
DSGVO – ein schwieriger Patient?
Jetzt ist es also da. Das neue Unternehmer-Schreckgespenst. Lange vorangekündigt und seit 25. Mai in Kraft. Die DSGVO. Geltend für alle Unternehmen, die personenbezogene Daten verarbeiten, also auch für niedergelassene Ärzte. Besonders geschützte Daten, wie Gesundheitsdaten, unterliegen dabei noch strengeren Bestimmungen. Mit einer gemeinsamen Beratung begleiten Rechtsanwalt Gerald Waitz und Allgemeinmediziner und Geschäftsführer von Izintu, Philipp Meng, niedergelassene Ärzte mit Paketlösungen auf dem Weg zur Umsetzung der datenschutzrechtlichen Vorgaben.
Der Arztbesuch. Meist mit etwas Unbehagen wartet man auf den Aufruf. Halt! Darf man überhaupt noch namentlich aufgerufen werden? Oder muss man schon beim Eintreffen eine Nummer ziehen, um anonym- ähhh pseudonymisiert zu werden? So heftig kommt es doch nicht. „Auf den ersten Blick macht sich die DSGVO für Patienten wenig bemerkbar. Die Kommunikation wird sich aber sicher verändern. Die Übermittlung von unverschlüsselten E-Mails ist nicht zulässig. Telefonische Auskünfte sind nur unter strengen Auflagen möglich, nämlich nur wenn die Identität des Anrufers zweifelsfrei geklärt ist“, erklärt Meng. 2013 gründete er Izintu, ein IT-Dienstleistungsunternehmen für niedergelassene Ärzte. Gemeinsam mit dem Team von Waitz-Rechtsanwälte als IT-Rechtsexperten, wird nun eine umfassende juristische, informative und medizinische Beratung für die Umsetzung der DSGVO in Arztpraxen angeboten. Doch was gilt es alles zu beachten? Die wichtigsten Behandlungsschritte für den Datenschutz in einer Ordination auf einen Blick.
- 1 Der Behandlungsplan des Datenschutzes oder Der Weg zur DSGVO-konformen Praxis
Zu Beginn ist es notwendig, sich einen Überblick über alle Daten, die in der Praxis verarbeitet werden (wie Patienten-, Mitarbeiter- oder Lieferantendaten) zu verschaffen. Gibt es für jede Datenverarbeitung eine rechtliche Grundlage? Sind ausreichende Maßnahmen gegen unbefugten Zugriff, Entwendung oder Zerstörung der Daten – elektronisch und in Papierform – wie etwa durch Passwörter oder Aktenvernichter, gesetzt worden? Wenn ein Dritter beauftragt wurde die Daten zu verarbeiten, wie etwa ein Anbieter der Ordinationssoftware, ein Steuerberater oder die externe Buchhaltung, dann muss ein datenschutzrechtlicher Vertrag geschlossen werden. Auch der Webauftritt muss überprüft werden. „Eine Praxis DSGVO-konform umzugestalten kann sehr aufwändig und zeitintensiv sein. Wir können mit unseren drei unterschiedlichen Beratungspaketen die Ärzte gut unterstützen. Izintu verschafft sich bei einer Praxisbegutachtung einen Überblick direkt vor Ort und unterstützt bei der technischen Prozessgestaltung. Die rechtliche Vorerhebung und DSGVO-konforme Umsetzung der Datenverarbeitung wird von unserer Kanzlei aus anwaltlicher Sicht begleitet“, so Waitz.
- 2 Die Anamnese der Ordinationsprozesse oder Die Dateninventur
„Ärzte verarbeiten Gesundheitsdaten, welche unter „sensible Daten“ fallen. Die DSGVO stellt hier besondere Anforderungen zum Schutze dieser Daten“, erklärt Waitz. Doch wie soll bei der Fülle an Datenmengen am besten vorgegangen werden? Zuerst einmal kategorisch: Für Ordinationen sind die Kategorien Patienten, Mitarbeiter und Lieferanten und Vertreter typisch. Ausgehend von dieser Einteilung können die involvierten Systeme und Prozesse (etwa Ordinationssoftware, Karteikartensystem, Befunde) aufgelistet und dann die Details (etwa Kontaktdaten, Diagnosen, Versicherungsdaten) der personenbezogenen Daten erfasst werden.
- 3 Die Befundbesprechung der Dateninventur oder Das Verarbeitungsverzeichnis
Mit der DSGVO entfällt die Meldepflicht an die Datenschutzbehörde, jedoch wird das Führen eines Verarbeitungsverzeichnisses verlangt. Dieses muss im Anlassfall vorgelegt werden. Dabei muss der Verantwortliche, in diesem Fall der Arzt, angeben, für welchen Zweck er die Daten verarbeitet und unter welchen Kategorien diese verarbeitet werden. „Wir bieten den Ärzten nach der DSGVO konformen Umsetzung der Praxis zusätzlich auch laufende Beratung an. Damit können sie sich sofort melden, wenn Probleme auftauchen: Wenn eine Verwaltungsstrafe verhängt wird oder Ansprüche von Patienten gegen den Arzt geltend gemacht würden. Der Arzt hat damit eine rechtliche Sicherheit. Wir kennen schließlich die Details zu den Ordinationsprozessen und das ist ein großer Vorteil“, so Waitz.
- 4 Der Therapieplan des Datenschutzes oder Technische und organisatorische Maßnahmen
Datenschutz beinhaltet auch den Schutz vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung. „Das ist vielen Ärzten noch nicht so bewusst. Wenn wir eine Ordination begutachten, machen wir immer auch auf allgemeine Maßnahmen wie Brandschutz, Notstromversorgung für den Server oder Passwortverschlüsselung aufmerksam. Es gibt so vieles zu beachten“, sagt Meng. Viele Ärzte würden zudem ihre Websites wenig oder gar nicht aktualisieren, und künftig von Google als „unsicher“ eingestuft werden. „Eine Katastrophe für die Reputation eines Arztes!“, findet Meng. Dass die Erfüllung der DSGVO für Ärzte eine enorme Außenwirkung hat, davon sind Waitz und Meng überzeugt: „Es zeigt einfach, dass Ärzte mit den Daten der Patienten sorgsam umgehen. Und das beginnt bereits beim Internetauftritt.“ _