nehmen.  

Maßnahmen zur Datensicherheit
Datensicherheit bedeutet, dass der Verantwortliche Daten gegen den Zugriff Dritter zu schützen hat. Hierfür hat er technische und organisatorische Maßnahmen zu treffen. Zu den technischen Maßnahmen gehören z.B. Gebäudesicherung, IT-Sicherheit, Datenverschlüsselung, Passwortsicherheit etc. Organisatorische Maßnahmen beziehen sich auf Handlungen, die vorgenommen werden müssen, z.B. das Wegschließen von Daten, das Sichern von Daten, das Verwenden sicherer Passwörter… Auch Schulungen und Aufklärung der Mitarbeiter gehören dazu.  

Praxishilfen DIAG WISS 

 Fachtext Datenschutz 

Wir haben 2018 einen eigenen Fachtext zum Datenschutz in der Urologischen Praxis erstellt, der hier zur Verfügung steht. Im Fachtext sind die genannten Punkte zum Datenschutz noch einmal im Detail erläutert.  

Fachtext_Datenschutz-in-der-Arztpraxis

 Im Fachtext sind die rechtlichen Grundlagen des Datenschutzes sowie die in der Praxis notwendigen Maßnahmen noch näher erläutert.  

Weitere Leistungen von DIAG WISS 

 Datenschutz-Modul 

Für Hilfe zum Datenschutz in der Praxis haben wir speziell das URMI-Plus-Modul Datenschutz ausgearbeitet. Das Datenschutz-Modul soll helfen, die notwendigen Dokumentationen zu erarbeiten. Weiterhin möchten wir im Rahmen des Datenschutzmoduls Antworten auf offene Fragen geben können.  

Zu den Pflichten, bei denen wir im Rahmen des Datenschutzmoduls helfen können, gehören das Verarbeitungsverzeichnis und die Datenschutzfolgeabschätzung. Alternativ können wir auch Beispielvorlagen für die Urologische Praxis zur Verfügung stellen.  

Natürlich können wir auch bei anderen Materialien wie der Einwilligungserklärung oder Aushängen in der Praxis helfen, Vorlagen liefern oder für die Praxis Materialien erstellen.  

 Zur Anmeldung zum URMI-Plus Modul-Datenschutz kommen Sie hier.