Praxisgründung & Datenschutz: Welche DSGVO-Vorschriften muss eine Arztpraxis erfüllen?
Die Datenschutz-Grundverordnung ist ein umfangreiches Regelwerk, das in seiner Gesamtheit schwer zu erfassen ist. Doch besonders Ärzt:innen arbeiten mit sensiblen personenbezogenen Daten. Welche Vorschriften Sie erfüllen müssen, um sich datenschutzrechtlich abzusichern, erklärt unsere Datenschutzexpertin Dr. Sandra Huber.
Was müssen Medizinerinnen und Mediziner bei der Gründung einer Arztpraxis in Bezug auf die DSGVO und Datenschutz beachten?
Sandra Huber: „Gerade Ärztinnen und Ärzte sollten vom Zeitpunkt der Praxisgründung an das Thema Datenschutz immer im Blick haben. Aber nicht nur sie, auch ihr Team, also alle Praxis-Mitarbeitende, müssen über die einzuhaltenden Datenschutzbestimmungen informiert und entsprechend geschult sein. Denn gerade der sorgsame Umgang mit sensiblen Daten der Patientinnen und Patienten, wie Gesundheitsdaten, ist wichtig. Nötig sind daher im ersten Schritt die Erstellung eines Verarbeitungsverzeichnisses, wo alle Datenverarbeitungen erfasst sind, sowie die Implementierung von technischen und organisatorischen Maßnahmen. Sicherheit und Vertraulichkeit der Daten müssen unbedingt gewährleistet sein.“
Bleiben wir beim Verarbeitungsverzeichnis: Was ist das und warum ist es wichtig?
Sandra Huber: „Die Pflicht zum Führen eines Verarbeitungsverzeichnisses basiert auf Artikel 30 der EU-Datenchutz-Grundverordnung (DSGVO). Dieser verpflichtet Unternehmen, ein “Verzeichnis über Verarbeitungstätigkeiten”, also die Verarbeitung von personenbezogenen Daten, zu führen. Es macht transparent, welche Daten verarbeitet werden und zu welchem Zweck. Weiters ist die Rechtsgrundlage der Verarbeitung darzulegen. Auf Anfrage der Datenschutzbehörde muss das Verarbeitungsverzeichnis vorgelegt werden. Diese sieht sich dann die einzelnen Verarbeitungsvorgänge an und prüft, ob die Bestimmungen der DSGVO eingehalten werden.“
Muss jede Arztpraxis ein Verarbeitungsverzeichnis führen oder gibt es Ausnahmen, zum Beispiel für kleine Praxen?
Sandra Huber: „Durch die Verarbeitung von besonderen Datenkategorien im medizinischen Bereich, wie eben Gesundheitsdaten, ist ein Verzeichnis verpflichtend zu führen. Jede Ärztin und jeder Arzt ist somit als Verantwortliche bzw. Verantwortlicher zur Erstellung eines Verzeichnisses verpflichtet. Dieses ist laufend aktuell zu halten.“
Wer sind Auftragsverarbeiter nach DSGVO und welche Aufgaben haben sie?
Sandra Huber: „Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag der Ärztin bzw. des Arztes bearbeitet. Solche Externe mit Zugriff auf personenbezogene Daten können sein:
- IT-Support-Unternehmen
- Arztsoftwarehersteller
- Host-Provider und Mail-Provider, wenn die Speicherung und der Zugang zu Daten angeboten werden
- Unternehmen für Direktwerbung
- Callcenter
- Online-Terminvereinbarungsanbieter
Als Ärztin bzw. Arzt entscheiden Sie über den Zweck der Verarbeitung und erteilen entsprechende Weisungen. Das heißt der Auftragsverarbeiter ist Ihr „verlängerter Arm“.“
In einer Arztpraxis sind auch “technische und organisatorische Maßnahmen” zu implementieren. Was ist damit gemeint?
Sandra Huber: „Diese Maßnahmen umfassen unter anderem die Verschlüsselung von elektronischen Patientenakten, die Festlegung von Zugriffsrechten , Zugangskontrollsysteme zur Ordination, Passwortrichtlinien, Bildschirm- und Computersperren, Absicherung der Geräte und Netzwerke und Clean-Desk-Policy. Schließlich ist es wichtig, diese Maßnahmen regelmäßig zu evaluieren und die Datenschutzrichtlinien zu aktualisieren.“
Das hört sich nach einer umfangreichen Aufgabe an. Ist das alleine schaffbar?
Sandra Huber: „Bei den Dokumentationspflichten, die sich aus der DSGVO ergeben, können Sie sich gut an Vorlagen orientieren, zum Beispiel jener auf der Website der Ärztekammer Wien. Wer unsicher ist, ist nie schlecht beraten, sich an eine Expertin bzw. einen Experten für Datenschutz zu wenden.“
Sie haben noch weitere Fragen:
- Braucht meine Arztpraxis eine:n Datenschutzbeauftragte:n?
- Welche Maßnahmen muss ich laufend setzen, um datenschutzkonform zu agieren?
- Was ist eine Datenschutzfolgeabschätzung?
- Und was passiert bei einem Verstoß gegen die DSGVO?
Weitere Insights und Erklärungen von Sandra Huber lesen Sie in unserem Magazinbeitrag Datenschutz in der Arztpraxis.
Dr. Sandra Huber ist Datenschutzexpertin mit HR-Background. Sie weiß, wovon sie spricht: Mit ihrem praxisrelevanten Wissen im Arbeits- und Datenschutzrecht unterstützt sie Unternehmen bei der Erreichung ihrer Compliance-Ziele. Ihr Motto: Datenschutz soll nicht verhindern, sondern ermöglichen!
Die DSGVO ist oft umständlich und kompliziert. Wir sind es nicht.
Wir identifizieren Optimierungsmöglichkeiten Ihres Datenschutz-Managements und erarbeiten maßgeschneiderte Umsetzungsmaßnahmen, die Sie direkt anwenden können.