Seit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 gibt es zahlreiche Dokumente, die Unternehmen zum Datenschutz vorhalten müssen. Das macht auch keinen Halt vor den Arztpraxen. Doch welches sind die wichtigsten Dokumente zum Datenschutz? In diesem Beitrag zeige ich Ihnen die 5 wichtigsten Datenschutz-Dokumente für Arztpraxen nach der DSGVO.
Bei den wichtigsten Dokumenten zum Datenschutz in Arztpraxen nach der DSGVO handelt es sich teilweise um konkrete Dokumente, teilweise aber auch eher um Dokumentenarten. Anders als bei konkreten Dokumenten sind die Anforderungen an Dokumentenarten offener, weil die zu erwähnenden Themen je nach Situation und damit dem Einsatzort variieren kann.
Die wichtigsten Dokumente bzw. Dokumentenarten für Arztpraxen nach der DSGVO sind:
- Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO (konkretes Dokument)
inkl. der technisch-organisatorischen Maßnahmen - Datenschutz-Folgenabschätzungen zu kritischen Datenverarbeitungen nach Art. 35 DSGVO (konkrete Dokumente)
- Information(en) der Patienten zu Datenverarbeitungen nach Art. 6 Abs. 1 a) DSGVO (Dokumentenart)
- Einwilligungsformulare in Datenverarbeitungen nach Art. 13 (und 14) DSGVO (Dokumentenart)
- Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO (konkrete Dokumente)
Warum sind diese Dokumente so wichtig?
Ein Teil dieser Dokumente – wie das Verzeichnis der Verarbeitungstätigkeiten – sind vorwiegend für den internen Gebrauch bestimmt. Sie müssen nicht veröffentlicht werden, aber eine Behörde würde bei einer Überprüfung erwarten, dass die Praxis dieses Dokument vorlegen kann. Könnte die Praxis zum Beispiel kein Verzeichnis der Verarbeitungstätigkeiten vorweisen, so könnte sich das Bußgeld im schlimmsten Fall auf bis zu 10.000.000 € (Mio!) oder 2% des gesamten weltweiten Jahresumsatzes des Vorjahres belaufen.
Erst kurz vor einer angekündigten Begehung mit der Erarbeitung zu beginnen, würde wahrscheinlich schnell auffliegen, weil es keine Vorgängerversionen seit Mai 2018 gibt – vor allem, wenn es seit dem Veränderungen in der Praxis gab, die auch Auswirkungen auf die Datenverarbeitungen hatten – wovon auszugehen ist. Solche Dokumente sind also schlecht zu faken, aber die Praxis kann auch einen eigenen Nutzen daraus ziehen, indem sie eine Übersicht über die eigenen Datenverarbeitungen sowie -übermittlungen gewinnt und dadurch mögliche Mängel bei Datenschutz aufdeckt oder sichergeht, dass es keine solchen Mängel gibt.
Gewinnt die Praxis nicht durch die Erarbeitung der geforderten Dokumente die notwendige Übersicht über die eigenen Datenverarbeitungen können Fehler im Umgang mit Patientendaten auftreten. Würde der Patient oder ein anderer Patient davon mitbekommen, ist durchaus eine Beschwerde bei Landesdatenschutzaufsicht möglich. Dabei handelt es sich um das Recht auf Beschwerde, das jede betroffene Person, hier Patienten oder Praxismitarbeiter, gemäß Art. 77 DSGVO hat. Sehr schlecht sieht es aus, wenn durch die Beschwerde ans Licht kommt, dass der Praxis tatsächlich eine Datenschutzpanne unterlaufen ist, die meldepflichtig gewesene wäre. Das Bußgeld kann sich dann ebenfalls auf bis zu 10.000.000 € oder 2% des gesamten weltweiten Jahresumsatzes des Vorjahres belaufen. Und meist kommt bei Arztpraxen noch ein Verstoß gegen die Schweigepflicht nach § 203 StGB (Strafgesetzbuch) hinzu.
Warten Sie also nicht ab, bis Ihnen der erste Datenschutzverstoß passiert, die Patienten Beschwerde gegen Ihre Praxis bei der Landesdatenschutzaufsicht einreichen oder sich das Datenschutzamt zu einer Überprüfung ankündigt, sondern sichern Sie jetzt schon ab, dass in Ihrer Praxis alles Datenschutzkonform zugeht.
Erfahren Sie in unseren kompakten und jederzeit verfügbaren eLearnings zum Datenschutz und in unseren Datenschutz-Beratungen, worauf es beim Datenschutz in Arztpraxen ankommt.
Wenn Sie informiert werden möchten, wenn ein neuer Blog-Beitrag erschienen ist, dann abonnieren Sie gerne unseren Newsletter: