Jahresbericht Ärztekammer Nordrhein 2018

Ärztekammer Nordrhein Jahresbericht 2018 | 103 Rechtsabteilung Verlangen der Aufsichtsbehörde für den Daten- schutz vorzulegen. In seltenen Fällen wird eine sogenannte Datenschutzfolgenabschätzung durch- zuführen sein. Diese dient dazu, mögliche Risiken bei der Verarbeitung der Patientendaten abzuschät- zen und Abhilfemaßnahmen festzulegen. Vorsicht ist zum Beispiel bei der Verarbeitung der Daten von Kindern und bei genetischen Daten geboten. Größere Arztpraxen oder Arztpraxen, die um- fangreich Patientendaten verarbeiten, müssen einen Datenschutzbeauftragten benennen. Ein Daten- schutzbeauftragter ist immer zu benennen, wenn mehr als zehn Personen in der Praxis mit der Ver- arbeitung von Daten beschäftigt sind oder wenn eine Datenschutzfolgenabschätzung durchgeführt werden muss. Datenschutzbeauftragter kann eine angestellte Ärztin oder ein angestellter Arzt, eine Medizinische Fachangestellte oder eine externe Firma sein, nicht aber die Praxisinhaberin oder der Praxisinhaber selbst. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden. Praxisinhaber, die eine Praxishomepage betreiben, haben ihre Datenschutzerklärung und den tech- nischen Standard ihrer Homepage zu überprüfen. Im Rahmen eines Behandlungsverhältnisses be- ruht die Datenverarbeitung auf einer vertraglichen Grundlage. Das Erfassen, Speichern und Verarbei- ten von Patientendaten ist daher gesetzlich gestat- tet. Sofern Daten an Dritte weitergegeben werden, ohne dass hierfür eine gesetzliche Grundlage be- steht, ist eine Einwilligung der Patientin oder des Patienten erforderlich. Diese muss zwar nicht zwin- gend schriftlich erfolgen, aber sie muss nachweis- bar sein. Es wird daher in einigen Fällen empfoh- len, eine schriftliche Einwilligung einzuholen (z.B. bei der Datenweitergabe an private Versicherungen oder privatärztliche Verrechnungsstellen). Die Rechte der Patienten sind erheblich gestärkt worden. Neben das Recht auf Einsichtnahme in die Patientenakte ist das Recht auf Auskunft getre- ten. Ferner haben Patienten nunmehr Rechte auf Berichtigung und Löschung ihrer Daten, auf Ein- schränkung der Datenverarbeitung und auf Daten- portabilität. Die DSGVO sieht weiterhin umfangreiche Infor- mationspflichten für Praxisinhaber vor, die der Transparenz bei der Verarbeitung der Daten von Patienten dienen sollen. Ärztinnen und Ärzte sind verpflichtet, ihre Patienten über ihre Rechte zu in- formieren. Empfohlen werden die Übergabe eines Informationsblattes und eine Dokumentation der Übergabe in der Patientenakte. Soweit Verträge mit externen Dienstleistern be- stehen oder abgeschlossen werden sollen, müssen diese auf ihre Vereinbarkeit mit den neuen daten- schutzrechtlichen Regelungen und der ärztlichen Schweigepflicht überprüft werden. Falls eine so- genannte Auftragsdatenverarbeitung vorliegt (zum Beispiel Vertrag über die Wartung der Praxis-EDV- Anlage oder die Nutzung von Cloud-Diensten), ist ein Vertrag zu schließen, der den Anforderungen der Artikel 28 ff. DSGVO entspricht. Der Auftrags- verarbeiter darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verar- beiten und hat zahlreiche datenschutzrechtliche Pflichten zu erfüllen. Die Gesamtverantwortung verbleibt aber beim Auftraggeber. Datenpannen und Datenschutzverstöße hat der Praxisinhaber innerhalb von 72 Stunden der zu- ständigen Aufsichtsbehörde, also der Landesbehör- de für den Datenschutz zu melden und zu doku- mentieren (zum Beispiel Hackerangriff). Kann die Meldung nicht zeitnah erfolgen, ist sie nachzuholen und eine Begründung für die verzögerte Meldung beizufügen. Besteht das Risiko, dass durch die Datenpanne das Persönlichkeitsrecht des Betroffe- nen verletzt wird, muss dieser ebenfalls informiert werden. Von einer Meldung kann abgesehen wer- den, wenn voraussichtlich kein Risiko für die Rech- te und Freiheiten der betroffenen Patienten besteht, weil bereits geeignete technische und organisato- rische Maßnahmen zum Datenschutz ergriffen wurden (zum Beispiel Verschlüsselung der Daten).