DSGVO für Ärzte und die Praxishomepage

Was gilt es für die Arztpraxis zu beachten?

Die DSGVO ist seit dem 25. Mai 2018 in Kraft und ein ernstzunehmendes Thema, das schnell teuer und zeitaufwendig werden kann. Es gibt aber auch effektive und kostengünstige Lösungen.

1. Grundsätzliches über die DSGVO

Was ist die DSGVO?

Das Wort DSGVO steht für die europäische Datenschutz-Grundverordnung. Sie ist seit dem 25. Mai 2018 in Kraft. Die DSGVO regelt europaweit einheitlich den Umgang mit personenbezogenen Daten, und ist insbesondere im Zusammenhang mit dem Internet von großer Bedeutung. Denn die DSGVO ist eine Reaktion auf unsere neue, digitale Welt und die vielen “Datenpannen”, die es immer wieder gibt. Das Regelwerk ist komplex und sehr streng, bei Verstößen drohen Abmahnungen und empfindliche Bußgelder.

Dem nicht genug kommt es für die Gesundheitsbranche noch deutlich “heftiger”: Denn nach Art. 9 DSGVO unterliegen Patienten- und Gesundheitsdaten einem besonders strengen Schutz – mit teilweise weitreichenden Konsequenzen.

Grundsätze der Datenverarbeitung

Eine Datenerhebung erfordert entweder das Einverständnis des Betroffenen oder es müssen Gründe nach Art. 6 Abs. 1 lit b) bis f) DSGVO vorliegen. Des Weiteren gilt der  Grundsatz der Datensparsamkeit, sprich es sollen nur so wenige Daten wie nötig gespeichert werden. Betroffene haben zudem ein Recht auf Auskunft, Löschung (sofern diesem Verlangen nicht andere Regularien entgegenstehen) und Datenübertragung.

Was gilt noch? Thema „Ärztliche Schweigepflicht“

Unabhängig von der DSGVO gelten zudem selbstverständlich sämtliche Vorschriften im Zusammenhang mit der ärztlichen Schweigepflicht nach wie vor. Jede Arztpraxis muss sicherstellen, dass Patientendaten, die der ärztlichen Schweigepflicht unterliegen, grundsätzlich strengstens verschlossen bleiben – und zwar egal wem gegenüber, selbst wenn es das Finanzamt ist. Hier fordert die DSVO nun einige Weiterungen, die eine noch höhere Sicherheit von Patientendaten gewährleisten sollen.

Aufsichtsbehörde

Die Aufsichtsbehörde bzw. „Wächter“ der DSGVO sind die jeweiligen Landesbeauftragten für Datenschutz der jeweiligen Bundesländer. In Bayern gibt es zudem noch das Bayrische Landesamt für Datenschutzaufsicht (BayLDA), das rein für den nicht-öffentlichen Bereich (also Unternehmen etc.) zuständig ist, und als die strengste Behörde in Deutschland gilt.

Was sind die Risiken? Problem Praxis-Website und Außenkommunikation

Bei Nichteinhaltung der DSGVO drohen empfindliche Bußgelder und Abmahnungen. Eine Verletzung der ärztlichen Schweigepflicht kann weitere Konsequenzen nach sich ziehen, auch strafrechtlicher Art.
Die primäre „Angriffsfläche“ für den Vorwurf einer Datenschutzverletzung ist in erster Linie die Praxishomepage sowie die Außenkommunikation. Denn diese Informationen sind öffentlich für Behörden, Abmahnanwälte und Mitbewerber zugänglich. Auch gibt es heute Softwares (Spider), die das Internet nach Verstößen systematisch durchforsten. Insofern sollte diese Angriffsfläche auf ein Minimum reduziert werden.
Wir haben Fälle erlebt, in denen das Bayrische Landesamt für Datenschutzufsicht nur wegen der Praxis-Website auf eine Arztpraxis aufmerksam wurde. Die Folgen waren monatelange und kostspielige Auseinandersetzungen. Dies gilt es zu vermeiden.
Ein weiteres Risiko liegt in der Möglichkeit einer Beschwerde: Nach Art. 77 DSGVO kann jeder eine Beschwerde auf Verdacht der Nicht-Einhaltung der DSGVO gegen ein Unternehmen (und damit auch gegen eine Arztpraxis) bei einer Aufsichtsbehörde einreichen. Und man sollte damit rechnen, dass unzufriedene Patienten oder Mitbewerber so etwas auch tun.

Rechtsunsicherheit

Wie inzwischen sogar den Medien entnommen werden kann, herrscht im Zusammenhang mit der DSGVO eine große Rechtsunsicherheit, und zwar von erheblichem Ausmaß. Das Problem ist, dass viele Regelungen schwammig formuliert sind, und somit einer Auslegung bedürfen, was erst noch durch die Rechtsprechung erfolgen muss. Das heißt, es wird noch viele Jahre dauern, bis hier eine einheitliche Rechtsprechung existiert. Diese Rechtsunsicherheit ist ein ernstes Problem. Denn egal, was Sie tun, ein gewisses Restrisiko bleibt. Dieses kann allerdings auf ein Minimum reduziert werden.

Was tun? Sinnvolle Lösungen sind am besten.

Aufgrund der Komplexität, der Strenge, der Rechtsunsicherheit und der Risiken im Zusammenhang mit der DSGVO auf der einen Seite, sowie dem eigentlichen Sinn der Verordnung auf der anderen Seite, gilt es eine praktikable Umsetzung zu finden. Hierbei müssen natürlich auch wirtschaftliche Aspekte bedacht werden. Sind die Kosten der Umsetzung höher als die Risiken ist das nicht zielführend.

Die erste Grundregel lautet: Nutzen Sie Ihren gesunder Menschenverstand. Denn es geht darum, dass Patientendaten geschützt sind – und das möglichst sicher. Empfehlenswert ist hier die Hinzuziehung eines IT- und/oder Internet-Fachmanns um das Thema IT-Sicherheit genau zu beleuchten.
Des Weiteren ist eine Risikominimierung ratsam. Sie sollten einerseits alles umsetzen und einhalten was sinnvoll ist, sowie die „DSGVO-Basics“ erfüllen. Andererseits ist eine möglichst einwandfreie Außendarstellung wichtig, inkl. einer (möglichst) DSGVO-konformen Website.

Wie groß ist die Gefahr von Abmahnungen & Co. am Ende wirklich?

Wie inzwischen diverse Datenschutzbehörden signalisiert haben, werden sie zunächst bei kleinen und mittelständigen Unternehmen von Bußgeldern Abstand nehmen, sofern keine vorsätzlichen oder grob fahrlässigen Fehler vorliegen. Ist die Außendarstellung zudem in Ordnung, werden sich weder Abmahnanwälte oder Behörden an Ihrer Arztpraxis (zunächst) stören.  Hinzu kommt, dass sowohl Datenschutzbehörden als auch Abmahnanwälte vor dem gleichen Problem „Rechtsunsicherheit“ stehen. Sprich sicher vorgehen können diese deshalb nur bei eindeutigen Verstößen.
Das bedeutet zusammengefasst: Werden die “DSGVO-Basics” gewissenhaft umgesetzt sind die Risiken von Problemen  relativ gering.

2. Konkrete Handlungsempfehlungen im Zusammenhang mit der Außenkommunikation & Website

Wie oben bereits erwähnten, stellen die Außenkommunikation und die Website einer Arztpraxis eine empfindliche Stelle dar. Denn diese Bereiche sind öffentlich zugänglich und eine Praxishomepage kann durch sog. Spider von Dritten analysiert werden. Um unangenehmen Briefen von Behörden oder Abmahnanwälten vorzubeugen empfiehlt sich die Einhaltung folgender Punkte:

Cookie-Hinweis

Cookies sind kleine Dateien, die auf dem Endgerät eines Besuchers der Website hinterlegt werden, und durch welche verschiedenste Information getrackt werden können. Im Rahmen des Art. 6 Abs. 1 lit f DSGVO können Cookies in den meisten Fällen auch ohne Einwilligung gesetzt werden. Aus verschieden Gründen empfiehlt sich allerdings zusätzlich ein Cookie-Hinweis, der zudem richtig positioniert sein und den richtigen Wortlaut enthalten sollte.

Kontaktformular

Das Kontaktformular ist ein „wunder Punkt“ der Praxishomepage. Denn trotz einer SSL-Verschlüsselung werden der Inhalt einer solchen Kontaktanfrage nicht 100% sicher übertragen. Aus diesem Grund wird dieser Punkt gerne von Datenschutzbehörden moniert. Dennoch gibt es auch hierfür eine Lösung.

SSL-Verschlüsselung

Durch eine SSL-Verschlüsselung werden sämtliche Daten einer Website sicher übertragen. Man erkennt sie an dem „grünen Schloss“ im Browser. Die Verschlüsselung erfolgt über ein SSL-Zertifikat, für welches es verschiedene Schutzstufen und Qualitätseben gibt. Die Datenschutzbehörden fordern im Zusammenhang mit sensiblen Daten (Gesundheitsdaten) eine höhere Schutzstufe. Das heißt, hier muss das richtige Zertifikat gewählt werden.

Datenschutzerklärung

Eine Datenschutzerklärung ist inzwischen Pflicht für jede nicht private Website, besonders auch für die Website einer Klinik oder Arztpraxis. Im Zuge der DSGVO muss diese seit dem 25. Mai diverse Besonderheiten und Zusätze enthalten, deren Aufzählung hier den Rahmen sprengen würde. Hinzu kommen wieder Besonderheiten, die die Datenschutzbehörden im Zusammenhang mit Gesundheitsdaten fordern. Aus diesem Grund sind Standard-Datenschutzerklärungen oder einfache Vordrucke in der Regel nicht ausreichend. Hier liegt auch das größte Abmahnrisiko, da Datenschutzerklärungen perfekt von Spidern im Internet analysiert werde können.

Datenschutzbeauftragter

Unter bestimmten Vorrausetzungen muss eine Arztpraxis auch einen Datenschutzbeauftragten bestellen. Dies muss eine zuverlässige und fachkundige interne oder externe Person sein, die nicht der Inhaber sein darf. Muss ein Datenschutzbeauftragter bestellt werden, so muss dieser zwingend in der Datenschutzerklärung genannt werden.

Video-Sprechstunde

Die Video-Sprechstunde erfreut sich einer immer größeren Beliebtheit, sowohl bei Patienten wie auch bei Ärzten. Beim Einsatz der Videosprechstunde sind allerdings einige Besonderheiten zu beachten. Sofern die Videosprechstunde mit gesetzlich Versicherten erfolgt gilt §291g SGB V sowie die Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde zwischen dem GKV-Spitzenverband und der Kassenärztlichen Bundesvereinigung. Somit dürfen nur bestimmte, zertifizierte (und i. d. R. kostspielige) Video-Softwares eingesetzt werden. Aber auch bei der Video-Kommunikation mit Privatpatienten muss die Einhaltung der DSGVO gewährleistet werden.

“Häkchen”

Werden personenbezogene Daten durch aktives Tun eines Besuchers erhoben (Kontaktformular, etc.) ist es ratsam eine explizite Einwilligung über die Internetseite durch Check-Boxen einzuholen. Hier kommt es insbesondere auf den korrekten Wortlaut und die richtige Dokumentation an.

Tracking-Programme

Tracking-Programme ermöglichen Nutzer-Analysen auf Websites, durch welche der Internetauftritt zu Marketingzwecken optimiert werden kann. Hierzu werden gewöhnlich Cookies gesetzt. Der Einsatz von solchen Tracking-Programmen ist zwar weiterhin möglich, allerdings gelten eine Reihe von Besonderheiten, die zwingend zu beachten sind. Da auch dieser Bereich perfekt von Spidern analysiert werden kann, lauert hier eine ernstzunehmende Abmahnfalle.

Google-Maps, Youtube-Videos & Google Webfonts

Die Nutzung von Google-Maps, die Einbindung von Youtube-Videos (aber auch Videos anderer Plattformen) oder die Verwendung von Google-Webfonts sind in Bezug auf die DSGVO problematisch. Denn alle diese Services bauen unsichtbar im Hintergrund automatisch eine Verbindung zu Google auf und übermitteln ungefragt die IP-Adresse, was nicht erlaubt ist. Allerdings gibt es auch hier Lösungen.

Social-Sharing-Button

Selbiges gilt für Socia-Sharing-Buttons. Auf diese sollte man entweder verzichten (sicherster Weg) oder DSGVO-konforme Lösungen implementieren (sofern das überhaupt möglich ist).

Fotos von Mitarbeiter & Nennung von Namen

Immer häufiger zeigen Arztpraxen Fotos ihrer Mitarbeiter auf ihrer Website, teilweise inkl. Nennung der Namen der Mitarbeiter. Hier benötigen Sie in jedem Fall eine jeweilige schriftliche Einverständniserklärung der betroffenen Person/en. Wichtig ist hier die richtige Formulierung.

WhatsApp

Viele Ärzte kommunizieren mit Ihren Patienten per WhatsApp. So praktisch das auch ist, stellt die Nutzung von WhatsApp datenschutzrechtlich ein ernstes Problem dar. WhatsApp überträgt nämlich automatisch das gesamte Kontaktbuch des Handys (ohne zu fragen) an Facebook. Dadurch liefern Sie somit (unfreiwillig) die Namen Ihrer Patienten an Facebook, was eine schwere Verletzung der ärztlichen Schweigepflicht darstellt. Hinzu kommt, dass Facebook im Zusammenhang mit personenbezogenden Daten weder als seriös eingestuft werden kann, noch die Bestimmungen der EU ausreichend garantiert (keine Zertifizierung im Rahmen des Privacy Shields). Die genannten Bedenken gelten im Übrigen auch für die Kommunikation zwischen Ärzten, Kollegen und Mitarbeitern per WhatsApp.
Insofern ist Ärzten dringend empfohlen hier auf sichere Alternativen umzusteigen. Wir empfehlen hier die App „Signal“.

3. Weitere Anregungen für praxisinterne Aspekte

Auch praxisintern sollten eine Reihe von Maßnahmen eingehalten werden. Denn deren Einhaltung kann von einer Aufsichtsbehörde überprüft werden. Zwar genießen Arztpraxen den großen Vorteil, dass sie aufgrund der ärztlichen Schweigepflicht Behörden in der Regel den Zutritt zur Praxis (zunächst) verweigern können. Die meisten der nachfolgend genannten Unterlagen müssen auf Anforderung dennoch vorgelegt werden. Und dieser Aufforderung sollte man auch zügig nachkommen.

Einwilligungserklärung(en) des Patienten

Die DSGVO schreibt in vielen Fällen eine Einwilligung des Patienten zur Datenerfassung vor, nebst weiterer aufklärenden Informationen. Dies kann im Rahmen der Patientenaufnahme erfolgen und sollte schriftlich dokumentiert werden.

Verzeichnis der Verarbeitungstätigkeiten & Co.

Arztpraxen müssen, wie alle andere Unternehmen auch, diverse datenschutzrelevante Unterlagen parat halten, die auf Anfrage der Aufsichtsbehörde vorzulegen sind. Diese Unterlagen sind:

  • Verzeichnis der Verarbeitungstätigkeiten
  • Risikoanalyse
  • IT-Richtlinie
  • IT-Sicherheitskonzept
  • Liste von organisatorischen und technischen Maßnahmen (TOM-Liste)
  • In besonderen Fällen: Datenschutzfolgeabschätzung

Bei der Erstellung dieser Unterlagen ist es sehr zu empfehlen sich professionelle Unterstützung zu holen.

AV-Verträge

Auftragsdatenverarbeiter sind externe Dritte, die im Auftrag der Arztpraxis personenbezogene Daten und Patientendaten verarbeiten. Typische Auftragsverarbeiter sind:

  • Privatärztliche Verrechnungsstelle
  • Externe Buchhaltung
  • IT-Firma, die technische Fernwartungen durchführt
  • Internetprovider
  • Marketing-Agentur

Im Rahmen der DSGVO ist mit solchen Auftragsdatenverarbeitern zwingend ein Vertrag zur Auftagsdatenverarbeitung zu schließen (kurz AV-Vertrag). Des Weiteren muss sich der Arzt von der Zuverlässigkeit sowie der technischen und organisatorischen Aufstellung seines Subunternehmers überzeugen. Im Zusammenhang mit der ärztlichen Schweigepflicht empfiehlt sich zudem dringend eine schriftliche Verschwiegenheitsvereinbarung.

Vorher-Nachher-Bilder

Es ist bekannt, dass die Werbung mit Vorher-Nachher-Bildern außerhalb von Praxisräumen untersagt ist. Anders verhält es sich im Rahmen eines persönlichen Beratungsgesprächs innerhalb geschlossener Praxisräume. Wichtig ist hierbei dennoch, dass schriftliche Einverständniserklärungen der Patienten vorliegen, und Daten so gut wie möglich anonymisiert sind.

Recht auf Auskunft

Betroffene haben ein Recht auf Auskunft, um zu erfahren welche Daten von ihnen konkret gespeichert wurden / werden. Hier sollte die Praxis-IT so organisiert werden, dass diese Auskünfte gegenüber Patienten auf Anfrage zeitnah (binnen max. 4 Wochen) schriftlich erteilt werden können.

Personaldaten

Zu guter Letzt: Eine Arztpraxis verarbeitet auch Daten von Mitarbeitern, also Personaldaten. Auch diese unterliegen der DSGVO.

 

 

 

Über A&B Healtmedia

Wir sind eine Inhaber-geführte Marketingagentur mit über 20 Jahren Erfahrung sowie Spezialisierung auf den Gesundheitsmarkt und Online-Marketing. Wir betreuen Arztpraxen, Psychologen, Klinken und Unternehmen im Gesundheitsbereich. So werden wir selbstverständlich auch seit vielen Jahren mit den Themen „Datenschutz“ und „ärztliche Schweigepflicht“ konfrontiert.
Wir sind in dem Zusammenhang Mitglied in einem Netzwerk zum Thema „DSGVO“ und stehen mit zahlreichen, auf Datenschutz spezialisierten Rechtsanwälten in Kontakt. Ebenso besitzen wir umfassende Erfahrungen mit dem Bayrischen Landesamt für Datenschutzaufsicht, der strengsten Behörde in diesem Bereich. So konnten wir im Laufe der Jahre diverse Lösungen für unsere Kunden entwickeln, die von Seiten der Datenschutz-Behörden akzeptiert wurden. Auch kennen wir die jüngsten Abmahnungen auf diesem Gebiet. Insgesamt besteht unsere Spezialisierung auch darin, kostengünstige Datenschutzlösung anbieten zu können. In Ergänzung vermitteln wir externe Datenschutzbeauftragte, sofern erforderlich.

Sofern auch Sie eine Beratung zum Thema „Datenschutz“ für Arztpraxen oder Gesundheitsbetriebe  wünschen, oder konkrete Hilfe benötigen können Sie sich gerne an uns wenden.

 

Schreibe einen Kommentar