Header - LP Apotheke/Arzt - DSB
Datenschutz in der
Arztpraxis

Erfahren Sie jetzt wie Datenschutz in der Arztpraxis pragmatisch optimiert werden kann von Datenschutz-Experten aus der Branche.

Erfahren Sie jetzt wie Datenschutz in der Arztpraxis pragmatisch optimiert werden kann von Datenschutz-Experten aus der Branche.

Erfahren Sie jetzt wie Datenschutz in der Arztpraxis pragmatisch optimiert werden kann von Datenschutz-Experten aus der Branche.

Datenschutz Logistik Unternehmen

Datenschutz in der Arztpraxis

Datenschutz ist kein neues Thema im Gesundheitswesen, denn vor der Datenschutz-Grundverordnung galten schon ähnliche Regelungen für die Erhebung, Nutzung und Speicherung von personenbezogenen Daten in Krankenhäusern, Arztpraxen und Apotheken. Die Datenschutz-Grundverordnung gilt nun schon seit Mai 2018. Doch im Gesundheitswesen müssen bei der Verarbeitung von personenbezogenen Daten gleich mehrere rechtliche Grundlagen beachten.

Diese Punkte müssen Sie beachten:

  • Rechtsgrundlage für die Verarbeitung
  • Einführung Datenschutz-Management
  • Verzeichnis der Verarbeitungstätigkeiten
  • Datenschutz-Folgenabschätzung
  • Hinweise zum Patienten-Datenschutz
  • Einwilligungen neu verfassen
  • Auftragsverarbeitungen ermitteln
  • Beschäftigten-Datenschutz
  • Datenschutzbeauftragten bestellen

Datenschutz Vorschriften für Arztpraxen

Die meisten Regelungen zum Datenschutz finden sich allerdings in der Datenschutz-Grundverordnung (DSGVO) und ergänzend im Bundesdatenschutzgesetz (BDSG). Im Zusammenhang mit der Nutzung von personenbezogenen Daten sind zudem auch das Sozialgesetzbuch (SGB), das Telemediengesetz (TMG) oder das Strafgesetzbuch (StGB) relevant. Apotheken sind darüber hinaus an die Vorschriften der Apothekenbetriebsordnung (ApBetrO) gebunden.

Das führt beispielsweise dazu, dass Ärzte, Apotheker oder Heilmittelerbringer zur Verschwiegenheit über alle Vorkommnisse verpflichtet sind, die ihm in Ausübung seines Berufes bekannt werden (§ 203 Abs. 1 StGB).

Wann dürfen personenbezogene Daten verarbeitet werden?

In der Datenschutz-Grundverordnung sind die Rechtsgrundlagen in dem Artikel 6 geregelt. Eine der definierten Rechtsgrundlagen ist beispielsweise die Einwilligung nach Artikel 6 (1) a) DSGVO. Eine Besonderheit bei dem Datenschutz im Gesundheitswesen ist, dass oftmals besonders personenbezogene Daten verarbeitet werden, dadurch müssen ebenfalls die Bedingungen aus dem Artikel 9 DSGVO beachtet werden. Besonders personenbezogene Daten sind beispielsweise Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Grundsätzlich ist die Datenschutz-Grundverordnung als ein Verbot mit Erlaubnisvorbehalt zu verstehen. Was bedeutet das? Das ist ganz einfach: Immer wenn eine Apotheke, Arztpraxis oder ein Krankenhaus personenbezogene Daten verarbeiten möchte, benötigt man eine Rechtsgrundlage als Erlaubnisvorbehalt. Hat der Verantwortliche keine zulässige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, darf die Verarbeitung nicht getätigt werden. Wir empfehlen Ihnen daher die Prüfung der Rechtsgrundlagen wie eine Checkliste zu bearbeiten, mindestens eine der 6 Rechtsgrundlagen muss für Ihre Verarbeitung zutreffend sein:

Einwilligungserklärung

Der Patient, Kunde oder Interessent hat seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (z.B. Checkbox auf Webseite oder Unterschrift).

Geschäftsbeziehung

Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (z.B. Kaufvertrag von Medizin, Pharmazeutische Beratung).

Rechtliche Verpflichtung

Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z.B. Übermittlung von Abrechnungsdaten an Krankenkassen, § 300 I Nr.2 SGB V).

Lebenswichtige Interessen

Die Verarbeitung ist erforderlich, um lebenswichtige Interessen des Patienten oder einer anderen natürlichen Person zu schützen (z.B. akute Erkrankung).

Öffentliche Interessen

Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Apotheke übertragen wurde (z.B. Meldepflichten).

Berechtigtes Interesse

Die Verarbeitung ist zur Wahrung der berechtigten Interessen der Apotheke oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (ggf. Werbung, Videoüberwachung).

Datenschutzbeauftragter Arztpraxis
Datenschutzbeauftragter Arztpraxis
Rechtsgrundlagen prüfen
Bei der Begründung einer Verarbeitung mit Hilfe der Rechtsgrundlage “berechtigtes Interesse” nach Artikel 6 (1) f) DS-GVO ist Vorsicht geboten. Beziehen Sie immer einen Datenschutzbeauftragten ein, um wirklich sicherzugehen, ob das berechtigte Interesse der Apotheke überwiegt.

Datenschutz Folgenabschätzung in der Arztpraxis

Keine Verarbeitung personen­bezogener Daten ist ohne Risiko für die Rechte und Freiheiten der betroffenen Person, wenn nicht Maßnahmen zur Datensicherheit getroffen werden nach Art. 32 DSGVO. Der Gesetzgeber möchte erreichen, dass sich datenverarbeitende Praxen und Apotheken mit diesen Risiken auseinandersetzen. Dazu hat er im Rahmen der geltenden Datenschutz-Grundverordnung (DSGVO) ein neues Instrument zur Beschreibung, Bewertung und Eindämmung der Risiken erdacht: die Datenschutz-Folgenabschätzung (DSFA).

Wann muss eine Arztpraxis eine Datenschutz Folgenabschätzung durchführen?

Eine DSFA ist immer dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person hat. Das kann in der Praxis relativ oft vorkommen. Allerdings muss der Verantwortliche selbst entscheiden, wann voraussichtlich ein hohes Risiko besteht. Für die Datenschutz-Folgenabschätzung benötigt der Verantwortliche immer einen Datenschutzbeauftragten.

Der Gesetzgeber hat erkannt, dass dies nicht einfach zu bewerten ist. Er hat den Aufsichtsbehörden ­daher die Aufgabe gestellt, Listen mit Verarbeitungen zu schaffen, für die eine DSFA durchzuführen ist:

Analyse der Persönlichkeit

Analyse der Persönlichkeit: Eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen (Kunden-Scoring, systematische automatisierte Kundenanalyse, Persönlichkeitstest im Recruiting).

Besondere personenbezogene Daten

Eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (gem. Art. 9 Abs. DS-GVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (gem. Art. 10 DS-GVO).

Videoüberwachung

Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Beispiel: Videoüberwachung, soweit diese öffentliche Bereiche wie Gehwege oder Plätze mit erfasst).

Datenschutzbeauftragter
Datenschutzbeauftragter
Kontakt Sebastian Feldmann
Guten Tag.
Ich bin Sebastian Feldmann.
Wirtschaftsjurist.
Datenschutzbeauftragter.
Problemlöser.

Bei Keyed erhalten Sie nicht nur einen persönlichen Ansprechpartner, sondern auch einen Ansprechpartner mit Persönlichkeit.

Bei Keyed erhalten Sie nicht nur einen persönlichen Ansprechpartner, sondern auch einen Ansprechpartner mit Persönlichkeit.

Bei Keyed erhalten Sie nicht nur einen persönlichen Ansprechpartner, sondern auch einen Ansprechpartner mit Persönlichkeit.

Kontakt Nils Möllers
Guten Tag.
Ich bin Nils Möllers
Datenschutzbeauftragter.
Geschäftsführer.
Problemlöser.

Datenschutz, IT-Sicherheit und Compliance müssen in der heutigen Zeit ganz fest in der DNA eines Unternehmens verankert sein. Das funktioniert nur mit effizienten Prozessen und einer pragmatischen Zusammenarbeit zwischen dem Datenschutzbeauftragten und dem Unternehmen.

Datenschutz, IT-Sicherheit und Compliance müssen in der heutigen Zeit ganz fest in der DNA eines Unternehmens verankert sein. Das funktioniert nur mit effizienten Prozessen und einer pragmatischen Zusammenarbeit zwischen dem Datenschutzbeauftragten und dem Unternehmen.

Datenschutz, IT-Sicherheit und Compliance müssen in der heutigen Zeit ganz fest in der DNA eines Unternehmens verankert sein. Das funktioniert nur mit effizienten Prozessen und einer pragmatischen Zusammenarbeit zwischen dem Datenschutzbeauftragten und dem Unternehmen.

Beschäftigtendatenschutz

Mitarbeiter einer Apotheke sind im Datenschutz besonders zu beachten. Apotheken sind verpflichtet Ihre Mitarbeiter nach dem Datengeheimnis und einer Verschwiegenheit zu verpflichten, da diese Angehörige eines Gesundheitsberufs sind.

Übrigens: Unter Angehörigen eines Gesundheitsberufs werden alle Angehörigen eines der in § 203 Abs. 1 Nr. 1, 2, 4 und 5 Strafgesetzbuch genannten Berufsbilder gefasst. Damit fallen neben den oben genannten auch andere Heilberufe wie Psychotherapeuten, Hebammen oder Logopäden unter diese Kategorie.

Datenschutzbeauftragter bestellen, aber wann?

Wann benötigt eine Apotheke einen Datenschutzbeauftragten? Diese Frage wird oft diskutiert und oftmals kann man keine eindeutige Antwort erhalten. Wir fassen Ihnen die Informationen der Datenschutz-Konferenz zusammen, wann Sie als Apotheke einen Datenschutzbeauftragten benötigen.

Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).

Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Praxisgemeinschaft bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen – in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein DSB zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Praxisgemeinschaft bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutz Folgenabschätzung vorgeschrieben.
Und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein.

Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.

 

Kontakt aufnehmen

Wenn Sie sich für einen externen Datenschutzbeauftragten interessieren oder Fragen zum Thema Datenschutz haben, können Sie Ihre Kontaktdaten bei uns hinterlassen und wir werden uns an Ihrem Wunschtermin bei Ihnen melden. Wir freuen uns auf Sie!

Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.


    Keyed GmbH, Siemensstraße 12, 48341 Altenberge
    +49 (0) 2505 639797
    +49 (0) 2505 3787
    Menü

    Unverbindliches Angebot erhalten!

      Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

      Persönliche Angaben

      Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

      Zusätzliche Informationen

      Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

       
      ANGEBOT ERHALTEN