DSGVO-Checkliste für Ärztinnen und Ärzte

DSGVO 12. Dez. 2019

In diesem Beitrag werden die wichtigsten Schritte genannt, welche Sie als niedergelassener Arzt bzw. niedergelassene Ärztin umsetzen müssen, um die Datenschutzverordnung einzuhalten. Dies beinhaltet die rechtlichen Rahmenbedingungen, Informationen über Auftragsverarbeiter und Datenschutzbeauftragte sowie gesetzliche Aufbewahrungs- und Auskunftspflichten.

Verzeichnis von Verarbeitungstätigkeiten

Jeder Arzt hat ein Verzeichnis über die Verarbeitungstätigkeiten zu führen und dieses in der Ordination aufzubewahren. Dieses Verzeichnis ist unabhängig von der Praxisgröße zu erstellen.

Ein Beispiel eines Verarbeitungsverzeichnisses finden Sie hier.

Auftragsverarbeiter-Vereinbarung

Bei einem Auftragsverarbeiter handelt es sich um eine Person, die mit Rechten zur Verarbeitung von personenbezogenen Daten bevollmächtigt wird. Diese Rechte werden vom Verantwortlichen, dem niedergelassenem Arzt, übertragen. Um Streitigkeiten über die Haftung im Fall einer Datenschutzverletzung zu vermeiden, wird zwischen diesen Personen oft eine Auftragsverarbeiter-Vereinbarung abgeschlossen.

Ein Muster einer Auftragsverarbeiter-Vereinbarung finden Sie hier.

Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist jene Person, die die Einhaltung datenschutzrechtlicher Vorschriften zu überwachen und kontrollieren hat. Er verpflichtet sich des weiteren das Unternehmen über bestehende Pflichten aufzuklären, gilt als Ansprechpartner für Behörden und Betroffene und führt das Verarbeitungsverzeichnis.

Einzelpraxen
Einzelne niedergelassene Ärzte sind nicht dazu verpflichtet einen Datenschutzbeauftragten zu bestellen.

Gruppenpraxen
Liegt eine „umfangreiche Gesundheitsdatenverarbeitung“ vor, wie beispielsweise beim Zusammenschluss von mehreren Ärzten in einer gemeinsamen Ordination, empfiehlt die österreichische Ärztekammer die Bestellung eines Datenschutzbeauftragten. Werden pro Jahr mehr als 5.000 verschiedene Personen betreut, ist dies als Richtwert für eine umfangreiche Datenverarbeitung zu verstehen.

Datenschutzabfolgeschätzung

Die Datenschutzfolgeabschätzung (DSFA) ist eine durchzuführende Risikoanalyse um mögliche Folgen von Datenverarbeitungsvorgänge im Voraus genau zu untersuchen und zu bewerten.

Einzelpraxen
Einzelne Ärzte betrifft die Datenschutzfolgeabschätzung nicht. Übertrifft die Patientenzahl jedoch mehr als 5.000 verschiedenen Patienten pro Jahr, gilt diese Regelung nicht und eine Datenschutzfolgeabschätzung ist durchzuführen.

Gruppenpraxen
Für Gruppenpraxen bzw. im Fall einer ärztlichen Zusammenarbeit ist eine Datenschutzfolgeabschätzung durchzuführen. Empfohlen wird auch hier der Richtwert von mehr als 5.000 verschiedenen Patienten pro Jahr.

Aufbewahrungspflicht und Löschen von Daten

Grundsätzlich müssen laut der DSGVO alle Daten gelöscht werden, die für den jeweiligen Zweck nicht mehr benötigt werden. Eine Ausnahme gilt jedoch für die Dokumentationspflicht gemäß des Ärztegesetzes, welches eine Speicherung von Gesundheitsdaten von mindestens 10 Jahren vorschreibt. Daher besteht in diesem Fall die Möglichkeit, Daten auch länger als für den jeweiligen Zweck benötigt, aufzubewahren.

Ärzte müssen jedoch in regelmäßigen Abständen überprüfen, welche Patientendaten bereits gelöscht werden können und diese unwiderruflich entfernen.

Auskunftsrecht des Patienten

Jeder Patient hat das Recht vom Verantwortlichen eine Bestätigung, mit Informationen über das Ausmaß der verarbeiteten Daten der betroffenen Person, zu verlangen. Der Patient kann einen Antrag auf diese Auskunft stellen und eine Kopie der verarbeitenden Daten verlangen.