Die 12 Schritte zum Datenschutz-Management für Ihre Praxis.
Um was geht es?
Die Datenschutz-Grundverordnung DSGVO bzw. EU-DSGVO verpflichtet alle Organisationen, Unternehmen und Freiberufler einen Datenschutz für die gespeicherten bzw. „verarbeiteten“ personenbezogenen Daten sicherzustellen.
Diese Verpflichtung kann leider nicht mit dem Kauf eines Buches oder Software und auch nicht mit dem Besuch eines Seminars erledigt werden. Selbst die Benennung eines (externen) Datenschutzbeauftragten erledigt die Aufgabe nicht. Man erwartet, dass Sie diese Verordnung verstehen und Ihren Geschäftsbetrieb ggf. auf die Anforderungen hin organisieren.
Was wird THEORG für Sie tun? Wie gesagt, das ist im Schwerpunkt keine IT- oder Softwareangelegenheit. Dennoch wird es ein paar Erweiterungen in THEORG geben. Diese werden Sie im Rahmen eines Updates erhalten. Diese betreffen die Bereiche:
- Information des Betroffenen und Auskunft an den Betroffenen
- Verschlüsselung von Daten bei der Weitergabe
- Verbesserung des Schutzes vor unberechtigtem Zugriff und dem Kopieren von Daten.
Der Großteil des Themas liegt außerhalb von Software. Um die Anforderungen der DSGVO zu erfüllen, bedarf es eines „Datenschutz-Managements“, welches Sie umsetzen müssen. Aber auch hier wollen wir gerne Unterstützung leisten. Wir würden empfehlen, das Thema in folgenden Schritten aufzuarbeiten.
Vorab möchten wir darauf hinweisen, dass wir keine Rechtsberatung erteilen können. Wir geben lediglich Anregungen zur Umsetzung. Diese sollten Sie ggf. mit Ihrem Rechtsberater auf die Anwendung in Ihrer Praxis überprüfen.
1. Wer betreibt das Datenschutz-Management?
Mindestens eine Person im Unternehmen bzw. in der Praxis muss sich mit der Thematik auseinandersetzen und entsprechende Vorkehrungen und Regelungen (Strukturen und Verfahren) schaffen. In der Regel ist Datenschutz Chefsache.
Ein erfahrener Berater oder (externer) Datenschutzbeauftragter kann dabei helfen, dass die Thematik leichter verstanden und umgesetzt werden kann. In der Regel hat dieser Berater dann auch schon vorgefertigte Arbeitsmittel, Mustertexte usw. die leicht auf die konkreten Gegebenheiten eines Betriebes angepasst werden können. Man muss also nicht mit allem bei Null beginnen.
Bestimmen Sie, wer in Ihrer Praxis das Thema federführend bearbeiten soll. In der Regel sollte dies jemand sein, der die Organisation des Betriebes versteht und ggf. auch Organisationsveränderungen gestalten und durchsetzen kann. Häufig wird dies der Chef / Chefin sein.
2. Benötigen Sie einen Datenschutzbeauftragten?
Prüfen Sie, ob Sie einen Datenschutzbeauftragten (DSB) benennen müssen. Falls ja, müssen Sie sich um einen internen oder externen Datenschutzbeauftragten kümmern. Der wird Sie unterstützen. Den wesentlichen Teil der Aufgaben werden Sie aber selbst erfüllen müssen, denn der Datenschutzbeauftragte ist zwar Ihr Berater, die Umsetzung des Datenschutzes bleibt aber die Aufgabe der Praxisleitung (Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, Pflege des Datenschutz-Managements, Datenschutzfolgeneinschätzungen, etc.)
Ein Datenschutzbeauftragter muss zwingend benannt werden, wenn in einer Praxis mindestens 10 Personen in Tätigkeiten eingebunden sind, bei denen auch ein Computer zum Einsatz kommt. Es kommt übrigens nicht darauf an, ob es sich um Vollzeit-, Teilzeitkräfte oder Minijobber handelt.
Falls Sie keinen DSB benennen müssen, können Sie mit den nächsten Schritten starten. Auch wenn eine Pflicht zur Benennung eines DSB in Ihrer Praxis nicht besteht, sollten Sie trotzdem eine Benennung in Erwägung ziehen, denn zur Umsetzung dieses Komplexen Themas ist es viel wert einen fachkundigen Berater zur Seite zu haben.
Ein Datenschutzbeauftragter ist auch zu benennen, wenn weniger als 10 Personen mit der automatisierten Verarbeitung von Daten befasst sind, aber in der Praxis Patientendaten umfangreich verarbeitet werden. Wann eine Verarbeitung als umfangreich gilt, ist im Moment noch nicht entschieden. Klar ist bislang nur: In einer Einzelpraxis findet keine umfangreiche Verarbeitung statt. Die Tendenz der Datenschutz-Aufsichtsbehörden der Länder geht zurzeit dahin, auch in größeren Praxen in der Regel keine umfangreiche Verarbeitung anzunehmen. Damit dürfte für Arzt- und Physiotherapiepraxen die Zahl der Mitarbeiter das alleinige Kriterium für die Pflicht zur Benennung eines DSB sein.
3. Welche Daten verarbeiten Sie?
Machen Sie sich bewusst, warum Sie wessen Daten verarbeiten (müssen), durch wen die Verarbeitung vorgenommen wird und auf welcher Rechtsgrundlage.
Erfolgt dabei eine Weitergabe an Dritte und ggf. auch ins außereuropäische Ausland? Diese Fragen müssen Sie sich stellen. Die Antworten tragen Sie in das Verzeichnis von Verarbeitungstätigkeiten ein. Wir bereiten gerade ein Muster eines solchen Verzeichnisses mit den in einer Praxis üblichen Verfahren vor. Diese kann als Grundlage bzw. Ausgangspunkt Ihres individuellen Verzeichnisses von Verarbeitungstätigkeiten dienen. Da das Verzeichnis für jede Praxis individuell erstellt sein muss, kann eine reine Kopiervorlage diese Aufgabe nicht erfüllen. Das Erstellen des Verzeichnisses von Verarbeitungstätigkeiten ist auch nicht Aufgabe des Datenschutzbeauftragten, sondern der Praxisleitung. Der Datenschutzbeauftragte steht Ihnen dabei aber beratend zur Seite.
4. Welche Risiken und Folgen entstehen?
Im Rahmen des Datenschutz-Managements müssen Sie beurteilen, welche Risiken und Folgen für die Personen entstehen können, wenn mit deren Daten bei Ihnen „etwas passiert“. Das betrifft u.a. die Folgen, wenn diese Daten unberechtigt in die Hände Dritter geraten oder einfach zerstört werde. Bei Risikoanalysen hat es sich bewährt, das Praxisteam miteinzubeziehen.
5. Was tun Sie, um die Risiken gering zu halten?
Durch geeignete Vorkehrungen und Regelungen (Strukturen und Verfahren) können Sie die von Ihnen erkannten Risiken reduzieren. Dies sind die sogenannten TOMs, die technischen und organisatorischen Maßnahmen. Diese reichen von der Schließanlage in der Praxis bis zur regelmäßigen Datensicherung. Vieles liegt hier außerhalb der EDV.
6. Und wenn es doch zu einer Datenschutz-Störung kommt?
Die DSGVO kennt eine Meldepflicht bei Störungen, z.B. wenn Ihnen mal eine Patientenakte oder ein Rezept verlorengegangen ist. In dem Fall müssen Sie die Aufsichtsbehörde (also den Datenschutzbeauftragten Ihres Bundeslandes) benachrichtigen. In besonderen Fällen müssen Sie auch die Patienten persönlich benachrichtigen – oder wenn das nicht geht: per Aushang in der Praxis. Gerade für den Fall einer meldepflichtigen Störung ist es von Vorteil einen Datenschutzbeauftragten an der Seite zu haben, der die Kommunikation mit der Aufsichtsbehörde für Sie übernimmt.
7. Wie informieren Sie über den Umgang mit personenbezogenen Daten?
Ab dem 25.05.2018 sollten Sie sicherstellen, dass alle Personen, deren Daten Sie verarbeiten, darüber informiert sind, für welche Zwecke Sie die Daten verwenden, an wen Sie diese ggf. weitergeben und ggf. wie lange Sie diese Daten nutzen werden. Außerdem müssen Sie u.a. darüber informieren, dass die Person ein Recht auf Auskunft, Berichtigung, Widerspruch und ggf. auf Löschung hat. Die Überlegungen hierzu auf dem Hintergrund einer typischen Heilmittelpraxis sowie Beispiele für Informationstexte sind in Vorbereitung.
8. Datenzugang für Dritte nur mit Vereinbarung!
Sie müssen mit allen Dritten, denen Sie ggf. Zugang zu den Daten gewähren, Datenschutz-Vereinbarungen treffen. Das kann der Lettershop sein, der Ihre Weihnachtskarten verschickt, Ihre IT-Betreuer oder auch der Softwarelieferant, der per Fernwartung zugreift. Als Servicekunde erhalten Sie für den Bereich THEORG-Hotline automatisch noch vor dem 25.05.2018 einen entsprechenden AV-Vertrag.
9. Sensibilisieren und schulen Sie Ihre Mitarbeiter!
Stellen Sie sicher, dass alle Mitarbeiter auf das Thema Datenschutz sensibilisiert sind. Schulen Sie dies u.a. auf die von Ihnen eingerichteten Vorkehrungen und Regelungen (Strukturen und Verfahren), mit denen Sie den Datenschutz in der Praxis sicherstellen. Dokumentieren Sie die Schulung. Es kann zweckmäßig sein, auch die Mitarbeiter eine entsprechende Vereinbarung unterschreiben zu lassen.
10. Erstellen Sie eine Dokumentation zu Ihrem Datenschutz-Management!
Die DSGVO verpflichtet Sie, Ihre Überlegungen bzw. Maßnahmen zu dokumentieren. Die Ergebnisse aus den vorstehenden Punkten bilden das schon weitgehend ab. Insbesondere von Ihnen durchgeführte Risikoanalysen und Protokolle über Schulungen sollten Sie in die Dokumentation aufnehmen.
11. Damit sind Sie zunächst am Ziel.
Sie haben Ihr Datenschutz-Management zunächst einmal aufgestellt. Sie haben einen Datenschutz-Zuständigen und ggf. auch einen (externen) Datenschutzbeauftragten (DSB) festgelegt bzw. berufen. Sie haben ein Verfahrensverzeichnis erstellt, die Risiken bewertet und angemessene technische und organisatorische Maßnahmen eingeführt. Sie sind vorbereitet, falls es mal zu einem Zwischenfall kommt. Personen werden künftig informiert, dass und wie Ihre Daten bei Ihnen verarbeitet werden. Externe Dienstleister und Ihre Mitarbeiter haben Sie auf den Datenschutz verpflichtet. Sie haben all dies dokumentiert und Ihre Mitarbeiter eingewiesen.
12. Und immer wieder grüßt das Murmeltier.
Datenschutz will gelebt werden, darum überprüfen Sie (regelmäßig), ob die von Ihnen festgelegten Vorkehrungen und Regelungen (Strukturen und Verfahren) umgesetzt, weiterhin angemessen und wirksam sind. Korrigieren Sie bei Bedarf Ihre Maßnahmen. Schulen Sie neue Mitarbeiter. Wiederholen Sie die wesentlichen Punkte auch für bestehende Mitarbeiter.
Mehr Informationen
Die in Vorbereitung befindlichen Arbeitshilfen werden wir nach und nach an dieser Stelle für Nutzer der Software THEORG veröffentlichen.
Eine wesentliche Hilfe in der Bearbeitung dieser Themen bietet ein Lehrbuch unseres Kooperationspartners DATAprivat. Der Rechtsanwalt Rainer Horbach berät schwerpunktmäßig auf diesem Fachgebiet und ist externer Datenschutzbeauftragter für viele Heilmittel- und Arztpraxen. Auf 100 Seiten hat er alle wesentlichen Aspekte und viele Beispiele, konkret für Heilmittelpraxen, ausführlich dargestellt.
Auch die von uns noch folgenden Arbeitshilfen zu den vorstehenden Punkten nehmen vielfach Bezug auf Ausführungen in diesem Lehrbuch.
Hier können Sie das Lehrbuch „Datenschutz in der Praxis“ bestellen.
Der Buchpreis beläuft sich auf 19,80 Euro zuzüglich 4,90 Euro Porto und Verpackung je Lieferung (auch bei mehreren Büchern).
Die Schautafel „Datenschutz-Management“ aus diesem Buch in der Größe A2 kann zum Preis von 2,90 Euro mitbestellt werden. Die große Schautafel kann als Diskussions- und Schulungshilfe „an der Wand“ eingesetzt werden.
Seminare unseres Kooperationspartners zum Datenschutz in Heilmittelpraxen finden Sie hier.