Datenschutz, Archivierung, Compliance: Worauf Praxisinhaber achten müssen

Datenschutz, Archivierung, Compliance: Worauf Praxisinhaber achten müssen

Die Digitalisierung im Gesundheitswesen erleichtert die Vernetzung der Leistungserbringer untereinander, aber auch mit Patienten und Kostenträgern. Allerdings gehen mit den neuen technischen Möglichkeiten auch eine Reihe von Pflichten und Vorsichtsmaßnahmen einher, die Praxisinhaber beherzigen müssen.

Endlich Schluss mit riesigen Schrankwänden voller Papierakten, digitale Arztbriefe statt Kollegenschreiben per Post oder Fax, schnelle Online-Kommunikation mit Patienten, Selbstverwaltung und Kosten - trägern, Terminvergabe via Website statt per Telefon – die Liste der Vor - teile digitaler Prozesse in der Arztpraxis ist lang. Allerdings sind weder Internet, noch digitale Kommunikation und Archivierung rechtsfreie Räume – im Gegenteil. Am Folgenden daher ein Überblick über die wichtigsten Rechtsvorschriften, die Ärzte im Zusammenhang mit der Digitalisierung ihrer Arbeitswelt beachten müssen. Personenbezogene Daten, die heutzutage mehr und mehr digital archiviert werden, bedürfen eines verantwortungsbewussten Umgangs. Dabei gilt es auch Herausforderungen im Bezug auf zeitnah in Kraft tretende Verordnungen zu meistern. Die Daten vor dem Zugriff Dritter zu schützen, erfordert ein gutes Management und Expertenwissen.

Bundesdatenschutzgesetz (BDSG)

Das Bundesdatenschutzgesetz (BDSG) regelt, dass personenbezo - gene Daten geschützt werden müssen und dass das Persönlichkeits - recht gewahrt wird. In § 9 werden Maßnahmenvarianten zur Orga - nisation für die Einhaltung der Datenschutzrichtlinien aufgeführt. Anhand dieser ist es möglich, die unterschiedlichen Bereiche in das praxiseigene Datenschutzmanagement einzubinden. Die Verschwie - genheitspflicht nach § 203 des Strafgesetzbuches (StGB) birgt bei der Nutzung digital gespeicherter Daten neue Risiken für den Datenschutz. Auch digitale Daten müssen vor dem Zugriff Dritter geschützt werden. Dies kann insbesondere bei Nutzung von mobilen Geräten wie Smart - phones oder Tablets schnell vernachlässigt werden. Doch wann immer sensible Daten auf diesen Geräten gespeichert sind, gilt es, die Geräte vor fremden Blicken schützen, passwortgeschützte Geräte zu verwen - den und die Geräte nicht unbeaufsichtigt zu lassen.

EU-Datenschutz-Grundverordnung (EU-DSGVO)

Die bereits beschlossene und nach einer Übergangszeit von zwei Jahren 2018 in Kraft tretende Grundverordnung ist zu einem sehr roßen Werk geworden. Ziel ist die europaweite Vereinheitlichung von Vorschriften. Unterschiede in der Gesetzgebung wird es bei Inkrafttre - ten nur noch aufgrund der Öffnungsklauseln geben, die bei bestimm - ten Punkten die Möglichkeit nationaler Regeln zulässt.

Jeder, der in Zukunft personenbezogene Daten verarbeitet oder erhebt, sollte sich gut auf das neue Regelwerk vorbereiten. Nationale Regelwerke wie das BDSG oder das Telemediengesetz (TMG), werden bei Inkrafttreten des EU-Rechts zurücktreten. Änderungsbedarf im BDSG wird es im Zusammenhang mit der EU-DVGSO in folgenden Bereichen geben:

  • Auftragsverarbeitung (EU-DSGVO Art. 28),
  • Einwilligungen,
  • Informationen an betroffene Personen (EU-DSGVO Art. 13, 14, 15),
  • Interne Dokumentation (EU-DGSVO Art. 30),
  • Technisch organisatorische Maßnahmen (EU-DSGVO Art. 32).

Weitere Neuerungen sind die sogenannten „Erwägungsgründe“, sprich übergeordnete Ziele, die mit Hilfe der EU-DSGVO erreicht werden sollen, sowie ein neu geschaffener Akteur, der „gemeinsam Verantwortliche“. Handelt es sich um zwei Akteure, die dieselbe Datenbasis verarbeiten, so sind diese gemeinsam verantwortlich. Das heißt: Zwei oder mehr Verantwortliche legen die Zwecke und Mittel zur Verarbeitung datenbezogener Daten gleichberechtigt und gemeinsam transparent fest. Das bislang gültige BDSG hingegen knüpft hieran keine datenschutzrechtlichen Pflichten.

Die Einhaltung der Datenschutzrichtlinien ist künftig nachweispflichtig. Hierzu ist ein effektives Managementsystem inklusive Risikoanalysen, strukturellen Prozessen, Kontrollen etc. notwendig. Betroffene Personen wie zum Beispiel Patienten müssen nun noch umfassender informiert werden.

Als weitere Verschärfung ist der stark erweiterte Sanktionsrahmen bei Verstößen nach Artikel 83 und 84 zu nennen. Hält sich ein Unternehmen nicht an die neuen Vorgaben, drohen bei Verstößen gegen die Organisationsregeln bis zu zwei Prozent des Umsatzes oder zehn Millionen Euro Strafe – je nachdem, welche Summe höher ist. Bei Verstößen gegen die Zulässigkeit (Zustimmung des Betroffenen) und Rechte des Betroffenen soll es zukünftig möglich sein, Geldbußen bis zwanzig Millionen Euro oder vier Prozent des weltweiten Jahresum - satzes zu verlangen.
Zum Vergleich: Bisher konnten nach § 43 BDSG „nur“ Bußgelder von bis zu 300.000 Euro pro Einzelfall eingefordert werden.

Auch in der Kommunikation zwischen Ärzten, Patienten und Kolle - gen sollten sich Ärzte frühzeitig Gedanken um die Anforderungen der EU-DSVGO in puncto Datensicherheit machen. So sollte die in der Praxis eingesetzte Hard- und Software folgenden Anforderungen genügen:

  • Geschlossenes Netzwerk/WLAN,
  • Firewall auf allen Desktop und mobilen Geräten,
  • Hardware-Spezialisten: Anforderungen prüfen,
  • Software: Nachhaltig und zertifiziert,
  • Kosten für regelmäßige Updates prüfen,
  • Schulungen durch Software- und Hardwarevertreiber,
  • Support der Hardware/ Hotline.

Anforderungen an das Praxisverwaltungssystem

Vor der Anschaffung eines Praxisverwaltungssystems (PVS) sollten die genauen Anforderungen an das System in eine Checkliste einge - tragen werden. In der vertragsärztlichen Praxis darf nur die von der Kassenärztlichen Bundesvereinigung (KBV) zertifizierte Software ein - gesetzt werden. Die KBV veröffentlicht regelmäßig aktualisierte Listen zertifizierter PVS auf ihrer Website (siehe www.kbv.de/html/5614.php). Für die Langzeitspeicherung von Daten, etwa für Backups, sollte man möglichst keine DVD nutzen, sondern Festplatten favorisieren. Diese speichern Daten zum einen deutlich schneller, lassen sich besser spie - geln und haben eine wesentlich längere Lebensdauer. Praxisinhaber sollten darauf achten, dass das Praxis-WLAN, das mit dem PVS verbun - den ist, ein geschlossenes Netz ist und somit nicht von Dritten (zum Beispiel Patienten und anderen Besuchern der Praxis) genutzt werden kann. Auch die private WLAN-Nutzung ist für die Mitarbeiter aus sicherheitstechnischen Gründen zu untersagen.

Internetseite und Kommunikation per E-Mail

Dreh- und Angelpunkt beim Thema Webpräsenz ist das Telemedien- gesetz (TMG), welches zu den Bundesgesetzen gehört. Es regelt die Rahmenbedingungen für alle elektronischen Informations- und Kommunikationsdienste (ausgenommen Telekommunikation und Rundfunk). Werden personenbezogene Daten über ein öffentliches Datennetz (Internet) übermittelt, so ist sicherzustellen, dass der Zugriff unbefugter Dritter auf die Dokumente nahezu ausgeschlossen ist. Die Daten sollten also durch ein hinreichend sicheres Verfahren verschlüsselt werden. Desweiteren sollten sie durch Verwendung einer quali - fizierten elektronischen Signatur gesichert werden. Das Impressum nach § 5 TMG, sowie die Datenschutzerklärung nach § 13 TMG sind unerlässlicher Bestandteil der Website und sollten von der Startseite aus mit maximal zwei Klicks erreichbar sein.

Datenschutz als gemeinsame Aufgabe des Praxisteams

Bestehende Abläufe im Umgang mit digitalen Daten und elektro - nischer Kommunikation sollten regelmäßig auf Praktikabilität und Aktualität geprüft werden. Hier ist das gesamte Praxisteam gefragt, um möglichen Missverständnissen oder Unpässlichkeiten vorzubeugen und jeden Mitarbeiter mit seinen konstruktiven Ideen anzuhören. Fehlt die Compliance im Praxisteam, ist jede Anstrengung für gesetzeskonformen Datenschutz zum Scheitern verurteilt. Daneben sollten Arztpraxen aber auch einen Pflegevertrag mit Support abschließen, der die jeweiligen Updates und Neuerungen an PVS, Betriebssystem und Praxisnetzwerk durchführt. Ohne einen solchen externen Support ist es kaum möglich, die Daten nachhaltig zu pflegen und zeitnah aktuelle Änderungen zu integrieren.

Datenschutzbeauftragte/r für die Praxis

Jede Praxis benötigt einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte, die entweder intern bestellt oder extern beauftragt werden können. Im Grunde genommen kann jede im Thema informierte Person diese Tätigkeit anbieten oder ausführen, die für die Einhaltung bestehender Gesetze verantwortlich zeichnet. Eine Neuerung bedeutet die Tatsache, dass der Datenschutzbeauftragte zukünftig die Einhaltung aller Vorgaben und Regeln überwachen muss, wohingegen es bisher ausreichte, auf die Einhaltung von Gesetz und Vorschriften zum Datenschutz hinzuwirken.

Zurück

d3-Werk // it-projektmanagement