Wird ein Mitarbeiter mit der Aufgabe betraut, spricht man von einem internen Datenschutzbeauftragten. Der Mitarbeiter steht unter Kündigungsschutz und hat das Recht zum Beispiel auf eine eigene Ausstattung oder Fortbildung.
Firmen bzw. Inhaber können aber auch einen externen Dienstleister beauftragen. Bei dieser Variante fallen zusätzliche Kosten an.
Nach der DSGVO sowie ergänzend dem BDSG besteht eine Verpflichtung zur Benennung eines DSB, wenn
• die Verarbeitung von Patientenddaten durch 10 oder mehr Personen erfolgt (die Berechnung erfolgt dabei nach Köpfen und auch der/die Praxisinhaber ist/sind einzube-rechnen.)
ODER
• eine umfangreiche Verarbeitung von Daten erfolgt;
• eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO zu erstellen ist.
Die Aufsichtsbehörde vertritt die Auffassung, dass in der Regel bei einer Datenverarbeitung von bis zu 9 Personen nicht von einer umfangreichen Verarbeitung auszugehen ist. Auch eine Datenschutzfolgenabschätzung ist in einer durchschnittlichen Arztpraxis regelmäßig nicht vorzunehmen. Die Landesdatenschutzbeauftragte für den Datenschutz hat nunmehr auf ihrer Website eine Liste veröffentlicht, für welche Verarbeitungsvorgänge eine Datenschutzfolgenabschätzung zwingend erfolgen muss. Ärzte müssen danach beispielsweise eine Datenschutzfolgenabschätzung vornehmen, wenn sie eine Telefonsprechstunde über ein Webportal oder eine App anbieten. Damit hat jeder Arzt, der eine Videosprechstunde nach Anl. 31b BMV-Ä anbietet, eine Datenschutz-Folgenabschätzung vorzunehmen. Ebenfalls erfordert die umfangreiche Weitergabe anonymisierter Daten im Rahmen der medizinischen Forschung die Durchführung einer Datenschutzfolgenabschätzung.
Verlust des aptops, Hackerangriff oder unbewusste Veröffentlichung von personenbezogenen Daten im Internet: Von einem Datenschutzvorfall spricht man, wenn die Sicherheit der personenbezogenen Daten, für die der Arzt oder Psychotherapeut verantwortlich ist, verletzt wird oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten auftreten - also die Daten nicht mehr sicher sind. Dabei spielt es keine Rolle, ob die Verletzung der Sicherheit absichtlich oder unbeabsichtigt erfolgt ist.
Die Versendung von Faxen wird seitens der Landesbeauftragten für den Datenschutz zunehmend als problematisch erachtet. Vor dem Hintergrund der nahezu flächendeckenden Umstellung auf VoiceoverIP sei das Fax ähnlich wie eine unverschlüsselte Email zu betrachten. Die Landesbeauftragte empfiehlt daher, das Fax nur noch im eilbedürftigen Notfall einzusetzen. Bitte stellen Sie in diesem Fall ergänzend sicher, dass organisatorische Sicherheitsmaßnahmen eingehalten werden (richtige Faxnummer, Fax steht außerhalb von Patientenzugriff etc.).
Die Versendung von Daten per E-Mail darf nur verschlüsselt erfolgen. Verlangt der Patient nach Hinweis für die erheblichen Risiken des unverschlüsselten Emailversands gleichwohl die Übersendung per Mail, kann dies auf sein Risiko erfolgen.
Die Nutzung von WhatsApp ist unzulässig, da WhatsApp Ihr gesamtes Telefonbuch ausliest und die Daten in die USA übermittelt.
Der erste Schritt ist, dass der Inhaber der Praxis informiert wird. Dieser muss den Vorfall dokumentieren und gegebenenfalls geeignete Gegenmaßnahmen einleiten. Sofern ein Datenschutzbeauftragter bestellt ist (ab 10 Mitarbeiter, siehe oben), kann dieser durch die Praxis hinzugezogen werden. Zudem muss die verantwortliche Stelle, entscheiden, ob der Vorfall an die zuständige Datenschutzaufsichtsbehörde gemeldet werden muss (eine Übersicht finden Sie hier). Eine solche Meldung muss innerhalb von 72 Stunden erfolgen.
Wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Was „Risiko“ bedeutet, muss im Einzelfall entschieden werden. Ein Beispiel wäre ein Hackerangriff auf die Patientendatenbank. Werden dagegen Daten aus Versehen von einem Mitarbeiter gelöscht, aber sofort wieder hergestellt, muss ein solcher Vorfall zwar dokumentiert, aber eher nicht gemeldet werden.
Sie sollten Ihr Verzeichnis immer auf dem aktuellen Stand halten und hin und wieder prüfen, ob es angepasst werden muss. Treten Sie zum Beispiel einem neuen Versorgungsvertrag bei, bei dem Daten von Patienten erhoben, gespeichert oder an Dritte weitergeleitet werden, prüfen Sie, ob Sie Ihr Verzeichnis um diese Tätigkeit ergänzen müssen.
So sind Sie immer auf der sicheren Seite, falls die Datenschutzbehörde sich Ihr Verzeichnis vorlegen lässt.
Personenbezogene Daten dürfen nur übermittelt werden, wenn eine Rechtsgrundlage es erlaubt. Dies kann eine Einwilligung des Patienten sein, mit der er einer Schweigepflichtentbindung zustimmt, oder eine Rechtsnorm, zum Beispiel eine gesetzliche Bestimmung im SGB V oder eine Regelung im Bundesmantelvertrag-Ärzte.
Anfragen von Krankenkassen auf einem vertragsärztlichen Formular beruhen auf so einer Rechtsnorm, deshalb müssen Praxen solche Anfragen beantworten. Anders bei formlosen Anfragen: Bei diesen muss die Krankenkasse angeben, aufgrund welcher Rechtsgrundlage sie Auskunft haben will. Ansonsten sind Praxen nicht verpflichtet zu antworten.
Auch Anfragen anderer Stellen, etwa von Berufsgenossenschaften, Sozialgerichten oder Gesundheitsämtern, müssen eine Rechtsgrundlage haben. Es kann zum Beispiel sein, dass personenbezogene Daten an Gesundheitsämter übermittelt werden müssen, weil für bestimmte Krankheiten Meldepflicht aufgrund des Infektionsschutzgesetzes besteht.
Ups, beim Senden Ihrer Nachricht ist ein Fehler aufgetreten.
Bitte versuchen Sie es später noch einmal.