DSGVO für Kliniken und Fachärzte

Seit dem Geltungsbeginn der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 (das Inkrafttreten fand bereits im Jahr 2016 statt) ist mehr als ein halbes Jahr vergangen. Diese Zeit haben viele Praxen und Kliniken genutzt, um die Verarbeitung personenbezogener Daten möglichst datenschutzkonform zu gestalten. Dabei ist es aber nicht damit getan, die Datenschutzerklärung auf der Homepage zu überarbeiten und Patienten ein Merkblatt in die Hand zu drücken.

Checkliste

Vielmehr sollte anhand folgender Checkliste überprüft werden, ob Sie als Praxis- oder Klinikinhaber den Anforderungen des Datenschutzes genügen und so nicht dem Risiko von Sanktionen durch Aufsichtsbehörden ausgesetzt sind:

  1.  Verzeichnis von Verarbeitungstätigkeiten
    Die Erstellung eines solchen Verzeichnisses nach Art. 30 DSGVO ist der Einstieg in die Materie und verlangt eine strukturierte Erfassung aller Datenverarbeitungsvorgänge. Je sorgfältiger hier gearbeitet wird, desto leichter fällt es, die sonstigen Anforderungen der DSGVO zu erfüllen.
  2. Information zur Datenverarbeitung
    Idealerweise enthält Ihre Webseite die nach Art. 13 DSGVO notwendigen Inhalte. Informieren können Sie dann die jeweiligen Personengruppen (z.B. Patienten, Beschäftigte) unter Verweis auf die jeweiligen Abschnitte.
  3. Datenschutzbeauftragter (DSB)
    Soweit bei Ihnen 10 oder mehr Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, unterliegen Sie der Pflicht zur Benennung eines DSB. Bei Benennung eines internen Mitarbeiters zum DSB genießt dieser besonderen Kündigungsschutz. Hinzuweisen ist hier auch auf die Pflicht zur Mitteilung der Kontaktdaten des DSB auf der Homepage der zuständigen  Aufsichtsbehörde. Eine von den Behörden insoweit verlautbarte „Schonfrist“ läuft zum 31.12.2018 aus.
  4. Verpflichtung auf Vertraulichkeit
    Als Praxis- oder Klinikinhaber müssen Sie Ihre Mitarbeiter nach Art. 5, 24 und 32 DSGVO auf die Vertraulichkeit verpflichten. Neben der Aufklärung über die Pflichten sollte ein Merkblatt mit einem Auszug aus den einschlägigen Normen der DSGVO übergeben werden.
    Ein unterzeichnetes Exemplar der Verpflichtungserklärung gehört in die Personalakte.
  5. Technische und organisatorische Maßnahmen (TOM’s)
    Ohne die Umsetzung  zeitgemäßer technischer und flankierender organisatorischer Maßnahmen ist eine sichere Verarbeitung personenbezogener Daten nicht möglich. Der Einsatz von Verschlüsselungstechniken bei Versand von E-Mails, eindeutige Vorgaben zur Passwortwahl oder ein regelmäßig überprüftes Zugriffsberechtigungskonzept sind hier nur einige Stichworte. Insbesondere ungeregelte Zugriffsberechtigungen haben jüngst dazu geführt, dass ein Krankenhaus in Portugal von der hierfür zuständigen Landesbehörde mit einem Bußgeld von 400.000 Euro belegt wurde.
  6. Auftragsverarbeitungsverträge
    Wenn in Ihrem Auftrag personenbezogene Daten verarbeitet werden, also z.B. Lohnbuchhaltung oder IT-Support extern vergeben wurden, muss jeweils ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit dem Anbieter geschlossen werden.
  7. Meldung von Datenschutz-Verletzungen
    Bei Datenpannen bzw. Datenlecks oder gezielten Angriffen wie Hacking oder Diebstahl von personenbezogenen Daten muss binnen 72 Stunden ab Kenntnis vom Vorfall dieser der Behörde gemeldet werden. Hier bieten sich Prozessanweisungen an, um Ihre Mitarbeiter entsprechend zu sensibilisieren.
  8. Dokumentation der Datenschutz-Aktivitäten
    Wegen der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO empfiehlt es sich, sämtliche Aktivitäten im Datenschutz in einem Dokument strukturiert zu erfassen.

Kontaktdaten des Autors:

Robert Zehnpfennig
Rechtsanwalt, MBA
Phone +49 157 71599907
E-Mail: datenschutz@zehnpfennig.de