Seit 2018 steht der Elefant im Raum: Die europäische Datenschutzgrundverordnung oder DSGVO.

Europäische Datenschutzgrundverordnung (EU-DSGVO)

Die DSGVO (und das durch sie geänderte neue BDSG) gelten natürlich auch für Arztpraxen, und die Regelungen sind hier besonders scharf, denn:

Gesundheitsdaten sind laut DSGVO besonders schützenswert (Art. 9).

Was bedeutet das?

Datenschutz-Folgenabschätzung (DSFA) und Datenschutzbeauftragte (DSB)

Einrichtungen, die mit diesen Daten umgehen, müssen eine Datenschutz-Folgenabschätzung (DSFA) machen. Bei dieser müssen folgende Fragen beantwortet (und die Antworten dokumentiert!) werden:

  • Welche Datenverarbeitung erfolgt? Und zu welchen Zwecken?
  • Ist die Datenverarbeitung notwendig und verhältnismäßig?
  • Welche Risiken für die Rechte der Betroffenen ergeben sich dabei?
  • Was tut die Praxis, um diese Risiken zu beherrschen?

Eine Ausnahme macht das DSGVO für kleine Praxen: Diese müssen keine DSFA durchführen, wenn die Datenverarbeitung „durch einen einzelnen Arzt“ erfolgt (Erwägungsgrund 91 DSGVO).

Einrichtungen, die „in großem Maßstab Gesundheitsdaten verarbeiten“, sind dagegen zur DSFA verpflichtet. Hierzu gehören nach Einschätzung des Unabhängigen Landeszentrums für Datenschutz (ULD) in Schleswig-Holstein sogar schon MVZ, und darüber hinaus natürlich Krankenhäuser, Pflegedienste und andere größere Einrichtungen. Wenn besonders sensible Gesundheitsdaten verarbeitet werden, beispielsweise genetische Daten, dann muss zudem auch in kleineren Praxen eine DSFA durchgeführt werden.

Und: Alle Einrichtungen, die eine DSFA durchführen müssen, müssen auch eine/n Datenschutzbeauftragte/n benennen.

Wichtig für Gemeinschaftspraxen und MVZ

Für Gemeinschaftspraxen und MVZ gilt unabhängig von der Notwendigkeit einer DSFA:

  • Ab einer Anzahl von 10 Mitarbeitenden, die mit der automatisierten Datenverarbeitung befasst sind (sprich: am Computer arbeiten),  muss ein/e Datenschutzbeauftragte/r benannt werden.

Diese Aufgabe kann eine Praxismitarbeiterin übernehmen, als sogenannte interne Datenschutzbeauftragte. Hierzu muss die jeweilige Person sich in Sachen Datenschutz weiterbilden und beispielsweise durch Kurs und Prüfung ein Zertifikat als Datenschutzbeauftragte erwerben. Sobald sie offiziell als Datenschutzbeauftragte bestellt ist, soll sie laut DSGVO weitgehend unabhängig von Praxisinhaber/in den Datenschutz in der Praxis überwachen.

Deshalb steht eine interne Datenschutzbeauftragte unter besonderem Schutz: Sie darf gegenüber anderen Beschäftigten nicht benachteiligt werden (was beispielsweise Bezahlung oder Urlaub angeht), und ihr darf erst ein Jahr nach Beendigung der Rolle als Datenschutzbeauftragte gekündigt werden.

Vorteile der externen Datenschutzbeauftragten

Die Alternative ist die Bestellung einer externen Datenschutzbeauftragten, die mit der Praxis auf Basis eines Dienstleistungsvertrags zusammenarbeitet und nicht angestellt ist.

Vorteile:

  • Externe Datenschutzbeauftragte genießen kein Benachteiligungsverbot und keinen Kündigungsschutz, da kein Angestelltenverhältnis besteht.
  • Externe Datenschutzbeauftragte sind bereits qualifiziert und kommen selbst für ihre Fortbildung auf, anders als eine Mitarbeiterin, die auf Kosten der Praxis zur Datenschutzbeauftragten weitergebildet wird.

Sie brauchen eine externe Datenschutzbeauftragte – oder suchen Unterstützung für Ihre interne Datenschutzbeauftragte?

Dr. Christina Czeschik, Ärztin und MedizininformatikerinWir helfen weiter:

Als externe Datenschutzbeauftragte steht Ihnen Dr. Christina Czeschik zur Verfügung, Ärztin und Medizininformatikerin sowie zertifizierte Datenschutzbeauftragte (iom).

Dr. Czeschik ist seit 2015 freie Beraterin für Informationssicherheit und Datenschutz im Gesundheitswesen. Sie ist Autorin zahlreicher Artikel und mehrerer Bücher zu Medizininformatik, Kommunikation und Informationssicherheit und hält Vorträge und Seminare zu Themen aus Informationssicherheit, Datenschutz und Big Data im Gesundheitswesen.