Datenschutzgrundverordnung
Nach der Datenschutz-Grundverordnung (DS-GVO) sind Praxen verpflichtet nachzuweisen, dass sie die datenschutzrechtlichen Grundsätze einhalten, zum Beispiel gegenüber den Aufsichtsbehörden. Außerdem haben Sie Informationspflichten gegenüber den Patienten, wie sie personenbezogene Daten verarbeiten. Weitere Informationen der Kassenärztlichen Bundesvereinigung (KBV): Datenschutz-Grundverordnung (DS-GVO) in der Praxis
Dokumente für Praxen
Hinweise für Praxen zur Datenschutz-Grundverordnung hat die KBV in einer Übersicht zusammengestellt. Hier finden Sie u. a. Praxisinformationen und Musterdokumente, die Sie sich für Ihre Praxis herunterladen können:
Verzeichnis von Verarbeitungstätigkeiten
Aufstellung der Maßnahmen zum Datenschutz
Patienteninformationen zum Datenschutz in der Praxis (z.B. Checklisten, Ausfüllbeispiele etc.)
Datenschutzbeauftragter
Einen Datenschutzbeauftragten müssen Praxen ab 20 Mitarbeitern benennen, sofern diese mit der automatisierten Verarbeitung personenbezogener Daten (u.a. Gesundheitsdaten) beschäftigt sind.
Bei der Zählung der Mitarbeiter kommt es nicht auf den Umfang oder die Art des Beschäftigungsverhältnisses an, sondern alleine auf die Kopfzahl der Mitarbeiter, die in der Regel (ständig oder auf längere Zeit) personenbezogene Daten verarbeiten. Der Inhaber der Praxis und Auszubildende sind dabei zu berücksichtigen. Ständig bedeutet nicht, dass eine Person während der gesamten Arbeitszeit mit der automatisierten Verarbeitung von personenbezogenen Daten befasst ist. Ausreichend ist, dass dies ein Schwerpunkt der Tätigkeit der Person ist. Mitarbeiter, die sich z.B. in Elternzeit befinden zählen nicht dazu, da sie während der Elternzeit regelhaft nicht mit der automatisierten Bearbeitung betraut sind.
Unabhängig von der Mitarbeiterzahl muss ein Datenschutzbeauftragter benannt werden , wenn eine Datenschutz-Folgeabschätzung erforderlich ist. Dies ist z.B. der Fall, wenn aufgrund des Umfangs und des Zwecks der Datenverarbeitung ein hohes Datenschutzrisiko besteht. Auch die systematische Video-Überwachung der Praxisräume oder der Einsatz von telemedizinischen Daten, zum Beispiel das Angebot einer Video-Sprechstunde, kann ein Grund sein.
Wer kann Datenschutzbeauftragte(r) werden?
Die Funktion des Datenschutzbeauftragten kann ein entsprechend fachlich geschulter Mitarbeiter oder auch ein externer Datenschützer übernehmen, nicht aber der Praxisinhaber. Die Benennung des Datenschutzbeauftragten sollte schriftlich erfolgen. Aufgabe des Datenschutzbeauftragten ist es, die Einhaltung des Datenschutzes und der Datensicherheit in der Praxis zu kontrollieren. In diesem Zusammenhang legt er bei Bedarf geeignete Maßnahmen fest. Zudem berät und informiert er das Praxisteam über seine Pflichten.
Die Benennung eines Datenschutzbeauftragten entbindet, wie Art. 24 Abs. 1 DSGVO klarstellt, den Verantwortlichen –den/die Praxisinhaber- nicht davon sicherzustellen und nachzuweisen, dass die Datenverarbeitung im Einklang mit den Regelungen der DSGVO steht.
Fragen und Antworten zur Datenschutz-Grundverordnung
Die KBV hat auf ihrer Internetseite einen Katalog der häufigsten Fragen und Antworten zur Datenschutz-Grundverordnung veröffentlicht: Datenschutz und Informationssicherheit in Praxen
Quelle: Kassenärztliche Bundesvereinigung (https://www.kbv.de/html/dsgvo-in-der-praxis.php)