Zurück zum Magazin

Die neue DSGVO für die Arztpraxis - Keine Panik!

Änderungen der DSGVO für die Arztpraxis kurz und bündig erklärt.

PD Dr. med. Christian Ottomann
20.06.2018
Laut der neuen europäischen Datenschutzgrundverordnung sind einige Änderungen für Ihre Arztpraxis notwendig, mit denen sich kein Kollege gerne auseinander setzt. Die neue DSGVO kann aber auch ein guter Anlass sein, um überholte Prozesse im Praxisalltag beim Umgang mit Patientendaten zu überprüfen und zu verbessern. Die wichtigste Neuerung der DSGVO besteht in der Stärkung Stärkung der Persönlichkeitsrechte von Patienten, die in den organisatorischen Abläufen im Praxisalltag mehr berücksichtigen werden sollten. Leider steigt damit die Bürokratie des Arztberufes weiter an.


Eine suffiziente Dokumentation der Krankengeschichte und Therapie ist für jeden Arzt schon immer Pflicht und gehört zur alltäglichen Praxisroutine. Aber wie verhält es sich mit der neuen DSGVO in der Arztpraxis?

Insgesamt ist die Anwendung der DSGVO für Ärzte nicht eindeutig. Abhilfe wurde daher durch die Bundesregierung in Form des Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (DSAnpUG-EU) geschaffen. Offiziell bedarf das neue DSGVO zwar keiner nationalen Umsetzungsgesetze, denn sie tritt automatisch in allen EU-Mitgliedsstaaten in Kraft tritt, durch die Anpassung in das deutsche Datenschutzrechtes wird die DSGVO aber auch für Arztpraxen konkreter formuliert. Ärzte müssen durch das Datenschutz-Anpassungs- und Umsetzungsgesetzes jedoch mit weniger widersprüchlichen Aussagen kämpfen.

Die entscheidenden Kernpunkte der neuen DSGVO für die Arztpraxis haben wir im folgenden zusammengefasst: 

1. Zusätzliche Patienten Einwilligungen obligatorisch

Bei jeder Datenverarbeitung personenbezogener Patientendaten sollte eine Einwilligung eingeholt werden. Am besten die Einwilligung in den Anamnesebogen inkludieren. Diese muss allerdings im Anamnesebogen Layout deutlich abgegrenzt erscheinen, damit der Patient erkennen kann worin er einwilligt. Laut der neuen DSGVO muss dabei die Sprachbarriere niedrig sein, d.h. die Einwlilligung muss in einfacher, verständlicher Sprache formuliert sein. Sollen Patienten digital, d.h. via Email oder SMS an Termine erinnert werden sollte dafür eine zusätzliche Einwilligung eingeholt werden.

2. Vorsicht bei der Weitergabe von Patientendaten

Die erhobenen Patientendaten wie die Krankheitsgeschichte, Diagnosen und die korrespondierende Therapie dürfen nur zum Zweck der medizinischen Leistungerbringung und Abrechnung gespeichert werden. Für die Weiterleitung (Datenübertragung) an externe Abrechnungsstellen sollte hierzu eine gesonderte schriftliche Einwilligung eingeholt werden. Bei der Weitergabe von Daten zu Studienzwecken oder an Drittanbieter wie Pharmafirmen ist große Vorsicht geboten und darf nur nach expliziter Einwilligung des Patienten erfolgen! Allerdings hat das deutsche Datenschutzrecht (Paragraf 27 DSAnpUG-EU) eine Öffnungsklausel für wissenschaftliche Zwecke geschaffen, was aber eher Krankenhäuser und universitäre Einrichtungen betrifft. In diesem Fall kann auf eine explizite Patienteneinwilligung verzichtet werden, sofern "die Interessen des Verantwortlichen für die Datenverarbeitung die Interessen der jeweils betroffenen Person an seinem Ausschluss erheblich überwiegen". Vorsicht ist für Ärzte auch beim Datenaustausch in Ärztenetzen oder Kooperationen geboten: Auch hier sollte vor jeglicher Datenweitergabe der Patient unbedingt zustimmen. 

3. Löschen von Patientendaten

Patienten haben nun ein Recht auf Löschung ihrer Patientendaten. Durch die negativen Erfahrungen in den sozialen Medien und nicht nur nach dem Skandal der britischen Firma Cambridge Analytica wurde das Recht von Patienten auf Löschung ihrer Daten gestärkt. Im Praxisalltag ist dabei zu beachten, dass bei Patientendaten Übertragung mit Drittanbietern, etwa zur Datensicherung von Patientendaten bei Cloudanbietern gesichert sein muss, wie diese Daten auf Wunsch des Patienten dauerhaft und endgültig gelöscht werden können. Davon unberührt sind Patientendaten, die Ärzte zum Nachweis der Leistungserbringung, Dokumentatinospflicht und aus Haftpflichtgründen aufbewahren müssen, etwa wenn es zu juristischen Auseinandersetzungen kommt. Allerdings dürfen diese Daten nur dem Arzt und dem Datenschutzbeauftragten, soweit vorhanden, zugänglich sein.

4. Übergabe der Daten an Patienten

Abhängig vom verwendeten Praxis EDV Anbieter kann es eine Herausforderung für den Arzt sein, die erhobenen Patientendaten in einem lesbaren Format an den Patienten herauszugeben. Nach Paragraf 20 der neuen DSGVO haben Patienten nun das Recht, die sie betreffenden Daten in einem "strukturierten, gängigen und maschinenlesbaren Format zu erhalten" und diese Daten ohne Datenverlust an Dritte zu übermitteln zu können.

5. Suffiziente Datensicherung

Must have in jeder Arztpraxis: Datensicherung! Unbedingt überprüfen sollten Arztpraxen ihre Datensicherung, da sie nun sie verpflichtet sind den Verlust personenbezogener Patientendaten, etwa nach bei Phishing-Attacken innerhalb von 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde oder den Bundesdatenschutzbeauftragten zu melden. Betroffenen Patienten müssen ebenfalls über den Datenverlust informiert werden. Die Datensicherung in der Arztpraxis sollte daher unbedingt auf dem neusten technischen Stand sein: Firewall, aktuelle Version des Betriebssystems und regelmäßige Updates von Virenscannern.

6. Datenschutzbeauftragter - Ja oder nein?

Brauche ich einen Datenschutzbeauftragte in meiner Arztpraxis? Entwarnung gibt es bei der Frage nach einem notwendigen Datenschutzbeauftragten in der Arztpraxis. Nach der neuen DSGVO ist dieser für die Arztpraxis nur obligatorisch, wenn der Zweck des Unternehmens in der "massenhaften, regelmäßigen und systematischen Datensammlung und Verarbeitung" besteht, was bei Arztpraxen nicht zutrifft. Allerdings gehen die Meinungen der Auslegungen eines notwendigen Datenschutzbeauftragten in der Arztpraxis auseinander und richtweisende Gerichtsurteile fehlen noch. Ein Maßstab für die Notwendigkeit eines Datenschutzbeauftragten in der Arztpraxis kann die Größe der Arztpraxis sein.
Eine Einzelpraxis benötigt grundsätzlich keinen Datenschutzbeauftragten, allerdings kann es bei Berufsausübungsgemeinschaften schon wieder anders aussehen. Nach § 38 BDSG ist bei einer Mitarbeiteranzahl ab von mehr als 10 Personen ein Datenschutzbeauftragter in der Arztpraxis notwendig. Was ist allerdings mit Arztpraxen, deren Mitarbeiterzahl zwischen eins und zehn besteht? Der oder die Praxisinhaber gelten im Rahmen der GSGVO dabei als Mitarbeiter. Bei der Frage nach dem Datenschutzbeauftragten bei Arztpraxen in dieser Größe besteht noch eine gewisse Unklarheit, so dass vorsichtshalber bei einer Anzahl ab zwei Ärzten ein Datenschutzbeauftragter benannt werden sollte. Wer kann Datenschutzbeauftragter werden? Die Landarztbörse empfiehlt sich kollegialiter bei Arztpraxen ab zwei Ärzten gegenseitig als Datenschutzbeauftragte auszuweisen. 

Bei offenen Fragen oder Unsicherheiten im Rahmen der Erfüllung der DGSVO ist für jede Arztpraxis die Aufsichtbehörde der Ansprechpartner bzw. die jeweilige Ärztekammer.

LANDARZTBÖRSE - Von Ärzten für Ärzte.

Praxisbörsen Ratgeber & Broschüren

Standortanalyse & Geomarketing

Weitere Praxisbörsen Services