FAQ Datenschutz-Grundverordnung

Antworten auf häufige Fragen

Unten finden Sie ein Muster, wie die Patienteninformation zum Datenschutz in der Praxis aussehen kann. Bitte denken Sie daran, die Vorlage auf Ihre individuellen Praxisverhältnisse hin zu überprüfen und anzupassen.

Legen Sie diese Information Ihren Patienten vor (z. B. als Flyer oder als wieder­verwendbares laminiertes Schreiben). Eine weitere Möglichkeit ist ein Aushang. Der Einfachheit halber empfehlen wir aber, das Informations­schreiben persönlich vorzulegen (z. B. mit dem Patienten­aufnahme­bogen), um so die direkte Kenntnisnahme sicherzustellen. Außerdem können Sie so unmittelbar auf Rückfragen eingehen, was Sie bei einem Aushang nicht gewährleisten können.

Ab 20 Personen, die in der Praxis mit Daten arbeiten. Es werden alle Personen gezählt, die Daten verarbeiten, auch der Praxisinhaber. Dabei geht es um Köpfe, nicht um Arbeitszeiten. Somit werden auch Teilzeitkräfte gezählt. Wenn Reinigungskräfte wirklich nur putzen, werden sie nicht mitgezählt.

Nein, Sie haben die Wahl zwischen einem internen oder externen Datenschutzbeauftragten.

Die Aufgabe des Datenschutzbeauftragten kann ein Mitarbeiter der Praxis (nicht der Praxisinhaber und keiner seiner Familienangehörigen) oder ein externer Datenschützer übernehmen.

Der Mitarbeiter, den Sie zum Datenschutzbeauftragten benennen, sollte fachlich geeignet sein, benötigt aber keine spezielle Zertifizierung.

Aus Wettbewerbsgründen dürfen wir hierzu keinerlei Empfehlungen geben.

Wenn Sie ein Labor oder einen Pathologen zu Diagnosezwecken per Überweisung beauftragen, bedarf es keiner gesonderten Einwilligung des Patienten.

Diese gilt mit der Zustimmung des Patienten zur Blut-/Gewebeentnahme als stillschweigend gegeben. Lediglich bei humangenetischen Untersuchungsaufträgen ist –  wie bisher – die schriftliche Einwilligung des Patienten gemäß Gendiagnostikgesetz erforderlich.

Hintergrund ist die im 32. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) ausgeführte praxisorientierte Auslegung, dass der Einsender die Probe quasi als Bote in Stellvertretung des Patienten als dessen Willenserklärung, Ergebnisse haben zu wollen, dem Auftragsfacharzt übermittelt. Aufgrund dessen wird auch für den Befundbericht des Laborarztes, mangels persönlichem Patientenkontakt ebenfalls keine schriftliche Zustimmung benötigt, diese liegt beim Einsender in Gestalt der Zustimmung zur Probenentnahme vor.

Unverändert bleibt der kollegiale Austausch per Telefon weiter zulässig. Erforderlich ist aber, dass Sie sich über die Identität des Angerufenen/Anrufers vergewissern und sich beim Telefonat auf die notwendigen Informationen mit Personenbezug beschränken.

Die gleichen Grundsätze gelten auch zum Austausch von Patientendaten über Fax-Geräte, allerdings dürfte es hier im Alltag schwierig sein, die Identität des Empfängers zu prüfen. Wir empfehlen Ihnen daher, Patientendaten im Rahmen der kollegialen Kommunikationen nicht beziehungsweise nur in dringenden Einzelfällen per Fax zu übermitteln.

Die neuen Regelungen zum Datenschutz bergen das Risiko in sich, dass Ihre Praxis Gegenstand einer sogenannten Abmahnung werden kann. Einige Anwaltskanzleien suchen gezielt nach vermeintlichen Rechtsverstößen (z. B. unzureichende Datenschutzerklärung auf der Praxis-Homepage) und verlangen Abmahngebühren – zumindest  fordern sie Anwaltsgebühren ein.

Die Bundesregierung hat angekündigt, gesetzlich festzustellen, dass die Datenschutzbestimmungen nicht Gegenstand einer Abmahnung werden dürfen, zumindest für eine Übergangszeit. Das ist aber noch nicht beschlossen.

Falls Ihnen eine Abmahnung zugestellt wird, empfehlen wir Ihnen, auf keinen Fall einfach zu bezahlen. Ebenso sollten Sie nicht die Unterlassungserklärung unterzeichnen, die in der Regel immer mit einer Abmahnung versendet wird. Übergeben Sie den Fall Ihrem Anwalt. Wir dürfen Sie hier nicht vertreten, da wir keine Rechtsberatung außerhalb unserer Zuständigkeit vornehmen dürfen. Melden Sie sich aber in einem solchen Fall dennoch gerne bei uns unter recht@kvbawue.de. Wir können Ihnen zumindest eine Empfehlung geben, wie Sie weiter verfahren können.

Nur, wenn hohe Risiken bei der Datenverarbeitung bestehen können oder eine umfangreiche Verarbeitung der Daten vorgenommen werden soll. Weiterführende Informationen dazu finden Sie in der Festlegung der Datenschutzkonferenz unten.

Nach Ablauf der gesetzlichen Aufbewahrungsfristen. Die Aufbewahrungsfristen für ärztliche Unterlagen finden Sie im Dokument unten.

Ausnahme: Haftungsrechtliche Bedenken sprechen dagegen. Dann müssen die Daten jedoch gesperrt werden.

Auf der Praxis-Hopmepage muss neben dem Impressum eine Datenschutzerklärung zu finden sein. Ein Muster, wie diese aussehen kann, finden Sie unten.

Bitte beachten Sie: Wir können die bei Ihnen auf der Homepage eingesetzte Datenschutzerklärung leider nicht auf Richtigkeit prüfen.

Praxen benötigen ein Verzeichnis von Verarbeitungstätigkeiten. Darin werden Tätigkeiten beziehungsweise Vorgänge erfasst, bei denen in der Praxis personenbezogene Daten verarbeitet werden. Sie finden unten ein Muster.

Grundsätzlich könnte man heute eigentlich alles elektronisch für den Patienten aufbewahren. Kleine Einschränkung: In kritischen Fällen (schwierige Situation, schwieriger Patient etc.) empfehlen wir, alle Dokumente aufzuheben. Also: Von manchen Patienten alles (im Original) aufheben, von fast allen Patienten nur elektronisch aufbewahren.

Auf jeden Fall sollte der Arbeitsprozess des Einscannens im praxisinternen Qualitätsmangement (QM) bestmöglich geregelt sein. Für die elektronische Aufbewahrung gelten allerdings bestimmte Anforderungen:

Auszug aus unserer Broschüre „Patientenrechtegesetz”:

Was ist bei elektronischer Aktenführung zu beachten?

„Bei elektronischer Aktenführung sollte auf die Verwendung einer zertifizierten Software, entsprechenden Sicherheitsstandards sowie auf die Authentizität, vor allem bei Fremdbefunden, geachtet werden. Scannen Sie Fremdbefunde unter Angabe des für den Scan verantwortlichen Mitarbeiters sowie des Datums, an demgescannt wurde, ein und versichern Sie die Übereinstimmung des gescannten mit dem originalen Dokument. Die wichtigsten Faktoren elektronischer Dokumentation sind Authentizität, Unveränderbarkeit und Wiederherstellbarkeit.”

(Juristischer Hintergrund: Ein Original ist eine Urkunde, ein elektronisches Dokument ist ein Augenscheinbeweis).

Dokumente zum Download

Ein Ermächtigter hat in seiner besonderen Funktion diese Tätigkeit für den niedergelassenen Bereich von seiner Kliniktätigkeit strikt zu trennen. Die Schweigepflicht für den Patienten gilt in der Ermächtigung genauso streng wie sonst auch.

Der persönlich ermächtigte Krankenhausarzt trägt die Verantwortung dafür, dass der Schutz dieser Patientendaten – auch gegenüber dem Krankenhaus – gewährleistet ist. Dies hat auch zur Folge, dass er seine Akten getrennt von den Akten der Krankenhausverwaltung führen muss. Das Krankenhaussystem darf nicht für die ermächtigten Daten benutzt werden. Da es nicht zulässig ist, die Daten zu mischen, müssen dann technisch Partitionen eingerichtet werden.

Die Aufbewahrungspflicht gilt gesondert für den ermächtigten Arzt (örtlich an der Klinik, an der der Patient war).

Wenn ein externer Dienstleister in Ihrem Auftrag Patienten- oder Mitarbeiterdaten verarbeitet, spricht man von Auftragsverarbeitung (alte Terminologie: Auftrags­daten­verarbeitung).

Institutionen, mit denen ein Vertrag zur Auftragsverarbeitung abzuschließen ist:

  • IT-Dienstleister
  • Aktenvernichtungsfirma
  • freiberufliche Schreibkraft/Schreibbüro
  • privatärztliche Verrechnungsstelle ohne Forderungsübergang
  • Lohnbüro (auch wenn es der Steuerberater übernimmt)

Keine Auftragsverarbeitung und daher keine AV-Vertragspflicht liegt vor mit:

  • Kassenärztliche Vereinigung
  • Krankenkasse
  • Steuerberater (nur die Beratung in Steuersachen)
  • Rechtsanwalt
  • ärztlich geführte Labore/Pathologie/Zytologie etc.

Weitere Informationen finden Sie im Kurzpapier Nr. 13 der Datenschutz­konferenz „Auftragsverarbeitung, Art. 28 DS-GVO” und im 34. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI).

Es ist grundsätzlich Aufgabe des Patienten selbst, dafür Sorge zu tragen, dass eine ausreichende Kommunikation zwischen ihm als Patient und dem Arzt bzw. der Praxis geschehen kann. Dies bezieht sich sowohl auf eine ausreichende Aufklärung über diagnostische und therapeutische Maßnahmen als auch auf die „verwaltungstechnischen“ bzw. sonstigen rechtlichen Voraus­setzungen/Grund­lagen des Behandlungsvertrages.

Sollte eine hinreichende Kommunikation nicht möglich sein, auch hinsichtlich der Datenschutzinformation oder notwendiger Einwilligungen zur Datenübermittlung, wird der Arzt dem Patienten entweder empfehlen müssen, sich an einen anderen Arzt zu wenden, oder die Behandlung solange verschieben, bis diese Kommunikation möglich wird z. B. durch einen Dolmetscher oder eine der jeweiligen Sprache mächtigen Vertrauensperson des Patienten. Alles darüber hinaus kann lediglich Service der Praxis sein.

Nach der DIN 66399 gehören die Gesundheitsdaten in die Schutzklasse 3, sodass der Aktenvernichter (Reißwolf) mindestens die Sicherheitsstufe 4 haben muss.

Noch mehr Fragen und Antworten zum Datenschutz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) gibt auf seiner Homepage Antwort auf die dringendsten Fragen zur Umsetzung der Datenschutzgrundverordnung in Arztpraxen, um die baden-württembergischen Arztpraxen bei der Umsetzung der Datenschutzgesetze und der Umstellung auf die neue Rechtslage zu unterstützen: FAQ Datenschutz in der Arztpraxis