Page 22 - xpress_Ausgabe 18.3
P. 22
Thema
INTERVIEW PRAXEN SOLLTEN EIN DATENSCHUTZBUCH FÜHREN
Dr. Hans Matheis, Unternehmensberater mit den Schwerpunkten Datenschutz und Qualitätsmanagement, zählt
viele Arztpraxen zu seinen Klienten. Er erklärt im Interview, worauf Ärzte ab Inkrafttreten der EU-DSGVO achten
müssen und welche Maßnahmen sie ergreifen sollten.
DR. HANS MATHEIS
Î ÎWelche Arztpraxis muss einen Datenschutzbeauftragten bestellen? nach nicht frisch von der Ausbildung kommend be Unternehmensberater Abb.: Dr. Hans Matheis
Ein Datenschutzbeauftragter muss dann bestellt werden, wenn in der Arzt arbeiten kann. Datenschutz und Quali
tätsmanagement
praxis mindestens zehn Personen (Anm. d. Red.: Praxismitarbeiter und
inhaber) Daten am Computer verarbeiten oder wenn die Kerntätigkeit der Î ÎWarum sind die Verträge über die Auftragsdatenverarbeitung so
Mitarbeiter aus der umfangreichen Bearbeitung von besonderen Katego wichtig?
rien personenbezogener Daten, dazu zählen auch Gesundheitsdaten, be Weil hier bei Verstößen drastische Sanktionen drohen. Die Praxis muss
steht. Geklärt ist, dass eine Einzelpraxis, unabhängig von der Anzahl der zum Beispiel prüfen, dass der ausgewählte Dienstleister entsprechend den
Patienten, keine umfangreiche Bearbeitung durchführt und folglich erst ab Datenschutzgesetzen handelt. Wenn zum Beispiel ein Entsorgungsunter
zehn Mitarbeitern einen Datenschutzbeauftragten bestellen muss. Ob eine nehmen Karteikarten nicht ordnungsgemäß zerstört und diese auf der Stra
Gemeinschaftspraxis mit weniger als zehn Mitarbeitern unter die „umfang ße oder im Müll gefunden werden, prüfen die Aufsichtsbehörden, ob es ei
reiche Bearbeitung“ fällt, ist umstritten. Hier gibt es bei der Bestellung des nen schriftlichen Vertrag zwischen der Praxis und dem Entsorger gibt. Mit
Datenschutzbeauftragten noch eine große Unsicherheit. diesem Vertrag dokumentiert der Arzt, dass er den Auftragsverarbeiter
sorgfältig ausgewählt hat. Außerdem gibt es, und das ist neu, unter Artikel 5
Î ÎWelche Anforderungen werden an einen Datenschutzbeauftragten in der EUDSGVO die Rechenschaftspflicht: Die Praxis muss nachweisen kön
der Arztpraxis gestellt? nen, dass sie sich vor Vertragsabschluss die Prozesse des Dienstleisters an
Um einen Interessenkonflikt zu vermeiden, dürfen weder der Praxisinhaber geschaut hat. Und sie muss nachweisen können, dass sie die Datenschutz
noch der ITDienstleister der Praxis diese Rolle einnehmen. Der bestellte prozesse abbildet. Was passiert zum Beispiel, wenn ein Verstoß festgestellt
Datenschutzbeauftragte kann von außen kommen oder ein Mitarbeiter wird? Wer wird informiert? Eine Praxis braucht, ähnlich wie beim Qualitäts
sein, der einen drei oder fünftägigen Kurs besucht hat und den Daten management, ein Datenschutzbuch, in dem steht, welche Abläufe stattfin
schutz in der Praxis umsetzt. Aus meiner Erfahrung weiß ich, dass diese den und mit welchen Formblättern man agiert.
Ausbildung zwar funktioniert, aber viele Mitarbeiter an der praktischen
Umsetzung scheitern und die Datenschutzvorschriften nur teilweise umset Î ÎWas passiert, wenn eine Praxis keinen Datenschutzbeauftragten hat?
zen können. Der interne Beauftragte für den Datenschutz muss nicht gemeldet werden.
Diejenigen Praxen, die eine Bestellpflicht für einen Datenschutzbeauftrag
Î ÎWie verhält es sich bei Arztpraxen mit weniger als zehn Mitarbeitern? ten haben, sind jetzt verpflichtet, der Aufsichtsbehörde diesen zu melden
Diese Praxen müssen eine Person benennen, die für den Datenschutz zu und öffentlich zu machen, sei es im Aushang der Praxis oder auf ihrer
ständig ist. Das kann sowohl der Praxisinhaber als auch ein Mitarbeiter sein. Homepage. Praxen, die trotz Bestellpflicht keinen Datenschutzbeauftragten
In diesem Fall sprechen wir nicht von einem „bestellten Datenschutzbeauf haben, wurden in der Vergangenheit von den Aufsichtsbehörden lediglich
tragten“, sondern von einem „intern Beauftragten für den Datenschutz“. aufgefordert, einen zu benennen. Heute ist das Fehlen eines Datenschutz
beauftragten ein Bußgeldtatbestand. Ich gehe aber nicht davon aus, dass
Î ÎWas erschwert die Umsetzung in der Praxis? die Behörden aktiv jede einzelne Praxis überprüfen, und es entzieht sich
Der Datenschutzbeauftragte muss sich um sehr viele Dokumente kümmern, meiner Kenntnis, ob sie tatsächlich Bußgelder verhängen. Sollte den Behör
die jetzt verpflichtend sind. Ein Beispiel ist das Verzeichnis von Verarbei den aber ein Datenschutzverstoß gemeldet werden und die Praxis hat kei
tungstätigkeiten gemäß Artikel 30 der EUDSGVO. Vor allem aber muss er nen Datenschutzbeauftragten gemeldet, muss sich der Praxisinhaber gleich
genau prüfen, ob die Verträge mit den Auftragsverarbeitern den gesetzli wegen zwei Tatbeständen verantworten, dem Vorfall als solchem und der
chen Anforderungen genügen. Dies ist ein Thema, das man meiner Ansicht Tatsache, dass er keinen Datenschutzbeauftragten hat.<
werden die mit einem Sperrvermerk versehe- akte mitzunehmen, ist bereits im Patienten- gegen den Datenschutz, da er die Daten nur so
nen Daten automatisch gelöscht. rechtegesetz geregelt. Es gibt also, wie vor lange aufbewahren darf, wie es der Zweck er-
Einführung der EU-DSGVO, noch zahlreiche fordert („Zweckbindung der Daten“). In der
Portabilität andere Gesetze, die ebenfalls beachtet werden Regel beträgt diese Aufbewahrungsfrist zehn
Ebenfalls neu ist die Datenportabilität, die in müssen. Das macht die Einhaltung des Daten- Jahre.
erster Linie Mobilfunkanbieter betrifft, die schutzes so kompliziert.
Informationspflicht
Daten ihrer Kunden bei einem Providerwechsel Wenn Patienten ihre Krankenakten mitneh-
dem neuen Anbieter zur Verfügung stellen men, müssen Ärzte aufpassen: Wer es gut meint Ärzte müssen künftig nicht nur die Einwilli-
müssen. Dass Patienten einen Anspruch darauf und dem langjährigen Patienten die Kranken- gung ihrer Patienten zur Datenverarbeitung
haben, bei einem Arztwechsel ihre Kranken- daten der letzten 20 Jahre ausdruckt, verstößt (siehe oben) einholen, sondern diese auch aus-
22 x.press 18.3