Seit 2018 steht der Elefant im Raum: Die europäische Datenschutzgrundverordnung oder DSGVO.

Europäische Datenschutzgrundverordnung (EU-DSGVO)

Die DSGVO (und das durch sie geänderte neue BDSG) gelten natürlich auch für Arztpraxen, und die Regelungen sind hier besonders scharf, denn:

Gesundheitsdaten sind laut DSGVO besonders schützenswert (Art. 9).

Was bedeutet das?

Datenschutz-Folgenabschätzung (DSFA) und Datenschutzbeauftragte (DSB)

Einrichtungen, die mit diesen Daten umgehen, müssen eine Datenschutz-Folgenabschätzung (DSFA) machen. Bei dieser müssen folgende Fragen beantwortet (und die Antworten dokumentiert!) werden:

  • Welche Datenverarbeitung erfolgt? Und zu welchen Zwecken?
  • Ist die Datenverarbeitung notwendig und verhältnismäßig?
  • Welche Risiken für die Rechte der Betroffenen ergeben sich dabei?
  • Was tut die Praxis, um diese Risiken zu beherrschen?

Eine Ausnahme macht das DSGVO für kleine Praxen: Diese müssen keine DSFA durchführen, wenn die Datenverarbeitung „durch einen einzelnen Arzt“ erfolgt (Erwägungsgrund 91 DSGVO).

Einrichtungen, die „in großem Maßstab Gesundheitsdaten verarbeiten“, sind dagegen zur DSFA verpflichtet. Hierzu gehören nach Einschätzung des Unabhängigen Landeszentrums für Datenschutz (ULD) in Schleswig-Holstein sogar schon MVZ, und darüber hinaus natürlich Krankenhäuser, Pflegedienste und andere größere Einrichtungen. Wenn besonders sensible Gesundheitsdaten verarbeitet werden, beispielsweise genetische Daten, dann muss zudem auch in kleineren Praxen eine DSFA durchgeführt werden.

Ob eine DSFA auch zwingend erforderlich ist, wenn telemedizinische Lösungen zum Einsatz kommen, ist noch umstritten.

Und: Alle Einrichtungen, die eine DSFA durchführen müssen, müssen auch eine/n Datenschutzbeauftragte/n benennen.

Wichtig für Gemeinschaftspraxen und MVZ

Für Gemeinschaftspraxen und MVZ gilt unabhängig von der Notwendigkeit einer DSFA:

  • Ab einer Anzahl von 20 Mitarbeitenden (bis Juli 2019: 10), die mit der automatisierten Datenverarbeitung befasst sind (sprich: am Computer arbeiten),  muss ein/e Datenschutzbeauftragte/r benannt werden.
  • Teilzeitbeschäftigte zählen hierbei voll.
  • Auch freie Mitarbeiterinnen und Mitarbeiter werden mitgezählt.

Die Aufgabe kann eine Praxismitarbeiterin übernehmen, als sogenannte interne Datenschutzbeauftragte. Hierzu muss die jeweilige Person sich in Sachen Datenschutz weiterbilden und beispielsweise durch Kurs und Prüfung ein Zertifikat als Datenschutzbeauftragte erwerben. Sobald sie offiziell als Datenschutzbeauftragte bestellt ist, soll sie laut DSGVO weitgehend unabhängig von Praxisinhaber/in den Datenschutz in der Praxis überwachen.

Deshalb steht eine interne Datenschutzbeauftragte unter besonderem Schutz: Sie darf gegenüber anderen Beschäftigten nicht benachteiligt werden (was beispielsweise Bezahlung oder Urlaub angeht), und ihr darf erst ein Jahr nach Beendigung der Rolle als Datenschutzbeauftragte gekündigt werden.

Die Alternative ist die Bestellung einer/eines externen Datenschutzbeauftragten, die/der mit der Praxis auf Basis eines Dienstleistungsvertrags zusammenarbeitet und nicht angestellt ist.