Häufig gestellte Fragen
Zuständig für den Datenschutz ist die bzw. der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg.
Adresse:
LDA Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
Die Rechtslage dazu ist derzeit in den Einzelheiten noch unklar. Jedenfalls brauchen Sie einen Datenschutzbeauftragten, wenn mindestens zehn Personen in Ihrer Praxis mit der Verarbeitung von personenbezogenen Daten regelmäßig beschäftigt sind. Weitere Informationen dazu können Sie in unserem Artikel im Ärzteblatt Mai 2018 nachlesen.
Sollte in Ihrer Arztpraxis ein Datenschutzbeauftragter erforderlich sein (siehe Frage 2), ist die Information über die Benennung und der Person der zuständigen Aufsichtsbehörde mitzuteilen. Im Land Brandenburg ist das die bzw. der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg.
Adresse:
LDA Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
Nach Auffassung der zuständigen Aufsichtsbehörde in Brandenburg sind die Patienten aktiv zumindest einmalig bei einem Arztbesuch (nicht bereits bei einem Telefonat zur Terminvereinbarung) auf einen ausliegenden Flyer hinzuweisen, auf dem die wichtigsten Informationen als Kurzfassung abgedruckt sind. Für weitergehende Informationen kann dann wieder mittels Link und/oder QR-Code auf die Webseite mit den vollständigen Informationen verwiesen werden. Als Standort für den Flyer empfielt sich der Empfangstresen. Zusätzlich sollten die vollständigen Informationen ohne Internetzugang also z.B. durch einen Aushang in der Arztpraxis vorliegen.
Als Nachweis über den erfolgten Hinweis sollte entweder elektronisch ein Haken im Verwaltungssystem oder ein Stempel in der Patientenakte gesetzt werden. Weitergehende Hinweise finden Sie unter der Frage: Welche sind die wichtigsten Informationen zum Datenschutz?
Einen Auftragsverarbeitungsvertrag müssen Sie mit Dritten abschließen, die weisungsgebunden personenbezogene Daten Ihrer Arztpraxis verarbeiten können. Zur Verarbeitung genügt bereits die Möglichkeit der Kenntnisnahme. Ein typisches Beispiel für eine Auftragsverarbeitung ist die Wartung des IT-Systems durch externe Unternehmen. Keine Auftragsverarbeitung liegt dagegen bei der Zusammenarbeit mit Berufsgruppen vor, die dem Berufsgeheimnis unterliegen, wie Rechtsanwälte oder Steuerberater. Ebenso keinen Auftragsverarbeitungsvertrag benötigen Sie bei der Übermittlung von personenbezogenen Daten an die Krankenkassen und die Kassenärztliche Vereinigung, soweit es um die Erfüllung gesetzlicher Verpflichtungen wie z. B. die Abrechnung der erbrachten Leistung geht.
Die zuständige Aufsichtsbehörde kann lediglich prüfen, ob die betroffene Arztpraxis die erforderlichen organisatorischen Maßnahmen zum Datenschutz getroffen hat. Dazu gehört insbesondere ein Verzeichnis über die Verarbeitungstätigkeiten, eine Übersicht über die getroffenen technisch-organisatorischen Maßnahmen und ggf. die Benennung eines Datenschutzbeauftragten bzw. eine Überprüfung, ob die erforderlichen Verträge über eine Auftragsverarbeitung mit Dritten abgeschlossen wurden. Die Aufsichtsbehörde darf jedoch insbesondere keinen Einblick in die geschützten Patientendaten erhalten.
Eine Datenschutzfolgenabschätzung dient der Prüfung von Risiken und Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Eine solche Abschätzung wird immer dann nötig, wenn besonders hohe Risiken für sensible Daten wie Gesundheitsdaten bestehen. Wann ein erhöhtes Risiko im Einzelfall anzunehmen ist, kann aufgrund der noch unklaren Rechtslage nicht eindeutig gesagt werden. Sollte eine Datenschutzfolgenabschätzung erforderlich sein, prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.
Bei der Überweisung eines Patienten an einen Facharzt oder der Übersendung eines Befundes an einen anderen Arzt ist vor der Übermittlung von Patientendaten stets das Einverständnis des betroffenen Patienten einzuholen. Aus beweisrechtlichen Gründen sollte dies schriftlich erfolgen. Technisch ist darauf zu achten, dass Sie den möglichst sichersten Weg für die Übersendung wählen. Es sollten daher insbesondere keine unverschlüsselten E-Mails dafür genutzt werden.
Grundsätzlich sieht die Datenschutzgrundverordnung Strafen in Form von Bußgeldern bis zu einer Höhe von 20 Mio. Euro oder 4 % des Jahresumsatzes gegenüber den Verantwortlichen vor. In der Praxis ist jedoch davon auszugehen, dass die Behörden zumindest in der Anfangszeit nach Inkrafttreten der Datenschutzgrundverordnung zunächst einen Hinweis erteilen werden, bevor Strafen in Form von Bußgeldern drohen. Weiterhin wären Strafen nur in verhältnismäßiger Höhe zulässig. Bei der Festsetzung der Höhe sind unter anderem die Art und die Schwere des Verstoßes, sowie der Grad des Verschuldens beim Verantwortlichen zu berücksichtigen.
Sollte bei Ihnen in der Arztpraxis ein Verstoß gegen den Datenschutz vorgefallen sein, z. B. durch Versenden von Patientendaten an eine falsche Adresse, so ist dieser Vorfall der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden mitzuteilen. Gegebenenfalls sind auch die Betroffenen wie z. B. Patienten über den Vorfall zu informieren. Zuständig für den Datenschutz ist die bzw. der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg.
Adresse:
LDA Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
Die wichtigsten Informationen zum Datenschutz über die der Patient einmalig aktiv zu informieren ist, sind in Art. 13 Absatz 1 DSGVO benannt. Dazu gehören insbesondere:
Buchst. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 Buchst. b BDSG);