Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Die Verunsicherung ist auch bei Ärzten groß. Für mehr Klarheit sorgen will das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) sorgen. Es hat erste Handreichungen für Arztpraxen erstellt. Die Informationen sollen die wesentlichen Anforderungen des neuen europäischen Datenschutzrechts für die Verantwortlichen möglichst kompakt und verständlich aufzeigen.
Dazu stellt das BayLDA am Beispiel einer Hausarztpraxis dar, welche Anforderungen erfüllt werden müssen. Dieser „Beispielarzt“ hat eine Hausarztpraxis auf dem Land mit fünf Sprechstundenhilfen/MFAs, einer Putzkraft und einem Sicherstellungsassistenten. Die Praxis betreibt eine kleine Webseite, auf dem online Termine angefragt werden können. Ein externer Dienstleister betreut die Webseite und die Praxis-IT. Die Datenverarbeitung bezüglich der Patientendaten erfolgt auf eigenen Computern und Servern innerhalb der Praxis. Anhand dieser Praxis werden beispielhaft die Anforderungen der DSGVO genannt. So erfährt man beispielsweise, dass im konkreten Fall die Benennung eines Datenschutzbeauftragten (DSB) nicht erforderlich ist, da weniger als zehn Personen regelmäßig Umgang mit personenbezogenen Daten haben. Eine Datenschutz-Verpflichtung von Beschäftigten besteht jedoch, da alle Mitarbeiter mit personenbezogenen Daten umgehen. Die betroffenen Personen haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten.
Sensible Daten sichern
Weil die Arztpraxis mit gesundheitsbezogenen Daten umgeht, muss sie ein Verzeichnis ihrer Verarbeitungstätigkeiten führen. Darüber hinaus hat muss die Arztpraxis in der Praxis und auf der Datenschutzerklärung auf der Webseite ihren Informationspflichten nachkommen. Sobald es keine gesetzliche Grundlage (zum Beispiel Aufbewahrungspflicht für Behandlungsunterlagen) für die Speicherung von personenbezogenen Daten gibt, müssen die Daten gelöscht werden. Das ist in der Regel beispielsweise der Fall, wenn nach Abschluss der Behandlung zehn Jahre vergangen sind.
Außerdem hat die Praxis die Pflicht, ihre Datenbestände besonders zu sichern, da sensible Daten verarbeitet werden. Dazu erforderlich sind laut BayLDA beispielsweise Betriebssysteme, Passwortschutz, regelmäßige Backups und Virenscanner. Zudem sollte das Praxisverwaltungssystem von einem Recherche-PC getrennt werden. Der Zugriff auf Patientendaten sollte nur denjenigen gewährt werden, die ihn für ihre Arbeit benötigen. Wenn in der Arztpraxis online Termine gebucht werden können, dann muss das Onlineterminbuchungsformular muss Ende-zu-Ende und transportverschlüsselt werden. Mit dem IT-Betreuer, der die Webseite und die Praxis-IT betreut, muss die Arztpraxis einen Vertrag zur Auftragsverarbeitung schließen.
Sicherheitsvorfall melden
Wenn es bei der Verarbeitung personenbezogener Daten einem Sicherheitsvorfall kommt, bestehen gesetzliche Meldepflichten. Ein solcher Vorfall kann zum Beispiel Diebstahl, eine Cyberattacke auf das Praxisnetz oder die Fehlversendung eines Arztbriefes sein. Die Aufsichtsbehörde muss im Regelfall darüber informiert werden, betroffene Personen dagegen nur bei hohem Risiko.
Der Anforderungskatalog für Arztpraxen steht kostenlos auf der Webseite des BayLDA zur Verfügung. Hier gibt es außerdem auch ein Musterverzeichnis von Verarbeitungstätigkeiten.