Datenschutz-Deadline 25. Mai
Ist Ihre Praxis vorbereitet?
Ab dem 25. Mai 2018 tritt die EUDatenschutzgrundverordnung in Kraft, die die Privatsphäre und persönliche Daten aller EU-Bürger zeitgemäß vor Missbrauch schützen soll. Um den neuen Standards zu entsprechen, müssen Ärzte weiterreichende Datenschutzmaßnahmen als bisher ergreifen. Rechtsanwalt Jan Mönikes von der Berliner Dependance der Sozietät Schalast & Partner benennt als Fachmann auf diesem Gebiet, die zentralen Punkte, die Praxisinhaber in der verbleibenden Zeit sicherstellen sollten:
1. Überprüfung des IT-Sicherheitskonzeptes
Zu den in § 22 BDSG neu fixierten Pflichten des Arztes zählt der Schutz von Patientendaten vor unbefugtem Zugriff. Diese Aufgabenstellung beginnt bei verschlossenen Aktenschränken und Serverräumen und reicht bis zur Benennung und Dokumentation, wer, wann und unter welchen Prämissen auf EDVDaten zugreifen darf. Dabei gilt es, die ausschließliche Nutzung der Datenverarbeitungssysteme durch autorisierte Mitarbeiter über Verschlüsselung und personengebundene Zugriffsberechtigungen zu sichern. Wechselnde Kennwörter und zeitnahe Aktivierung des Bildschirmschoners mit Passwortschutz unterstützen dies. Wer personenbezogene Daten in die EDV eingegeben, verändert oder gelöscht hat, muss auch im Nachhinein – etwa per Protokoll – zu ermitteln sein.
2. Aktualisierung von AV-Verträgen
Darüber hinaus empfiehlt sich die Überprüfung neuer und bereits laufender Verträge mit externen Dienstleistern. Hier gilt es, die Verantwortlichkeit für die Einhaltung des Datenschutzes schriftlich zu fixieren, da die Ansprüche an die Unterstützung des Auftraggebers durch den Auftragnehmer geändert und spezifiziert wurden. Vertragsgenauigkeit ist auch in Sachen Vertraulichkeit erforderlich: Unterliegt der Anbieter nicht selbst dem Berufsgeheimnis, muss der Praxisinhaber ihn vertraglich explizit zu dessen Einhaltung verpflichten. Unterlässt er dies, kann er selbst bei Verletzung der datenschutzrechtlichen Standards durch den Dienstleister haftbar gemacht und mit erheblichen Sanktionen belegt werden.
3. Benennung eines Datenschutzbeauftragten
Ferner sollten Praxisinhaber hinterfragen, ob sie ab dem 25. Mai anders als zuvor einen Datenschutzbeauftragten benennen müssen. Unverändert gilt, dass dies ab der zehnten Voll- oder Teilzeitkraft, die Zugriff auf personenbezogene EDV hat, erforderlich wird. Neu ist, dass dies auch bei weniger Mitarbeitern erfolgen muss, sofern eine Datenverarbeitung mit sogenannter „Datenschutz-Folgeabschätzung“ vorliegt. Als Datenschutzbeauftragter darf ein durch Fachwissen qualifizierter Mitarbeiter oder extern Beauftragter, nicht aber der Praxisinhaber selbst fungieren. Bei gemeinsam mit der PVS verantworteten Prozessen, wie z. B. der privaten Rechnungserstellung, besteht die Möglichkeit des „Joint Control“: So kann der PVS-Datenschutzbeauftragte den ärztlichen Datenschutz übernehmen. Kooperation, die für Entlastung sorgt. Genauso wie die Entscheidung, die Überprüfung der komplexen Datenschutzmaßnahmen an einen externen Softwareanbieter zu delegieren. Damit die Praxis auch nach dem 25. Mai 2018 rechtlich auf der sicheren Seite steht.