Ausgabe up 6-2019 | Rubrik Recht / Steuern / Finanzen

Ein Jahr DSGVO: Was in Sachen Datenschutz bis jetzt in Ihrer Praxis passiert sein sollte

vom: 25.05.2019

Als die Datenschutz-Grundverordnung (DSGVO) heute vor genau einem Jahr in Kraft getreten ist, verhielten sich viele Unternehmer wie ein Kaninchen vor der Schlange: unfähig zu agieren, aus Angst, etwas falsch zu machen. Die Verunsicherung war groß, denn es war von Abmahnwellen und hohen Bußgeldern die Rede, wenn die Datenschutzvorgaben nicht eingehalten würden. Jetzt, ein Jahr später, zeigt sich, dass die Strafen bisher moderat ausfielen. Doch die Kontrollen werden zunehmen, die Schonfrist ist vorbei – höchste Zeit, für einen DSGVO-Check.

Ja, die DSGVO enthält viele schwammige Formulierungen, die es einem sehr schwer machen, die Datenschutzvorgaben, wie gefordert, umzusetzen. Doch zu hoffen, dass schon alles so passt, wie Sie es vor in Kraft treten der DSGVO gehandhabt haben, war bereits vor einem Jahr fahrlässig – und jetzt erst recht. Mittlerweile sollte jede Praxis die Abläufe an die wichtigsten Punkte der Verordnung angepasst haben und die Vorgaben aktiv umsetzen. Welche das sind, lesen Sie in der Checkliste weiter unten.

Kontrollen werden zunehmen

Bisher kamen die Datenschutzbeauftragten der Länder primär beratenden Tätigkeiten nach und führten Kontrollen durch, wenn eine Beschwerde hereinflatterte. Das wird so aber nicht ewig weitergehen. Stefan Brink, Landesbeauftragter für Datenschutz aus Baden-Württemberg, etwa kündigte in einem Interview mit dem Südwestrundfunk an, zukünftig verstärkt Unternehmen zu kontrollieren, um Datenschutzverstößen auf die Spur zu kommen.

Checkliste: Alles DSGVO-konform?

1. Bestandsaufnahmen und Analyse der vorhandenen Daten

  • Schritt 1: Sie haben sich mit den für die Praxis geltenden Vorgaben der DSGVO auseinandergesetzt und festgestellt, an welchen Stellen noch Handlungsbedarf besteht.
  • Schritt 2: Sie haben die Abläufe entsprechend angepasst und/oder neue Vorgaben mit aufgenommen.

2. Verzeichnis von Verarbeitungstätigkeiten

Sie haben alle Prozesse identifiziert und beschrieben, bei denen regelmäßig personenbezogene Daten verarbeitet werden. Diese haben Sie in einem Verzeichnis von Verarbeitungstätigkeiten dokumentiert.

3. Informationspflichten an Patienten

Sie geben jedem Patienten die Datenschutzerklärung bei seiner erstmaligen Anmeldung mit – eine Unterschrift des Patienten, dass er diese erhalten hat, ist nicht nötig. Wenn Sie Daten an Dritte weitergeben möchten/müssen, etwa an Familienangehörige oder Abrechnungszentren, haben Sie sich dafür die Einwilligung der Patienten eingeholt. Das gilt auch für Foto- oder Videoaufnahmen zur Behandlungsdokumentation. Anders als bei der Datenschutzerklärung lohnt es hier, die Patienten unterschreiben zu lassen. Denn im Zweifel sind Sie in der Beweispflicht!

4. Möglichkeiten der Auskunft über gespeicherte Patientendaten

Sie können jedem Patienten auf Anfrage Auskunft darüber geben, welche Daten Sie von ihm gespeichert haben. Tipp: Werfen Sie dazu einfach einen Blick in Ihr Verfahrensverzeichnis.

5. Analyse der Löschfristen und Einrichtung eines Löschkonzepts

Sie haben in den Verfahrensverzeichnissen festgelegt, wie lange Sie Daten speichern. Zudem gibt es eine Arbeitsanweisung, die festlegt, wann welche Daten gelöscht werden.

 6. Neufassung der Auftragsverarbeitungsverträge

Erheben, verarbeiten oder nutzen Dienstleister, z. B. Steuerberater, Abrechnungscenter, Cloud- oder Serveranbieter, personenbezogene Daten von Ihnen, so fällt dies unter die Auftragsverarbeitung. Die Dienstleister sind an die Weisungen des Auftraggebers (Sie) gebunden. Grundlage der Zusammenarbeit ist ein schriftlicher Vertrag, der zwingend in der Praxis vorliegen muss. Wichtig: Prüfen Sie bei bestehenden Verträgen mit externen Dienstleistern, ob sie „die hinreichenden Garantien dafür bieten, dass die Verarbeitung im Einklang mit den Anforderungen“ (Art. 28 Abs. 1 DSGVO) der DSGVO gewährleisten.

7. Schulung Ihrer Mitarbeiter

Das gesamte Team wurde nachweislich zum Thema Datenschutz geschult – entweder durch Sie oder einen externen Schulungsanbieter.

8. Datenschutz im Internet

Auf Ihrer Website ist eine Datenschutzerklärung zu finden (idealerweise auf einer eigenen Seite), die darüber informiert, wie Daten verarbeitet werden. Sie enthält Angaben zu dem Verantwortlichen (inkl. Kontaktdaten), dazu, welche Daten über den Webserver erfasst werden, zu der Nutzung von Cookies, zur Aufklärungen über die Betroffenenrechte, zu Web-Analyse-Tools (z. B. Google Analytics, Matomo) zu Social-Media-Plugins (z. B. Facebook und Instagram) und eine Information darüber, dass Dienstleister im EU-Ausland ansässig ist.

Hinweis: Wenn Sie per Mail Newsletter versenden, holen Sie sich von allen Empfängern Einwilligungen dafür ein („Bitte-um-Bestätigung-Mail“). Wenn Sie für das Anfertigen und Versenden Softwarelösungen nutzen, checken Sie, ob ein Auftragsverarbeitungsvertrag notwendig ist. Und: In jedem Newsletter befindet sich ein Abmeldelink.

9. Je nach Praxisgröße: Datenschutzbeauftragter

Haben Sie mehr als zehn Mitarbeiter, müssen Sie einen betrieblichen Datenschutzbeauftragten benennen. Dabei kann es sich um einen speziell fortgebildeten Mitarbeiter (ausgeschlossen: Sie oder ein leitender Angestellter) oder eine externe Fachkraft handeln.

Tipp: Ausführliche Checklisten, etwa für die Bestandsaufnahme, Mustertexte und Kopiervorlagen, finden Sie im „Datenschutzhandbuch für Heilmittelpraxen“ der Buchner & Partner GmbH.

Bildnachweis: iStock: gorica

(Visited 478 times, 1 visits today)
Themen: Alle Artikel, Datenschutz, Thema Praxisführung, Thema Recht, Thema Recht / Steuern / Finanzen, Thema Tipp zur Praxisführung
Stichwörter: , , , , ,

Ähnliche Artikel

Wir freuen uns zu Ihrer Rückmeldung zu diesem Artikel! Lesen Sie hier mehr zu unseren Kommentarregeln und wie wir Kommentare redaktionell bearbeiten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.