Systemprüfung fehlgeschlagen!
Diese Website verwendet JavaScript.
In Ihrem Browser ist dies nicht aktiviert.
Oder es kam zu einem Fehler in der Verarbeitung.
In diesem Fall aktualisieren Sie ihren Browser, um die Seite neu zu laden.

Häufig gestellte Fragen

FAQs zum Datenschutzrecht

Häufig gestellte Fragen, die beim telefonischen Beratungsgespräch an den Datenschutzbeauftragten zum Datenschutzrecht gestellt wurden.

Frage A1

Wer ist die zuständige Aufsichtsbehörde für den Datenschutz im Land Brandenburg?

Zuständig für den Datenschutz ist die bzw. der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg.

Adresse:
LDA Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow

Wann brauche ich einen Datenschutzbeauftragten?

Die Rechtslage dazu ist derzeit in den Einzelheiten noch unklar. Jedenfalls brauchen Sie einen Datenschutzbeauftragten, wenn mindestens zehn Personen in Ihrer Praxis mit der Verarbeitung von personenbezogenen Daten regelmäßig beschäftigt sind. Weitere Informationen dazu können Sie in unserem Artikel im Ärzteblatt Mai 2018 nachlesen.

Wem gegenüber ist der Datenschutzbeauftragte einer Arztpraxis mitzuteilen?

Sollte in Ihrer Arztpraxis ein Datenschutzbeauftragter erforderlich sein (siehe Frage 2), ist die Information über die Benennung und der Person der zuständigen Aufsichtsbehörde mitzuteilen. Im Land Brandenburg ist das die bzw. der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg.

Adresse:
LDA Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow

Wie sind Patienten über den neuen Datenschutz zu informieren?

Nach Auffassung der zuständigen Aufsichtsbehörde in Brandenburg sind die Patienten aktiv zumindest einmalig bei einem Arztbesuch (nicht bereits bei einem Telefonat zur Terminvereinbarung) auf einen ausliegenden Flyer hinzuweisen, auf dem die wichtigsten Informationen als Kurzfassung abgedruckt sind. Für weitergehende Informationen kann dann wieder mittels Link und/oder QR-Code auf die Webseite mit den vollständigen Informationen verwiesen werden. Als Standort für den Flyer empfielt sich der Empfangstresen. Zusätzlich sollten die vollständigen Informationen ohne Internetzugang also z.B. durch einen Aushang in der Arztpraxis vorliegen.

Als Nachweis über den erfolgten Hinweis sollte entweder elektronisch ein Haken im Verwaltungssystem oder ein Stempel in der Patientenakte gesetzt werden. Weitergehende Hinweise finden Sie unter der Frage: Welche sind die wichtigsten Informationen zum Datenschutz?

Wann benötige ich einen sog. Auftragsverarbeitungsvertrag?

Einen Auftragsverarbeitungsvertrag müssen Sie mit Dritten abschließen, die weisungsgebunden personenbezogene Daten Ihrer Arztpraxis verarbeiten können. Zur Verarbeitung genügt bereits die Möglichkeit der Kenntnisnahme. Ein typisches Beispiel für eine Auftragsverarbeitung ist die Wartung des IT-Systems durch externe Unternehmen. Keine Auftragsverarbeitung liegt dagegen bei der Zusammenarbeit mit Berufsgruppen vor, die dem Berufsgeheimnis unterliegen, wie Rechtsanwälte oder Steuerberater. Ebenso keinen Auftragsverarbeitungsvertrag benötigen Sie bei der Übermittlung von personenbezogenen Daten an die Krankenkassen und die Kassenärztliche Vereinigung, soweit es um die Erfüllung gesetzlicher Verpflichtungen wie z. B. die Abrechnung der erbrachten Leistung geht.

Welche Informationen würde die zuständige Aufsichtsbehörde bei einer Kontrolle überprüfen bzw. überprüfen dürfen?

Die zuständige Aufsichtsbehörde kann lediglich prüfen, ob die betroffene Arztpraxis die erforderlichen organisatorischen Maßnahmen zum Datenschutz getroffen hat. Dazu gehört insbesondere ein Verzeichnis über die Verarbeitungstätigkeiten, eine Übersicht über die getroffenen technisch-organisatorischen Maßnahmen und ggf. die Benennung eines Datenschutzbeauftragten bzw. eine Überprüfung, ob die erforderlichen Verträge über eine Auftragsverarbeitung mit Dritten abgeschlossen wurden. Die Aufsichtsbehörde darf jedoch insbesondere keinen Einblick in die geschützten Patientendaten erhalten.

Was ist eine sog. Datenschutzfolgenabschätzung und wann wird diese nötig?

Eine Datenschutzfolgenabschätzung dient der Prüfung von Risiken und Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Eine solche Abschätzung wird immer dann nötig, wenn besonders hohe Risiken für sensible Daten wie Gesundheitsdaten bestehen. Wann ein erhöhtes Risiko im Einzelfall anzunehmen ist, kann aufgrund der noch unklaren Rechtslage nicht eindeutig gesagt werden. Sollte eine Datenschutzfolgenabschätzung erforderlich sein, prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.

Was ist datenschutzrechtlich bei der Überweisung eines Patienten an einen Facharzt bzw. ein Labor zu beachten?

Bei der Überweisung eines Patienten an einen Facharzt oder der Übersendung eines Befundes an einen anderen Arzt ist vor der Übermittlung von Patientendaten stets das Einverständnis des betroffenen Patienten einzuholen. Aus beweisrechtlichen Gründen sollte dies schriftlich erfolgen. Technisch ist darauf zu achten, dass Sie den möglichst sichersten Weg für die Übersendung wählen. Es sollten daher insbesondere keine unverschlüsselten E-Mails dafür genutzt werden.

Welche Strafen drohen Arztpraxen bei Verstößen gegen den Datenschutz?

Grundsätzlich sieht die Datenschutzgrundverordnung Strafen in Form von Bußgeldern bis zu einer Höhe von 20 Mio. Euro oder 4 % des Jahresumsatzes gegenüber den Verantwortlichen vor. In der Praxis ist jedoch davon auszugehen, dass die Behörden zumindest in der Anfangszeit nach Inkrafttreten der Datenschutzgrundverordnung zunächst einen Hinweis erteilen werden, bevor Strafen in Form von Bußgeldern drohen. Weiterhin wären Strafen nur in verhältnismäßiger Höhe zulässig. Bei der Festsetzung der Höhe sind unter anderem die Art und die Schwere des Verstoßes, sowie der Grad des Verschuldens beim Verantwortlichen zu berücksichtigen.

Was muss ich tun, wenn in der Arztpraxis ein Datenschutzverstoß vorgefallen ist?

Sollte bei Ihnen in der Arztpraxis ein Verstoß gegen den Datenschutz vorgefallen sein, z. B. durch Versenden von Patientendaten an eine falsche Adresse, so ist dieser Vorfall der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden mitzuteilen. Gegebenenfalls sind auch die Betroffenen wie z. B. Patienten über den Vorfall zu informieren. Zuständig für den Datenschutz ist die bzw. der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg.

Adresse:
LDA Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow

Welche sind die wichtigsten Informationen zum Datenschutz?

Die wichtigsten Informationen zum Datenschutz über die der Patient einmalig aktiv zu informieren ist, sind in Art. 13 Absatz 1 DSGVO benannt. Dazu gehören insbesondere:

    1. Name und die Kontaktdaten des Verantwortlichen (Praxisinhaber) sowie gegebenenfalls seines Vertreters;
    2. Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
    3. Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (in Arztpraxis häufig Art. 9 Abs. 2

      Buchst. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 Buchst. b BDSG);

    4. Gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (z.B. Mitarbeiter der Arztpraxis)