Zugriffsrechte erwerben. Einloggen

Datenschutz in der ärztlichen Praxis

Leitfaden zur DS-GVO und dem BDSG mit Praxistipps, Musterdokumenten und Checklisten

Bert-Sebastian Dörfer, Carsten Dochow, Bernd Halbe, Marlis Hübner, Jan Ippach, Jürgen Schröder, Joachim Schütz und Jakob Strüve

Diese Publikation zitieren

Bert-Sebastian Dörfer, Carsten Dochow, Bernd Halbe, Marlis Hübner, Jan Ippach, Jürgen Schröder, Joachim Schütz, Jakob Strüve, Datenschutz in der ärztlichen Praxis (2019), Deutscher Ärzteverlag, Köln, ISBN: 9783769136906

Beschreibung / Abstract

Sicher? Sicher!
25. Mai 2018: Dieser Stichtag ist allen, die die DSG-VO in ihrer Praxis umzusetzen hatten, noch in Erinnerung. Seitdem hat jeder seine Erfahrungen mit den neuen Regelungen im Datenschutzrecht gemacht, sei es als Praxisinhaber, Datenschutzbeauftragter, Arbeitnehmer oder Verbraucher. Viele Fragen bleiben weiterhin offen und werden erst nach und nach Gegenstand von stichprobenartigen Überprüfungen von den Datenschutzbehörden sein. Hierbei kann es u.a. um folgende Fragen gehen:
- Ist für die Datenverarbeitung bei der Behandlung von Patienten immer eine Einwilligung einzuholen?
- Kann ich eine Behandlung ablehnen, wenn der Patient eine Einwilligungserklärung nicht unterschreibt?
- Wann muss ich einen Datenschutzbeauftragten benennen?
- Wie organisiere ich meine Praxis datenschutzkonform: Was muss ich im Empfangsbereich, den Behandlungszimmern und im Wartezimmer beachten?
- Wie gestalte ich meine Homepage datenschutzkonform? Was mache ich, wenn wegen den Angaben auf meiner Homepage abgemahnt werde?
- Wie gewährleiste ich, dass meine Praxissoft- und Hardware ausreichend sicher und vor Angriffen Dritter und Missbrauch in der Praxis geschützt ist?

Genau hier setzt der Leitfaden „Datenschutz in der ärztlichen Praxis“ von Dochow, Dörfer, Halbe, Hübner, Ippach, Schröder, Schütz und Strüve an. Die Autoren von Bundesärztekammer, Kassenärztlicher Bundesvereinigung, Deutschem Hausärzteverband und Rechtsanwälte einer renommierten, auf Medizinrecht spezialisierten Kanzlei haben tagtäglich mit Fragen rund um Datenschutz in der ärztlichen Praxis zu tun. Im fachlichen Austausch untereinander ist die Idee zu diesem Buch entstanden.

Maximal praxisrelevant und juristisch fundiert finden Sie hier Antworten auf die Fragen rund um die Datenschutzgrundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG), die Sie nach wie vor bewegen. Dank zahlreicher Praxistipps, Musterdokumente und praktischer Checklisten kommen Sie schnell und vor allem sicher zur Umsetzung aller erforderlichen Maßnahmen. Dabei stehen stets die besonderen Belange des Gesundheitswesens im Fokus.

Die Website datenschutz-praxis.aerzteverlag.de bietet Ihnen außerdem die Möglichkeit zum fachlichen Austausch, den Zugang zu stets aktuellen Informationen wie den „Fall des Monats“ und zu sämtlichen Musterdokumenten, Checklisten sowie relevanten Gesetzestexten.
Damit Sie in allen Datenschutzfragen auf der sicheren Seite sind!

Ihre Vorteile im Überblick:
- die speziellen Anforderungen von Datenschutz und Gesundheitswesen in Einklang gebracht
- maximal praxisrelevant und juristisch fundiert
- schnell umsetzbar dank Praxistipps, Musterdokumenten, Checklisten
- renommierte Autorenschaft aus Bundesärztekammer, Kassenärztlicher Bundesvereinigung, Deutschem Hausärzteverband und einer auf Medizinrecht spezialisierten Kanzlei.

Für wen ist der Leitfaden geeignet:
- Human, Zahn- und Tiermediziner mit eigener Praxis
- Psychotherapeuten mit eigener Praxis
- Praxisinhaber in Gesundheitsberufen, z.B. Physiotherapeuten, Ergotherapeuten, Osteopathen, Heilpraktiker, Hebammen, Logopäden
- Geschäftsführer und andere Entscheider in Unternehmen des Gesundheitswesens
- betriebliche Datenschutzbeauftragte in Unternehmen des Gesundheitswesens
- Juristen und andere Fachgruppen, die sich den Zugang zum Gesundheitsdatenschutzrecht erschließen wollen.

Beschreibung / Abstract

Nach einer Einführung zum Datenschutz in der ärztlichen Praxis von Schütz, der zentrale Begriffe,
das Anliegen des Datenschutzes und die Besonderheiten des Datenschutzes für Ärzte herausstellt
(Kap. 1), stellen Halbe/Ippach dar, für wen und wo die DS-GVO gilt, wie die EU-Verordnung durch die
sog. „Öffnungsklauseln“ ihren Weg in das deutsche Regelungssystem findet und unter welchen
Gesichtspunkten der Arzt für die Patientendatenverarbeitung verantwortlich ist (Kap. 2).
Im Anschluss daran stellt Dochow die Grundprinzipien der Datenverarbeitung vor, die für das
Verständnis des Datenschutzes von grundlegender Bedeutung sind (Kap. 3). Dazu gehört neben dem
zentralen Zweckbindungsgrundsatz zum Beispiel das Verbot mit Erlaubnisvorbehalt, wonach die
Verarbeitung von Gesundheitsdaten nur ausnahmsweise erlaubt ist. Viele in der europäischen und
deutschen Rechtsordnung verstreute Regelungen gestatten die Datenverarbeitung in
Behandlungskontexten. Dochow und Schröder bringen hier Licht in das dunkle Feld des
hochkomplexen Gesundheitsdatenschutzrechts: Die allgemeinen rechtlichen Grundlagen der
Verarbeitung von Gesundheitsdaten (Kap. 4.2) werden von Dochow ebenso beleuchtet wie die
wichtigsten bereichsspezifischen Vorschriften (Kap. 4.3). Schröder stellt die speziellen
Rechtsgrundlagen im vertragsärztlichen Bereich vor (Kap. 4.4) und Dochow befasst sich im Anschluss
mit der Einwilligung und unterbreitet ein Muster für eine Einwilligungserklärung (Kap. 4.5).
Ein Thema, das in jüngerer Vergangenheit für größere Verwirrung gesorgt hat, behandelt Schütz,
wenn er sich der Auftragsverarbeitung zuwendet. Hier war die Reichweite diskutiert und fraglich
geworden, welche Dienstleister nunmehr als Auftragsverarbeiter einzuordnen sind. Schütz verhält
sich zu Besonderheiten in der ärztlichen Praxis ebenso wie zu den Pflichten und den vertraglichen
Regelungen, welche berücksichtigt werden müssen, wenn Ärzte Auftragsverarbeiter heranziehen
wollen (Kap. 5).
Eine essentielle Grundpflicht im Bereich des Datenschutzes ist die Führung eines Verzeichnisses von
Verarbeitungstätigkeiten, weil diese Übersicht wichtiger Ausgangspunkt für die Erfüllung weiterer
datenschutzrechtlicher Pflichten sein kann. Hübner legt dar, wie Ärzte oder Geschäftsführer in
anderen Gesundheitseinrichtungen ein solches Verzeichnis anlegen sowie führen und sich damit
zugleich ihrer Datenverarbeitungsprozesse bewusst werden können. Ein Muster des Bayrisches
Landesamtes für Datenschutz und der Kassenärztlichen Bundesvereinigung (KBV) liefern
praxisgerechte Vorlagen (Kap. 6).
Eine neuartige Pflicht der DS-GVO scheint die Datenschutz-Folgenabschätzung zu sein. Dochow
beleuchtet, um was es sich hierbei handelt, wann diese Risiko-Folgenabschätzung durchzuführen ist
und benennt ihre Bedeutung vor allem für die Telemedizin. Am Ende des Kapitels stellt er eine Matrix
zur Dokumentation der Datenschutz-Folgenabschätzung zur Verfügung (Kap. 7).
Ein weniger neues, aber immerhin noch kontrovers diskutiertes Thema ist das zum betrieblichen
Datenschutzbeauftragten. Dochow legt dar, wann eine Pflicht zur Benennung eines
Datenschutzbeauftragten in der Arztpraxis besteht, welche Rechte und Stellung der
Datenschutzbeauftragte hat, welche Qualifikation er haben muss und was zu seinen Aufgaben zählt .
Ein Muster für eine Benennungsurkunde wird am Ende des Kapitels zur Verfügung gestellt (Kap. 8).
Was der Arzt als Arbeitgeber aus Sicht des Datenschutzes zu beachten hat, behandeln Halbe/Schütz.
Der Beschäftigtendatenschutz, namentlich Regelungen, welche die Datenverarbeitung für Zwecke
des Beschäftigungsverhältnisses erlauben, und Betroffenenrechte der Beschäftigten sind Gegenstand
dieses Kapitels (Kap. 9).
Eine der wichtigsten Anliegen des europäischen Gesetzgebers mit der DS-GVO war die Stärkung der
Betroffenenrechte. So soll vor allem die Transparenz bei der Datenverarbeitung erhöht werden,
indem umfassende Informationspflichten bestehen und Patienten Auskunft über ihre Daten oder
deren Löschung verlangen können. Die verschiedenen Betroffenenrechte von Patienten stellt
Schröder vor (Kap. 10).
Anschließend legt Dörfer die Grundzüge der ärztlichen Schweigepflicht dar, welche immer neben
dem Datenschutz zu beachten sind. Gegenstand und Reichweite der Schweigepflicht sind ebenso
Gegenstand des Kapitels wie Einschränkungen der Schweigepflicht z.B. durch die
Schweigepflichtentbindung oder gesetzliche Offenbarungspflichten oder -befugnisse. Berücksichtigt
wird auch die Neuregelung, welche es ermöglicht hat, dass Ärzte externe Personen oder
Unternehmen zur Unterstützung des Praxisbetriebs einsetzen, ohne sich dabei wegen des Bruchs der
Schweigepflicht strafbar zu machen (Kap. 11).
Die Sicherheit der Verarbeitung und die praxisinterne Datenschutzrichtlinie sind Gegenstand des von
Strüve behandelten Kapitels, in dem er die wichtigsten technisch-organisatorischen Maßnahmen zur
Umsetzung der Datensicherheit in der ärztlichen Praxis darstellt. Unterbreitet wird unter anderem
ein Muster für eine praxisinterne Datenschutzrichtlinie und für ein Verzeichnis der allgemeinen
technisch-organisatorischen Maßnahmen (Kap. 12).
Wenn dennoch etwas schiefgeht und es zu Datenschutzvorfällen, d.h. sog. Datenpannen kommt,
muss schnell und richtig reagiert werden. Strüve stellt dar, wann ein Datenschutzvorfall vorliegt,
welche Maßnahmen zu ergreifen sind und wie und bis wann eine Mitteilung an die
datenschutzrechtliche Aufsichtsbehörde zu erfolgen hat. Ein Muster steht auch hierfür zur
Verfügung. Wer seiner Pflicht zur Meldung einer Panne nachkommt, darf natürlich nicht
strafrechtlich verfolgt werden. Daher werden auch Beweisverwertungsverbote thematisiert
(Kap. 13).
Damit das Datenschutzanliegen seine Wirksamkeit entfalten kann, bedarf es seiner Durchsetzung.
Einer nicht länger bedeutungsarmen Seite des Datenschutzes wenden sich in diesem Zusammenhang
Halbe/Ippach zu: Sie stellen die Sanktionsmaßnahmen nach der DS-GVO, wie Geldbußen und weitere
aufsichtsbehördliche Abhilfemaßnahmen, vor. Im Fokus steht auch der Datenschutzverstoß durch
Praxismitarbeiter oder einen externen Auftragsverarbeiter. Umfang und Grenzen der
Sanktionsmöglichkeiten nach der DS-GVO werden ebenso betrachtet wie weitere
aufsichtsbehördliche Abhilfemaßnahmen. Schließlich wenden sie sich auch der Thematik des
Schadensersatzes und der Haftung zu (Kap. 14).
Sanktionen und Haftung lassen sich auch durch einen guten Kontakt zu Aufsichtsbehörden
vermeiden. Daher befasst sich Hübner im letzten Kapitel mit dem Umgang mit der Aufsichtsbehörde
für Datenschutz, wobei deren Aufgabe zur Aufklärung und Beratung ebenso thematisiert wird wie
deren Befugnisse gegenüber Ärzten. Dabei sind gerade bei Berufsgeheimnisträgern die betrachteten
Beschränkungen der Befugnisse der Aufsichtsbehörde von Bedeutung, damit das Patienten-Arzt-Geheimnis ein solches bleibt (Kap. 15).

Inhaltsverzeichnis

  • Cover
  • Impressum
  • Autorenverzeichnis
  • Vorwort
  • Abkürzungsverzeichnis
  • Inhaltsverzeichnis
  • 1 Einführung Datenschutz in der ärztlichen Praxis
  • Joachim Schütz
  • 1.1 Grundzüge des Datenschutz­rechts und rechtliche Rahmenbedingungen
  • 1.2 Begrifflichkeiten (Art. 4 DS-GVO, insbesondere Gesundheitsdaten, Verarbeitungsbegriff)
  • 1.3 Anliegen des Datenschutzes (Art. 1 DS-GVO, inklusive Grund­rechtsschutz: Art. 7, 8 GRCh; Recht auf informatio­nelle Selbstbestimmung)
  • 1.4 Besonderheiten des Datenschutzes für Ärztinnen und Ärzte
  • 1.5 Berufsgeheimnis und Schweigepflicht im Lichte des Datenschutzrechts
  • 1.6 Betroffenenrechte – Allgemeine Hinweise
  • 2 Anwendungsbereich der Datenschutzregelungen (DS-GVO/BDSG)
  • Bernd Halbe, Jan Ippach
  • 2.1 Sachlicher und räumlicher Schutzbereich der DS-GVO (Art. 2 und 3 DS-GVO)
  • 2.2 Verhältnis der DS-GVO zu nationalen Datenschutz­rege­lungen („Öffnungsklauseln“)
  • 2.3 Arzt als Adressat der DS-GVO
  • 2.4 Verhältnis zur ärztlichen Schweigepflicht (§ 1 Abs. 2 Satz 3 BDSG – „Parallelität“)
  • 3 Grundprinzipien der Datenverarbeitung
  • Carsten Dochow
  • 3.1 Rechtmäßigkeitsprinzip
  • 3.2 Verarbeitung nach Treu und Glauben
  • 3.3 Verhältnismäßigkeits­grundsatz
  • 3.4 Transparenzprinzip
  • 3.5 Beteiligung des Betroffenen
  • 3.6 Zweckbindungsgrundsatz
  • 3.7 Erforderlichkeit, Datenmini­mie­rung und Speicherbegrenzung
  • 3.8 Richtigkeit der Daten
  • 3.9 Technische und organisa­torische Sicherungen
  • 3.10 Grundsatz der Verantwortlichkeit
  • 3.11 Rechenschaftspflicht
  • 3.12 Unabhängige Datenschutzkontrolle
  • 4 Rechtliche Grundlagen der Verarbeitung von Gesundheitsdaten
  • 4.1 Grundsystematik und Rege­lungen für die Verarbeitung von Gesundheitsdaten im Überblick
  • 4.2 Allgemeine Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten
  • 4.3 Bereichsspezifische Vorschriften
  • 4.4 Spezielle Rechtsgrundlagen im vertragsärztlichen Bereich
  • 4.5 Einwilligung
  • 4.6 Zusammenfassung der Grundlagen für die Daten­verarbeitung in der Arztpraxis
  • 5 Auftragsverarbeitung – der Arzt als Verantwortlicher
  • Joachim Schütz
  • 5.1 Allgemeines zur Auftragsverarbeitung
  • 5.2 Besonderheiten in der ärztlichen Praxis
  • 5.3 Auftragsverarbeitung und Auftragsverarbeiter
  • 5.4 Die richtige Auswahl
  • 5.5 Vertragliche Regelungen
  • 6 Verzeichnis von Verarbeitungstätigkeiten (VvV)
  • Marlis Hübner
  • 6.1 Wesentliche Rechtsgrundlagen nach der DS-GVO
  • 6.2 Zweck der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten
  • 6.3 Pflicht zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten
  • 6.4 Inhalt des Verzeichnisses von Verarbeitungstätigkeiten
  • 7 Datenschutz-Folgenabschätzung
  • Carsten Dochow
  • 7.1 Definition und Bedeutung
  • 7.2 Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung
  • 7.3 Durchführung der Daten­schutz-Folgenabschätzung
  • 7.4 Konsultation der Aufsichtsbehörde
  • 7.5 Gemeinsame Datenschutz-Folgenabschätzung
  • 7.6 Matrix zur Dokumentation der Datenschutz-Folgenabschätzung
  • 8 Betrieblicher Datenschutzbeauftragter in der Arztpraxis
  • Carsten Dochow
  • 8.1 Allgemeines und Bedeutung des betrieblichen Datenschutzbeauftragten
  • 8.2 Pflicht zur Benennung eines Datenschutzbeauftragten
  • 8.3 Rechte und Stellung des Datenschutzbeauftragten
  • 8.4 Qualifikation und Aufgaben des Datenschutzbeauftragten
  • 8.5 Datenschutzbeauftragter und Verschwiegenheit
  • 8.6 Haftung des Datenschutz­beauftragten
  • 8.7 Folgen bei Verstößen („Fehler-Checkliste“)
  • 9 Arzt/Praxis als Arbeitgeber
  • Bernd Halbe/Joachim Schütz
  • 9.1 Allgemeine Grundsätze zum Schutz der Beschäftigten
  • 9.2 Beschäftigtendatenschutz
  • 9.3 Betroffenenrechte der Beschäftigten
  • 9.4 Unterrichtung und Verpflich­tung von Beschäftigten des Verantwortlichen und des Auftragsverarbeiters auf das Datengeheimnis
  • 10 Rechte von Patienten (Betroffenenrechte)
  • Jürgen Schröder
  • 10.1 Informationspflichten
  • 10.2 Auskunftsrechte
  • 10.3 Rechte auf Berichtigung, Löschung und Einschränkung der Verarbeitung
  • 10.4 Recht auf Datenübertragbarkeit
  • 10.5 Widerspruchsrecht
  • 11 Ärztliche Schweigepflicht
  • Bert-Sebastian Dörfer
  • 11.1 Einleitung
  • 11.2 Rechtsgrundlagen
  • 11.3 Gegenstand und Reichweite der Schweigepflicht
  • 11.4 Adressaten der Schweigepflicht
  • 11.5 Einschränkungen der Schweigepflicht
  • 12 Sicherheit der Verarbeitung und praxisinterne Datenschutzrichtlinie
  • Jakob Strüve
  • 12.1 Einleitung
  • 12.2 Technisch-organisatorische Maßnahmen zur Umsetzung der Datensicherheit in der Praxis
  • 13 Verletzung des Schutzes personenbezogener Daten („Datenpannen“)
  • Jakob Strüve
  • 13.1 Einführung und allgemeiner Überblick zu den Regelungen
  • 13.2 Art. 33 DS-GVO – Mitteilung an die datenschutzrechtliche Aufsicht
  • 13.3 Art. 34 DS-GVO – Benach­richtigung des Betroffenen
  • 13.4 Einbindung des Datenschutz­beauftragten bei der Meldung und Benachrichtigung
  • 13.5 Dokumentationspflichten im Zusammenhang mit dem Datenschutzvorfall
  • 13.6 Maßnahmen im Vorfeld
  • 13.7 Folgen einer unterlassenen Meldung und Benachrichtigung
  • 13.8 Beweisverwertungsverbote
  • 14 Sanktionen und Haftung
  • Bernd Halbe/Jan Ippach
  • 14.1 Überblick
  • 14.2 Sanktionsmaßnahmen nach der DS-GVO
  • 14.3 Sanktionsmöglichkeiten nach nationalem Recht (BDSG)
  • 14.4 Schadenersatz und Haftung
  • 15 Umgang mit der Aufsichtsbehörde
  • Marlis Hübner
  • 15.1 Unabhängige Aufsichtsbehörden
  • 15.2 Aufklärung und Beratung durch die Aufsichtsbehörde?
  • 15.3 Weitere Aufgaben und Befug­nisse der Aufsichtsbehörde
  • 15.4 Beschränkung der Befugnisse der Aufsichtsbehörde nach § 29 Abs. 3 BDSG
  • 16 Anhang: Muster
  • Muster 1: Datenschutz-Einwilligungserklärung
  • Muster 2: Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO
  • Muster 3: Arztpraxis – Verzeichnis von Verarbeitungstätigkeiten (Bayerisches Landesamt für Datenschutzaufsicht)
  • Muster 4: Verzeichnis von Verarbeitungstätigkeiten (Kassenärztliche Bundesvereinigung)
  • Muster 5: Matrix zur Dokumentation der Datenschutz-Folgenabschätzung
  • Muster 6: Urkunde zur Benennung einer/s internen betrieblichen Datenschutzbeauftragten
  • Muster 7: (Widerrufliche) Einwilligungserklärung zur Nutzung von Bildaufnahmen des Mitarbeiters auf der Homepage der Arztpraxis
  • Muster 8: Informationen zur Datenverarbeitung gemäß Art. 13 DS-GVO zum Arbeitsvertrag
  • Muster 9: Verpflichtung zur Vertraulichkeit und zur Wahrung datenschutzrechtlicher Bestimmungen nach der DS-GVO
  • Muster 10: Einfache Passwortrichtlinie
  • Muster 11: Praxisinterne Datenschutzrichtlinie – Verzeichnis der allgemeinen technisch-organisatorischen Maßnahmen
  • Muster 12: Verpflichtungserklärung zur Wahrung des Datengeheimnisses und der Schweigepflicht
  • Muster 13: Meldung an die datenschutzrechtliche Aufsicht
  • Muster 14: Zu erteilende Informationen bei der Benachrichtigung
  • Muster 15: Dienstanweisung − Richtlinie zum Umgang mit Verstößen und über die Zusammenarbeit mit Aufsichtsbehörden
  • Muster 16: Patienteninformation zum Datenschutz
  • Literaturverzeichnis
  • Stichwortverzeichnis

Ähnliche Titel

    Mehr von diesem Autor