Datenschutz & Schweigepflicht

Was Praxen wissen und tun müssen

Ärztliche Schweigepflicht und Datenschutz fordert einerseits der Gesetzgeber ein, vor allem aber spielen beide Aspekte eine zentrale Rolle im Vertrauensverhältnis zu Ihren Patienten. Als niedergelassener Arzt oder Psycho­therapeut sind Sie ver­pflichtet, persönliche und zum Teil sensible Patientendaten besonders zu schützen.

Gesetzliche Grundlagen und Richtlinien

Sicherheitsanforderungen für Praxis-IT

Im Digitale-Versorgung-Gesetz beauftragt der Gesetzgeber die KBV und die Kassenzahnärztliche Bundesvereinigung (KZBV) damit, eine IT-Sicher­heits­richt­linie für alle Praxen zu entwickeln. Darin werden die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt, um sensible Daten in den Praxen noch besser zu schützen. Klare Vorgaben sollen dabei helfen, Patienten­daten noch sicherer zu verwalten und Risiken wie Datenverlust oder Betriebsausfall zu minimieren (mehr erfahren »).

EU-Datenschutz-Grundverordnung (EU-DSGVO)

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) und das neugefasste Bundesdatenschutzgesetz (BDSG) sind ab 25. Mai 2018 geltendes nationales Recht. Für Ärzte und Psychotherapeuten bedeutet das, dass sie nunmehr nachweisen müssen, dass und wie sie den Datenschutz in der Praxis einhalten. Unsere Praxisinformationen beschreiben detailliert und praktisch, wie Sie die neuen Vorgaben korrekt umsetzen.

Was Praxen jetzt tun müssen:

Antworten auf häufige Fragen zur EU-DSGVO finden Sie unter FAQ Datenschutz.

Datenschutz-Grundverordnung: Handreichung für Mitglieder der KVBW

Einleitung

Datenschutz hat schon immer eine große Rolle bei Ärzten und Psychotherapeuten gespielt. Die neue von der Europäischen Union vorgegebene Datenschutzgrund­verordnung (DSGVO), die seit 25. Mai 2018 wirksam ist, unterstreicht die Bedeutung des Datenschutzes noch einmal und führt einige neue Regelungen ein.

Weil Ärzte und Psychotherapeuten sensible Gesundheitsdaten verarbeiten, gelten für sie erhöhte Anforderungen:

  • Datenschutzorganisation in der Praxis (u. a. Erstellung eines Verzeichnisses für Verarbeitungstätigkeiten)
  • ggf. interner oder externer Datenschutzbeauftragter
  • Meldepflichten bei Datenpannen
  • Auskunftsrechte von Patienten
  • Verhältnis zu externen Dienstleistern und Dritten (Auftragsdatenverarbeitung)

Bitte beachten Sie:

  • Beweislastumkehr in einigen Bereichen: Sie müssen künftig nachweisen, dass und wie Sie die Bestimmungen zum Datenschutz einhalten.
  • Regelungen zum Datenschutz betreffen keineswegs nur Patientendaten, sondern z. B. auch Mitarbeiterdaten.
  • Bislang sind viele Auswirkungen der DSGVO noch nicht abschließend rechtlich geklärt. Wir können daher nur Empfehlungen aussprechen. Wir halten Sie über Änderungen auf dem Laufenden.
  • Je nach Konstellation der Praxis können noch weitergehende als die dargestellten Bestimmungen gelten.
  • Hinweis: Wir haben im Rahmen unserer Management Akademie MAK ein kostenpflichtiges eLearning-Programm zum Thema erarbeitet: „Sicher ist sicher: Datenschutz im Praxisalltag leben und managen”. Mehr dazu unter Online-Kurse

Schweigepflicht

Wesentliche Anforderungen des Datenschutzes werden durch die Schweigepflicht realisiert. An der Schweigepflicht hat sich durch die DSGVO nichts geändert: Sämtliche Informationen, die im Zusammenhang mit der ärztlichen oder psychotherapeutischen Behandlung stehen, unterliegen der ärztlichen Schweigepflicht. Auf den Punkt gebracht bedeutet dies in der Praxis, dass der Arzt oder Psychotherapeut all diese Informationen nicht unbefugt Dritten gegenüber offenbaren darf.

Unbefugte Dritte sind nicht nur andere Praxen, sondern zum Beispiel auch Familienangehörige, privatärztliche Verrechnungsstellen, private Versicherungen oder Praxisübernehmer.

Die Schweigepflicht darf nur gebrochen werden, wenn

  • gesetzliche Offenbarungsbefugnisse oder Übermittlungspflichten gegeben sind
    oder
  • der Patient damit einverstanden ist.

Die KVBW hat eine Informationsbroschüre „Um Antwort wird gebeten“ zur Schweigepflicht erarbeitet, die erläutert, wie die Schweigepflicht in bestimmten Situationen zu handhaben ist, hierzu gehören beispielsweise Anfragen von Krankenkassen oder Auskünfte gegenüber Minderjährigen im Verhältnis zu deren Eltern.

Weitere Informationen zu diesem wichtigen Thema finden Sie auch in dem von der KBV und der Bundesärztekammer aktuell überabeiteten Papier „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“.

Information der Patienten

Worüber müssen Praxen ihre Patienten informieren? Welche Rechte hat der Patient nach der der DSGVO und dem neuen Bundesdatenschutzgesetz?


Praxen müssen Patienten darüber informieren, was mit deren persönlichen Daten in der Praxis passiert (Ziel: Transparenz). Dies muss in der Regel „zum Zeitpunkt der Datenerhebung“ erfolgen. Eine persönliche Information, zum Beispiel bei der ersten Kontaktaufnahme am Telefon, ist nicht erforderlich.

Die Information muss in erster Linie Angaben zum Zweck sowie zur Rechtsgrundlage der Datenverarbeitung enthalten. Auch die Kontaktdaten der Praxis, gegebenenfalls des Datenschutzbeauftragten (sofern eine Pflicht zur Benennung vorliegt bei größeren Praxen, siehe Datenschutzbeauftragter) und des/der Labors/e, mit dem die Praxis zusammenarbeitet, sind anzugeben.

Wie kann die Praxis dem Patienten diese Informationen zur Verfügung stellen? Wie kommt die Praxis ihren Informations- und Nachweispflichten also am besten nach?

Die DSGVO schreibt keine bestimmte Form vor. Die Informationen müssen leicht wahrnehmbar, präzise, transparent, verständlich und in leicht zugänglicher Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung geben. Es bietet sich an, einen gut sichtbaren Aushang der „Informationen zur Erhebung personenbezogener Daten“ im Empfangsbereich anzubringen und/oder einige Informationsblattblätter (z. B. fünf bis zehn Stück je nach Praxisgröße, laminiert) den Patienten am Empfang vorzulegen, um alle Patienten zu erreichen. Die Patienteninformation kann zusätzlich auf der Website der Praxis veröffentlicht werden.

Eine Unterschrift des Patienten zur Bestätigung der Kenntnisnahme ist nicht notwendig. Um den Rechenschaftspflichten (= Dokumentation als Nachweis) aus der DSGVO für Praxen nachzukommen, wäre eine Möglichkeit, einen Vermerk (Bsp. Häkchen etc.) in der Patientenakte/PVS über die erfolgte Information aufzunehmen.

Muster „Patienteninformation zum Datenschutz“

Zur Unterstützung der Praxen haben wir ein Muster „Patienteninformation zum Datenschutz“ erarbeitet, das Sie in Ihrer Praxis verwenden (aushängen/auslegen) können. Bitte beachten: Es handelt sich hierbei um eine Mustervorlage, passen Sie also bitte das Muster an die individuellen Gegebenheiten in Ihrer Praxis an (Ausfüllen der Textbausteine zum Verantwortlichen, Datenschutzbeauftragten und zum Labor, mit dem die Praxis zusammenarbeitet). Sofern Sie mit mehreren Laboren zusammenarbeiten, empfiehlt es sich, am Empfang eine Übersicht (z. B. laminiert) bereit liegen zu haben, die bei Nachfrage dem Patienten vorgelegt werden kann.

Datenweitergabe zwischen Praxen

Patientendaten zu erfassen, zu bearbeiten und zu speichern ist für Vertragsärzte und Vertrags­psycho­therapeuten gesetzlich erlaubt, die Basis hierzu ist der Behandlungs­vertrag zwischen Patient und Praxis.

Wenn Patientendaten aus der Praxis herausgegeben werden sollen, betrifft das die ärztliche Schweigepflicht. Diese gilt grundsätzlich auch zwischen Ärzten. Allerdings dürfen Daten weitergegeben werden, wenn gesetzliche Offenbarungsbefugnisse oder Übermittlungspflichten gegeben sind (z. B. Infektionsschutzgesetz, IfSG).

Sofern diese erlaubten Gründe zur Datenweitergabe nicht vorliegen, benötigen Sie die Zustimmung des Patienten. Diese kann unter Umständen still­schweigend/kon­klu­dent, mutmaßlich oder mündlich erfolgen.

Muster für Zustimmung nach § 73 Absatz 1b SGB V

Sollten Sie dennoch die Schriftform bevorzugen, haben wir zur Unterstützung der Praxen zwei Muster einer Zustimmung  nach den Vorgaben des § 73 Abs. 1b SGB V erarbeitet – ein Muster für Hausärzte und ein Muster für Fachärzte.

Bitte beachten: Es handelt sich hierbei um Mustervorlagen. Bitte passen Sie das zutreffende Muster an Ihre individuellen Praxisgegebenheiten an.

Praxisorganisation

Bei der Praxisorganisation sollten Sie auf eine datenschutzkonform gestalten. Wir wollen Ihr Augenmerk hierfür auf vier Schwerpunktebereiche lenken:

  1. Trennung von Empfangs-, Warte- und Behandlungsbereich
  2. Diskretion bei Gesprächen und Telefonaten
  3. Schutz vor Einsichtnahme Dritter in Patientenunterlagen, Briefe, Telefaxe oder in Computer-Bildschirme,
  4. Zugriffsschutz der Praxiscomputer durch Passworte und Bildschirmschutz

Checkliste Praxisorganisation

Folgende Fragen können Sie beim Check-up unterstützen, ob Ihre Praxisorganisation datenschutzkonform gestaltet ist:

  • Wird durch eine ausreichende Diskretionszone oder durch organisatorische Maßnahmen sichergestellt, dass die Patientinnen und Patienten ihr Anliegen schildern können, ohne dass neugierige Ohren mithören können?
  • Kann das Praxispersonal Telefongespräche führen, ohne dass wartende Patientinnen und Patienten dadurch von Daten anderer Personen Kenntnis erlangen?
  • Sind Patientenakten und Karteikarten vor dem Zugriff Unbefugter geschützt?
  • Können Behandlungsräume so abgeschottet werden, dass neugierige Augen und Ohren ausgeschlossen werden?
  • Erfolgen vertrauliche Arzt-Patienten-Gespräche in geschlossenen Räumen?
  • Sind Patientendaten in den Behandlungsräumen gegen unbefugte Kenntnisnahme geschützt?
  • Haben alle Mitarbeiter (MFA, Ärzte, Praktikanten) und Personen, die für Fremdfirmen (z. B. Berater oder Handwerker) in der Praxis arbeiten, eine Verpflichtungserklärung auf die Schweigepflicht ausgefüllt?
  • Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für das Thema Datenschutz?

Zustimmung zu Serviceangeboten der Praxis

Möchten Sie Ihren Patienten besondere Serviceangebote wie Praxismailings oder Terminerinnerungen anbieten, geht dies über die erlaubte Datenverarbeitung hinaus und Sie benötigen eine gesonderte Zustimmung des Patienten. Hierfür haben wir für Sie ebenfalls eine Mustervorlage zum individuellen Anpassen erstellt. Bitte prüfen Sie im Einzelnen für Ihre Praxis, für welche weiteren Zwecke Sie außerdem eine Zustimmung Ihrer Patienten benötigen und passen Sie die Mustervorlage entsprechend an.

Datenschutzbeauftragter

Ab einer Anzahl von zwanzig Personen (Ärzte + Praxispersonal) müssen Sie einen Datenschutzbeauftragten benennen.

Bitte beachten Sie:

  • Sie können einen Mitarbeiter als Datenschutzbeauftragten benennen oder mit einem externen Datenschutzbeauftragten zusammenarbeiten.
  • Der Praxisinhaber trägt zwar letztendlich die Verantwortung für den korrekten Umgang mit personenbezogenen Daten in seiner Praxis, darf das Amt des Datenschutz­beauftragten aber nicht selbst übernehmen, denn er kann und darf sich nicht selbst kontrollieren. Er darf hierzu auch keine Familien­angehörigen benennen.
  • Der Mitarbeiter, den Sie zum Datenschutzbeauftragten benennen, sollte fachlich geeignet sein, benötigt aber keine spezielle Zertifizierung.
  • Wir empfehlen nach wie vor, den Datenschutzbeauftragten über eine Urkunde zu benennen. Ein Muster finden Sie unten.
  • Ein Datenschutzbeauftragter muss der Aufsichtsbehörde (beim Landesdatenschutz­beauftragten) online gemeldet werden.
  • Ein interner Datenschutzbeauftragter darf nur aus wichtigem Grund abberufen werden und genießt einen Kündigungsschutz.
  • Sofern Sie eine Praxis-Homepage betreiben, werden die Kontaktdaten des Datenschutz­beauftragten auf dieser veröffentlicht, ansonsten per Aushang in der Praxis.
  • Ist eine Datenschutz-Folgenabschätzung erforderlich, muss unabhängig von der Personenzahl ein Datenschutzbeauftragter benannt werden.

IT-Sicherheit

Die sensiblen Patientendaten in Ihrem Praxis-IT-System benötigen besondere Schutzmaßnahmen vor Angriffen und gegen technische Störungen, die in der EU-DSGVO definiert sind. Seit 1. Januar 2021 konkretisiert die IT-Sicherheitsrichtlinie der KBV die Maßnahmen zur Umsetzung der EU-DSGVO. 

Alle Anforderungen, Anlagen mit Hinweisen zu den vorgegebenen Fristen und und Hilfen zur IT-Sicherheitsrichtlinie hat die KBV in ihren Praxishinweisen zur IT-Sicherheit veröffentlicht.

KBV-PraxisWissen IT-Sicherheit

Die KBV-Infobroschüre zur IT-Sicherheit gibt einen Überblick über wichtige Vorgaben und Fristen der Richtlinie, erläutert die Anforderungen und gibt Tipps zur Umsetzung für die Praxis inkl. Checkliste und Beispielen. Das Themenheft ergänzt die KBV-Online-Plattform zur IT-Sicherheitsrichtlinie.
 

Sicherheitsanforderungen je Praxisgröße

Je nach Größe der Praxis sind zugehörige Anlagen und Anforderungen zu beachten und einzuhalten:

Praxis-TypAnzahl der Personenumzusetzende Anlage
(Klein)Praxis1 bis 51, 5
mittlere Praxis6 bis 201, 2, 5
Großpraxisab 211, 2, 3, 5
alle Praxen mit medizinischen Großgeräten (z. B. Computertomograph)unabhängig von der Personenanzahl4

Die Vorgaben in den Anlagen beinhalten unterschiedliche Fristen der Umsetzung.

Beispiele für Fristen

01.04.2021nach Ende der Nutzung immer den Zugang zum Gerät sperren oder abmelden (siehe Anlage 1.13)
01.07.2021Nutzung sicherer Protokolle für die Konfiguration und Wartung (siehe Anlage 4.2)
01.01.2022keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen einrichten oder zulassen (siehe Anlage 1.11)
01.07.2022Werden Mobiltelefone für dienstliche Zwecke verwendet, muss eine Nutzungs- und Sicherheitsrichtlinie erstellt werden (siehe Anlage 2.8)

FAQ-Katalog

Weitere häufige Fragen und Antworten (FAQs) werden unter KBV: FAQ Praxishinweise IT-Sicherheit veröffentlicht und kontinuierlich erweitert.

Von der KBV zertifizierte Dienstleister können Sie bei der Umsetzung der Vorgaben zur IT-Sicherheitsrichtline unterstützen: KBV: Verzeichnis zertifizierter Anbieter IT-Sicherheit.

Präsentation zur Infoveranstaltung zum Download

Hier können Sie die Präsentation zu den KVBW-Infoveranstaltungen zur IT-Sicherheitsrichtlinie herunterladen:

Löschkonzept

Patienten haben ein Recht darauf, dass ihre Daten datenschutzkonform vernichtet werden, wenn diese nicht mehr gebraucht werden. Über die Aufbewahrungsfristen, die für die Aufbewahrung und somit auch die Löschung von Daten und Unterlagen in der Praxis gelten, haben wir ein Merkblatt erstellt.

Bitte beachten Sie:

  • Sie haben nicht nur Patientendaten in Ihrer Praxis, sondern beispielsweise auch Personalakten oder kaufmännische Unterlagen. Hier gelten andere Aufbewahrungsfristen! Kontaktieren Sie diesbezüglich gegebenenfalls Ihren Steuerberater.
  • Wenn Sie Bewerbungsunterlagen bekommen, müssen diese nach Abschluss des Bewerbungsverfahrens gelöscht bzw. datenschutzkonform entsorgt werden.

Verfahrensverzeichnis

Die DSGVO verlangt von Ihnen als Praxisverantwortlichen das Führen eines sogenannten Verzeichnisses von Verarbeitungstätigkeiten (Verfahrensverzeichnis) als Nachweis dafür, dass die Verarbeitung von personenbezogenen Daten in Ihrer Praxis den Vorgaben des Datenschutzes entspricht. Dieses Verzeichnis muss dem Landesbeauftragten für Datenschutz und Informationsfreiheit auf Verlangen vorgelegt werden.

Ausgangspunkt für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten sind folgende Fragen:

  • Bei welchen Tätigkeiten und zu welchem Zweck werden in Ihrer Praxis personenbezogene Daten verarbeitet?
  • Und welche Schutzmaßnahmen werden jeweils getroffen und umgesetzt?

Somit dient Ihnen dieses Verzeichnis gleichzeitig als Überblick dafür, bei welchen Verarbeitungstätigkeiten in Ihrer Praxis mit personenbezogenen Daten gearbeitet wird und wie der Datenschutz eingehalten wird.

In der Regel dürfte es sich dabei insbesondere um folgende Tätigkeiten handeln:

  • Patientenbehandlung
  • Lohnabrechnung, Personalakten
  • Betrieb einer Webseite mit Möglichkeit der Online-Terminbuchung
  • Verarbeitung von Patientendaten zur Abrechnung

Muster für ein Verzeichnis von Verarbeitungstätigkeiten

Zur Unterstützung der Praxen haben wir ein Muster für ein Verzeichnis von Verarbeitungstätigkeiten erarbeitet, das Sie in Ihrer Praxis verwenden können. Bitte beachten: Es handelt sich hierbei um eine Mustervorlage, passen Sie also bitte das Muster an die individuellen Gegebenheiten in Ihrer Praxis an (Ersetzen der Eintragungsbeispiele). Bitte führen Sie alle Verarbeitungstätigkeiten in dem Verzeichnis auf, in denen Sie personenbezogene Daten in der Praxis verarbeiten.

Bitte beachten Sie:

  • Ein Verfahrensverzeichnis muss gepflegt werden! Wenn es neue Prozesse gibt oder sich Prozesse ändern, müssen Sie das Verzeichnis entsprechend anpassen.
  • Denken Sie auch daran, die Selektivverträge im Verfahrensverzeichnis zu berücksichtigen.

Homepage

Wenn Sie eine Webseite betreiben, müssen Sie neben dem Impressum in einer eigenen Rubrik („Datenschutzerklärung”) auf datenschutzrechtliche Bestimmungen hinweisen. Der Umfang hängt davon ab, welche Informationen oder Interaktionen Sie auf Ihrer Homepage anbieten (z. B. Kontaktformular, Online-Terminvergabe etc.).

Die notwendigen Angaben hängen auch davon ab, über welchen Provider Sie Ihre Homepage betreiben, da die Provider aus statistischen Gründen häufig Daten über die Nutzer erheben. Der Anbieter erhebt und speichert automatisch Informationen in so genannten Server-Log Files, die der Browser automatisch übermittelt. Außerdem werden von Providern häufig sogenannte Cookies oder Tracking-Technologien eingesetzt (z. B. um das Angebot nutzerfreundlicher zu gestalten). Diese bedürfen einer vorherigen Einwilligung durch den Nutzer, sofern sie für den Betrieb der Webseite technisch nicht notwendig sind.

Bitte beachten Sie:

  • Nehmen Sie Kontakt zu Ihrem Provider oder Dienstleister auf und lassen Sie sich von ihm eine Datenschutzerklärung für Ihre Webseite geben.
  • Binden Sie die Erklärung des Providers in Ihre eigene Datenschutzerklärung ein.

Datenschutzverletzung/Datenpanne

Auch bei Einhaltung aller Regeln kann es vorkommen, dass der Datenschutz verletzt wird, etwa durch Cyberkriminalität. In einem solchen Fall gibt es Meldepflichten: Innerhalb von 72 Stunden, nachdem der Vorfall bekannt wurde, müssen Sie eine Meldung an die Aufsichtsbehörde (den Landesdaten­schutz­beauftragten) geben. Der Praxisinhaber ist dafür zuständig, dass die Meldung erfolgt.

Mindestinhalt der Meldung von Datenschutzverletzungen nach Art. 33 Abs. 3 EU-DSGVO:


Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Externe Links

Cyber-Kriminalität

Die Polizei und das Landeskriminalamt bieten bei Hacker-Angriffen und Cyber-Vorfällen mit der Zentralen Ansprechstelle Cybercrime für Unternehmen und Behörden (ZAC) Unterstützung an. Erreichbar ist die ZAC unter Telefon 0711 5401-2444 und per E-Mail unter cybercrime@polizei.bwl.de.

Beispiele und Tipps für Praxen zum Umgang mit Cyber-Kriminalität finden Sie auch bei der Kassenärztlichen Bundesvereinigung:

Trotz Sicherungsmaßnahmen und hoher technischer Schutzstandards können erfolgreiche Angriffe nicht komplett ausgeschlossen werden. Wir empfehlen Ihnen daher, einen Notfallplan für Ihre Praxis zu erstellen, auf den Sie im Falle eines Angriffs zurückgreifen können, z. B. eine Notfallkarte mit abzuarbeitenden Stichpunkten und allen relevanten Kontaktdaten.

Konsequenzen / Bußgeld / Abmahnung

Für einen Verstoß gegen die Bestimmungen der DSGVO ist ein Sanktions­mechanismus festgelegt. Dieser reicht von einer Rüge bis hin zu einem Bußgeld. Auch Schadensersatzforderungen, zum Beispiel von Patienten, sind möglich.

Bitte beachten Sie:

  • Die Einhaltung der datenschutzrechtlichen Bestimmungen kann durch den Landes­datenschutz­beauftragten stichprobenartig kontrolliert werden.
  • Aber: Auch, wenn es in der Praxis zu einer Verletzung des Datenschutzes kommen sollte, ist das Risiko einer empfindlichen Strafe dann gering, wenn Sie nachweisen können, dass Sie die Bestimmungen der DSGVO eingehalten haben.

Umgang mit sogenannten Abmahnungen

Die neuen Regelungen zum Datenschutz bergen das Risiko, dass Ihre Praxis eine sogenannte Abmahnung erhält. Spezialisierte Anwaltskanzleien suchen gezielt nach vermeintlichen Rechtsverstößen (z. B. unzureichende Datenschutzerklärung auf der Praxis-Homepage) und verlangen Abmahngebühren – zumindest  fordern sie Anwaltsgebühren ein.

Um unseriöse Abmahnaktionen einzudämmen, hat die Bundesregierung eine Gesetzesänderung angekündigt, die Abmahngebühren im Zusammenhang mit der neuen DSGVO zumindest für eine Übergangszeit aussetzt. Das ist aber noch nicht beschlossen.

Falls Ihnen eine Abmahnung zugestellt wird, empfehlen wir Ihnen, diese auf keinen Fall einfach zu bezahlen. Ebenso sollten Sie keinesfalls die Unterlassungserklärung unterzeichnen, die in der Regel immer mit einer Abmahnung versendet wird. Übergeben Sie den Fall Ihrem Anwalt.

Wir gehen davon aus, dass diese Form der Abmahnungen rechtswidrig sind. Die KVBW darf Sie in diesen Fällen jedoch nicht vertreten, da wir hierzu keine Rechtsberatung vornehmen dürfen. Melden Sie sich aber in einem solchen Fall dennoch gerne unter recht@kvbawue.de. Wir können Ihnen zumindest eine Empfehlung geben, wie Sie weiter verfahren können.

Empfehlungen von KBV und BÄK und Datenschutz-Check 2018

Eine praktische Orientierungshilfe bieten die Empfehlungen zur ärztlichen Schweige­pflicht, Daten­schutz und Daten­verarbeitung in der Arztpraxis der Kassen­ärztlichen Bundes­vereinigung (KBV) und der Bundesärztekammer (BÄK). Die Bundesärzte­kammer und die KBV haben ihre Empfehlungen in Folge des neuen Datenschutzrechts überarbeitet und um die neuen Vorgaben ergänzt. Zudem haben sie mit Blick auf das neue Datenschutzrecht einen „Datenschutz-Check 2018“ erarbeitet, um Praxen Hilfestellungen zu geben, was angesichts der neuen Vorschriften zum Datenschutz zu beachten ist.

Themenauswahl

  • Schweigepflicht (z. B. Strafmaß bei Verstößen, Ausnahmen und Einschränkungen)
  • Datenschutz (z. B. Berichtigung, Löschen und Sperren von Daten)
  • Dokumentation (z. B. Schutz vor Einsichtnahme und Zugriff, Aufbewahrungs­pflichten)
  • Einsichtnahme und Übermittlung von Patientenakten
  • Grundsätze beim Einsatz von IT in der Arztpraxis
  • Überblick über die empfohlenen IT-Sicherheitsmaßnahmen
  • Checkliste zu den wichtigsten Punkten wie Umgang mit Passwörtern, Einrichtung von Netzwerken, Datensicherung

Selbsttest „Mein PraxisCheck“ zur Informationssicherheit

Mit dem kostenlosen Online-Test „Mein PraxisCheck der KBV können Niedergelassene unkompliziert testen, wie es um Datenschutz und Informationssicherheit in der eigenen Praxis steht. Werden sensible Patientendaten in der Praxis sicher aufbewahrt? Kennen alle Mitarbeiter die Regelungen zum Datenschutz? Sind die Zugriffsrechte auf die Praxiscomputer geregelt? Der Test ist anonym und dauert etwa 15 Minuten.

Datenschutz ist Teil des Qualitätsmanagements

Wie Sie Instrumente aus dem Qualitätsmanagement (QM) einsetzen können, um die Datenschutz-Anforderungen zu erfüllen, erfahren Sie bei unseren Fachberatern für Qualitätsmanagement. Der QEP-Qualitätsziel-Katalog reflektiert die gesetzlichen Anforderungen und widmet sich der Thematik in mehreren Kriterien und Qualitätszielen, angefangen mit dem Führen der Patientenakte.

Hinweis:

Auf dieser Website stellen wir unseren ärztlichen und psychotherapeutischen Mitgliedern als Informationsservice die wichtigsten Neuerungen der Datenschutzgrundverordnung auf Grundlage des aktuellen Wissensstands zur Verfügung. Wir weisen darauf hin, dass wir als Körperschaft des öffentlichen Rechts Rechtsberatung nur im Rahmen unserer eigenen behördlichen Zuständigkeit gewähren und dass zur Datenschutzgrundverordnung derzeit noch keine, insbesondere keine höchstrichterliche oder gar europäische Rechtsprechung vorliegt. Der Service beschränkt sich daher auf die Wiedergabe frei zugänglicher Informationen aus Drittquellen, die wir im Interesse unserer Mitglieder als nützlich erachten.

Die angegebenen Informationen und – sofern vorhanden – Empfehlungen wurden von den Autoren und der Redaktion mit größtmöglicher Sorgfalt erarbeitet und geprüft. Sie haben jedoch keinen konkreten Lebenssachverhalt im Sinne einer Beratung zum Gegenstand. Der Leser ist aufgefordert, sich in Bezug auf die Thematik auch selbst zu informieren, Fachinformationen der Datenschutzbehörden zur Kontrolle heranzuziehen und im Zweifelsfall sowie in allen konkreten Einzelfallfragen den Landesbeauftragten für den Datenschutz und die Informationsfreiheit und/oder einen Spezialisten aus der freien Rechtsanwaltschaft zu konsultieren.