Am 25.05.2018 sind die EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Seit dem muss jede Praxis / Apotheke / Klinik bzw. jedes andere Unternehmen die nachfolgend aufgeführten Anforderungen erfüllen. Aufgrund der horrenden Bußgelder und Strafvorschriften ist die anwaltliche Beratung bei der Umsetzung der datenschutzrechtlichen Vorschriften dringend zu empfehlen. Sprechen Sie mich gerne an.
Datenschutzbeauftragter
Ein Datenschutzbeauftragter muss bestellt werden in Praxen / Unternehmen
- mit mindestens 10 Personen, die mit der Datenverarbeitung befasst sind, oder
- mit umfangreicher personenbezogener Datenverarbeitung (ausgenommen sind laut Erwägungsgründen Einzelpraxen, d.h. jede Gemeinschaftspraxis braucht einen Datenschutzbeauftragten), oder
- bei Pflicht zur Datenschutz-Folgenabschätzung.
Patienten
Jedem Patienten ist ab dem 25.05.2018 folgendes auszuhändigen:
- detailliertes Informationsblatt über die Erhebung, Verarbeitung und Weitergabe (Labor, Taxi, Klinik, andere Ärzte, etc.) seiner Daten unter Angabe der Rechtsgrundlage des jeweiligen Rechts zur Datenerhebung und der jeweiligen Speicher- und Löschfristen, und
- detailliertes Informationsblatt über die Rechte des Patienten auf Auskunft, Berichtigung, Löschung, Widerspruch, Beschwerde, etc.
Falls Patientendaten zu anderen Zwecken als zur medizinischen Behandlung verarbeitet werden (z.B.: Geburtstagsliste, Taxikoordination, Korrespondenz via unverschlüsselter E-Mail, WhatsApp, etc.), ist eine
- schriftliche Einwilligungserklärung
des Patienten einzuholen.
Mitarbeiter
Für die Mitarbeiter gilt entsprechendes: jedem Mitarbeiter ist ab dem 25.05.2018 folgendes auszuhändigen:
- detailliertes Informationsblatt über die Erhebung, Verarbeitung und Weitergabe (Steuerbüro, Finanzamt, Betriebsarzt, etc.) seiner Daten unter Angabe der Rechtsgrundlage des jeweiligen Rechts zur Datenerhebung und der jeweiligen Speicher- und Löschfristen, und
- detailliertes Informationsblatt über die Rechte des Mitarbeiters auf Auskunft, Berichtigung, Löschung, Widerspruch, Beschwerde, etc.
Falls Mitarbeiterdaten zu anderen Zwecken als zur Abwicklung des Arbeitsvertrags verarbeitet werden (z.B.: Geburtstagsliste, Bilder auf der Homepage, Korrespondenz via unverschlüsselter E-Mail, WhatsApp, etc.), ist eine
- schriftliche Einwilligungserklärung
des Mitarbeiters einzuholen.
Ferner ist es sehr empfehlenswert, die Mitarbeiter im Hinblick auf die verschärften Datenschutzbestimmungen
- zu schulen und
- ihnen detaillierte Arbeitsanweisungen für den Umgang mit Daten zu geben.
Vertragspartner
Gegenüber dritten Vertragspartnern gelten – sofern personenbezogene Daten von einzelnen Mitarbeitern der Vertragspartner verarbeitet werden – ebenfalls die o.g. Pflichten:
- Übergabe Informationsblätter (s.o.), kann ggf. auch per E-Mail erfolgen
- Einholung Einwilligung, z. B. über Korrespondenz via unverschlüsselter E-Mail.
Werden einzelne Aufgaben, zu denen gespeicherte personenbezogene Daten verwendet werden müssen oder eingesehen werden können, auf Dritte ausgelagert, wie z.B.:
- Wartung / Fernwartung von Software
- externe Datensicherung / -vernichtung
- Einschaltung einer privatärztlichen Verrechnungsstelle
- Cloud-Computing (Speicherung der Daten in einer Cloud)
muss ein
- Vertrag über die Auftragsverarbeitung
nach Vorgaben der DSGVO abgeschlossen werden.
Interne Pflichten
Hierzu gehören insbesondere:
- technische und organisatorische Maßnahmen zur Datensicherheit (wie z. B. Firewall, Anti-Virenprogramm, Vergabe von Zugriffsrechten auf bestimmte Datenbereiche, Datensicherung, Einholung von Datenschutzerklärungen von Vertragspartnern, regelmäßige Schulungen und Überprüfungen, etc.),
- Anlegen eines Verzeichnisses über die Verarbeitungstätigkeiten, nach Art. 30 DSGVO; hierzu hat die Datenschutzkonferenz eine Mustervorlage auf ihrer Homepage veröffentlicht,
- Benachrichtigungs- und Meldepflichten gegenüber den betroffenen Personen und der jeweiligen Aufsichtsbehörde bei Datenschutzverstößen (hier empfehlen sich schriftliche Arbeitsanweisungen und Mitarbeiterschulungen),
- Datenschutz-Folgenabschätzung, z. B. bei Nutzung einer Cloud, Durchführung von Genananlysen und Bestimmung von Abstammungsmerkmalen, Durchführung von Telemedizinischen Dienstleistungen, insb. Fernbehandlungen unter Einschaltung von Drittanbietern,
- Datenschutzerklärungen für die Homepage (Verwendung von Cookies, Angebot von verschlüsselter E-Mail, etc.).
Dokumentation ist das A und O
Wenn die Aufsichtsbehörde oder Betroffene (Patienten, Mitarbeiter, Vertragspartner) von ihrem Auskunftsrecht Gebrauch machen, müssen Sie die Einhaltung aller o.g. Punkte nachweisen können. Daher sollten Sie alles schriftlich bzw. per E-Mail machen, sich den Empfang bestätigen lassen und gut aufbewahren.