· Nachricht · Datenschutz
So heiß gegessen wie gekocht: Datenschutz-Grundverordnung
Rechtsanwalt Dr. Thomas Willaschek, Fachanwalt für Medizinrecht, D+B Rechtsanwälte Partnerschaft mbB, Berlin und Düsseldorf, www.db-law.de
| Ab dem 25. Mai bringt die Datenschutz-Grundverordnung (DS-GVO) weitreichende Änderungen für Praxen und MVZ. Verstöße können mit Geldbußen im Millionenbereich geahndet werden. Selbst wenn die Aufsichtsbehörden eine „Gnadenfrist“ zur Umsetzung gewähren sollten ‒ Abmahnanwälte werden dies nicht tun, mit ebenfalls teuren Folgen. Sehr wichtig ist deshalb die Außenkommunikation mit (potenziellen) Patienten. |
Das ist zu beachten
- Ergänzen Sie die Pflichtinformationen auf Ihrer Website. Schon beim Aufruf simpler Websites wird regelmäßig die IP-Adresse des Nutzers erhoben. Dieses „personenbezogene Datum“ löst Informationspflichten aus. Weitere Hinweise werden notwendig, wenn Ihre Website z.B. Analyse-Tools und Cookies, Social Media-Anbindungen, einen Newsletter oder sogar ein Terminsystem beinhaltet. Vergeben Sie auf Ihrer Homepage einen gesonderten Button „Datenschutzerklärung“, damit die Besucher die Information finden können.
- Sehr wichtig ist zudem die Information der Patienten darüber, was mit ihren Daten im Rahmen der ärztlichen Behandlung geschieht und welche Rechte sie haben. In fast jeder Praxis und jedem MVZ gibt es Besonderheiten, etwa Kooperationspartner, Auftragsverarbeiter, Teilnahme an besonderen Versorgungsprogrammen oder Recall-Systeme. Letztlich ist entscheidend, dass keine Datenverarbeitungsvorgänge vergessen werden. Die Patienteninformation sollten Sie dem Patienten aushändigen, sich die Kenntnisnahme schriftlich bestätigen lassen und die Bestätigung archivieren.
BEACHTEN SIE | Die Information muss dem Patienten grundsätzlich bereits bei Erhebung der Daten/zu Beginn der Datenverarbeitung vorliegen. Und Beginn der Datenverarbeitung ist schon die Eingabe des Patientennamens ins System bei der Terminvergabe. Praktisch schwer umsetzbar ist, dass der Patient die Information dann schon in der Hand hält. Versenden Sie daher eine umgehende E-Mail zur Terminbestätigung mit der angehängten Information oder einem Link zur Homepage, wo Sie die Information ‒ neben der obigen Pflichtinformation zur Webseite ‒ unter einem gesonderten Button hinterlegen. Zusätzlich sollte das Personal jeden Patienten bei der erstmaligen Terminvergabe am Telefon auf die Information auf der Homepage hinweisen. Noch näher an der Regelung in der DS-GVO wäre eine vorgeschaltete Menüfunktion mit Sprachwiedergabe. Was den Behörden und Gerichten ausreicht und was nicht, ist nicht sicher einzuschätzen. |
Datenschutz-Folgeabschätzung
Neben den Themen mit Außenwirkung ist eine zentrale Neuerung die sog. Datenschutz-Folgenabschätzung, die so gut wie jede größere Praxis und jedes MVZ treffen dürfte (Ausnahme: Besteht insgesamt nur ein Versorgungsauftrag, kann sich eine individuelle Prüfung lohnen, ob sie den Aufwand tatsächlich betreiben müssen). Wer zur Datenschutz-Folgenabschätzung verpflichtet ist, muss regelmäßig auch einen Datenschutzbeauftragten bestellen und diesen der Aufsichtsbehörde anzeigen. Tipp: Wird kein Externer beauftragt, sollte der entsprechend qualifizierte Mitarbeiter sorgfältig ausgewählt werden. Denn er genießt besonderen Kündigungsschutz.
PRAXISTIPP | Die Umsetzung dieser und anderer Vorgaben ‒ etwa das Anlegen eines Verzeichnisses über die Datenverarbeitung, Prüfung der Verträge mit externen IT-Dienstleistern, Ergänzung der Einwilligungsformulare ‒ ist aufwendig. Wer nichts riskieren will, darf keine Zeit mehr verlieren und sollte ggf. professionelle Unterstützung zu Rate ziehen. Erste Orientierungshilfen für eine Datenschutzerklärung sowie die Pateinteninformation ‒ beide zur Verwendung nach Besprechung mit Ihrem Rechtsberater ‒ finden Sie unter https://db-law.de/de/mandanten/mvz/datenschutzrecht |
