Logo der Kassenärztlichen Vereinigung Nordrhein

Navigation

Fragenkatalog zur DSGVO

FAQ zur Datenschutzgrundverordnung (Stand: 3. Juli 2019)

 

Allgemeines

 

1) Was sind die größten Änderungen, die mit der neuen DSGVO auf Praxen zukommen?

Es gibt zwei wesentliche Änderungen:

  • Für die Einhaltung des Datenschutzes waren Praxen bisher bereits verantwortlich. Jetzt muss die Einhaltung nachgewiesen werden. Dafür benötigen Praxen insbesondere eine Dokumentation der technisch-organisatorischen Maßnahmen, welche sie für die Einhaltung des Schutzes personenbezogener Daten ergreifen. Praxen müssen mit Stichproben durch die zuständige Aufsichtsbehörde Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) rechnen; der Aufsichtsbehörde sind auf Verlangen die Dokumentationen vorzulegen.
  • Praxen müssen mit beachtlich erhöhten Sanktionen bei Verstößen gegen den Datenschutz rechnen. Diese betragen bis zu 20 Millionen Euro im Jahr bzw. 4 % des Jahresumsatzes.

 

2) Wie kann die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) kontaktiert werden?

Es gibt verschiedene Kontaktmöglichkeiten:

 

3) Was ist bei einer Datenpanne zu tun?

Datenpannen, wie beispielsweise Hackerangriffe sowie Datenschutzverstöße müssen der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden. Praxen sollten schriftlich festlegen, wer für die Meldung zuständig ist.

 

Erforderliche Dokumentationen

 
4) Was müssen Praxen vor dem Hintergrund der DSGVO dokumentieren?

Folgende Dokumentationen müssen Praxen zwingend führen und auf Verlangen der Aufsichtsbehörde vorlegen:

  • Verarbeitungsverzeichnis
  • Interner Datenschutzplan: Aufstellung aller technisch-organisatorischen Maßnahmen zur Einhaltung des Datenschutzes
  • Ggfs. Datenschutz-Folgenabschätzung

 

5) Was ist ein Verarbeitungsverzeichnis?

In einem schriftlichen oder elektronischen Verarbeitungsverzeichnis erfasst die Praxis Tätigkeiten bzw. Vorgänge, bei denen personenbezogene Daten verarbeitet werden. Dies sind insbesondere Patientendaten und Personaldaten. Datenverarbeitung beginnt beim ersten Kontakt des Patienten mit der Praxis: Am Telefon oder am Empfang, evtl. sogar im Internet. Hierunter sind alle Tätigkeiten wie Erheben, Abfragen, Ordnen, Speichern, Anpassen, Ändern, Auslesen, Weiterleiten, Löschen und Vernichten von Daten zu verstehen.
Erfasst werden müssen insbesondere

  • Zweck der Verarbeitung (z.B. ärztliche Dokumentation)
  • betroffene Personengruppen (z.B. Patienten, Beschäftigte, auch kurzfristige Schulpraktikanten)
  • Datenkategorien (z.B. Gesundheitsdaten, Personaldaten)
  • Empfängergruppen, gegenüber denen die personenbezogenen Daten offengelegt werden (z.B. Krankenkassen, Kassenärztliche Vereinigungen)
  • Fristen für die Löschung (z.B. zehn Jahre)
 
6) Wo gibt es ein Muster für ein Verarbeitungsverzeichnis?

Auch die Kassenärztliche Bundesvereinigung (KBV) stellt auf ihrer Homepage ein Muster eines Verarbeitungsverzeichnisses inkl. Ausfüllbeispielen zur Verfügung.

 

7) Was gehört zu den technisch-organisatorischen Maßnahmen?

Das Gesetz macht keine Vorgaben, welche Maßnahmen im Einzelnen dokumentiert werden müssen. Es geht insbesondere um die Vorkehrungen, die in der Praxis getroffen werden, um einen Missbrauch von personenbezogenen Daten auszuschließen. Dazu gehören insbesondere der Umgang mit Zutritten in die Praxis, Zugänge zu digitalen und analogen Daten (Zugriffsberechtigungen), sichere Verwahrung der Daten sowie sichere Vernichtung von Daten nach DIN-Norm 66399, Wahrung der Vertraulichkeit in den Praxisräumlichkeiten, Umgang mit Internet und E-Mail, Bildschirmsperren und Datensicherungen. Durch die Dokumentation kennen alle Praxismitarbeiter die Regeln und bei einer Prüfung kann der Aufsichtsbehörde ein schriftlich dokumentierter Datenschutzplan vorgelegt werden.

 
8) Gibt es Vorlagen für die Dokumentation der technisch-organisatorischen Maßnahmen?

Da diese Dokumentationen sehr praxisindividuell sind, gibt es diesbezüglich leider keine Vorlagen oder Muster.

 
9) Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung ist eine Abschätzung der Folgen von Verarbeitungsvorgängen für den Schutz personenbezogener Daten. Sie enthält neben der Beschreibung der Vorgänge insbesondere auch eine Bewertung der Notwendigkeit der Vorgänge sowie eine Abschätzung der Risiken inklusive geplanter Abhilfemaßnahmen.

 

10) Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Eine Datenschutz-Folgenabschätzung muss dann durchgeführt werden, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

In Praxen wäre dies beispielsweise dann der Fall, wenn aufgrund des Umfangs der Datenverarbeitung ein hohes Datenschutzrisiko besteht. Dies ist in der Regel nur in sehr großen Gemeinschaftspraxen und in Medizinischen Versorgungszentren der Fall. Auch eine systematische Videoüberwachung in den Praxisräumlichkeiten kann ein Grund sein.

Ist eine Datenschutz-Folgeabschätzung erforderlich, muss ein Datenschutzbeauftragter (siehe Punkt V) benannt werden, auch wenn in der Praxis weniger als 10 Mitarbeiter tätig sind.

 

Verhältnis zum Patienten

 
11) Was müssen Praxen im Verhältnis zum Patienten beachten?

Im Verhältnis zum Patienten müssen insbesondere folgende Rechte beachtet bzw. umgesetzt werden:

  • Recht auf Information
  • Recht auf Auskunft
  • Recht auf Löschung
  • Vorliegen von Einwilligungserklärungen.

 

12) Worüber müssen Patienten informiert werden?

Praxen müssen Patienten darüber informieren, was mit ihren Daten passiert. Diese Information muss insbesondere Angaben zu Zweck der Verarbeitung sowie zur Rechtsgrundlage enthalten. Auch die Kontaktdaten der Praxis und ggfs. des Datenschutzbeauftragten sollten in der Information enthalten sein.

 

13) In welcher Form soll die Information erfolgen?

Die Information kann über einen Aushang in der Praxis erfolgen, der in für Laien verständlicher Sprache verfasst sein muss.

Auch die KBV stellt auf ihrer Homepage ein Muster für eine Patienteninformation zur Verfügung.

 

14) Welche Daten müssen wie bereitgestellt werden?

Neben dem Einsichtsrecht hat der Patient auch ein Recht darauf, eine Kopie der zu seiner Person gespeicherten Daten zu erhalten. Praxen sollten diesen Prozess dokumentieren, u.a. wie die Daten aus der Praxissoftware exportiert werden können und in welchem Format (Papier, digital) die Informationen bereitgestellt werden.

 

15) Wann kann ein Patient das Recht auf Löschung zu den über ihn gespeicherten Informationen geltend machen?

Ein Recht auf Löschung besteht insbesondere zu gespeicherten Informationen außerhalb der gesetzlichen Krankenversicherung, beispielsweise wenn Informationen nicht mehr benötigt werden oder wenn eine Einwilligungserklärung zur Weiterleitung von Daten an eine private Verrechnungsstelle widerrufen wird.

 

16) Kann ein Patient die Löschung von Behandlungsdokumentationen innerhalb der Aufbewahrungsfrist verlangen?

Nein, die gesetzlichen Aufbewahrungsfristen müssen beachtet werden. Innerhalb dieser Fristen kann ein Patient nicht die Löschung von Behandlungsdokumentationen verlangen.

Die Behandlungsdokumentation muss zehn Jahre lang nach der letzten Behandlung aufbewahrt werden.

 

17) Wann muss eine Einwilligungserklärung vorliegen?

  • Nach wie vor ist eine schriftliche Einwilligung auf der Grundlage des § 73 Abs. 1b SGB V erforderlich, sofern Behandlungsdaten und Befunde an andere behandelnde Ärzte oder Krankenhäuser weitergegeben werden oder von ihnen angefordert werden müssen.
  • Zudem müssen Patienten eine Einwilligungserklärung unterschreiben, welche zum Zwecke der Datenübermittlung an Dritte außerhalb der gesetzlich geregelten Datenflüsse maßgeblich ist. Dies ist zum Beispiel der Fall, wenn Sie Patientendaten zu Abrechnungszwecken an private Verrechnungsstellen weiterleiten.
  • Auch wenn Patientendaten wie Kontaktinformationen für Service-Angebote (z. B. Recall-Service) genutzt werden sollen, wird eine entsprechende Einwilligungserklärung benötigt.
  • Zusätzlich dient ein Aushang bzw. die Aushändigung der Patienteninformation innerhalb der Praxis dazu, auf die gesetzlich geregelte Erhebung und Verarbeitung von Daten aufmerksam zu machen (siehe Frage 13). Der bloße Aushang einer Patienteninformation ersetzt jedoch nicht die Einwilligungserklärung in den oben genannten Fällen.

 

18) Müssen beide Elternteile bei der Behandlung eines Kindes einwilligen?

Grundsätzlich muss nur ein nur ein Elternteil unterschreiben. Beim gemeinsamen Sorgerecht ist ein Elternteil als Stellvertreter für den anderen Elternteil tätig und kann zum Kindeswohl für den anderen Elternteil mitentscheiden.

 

19) Was muss die Einwilligungserklärung beinhalten?

Ab 25. Mai müssen Einwilligungserklärungen einen Hinweis darauf enthalten, dass Patienten ihr Einverständnis jederzeit widerrufen können. Praxen sollten ihre Vorlagen prüfen und ggfs. ergänzen.

 

20) Ist bei der Weitergabe von Körpermaterial z.B. an Labore auch eine Einwilligungserklärung erforderlich?

Praxen, die Körpermaterial an ein externes Labor übermitteln, müssen mit diesem eine Auftragsverarbeitung schließen (siehe auch Fragen 24-29). Eine gesonderte Erlaubnis des Patienten in Form einer Einwilligungserklärung muss nicht eingeholt werden.

 

21) Gibt es Muster für Einwilligungserklärungen?

 

22) Was ist bei der Übergabe von Rezepten und Überweisungen für Patienten an deren Nachbarn und Angehörige zu beachten?

Der Patient kann Dritten, wie Nachbarn oder Angehörigen, eine Vollmacht ausstellen. Ein Umschlag zur Wahrung des Briefgeheimnisses reicht allein nicht aus. Wenn der Dritte in der Praxis bekannt ist, liegt es in der Hand des Arztes, über die Aushändigung zu entscheiden.

 

23) Was ist zu beachten, wenn nicht deutschsprachige Patienten ihre Kinder in der Praxis anrufen lassen?

Es gibt kein Problem, wenn die Kinder in der Praxis bekannt sind, da sie ihre Eltern auch sonst bei Arztbesuchen begleiten. Auch wenn während des Telefonats die Patienten selbst im Hintergrund dabei sind und das Kind nur dolmetscht, gibt es kein Problem. Ansonsten müssen die Eltern eine Vollmacht für das Kind ausstellen.

 

Zusammenarbeit mit Dienstleistern

 

24) Was ist bei der Zusammenarbeit mit Dienstleistern zu beachten?

Immer, wenn ein externer Dienstleister personenbezogene Daten verarbeitet, müssen Praxen mit diesem eine Auftragsverarbeitung (als Anlage zum Hauptvertrag) abschließen. Dies ist insbesondere in folgenden Fällen notwendig:

  • Wartung/Fernwartung der Praxissoftware
  • Vernichtung von Akten und Datenträgern durch einen externen Dienstleister
  • Terminvergabe durch Externe (beinhaltet nicht die Terminservicestellen der KV Nordrhein)
  • Nutzung von Cloud-Systemen
  • Auch die Weitergabe von Körpermaterial an ein externes Labor bedarf einer Auftragsverarbeitung.

Praxen sollten diesbezüglich die Dienstleister ansprechen und um die Zusendung eines Entwurfes bitten.

Hinweis: Praxen benötigen keine zusätzliche Einwilligungserklärung des Patienten bei Weitergabe an ein externes Labor, sofern eine Auftragsvereinbarung mit dem Labor geschlossen wurde.

 

25) Welche Inhalte sollte der Vertrag zur Auftragsverarbeitung enthalten?

Folgende Inhalte sollte der Vertrag enthalten:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Rechte und Pflichten des Auftraggebers sowie dessen Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung berechtigten Personen zur Vertraulichkeit
  • Benennung der technischen und organisatorischen Maßnahmen, die das Unternehmen zum Schutz personenbezogener Daten durchführt (z.B. Einhaltung von Vorgaben der ISO/IEC 27001)
  • Verpflichtung des Auftragnehmers zur Unterstützung des Auftraggebers bei:
    • Anfragen und Ansprüchen Betroffener im Zusammenhang mit der Auftragsverarbeitung
    • der Meldepflicht bei Datenschutzverletzungen und der Daten-schutz-Folgenabschätzung
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Verpflichtung des Auftragnehmers, dem Auftraggeber alle Informationen zum Nachweis der Einhaltung der datenschutzrechtlichen Pflichten bereitzustellen. Möglich ist auch eine Überprüfung oder Inspektion durch einen vereinbarten Prüfer.

 

26) Ist bei der Weitergabe von Daten an Steuerberater und Rechtsanwälte ebenfalls eine Auftragsverarbeitung erforderlich?

In der Regel besteht kein Grund, bei Beauftragung dieser Berufsgruppe personenbezogene Daten von GKV-Patienten zu übermitteln. Sollte es im Einzelfall einen Grund geben, beispielsweise einem Anwalt personenbezogene Daten zu übermitteln, dann muss für diesen Fall eine Einverständniserklärung vom Patienten eingeholt werden.

Die Beauftragung dieser Berufsgruppe ist keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen mit einem eigenständigen Beratungsvertrag zwischen Kanzlei und Mandant, und nicht als Auftragsverarbeitung im Sinne der DSGVO zu sehen.

 

27) Ist eine Auftragsverarbeitung mit der KV zu schließen, da zu Abrechnungszwecken ebenfalls personenbezogene Daten übermittelt werden?

Die Weitergabe der Abrechnungsdaten und somit auch der Patientendaten an die Kassenärztliche Vereinigung Nordrhein erfolgt gemäß § 295 SGB V aufgrund gesetzlicher Verpflichtung und bedarf daher keines Vertrages zur Auftragsverarbeitung. Dasselbe gilt für die Übermittlung von Daten an die gesetzlichen Krankenkassen.

 

28) Ist eine Auftragsverarbeitung erforderlich bei der Übermittlung von Daten an die DMP-Annahmestelle?

Wenn ein Patient sich in das DMP-Programm einschreibt, willigt er auch in die Datenübertragung an die DMP-Stelle ein. Eine gesonderte Auftragsverarbeitung ist nicht notwendig.

 

29) Ist eine Auftragsverarbeitung erforderlich bei der Übermittlung von Daten an die Berufsgenossenschaft?

Die Übermittlung von Unfallberichten an die Berufsgenossenschaft ergibt sich aus einer berufsrechtlichen Pflicht. Eine Auftragsverarbeitung ist daher nicht notwendig.

 

30) Müssen Anfragen der gesetzlichen Krankenkassen oder des MDK (Medizinischer Dienst der Krankenversicherung) nicht mehr beantwortet werden?

Vertragsärzte müssen Anfragen der gesetzlichen Krankenkassen oder des MDK beantworten – allerdings nur dann, wenn diese bestimmte formale und inhaltliche Anforderungen erfüllen. Wenn die Anfragen nicht auf den vereinbarten Vordrucken gestellt werden, kann eine Praxis die Antwort unter Umständen verweigern, um Verstöße gegen die ärztliche Schweigepflicht auszuschließen.

Damit Sie wissen, wie ein richtiger, für diesen Zweck vereinbarter, nicht individualisierter Vordruck aussieht, hat die KBV eine Sammlung aller verbindlicher Muster zusammengestellt, von denen grundsätzlich nicht abgewichen werden darf. Wenn Kassen oder der MDK anfragen, sollten sie dafür vor allem die Muster 11, 52 und 86 nutzen.

 

Bestellung eines Datenschutzbeauftragten

 

31) Wann sind Praxen gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen?

Die Bestellung ist verpflichtend ab 20 Beschäftigten in der Praxis, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dazu gehören:

  • Praxisinhaber
  • angestellte Ärzte
  • Praxispersonal inkl. Auszubildende

unabhängig davon ob sie in Voll- oder Teilzeit beschäftigt sind.

Wenn in Praxen eine Datenschutz-Folgenabschätzung notwendig ist, muss unabhängig von der Anzahl der Praxismitarbeiter ebenfalls ein Datenschutzbeauftragter bestellt werden.

 

32) Wer kann Datenschutzbeauftragter sein?

Die Praxis kann einen externen Datenschutzbeauftragten bestellen oder einen internen Mitarbeiter dazu benennen, ausgenommen den Praxisinhaber selber. Bei der Benennung eines internen Datenschutzbeauftragten ist dieser weisungsfrei und in der Ausführung dieser Aufgabe durch den Praxisinhaber zu unterstützen. Er muss über die notwendige Fachkunde und Zuverlässigkeit verfügen.

 

33) Wie kann die Fachkunde erworben werden?

Das Gesetz macht bezüglich der Fachkunde keine klaren Vorgaben. Zur Fachkunde gehören die Kenntnis über die gesetzlichen Vorgaben (insbesondere DSGVO, bürgerliches Gesetzbuch und Strafgesetzbuch), daneben allgemeine IT-Kenntnisse und Kenntnisse über das eingesetzte Praxisverwaltungssystem.
Ferner sollte sich der Datenschutzbeauftragte mit den organisatorischen Praxisabläufen auskennen und didaktische Fähigkeiten besitzen, da er das Praxispersonal schulen und sensibilisieren muss.

 

34) Welche Seminare muss der Datenschutzbeauftragte besuchen?

Es gibt diesbezüglich keine verbindlichen Regelungen. Theoretisch kann das Wissen auch in einem reinen Selbststudium angeeignet werden. Empfehlenswert ist jedoch der Besuch eines Datenschutz-Seminars, wie es beispielsweise von der KV Nordrhein oder der Ärztekammer angeboten wird. Auch der TÜV bietet entsprechende Seminare an. Zertifikate oder Prüfungen sind nicht erforderlich.

 

35) Welche Aufgaben hat der Datenschutzbeauftragte?

Zu den wichtigsten Aufgaben des Datenschutzbeauftragten gehören:

  • Umsetzung und Einhaltung der Vorschriften über den Datenschutz
  • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme (hier sind vor allem die technisch-organisatorischen Maßnahmen zu beachten)
  • Schulung und Sensibilisierung der mit der Datenverarbeitung betrauten Beschäftigten
  • Durchführung von Vorabkontrollen
  • Durchführung von jährlichen Datenschutzaudits (empfohlen).

 

36) Wie wird die Anzahl der Personen in einer Praxisgemeinschaft gezählt? Ist die Anzahl der Personen in den jeweiligen Teilen maßgeblich?

Praxisgemeinschaften sind rechtlich selbstständige Organisationseinheiten und werden daher auch einzeln betrachtet. Wenn sich die Praxisgemeinschaft aber auch das Personal teilt, muss dieses mehrfach gezählt werden.

 

37) Wie wird der Datenschutzbeauftragte bestellt?

Der Datenschutzbeauftragte muss zwingend der LDI NRW als Landesdatenschutzbehörde gemeldet werden.

Hinweis: Die LDI NRW beabsichtigt, unterlassene Meldungen der Kontaktdaten von Datenschutzbeauftragten während einer Übergangszeit bis zum 31. Dezember 2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.

 

Homepage, Facebook und Co.

 

38) Was müssen Praxen beachten, die eine Homepage oder eine Facebook-Seite betreiben?

Praxen, die eine Homepage oder auch Facebook-Seite betreiben, müssen darauf achten, dass diese eine Datenschutzerklärung beinhaltet. So müssen zum Beispiel alle Zwecke aufgeführt werden, zu denen Daten erhoben und verarbeitet werden. Auch die Rechtsgrundlage, auf der Daten verarbeitet werden, muss benannt sein.

Weiterhin muss ein Hinweis auf das Recht zur Auskunft wie auf das Recht auf Löschung und Widerspruch enthalten sein. An allen Stellen auf der Homepage, wo Patientendaten erhoben werden, wie etwa bei der Bestellung von Newslettern oder der Online-Terminvergabe müssen auch entsprechende Hinweise aufgenommen werden.

Hier finden Sie ein Muster für eine Datenschutzerklärung auf Ihrer Homepage:

 
39) An wen können Praxen sich wenden, wenn sie Fragen zu konkreten Formulierungen auf der Homepage oder Facebook-Seite haben?

Die KV Nordrhein kann und darf keine detaillierten Fragen zur Homepage und Facebook-Seiten beantworten. Praxen sollten sich an ihren Anwalt oder ihr Softwarehaus wenden.

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Mehr Infos zum Datenschutz