• Deutsch
  • Externer Datenschutzbeauftragter für Arztpraxen

Externer Datenschutzbeauftragter Arztpraxis:

Warum brauchen Arztpraxen und Berufsausübungsgemeinschaften einen Datenschutzbeauftragten?

  1. Gesetzliche Verpflichtung für selbstständige- oder Gemeinschaftspraxen und Medizinische Versorgungszentren (MVZ), nach § 4 f Abs. 1 BDSG: Werden personenbezogene Daten (zum Beispiel Patienten- und Mitarbeiterdaten) automatisiert verarbeitet, haben Sie als Praxisinhaber, als Leitung eines MVZ, als Krankhaus einen Beauftragten für den Datenschutz zu bestellen (ab 10 Mitarbeitern).
  2. Gesetzliche Verpflichtung nach Art. 37 Nr. 1 lit. c) DSGVO, Art. 9 DSGVO: 1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO (unter anderem Gesundheitsdaten, genetische- und biometrische Daten) besteht.
  3. Sensible Daten: Nach den Berufsordnungen der Landesärztekammern, dem Bundesdatenschutzgesetz und dem § 203 StGB, sind Mediziner zur Verschwiegenheit verpflichtet. Der (externe) Datenschutzbeauftragte Ihrer Arztpraxis hilft bei der Sicherung sensibler Patientendaten und beim Aufbau von Kontrollmechanismen.
  4. Vertrauensgewinn: Beratung zu Gesundheitsfragen ist Vertrauenssache. Durch die Benennung eines qualifizierten Datenschutzbeauftragten signalisieren Sie gegenüber Patienten und Vertragspartnern, dass Ihnen IT-Sicherheit und Datenschutz ein besonderes Anliegen sind.
  5. Erfahrung im Umgang mit Aufsichtsbehörden: Stellt die Aufsichtsbehörde einen Verstoß fest, kann sie die zuständige Aufsichtsbehörde informieren sowie Zuwiderhandlungen mit schmerzhaften Bußgeldern belegen, § 43 BDSG, künftig Art. 83 DSGVO
Die Rechtsanwälte von Spirit Legal als externer Datenschutzbeauftragter für Arztpraxen

Unsere Leistungen als externe Datenschutzbeauftragte auf einen Blick

 Schulung Ihrer Mitarbeiter*innen zum Datenschutz

Mitarbeiter, die in Ihrem Unternehmen, mit personenbezogenen Daten arbeiten, werden von den Rechtsanwältinnen und Rechtsanwälten von Spirit Legal fachkundig und praxisbezogen geschult. In den Seminaren, die wir bundesweit auch In-house bei Ihnen durchführen, machen unsere Datenschutzexperten Ihre Mitarbeiter mit den Vorschriften über den Datenschutz und den Erfordernissen des Datenschutzes vertraut. Gern führen wir auch Online-Webinare zum Datenschutz durch.

 Dokumentation im Sinne des Datenschutzgesetzes

Das Bundesdatenschutzgesetz (BDSG) verpflichtet jede private oder staatliche Stelle, die mit personenbezogenen Daten arbeitet, den Umgang mit diesen Daten zu dokumentieren. Diese Dokumentationspflicht gilt also auch für privatwirtschaftliche Unternehmen, die mit personenbezogenen Daten umgehen. Die Rechtsanwälte von Spirit Legal übernehmen als externe Datenschutzbeauftragte für Ihr Unternehmen die Dokumentation und Bereitstellung von internen Verfahrensübersichten und Verfahrensverzeichnissen.

 Vorabkontrolle der automatisierten Datenverarbeitung

Weist die automatisierte Datenverarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen auf, führen die Rechtsanwälte von Spirit Legal als externe Datenschutzbeauftragte eine Vorabkontrolle durch.

Externer Datenschutz für Ihre Arztpraxis schon ab 99,00 EUR im Monat

Sie benötigen einen externen Datenschutzbeauftragten für Ihre Arztpraxis oder Berufsausübungsgemeinschaft? Die Datenschutzexperten und Rechtsanwälte von Spirit Legal erarbeiten passgenaue Lösungen und unterstützen Sie als externer Datenschutzbeauftragter für Ihre Arztpraxis.

TÜV-zertifiziert ✔ kompetent ✔ erfahren ✔ professionell ✔

Sie erreichen uns wochentags an unserem Leipziger Standort, rund um die Uhr per Telefon und natürlich jederzeit über E-Mail oder unser Kontaktformular.

 

Muss eine Arztpraxis zwingend einen (externen) Datenschutzbeauftragten haben?

Datenschutz-Grundverordnung (DSGVO)

Bundesdatenschutzgesetz (BDSG) - neu

Die Erforderlichkeit zur Bestellung eines Datenschutzbeauftragten regelt Art. 37 Abs 1 DSGVO.

Danach ist in jedem Fall ein Datenschutzbeauftragter in einer Arztpraxis zu benennen, wenn

  • die Arztpraxis Teil einer Behörde oder öffentlichen Stelle ist,
  • die Kerntätigkeit der Arztpraxis in der Durchführung von Datenverarbeitungen liegt, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von Patienten erforderlich macht,
  • die Kerntätigkeit der Arztpraxis in der umfangreichen Verarbeitung von besonderen Kategorien von Daten i.S.d. Art. 9 DSGVO (insbesondere Gesundheitsdaten) besteht

Es stellt sich also vor allem die Frage, wann eine umfangreiche Verarbeitung von Gesundheitsdaten vorliegt?

Aufschluss bietet der Erwägungsgründe 91 zur DSGVO:

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.“

Ergebnis:

  1. Der Einzelarzt (plus etwas Personal) muss keinen Datenschutzbeauftragten bestellen.
  2. Die Arztpraxis mit mehreren Berufsträgern erfordert im Umkehrschluss zwingend einen Datenschutzbeauftragten.
  3. Für Praxisgemeinschaften, in denen mehrere Ärzte unter gemeinsamer Nutzung der Infrastruktur aber mit getrennten Patientenkarten und -abrechnungen, gemeinsam arbeiten, empfehlen wir mit Blick auf die Bußgeldrisiken einen Datenschutzbeauftragten zu bestellen.

§ 10 A

Nach § 38 Abs. 1 BDSG ist ein Datenschutzbeauftragter zu bestellen, wenn

  • in der Arztpraxis in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  • in der Arztpraxis Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung i.S.d. Artikel 35 DSGVO unterliegen, also sobald eine umfangreiche Datenverarbeitung betrieben wird.

Ergebnis:

  1. In größeren Arztpraxen ist in jedem Fall ein Datenschutzbeauftragter zu bestellen.
  2. Der Einzelarzt mit weniger als 10 Beschäftigten muss keinen Datenschutzbeauftragten bestellen. Wir empfehlen Ihnen zur Absicherung die Rücksprache mit der zuständigen Aufsichtsbehörde für den Datenschutz.

SPIRIT LEGAL INFORMIERT: Datenschutztrecht in der Arztpraxis

INHALTSVERZEICHNIS

Datenschutz in der Arztpraxis

Nach einer Untersuchung der Stiftung Warentest hapert es in jeder zweiten geprüften Arztpraxis beim Datenschutz.

Dabei stehen für Ärzte die besonderen Arten personenbezogener Daten, auch sensible oder sensitive Daten genannt, im Vordergrund.

„§ 3 Abs. 9BDSG: Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“

„Art. 9 DSGVO: Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Da an die besonderen Arten personenbezogener Daten auch besonders hohe Anforderungen und strenge Einschränkungen ihrer Verwendung gestellt werden, muss dem Datenschutz im Gesundheitswesen ein übergeordnet hoher Stellenwert beigemessen werden.

PRAXISTIPP

Daraus folgen auch besondere Anforderungen an den Datenschutzbeauftragten, der spezifische Fachkunde besitzen muss, die stets der aktuellen Rechtslage entspricht. Es empfiehlt sich daher, einen externen Datenschutzbeauftragten mit besonderer Erfahrung und Fachkunde für Ihre Arztpraxis, zu beauftragen.

 

Verstoß gegen die ärztliche Schweigepflicht und das Zwei-Schranken-Prinzip

Damit die Daten Ihrer Patienten privat bleiben, unterliegen Mediziner der ärztlichen Schweigepflicht, welche ursprünglich ein Teil des Hippokratischen Eides war.

"Was ich bei der Behandlung oder auch außerhalb meiner Praxis im Umgang mit Menschen sehe und höre, das man nicht weiterreden darf, werde ich verschweigen und als Geheimnis bewahren."

Datenschutz war demnach bereits im 1. Jahrhundert aktuell, als der Arzteid erstmals unter dem lateinischen Titel iusiurandum bezeugt wurde.

Heute verpflichten die Berufsordnungen in § 9 MBO-Ä und das Bundesdatenschutzgesetz Mediziner zur Verschwiegenheit. Das Strafgesetzbuch droht im § 203 bei einem Verstoß gegen die Schweigepflicht sogar mit Geld- oder Freiheitsstrafe.

Darüber hinaus sieht das „Zwei-Schranken-Prinzip“ zum Schutz von Patientendaten neben der ärztlichen Schweigepflicht auch Maßnahmen der Datensicherheit vor.

PRAXISTIPP

Dazu gehört, dass sich alle Mitarbeiter und Mitarbeiterinnen schriftlich zu Verschwiegenheit verpflichten, sollte auch bei Praktikanten, Boten, Reinigungs- und Wachpersonal sowie kurzzeitig Beschäftigten nicht vergessen werden.

Zudem müssen Mitarbeiter auf das Datengeheimnis nach § 5 BDSG verpflichtet werden. Nach dieser Vorschrift ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.

Halten sich Dritte in der Praxis auf, zum Beispiel Handwerker, ist sicherzustellen, dass diese keinen Zugriff auf personenbezogene Daten haben.

 

Datenschutz in der Arztpraxis: Machen Sie es besser mit einem externen Datenschutzbeauftragten!

Mit der Untersuchung wollte Stiftung Warentest wissen, wie es mit der Umsetzung der Verschwiegenheitspflicht in der Praxis darstellt.

Im November 2015 nahm sie deshalb bundesweit zu 30 Hausärzten Kontakt auf: Zehn besuchten sie persönlich, zehn riefen sie an und den restlichen Zehn schrieben sie E-Mails. Im ersten Fall achteten die Testpatienten vor Ort darauf, wie die Praxismitarbeiter mit sensiblen Daten umgehen. Bei den Mails und Telefonaten wurden medizinische Daten von je zehn anderen Testpatienten, vermeintlich in deren Auftrag, erfragt.

Dabei stellte sich heraus, dass es Datenlecks in jedem zweiten Fall gab.

Bei der Hälfte der Praxen stieß man auf Verstöße gegen Datenschutzregeln, teils leichte, teils sogar drastische. Bei acht von zehn Anrufen gaben Mitarbeiter Vertrauliches über die Testpatienten preis, etwa Laborwerte oder verordnete Arzneien - ohne die Berechtigung der Anrufer zu hinterfragen.

Als mindestens ebenso bedenklich stellte sich der sorglose Umgang mit Patienten-E-Mails heraus. Bei vier der durch die Stiftung Warentest durchgeführten Anfragen schickten Praxismitarbeiter Infos unverschlüsselt an unpersonalisierte E-Mail-Adressen.

Darauf sollten Sie achten:

  • Sensibilisieren Sie Ihr Personal etwa durch klare Arbeitsanweisungen, am Telefon oder per E-Mail keine Auskunft über Patientendaten zu erteilen. Eine Datenschutzschulung kann hier sehr wirkungsvoll sein.
  • Bei Auskunftsersuchen von Angehörigen empfehlen wir als Datenschutzbeauftragte, eine Vollmacht zu verlangen.
  • Gestalten Sie Ihre Räumlichkeiten datenschutzkonform:
  • Vor allem die Anmeldung ist ein Schwachpunkt, denn diese liegt sinnvollerweise im Eingangsbereich, zu dem alle Besucher (Patienten, Angehörige, Boten, Kuriere, Handelsvertreter) der Praxisräume Zutritt haben.

Richten Sie deshalb eine Diskretionszone ein, in der sich der Patient vertrauensvoll an das Praxispersonal wenden kann.

  • Das Wartezimmer sollte ein abgetrennter, nicht einsehbarer Bereichs sein, damit Patienten die Möglichkeit haben, ihren Termin unbeobachtet wahrzunehmen.

Achten Sie zugleich darauf, dass das Wartezimmer getrennt von Empfang und Behandlungsräumen ist, damit wartende Patienten keine Informationen über Patientendaten erhalten.

  • In den Behandlungsräumen werden vertrauliche Arzt-Patientengespräche geführt. Achten Sie auf geschlossene Türen und Fenster.

Testen Sie selbst einmal, ob vor der Tür mitgehört werden kann.

Achten Sie auch darauf, dass sich Patienten bestenfalls nicht allein in den Behandlungsräumen aufhalten, oder versichern Sie sich, dass sie keinen Zugriff auf Papierakten oder Akten am PC einsehen können.

  • Wenn Unterlagen mit Patienteninformationen nicht mehr benötigt werden und Sie diese entsorgen wollen, gehören diese nicht ins Altpapier oder in den Hausmüll. In jeder Arztpraxis sollte es einen Schredder der Sicherheitsstufe fünf geben.

Selbstverständlich sollte auch der Virenschutz für Internet-Computer sein.

Die Räumlichkeiten einer Arztpraxis müssen den datenschutzrechtlichen Anforderungen genügen

Externer Datenschutzbeauftragter Arztpraxis: Weitergabe und Verarbeitung (besonderer) personenbezogener Daten

Sollen (besondere) personenbezogene Daten Ihrer Patienten an Dritte weitergegeben werden, bedarf es dafür einer entweder einer gesetzlichen Vorschrift oder der Einwilligung des Patienten.

1. Gesetzliche Erlaubnisvorschriften

Anfragende Stelle

 

Rechtsgrundlage
Ärzte

§ 10 Abs. 4 der Berufsordnung

Patienten / Rechtsanwälte

§ 630g Abs. 3 BGB

Erben / Angehörige

§ 630g Abs. 3 BGB

Krankenkassen

§ 73 Abs. 2 Nr. 9 SGB V, §§ 69 Abs. 1 Nr. 1, 100 Abs. 1 SGB X

MDK

§§ 275, 276 Abs. 2 Satz 1 SGB V

Unfallversicherungsträger

§§ 201ff. SGB VII

Gesundheitsämter

Meldepflicht von Krankheiten i. S. d. § 6 Infektionsschutzgesetzes;

Meldepflicht von Tumorerkrankungen i.S.v. § 3 Abs. 1 GEKN

2. Einwilligung des Patienten

Ferner kann der Patient ausdrücklich seine Einwilligung zur Weitergabe der Patientenunterlagen geben.

Eine wirksame Einwilligungserklärung unterliegt bestimmten Voraussetzungen:

  • Die Einwilligung muss hierzu hinreichend bestimmt sein.
  • Sie muss auf einer freien Willensbildung und Entscheidung des Patienten beruhen.
  • und der Patient muss wissen, zu welchem Zweck die Unterlagen weitergegeben werden.
  • Ratsam ist, sich von dem Patienten die Einwilligungserklärung schriftlich geben zu lassen.

Praxistipp:

Dies ist auch bei Anfragen von privaten Versicherungen zu empfehlen, besonders wenn die Versicherung keine aktuelle auf den konkreten Fall bezogene Entbindungserklärung des Patienten vorlegen kann.

Generell sollte also eine Einwilligungserklärung auch im Rahmen der vertragsärztlichen Versorgung zwischen Hausarzt, Facharzt und sonstigen Leistungserbringern vorliegen.

 

Besonderheiten bei den Berufsausübungs- und Organisationsgemeinschaften

Besteht eine Berufsausübungsgemeinschaft, wird der Behandlungsvertrag mit allen ärztlichen Partnern geschlossen. Das bedeutet, dass in einer Berufsausübungsgemeinschaft grundsätzlich alle beteiligten Ärzte Zugriff auf die Patientendaten haben. Eine Ausnahme besteht nur, wenn ein Patient bei Vertragsschluss etwas anderes vereinbart hat.

Besteht eine sogenannte Organisationsgemeinschaft (Praxisgemeinschaft, Laborgemeinschaft), müssen alle Partner der Gemeinschaft den Datenschutz einhalten. Der Zugriff auf Daten der Patienten der anderen Partner muss unmöglich gemacht werden. Dies gilt auch im Bereich der EDV.

Exkurs:

Wie praxisrelevant Datenschutz im Bereich der Einwilligung ist, zeigt die jüngste Entscheidung des OLG Karlsruhe vom 28.06.2017, Az.: 1 Rb Ss 540/16.

Zu einer Geldstrafe in Höhe von insgesamt 1000,00 € wurde der niedergelassene Arzt mit Urteil vom 02.05.2016 wegen eines vorsätzlichen Verstoßes gegen das Bundesdatenschutzgesetz in zwei Fällen verurteilt, weil er am 25.02.2014 im Rahmen seiner Arztpraxis in W. bei R. auf Veranlassung von dessen Arbeitgeber ein Drogenscreening durchgeführt und das Ergebnis dieser Untersuchung an diesen weitergeleitet hatte, ohne dass der Patient zuvor sein schriftliches Einverständnis mit der Untersuchung und der Datenweitergabe erklärt hatte. Wer keinen (externen) Datenschutzbeauftragten bestellt, zahlt schnell viel Geld.

In den Leitsätzen der gerichtlichen Entscheidung heißt es:

„Das in § 4a Abs.1 Satz 3 Bundesdatenschutzgesetz aufgestellte Erfordernis einer schriftlichen Zustimmung zur Weitergabe von Daten erfüllt eine Schutz- und Warnfunktion für den zu einer Einwilligung Aufgeforderten, der nicht übereilt zustimmen, sondern die Chance erhalten soll, sich seiner Entscheidung bewusst zu werden.

 

Aufbewahrungspflichten in der Arztpraxis und der Datenschutz

Eine umfassende und korrekte Dokumentation ist bei der Ausübung des Arztberufes unerlässlich. Der Gesetzgeber hat durch das Patientenrechtegesetz die Dokumentationspflicht für den behandelnden Arzt in § 630f Bürgerliches Gesetzbuch (BGB) neu eingefügt.

„§ 630f Abs. 3 BGB

Der Behandelnde hat die Patientenakte für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren, soweit nicht nach anderen Vorschriften andere Aufbewahrungsfristen bestehen.“

Ebenso schreiben der Bundesmantelvertrag-Ärzte (BMV-Ä) und die Berufsordnung eine zehnjährige Aufbewahrungsfrist vor.

Sofern Aufzeichnungen elektronisch dokumentiert worden sind, muss der Vertragsarzt dafür sorgen, dass sie innerhalb der Aufbewahrungszeit zur Verfügung gestellt werden können. Er muss die Daten also entsprechend sichern.

Aufbewahrung von mehr als 30 Jahren

Die Unterlagen von Patienten mit chronischen Erkrankungen sollte der Arzt länger als zehn Jahre aufbewahren, sofern sich der Patient noch in Behandlung befindet.

Weiterhin können sich längere Aufbewahrungszeiten ergeben, sofern

  • während der Behandlung Komplikationen auftreten,
  • ein Rechtsstreit anhängig gemacht wird.

Kommt es beispielsweise zu einem Gerichtsverfahren, in dem Schadensersatzansprüche geltend gemacht werden, sollte die Dokumentation wegen der geltenden Verjährungsfristen 30 Jahre lang aufbewahrt werden.

PRAXISTIPP

Bewahren Ärzte die Dokumentation in diesem Fall nicht auf, legen die Gerichte dies den Ärzten zum Teil negativ aus. Die Gerichte gehen dann davon aus, dass die Dokumentation und damit auch die Behandlung nicht ordnungsgemäß erfolgt sind. Der externe Datenschutzbeauftragte Ihrer Arztpraxis sollte daher eine lückenlose Dokumentation sicherstellen.

EXKURS

Macht der Patient von seinem Recht auf Einsichtnahme aus § 630g BGB Gebrauch, kann er Kopien der Patientenakte verlangen – wenn eine elektronische Patientenakte geführt wird, auch die Herausgabe in Dateiform. Die Praxis kann vom Patienten verlangen, die dabei anfallenden Kosten zu erstatten.

Im Zweifel unter Aufsicht wird dem Patienten die Einsichtnahme in seine Patientenakte in der Praxis eingeräumt, ist darauf zu achten, dass der Patient keine Informationen über andere Patienten erlangen kann. Es sind daher besondere Vorsichts- und Schutzmaßnahmen in der Praxis zu treffen, sodass sichergestellt ist, dass der Patient nur in seine Patientenakte Einsicht nehmen kann. Gegebenenfalls muss das Praxispersonal während der Einsichtnahme anwesend sein.

 

  1. Gesetzliche Aufbewahrungsfristen

Erläuterungen zur Vordruckvereinbarung​

Art der Unterlagen Aufbewahrungsfrist

Gesetzliche/vertragliche Grundlage

Arbeitsunfähigkeitsbescheinigungen

(Durchschrift des gelben Dreifachsatzes)
1 Jahr  Erläuterungen zur Vordruckvereinbarung
Betäubungsmittel- BTM-Teil III

 3 Jahre

 

 § 8 Betäubungsmittel Verschreibungsverordnung
BTM Anforderungsscheine

3 Jahre

 § 10 Betäubungsmittel Verschreibungsordnung
Fehlerhaft ausgestellte Formulare  3 Jahre

§ 10 Betäubungsmittel Verschreibungsordnung

Nachweis über Betäubungsmittelbestand mittels Betäubungsmittelbüchern oder EDV 3 Jahre  § 13 Betäubungsmittel Verschreibungsordnung
DMP: personenbezogene Daten für die Durchführung von strukturierten Behandlungsprogramm

15 Jahre

DMP-Aufbewahrungsfristen-Richtlinie

 

EEG-Streifen

10 Jahre

  • 630f BGB
  • 57 BMV-Ä
  • § 10 Berufsordnung
EKG-Streifen

10 Jahre

  • 630f BGB
  • 57 BMV-Ä
  • § 10 Abs. 3 Berufsordnung

 

Karteikarten, Untersuchungsbefunde und sonstige ärztliche Aufzeichnungen

10 Jahre

 

 

  • 630f BGB
  • 57 BMV-Ä
  • § 10 Abs. 3 Berufsordnung
Kinder-Krankheitsfrüherkennung

10 Jahre

 
  • 630f BGB
  • § 57 BMV-Ä
(Fersenblut) Filterpapierkarten

3 Monate

Kinder-Richtlinien Anlage 2

Nosokomiale Infektionen Resistenzen und Multiresistenzen

(ambulante Operationen)

10 Jahre

 § 23 Abs. 4 Infektionsschutzgesetz

Strahlenbehandlung

(Aufzeichnung, Berechnungen)

30 Jahre

 § 28 Abs. 3 Röntgenverordnung bzw.  § 85 Strahlenschutzverordnung

Strahlendiagnostik

(Röntgenaufnahmen und ärztliche Aufzeichnungen)

10 Jahre

 
  • 630f BGB
  • 57 BMV-Ä
  • § 10 Abs. 3 Berufsordnung
Zytologische Befunde/Präparate

10 Jahre

Abschnitt B § 8 Abs. 6 der Krebsfrüherkennungs- Richtlinie
Sprechstundenbedarf-Lieferscheine

2 Jahre

Sprechstundenbedarfsvereinbarung II.1.5.
Praxisverkauf, Praxisaufgabe, Tod des Praxisinhabers

Ein externer Datenschutzbeauftragter für Arztpraxen weiß: Auch bei Praxisaufgabe, Veräußerung oder Tod des Praxisinhabers sind die Patientenunterlagen weiterhin sicher aufzubewahren.

  • Praxisübergabe: Es ist eine Verwahrungsklausel zu vereinbarten, aus der hervorgeht, dass der Nachfolger ohne ausdrückliches und gegebenenfalls schriftlich erklärtes Einverständnis des Patienten keine Einblicke in die Praxisunterlagen erhält.

PRAXISTIPP

Etabliert hat sich bei der Aufbewahrung durch den Nachfolger das „Zwei-Schrank-Modell“. Die Unterlagen vom Vorgänger werden dabei getrennt von der eigenen Kartei in einem gesonderten Schrank gelagert. Gibt ein Patient seine Einwilligung, werden diese Unterlagen in den eigenen Schrank überführt. Dasselbe gilt für die EDV. Das heißt, dass zwei getrennte EDV-Systeme bestehen.

  • Praxisaufgabe: Die Aufbewahrungspflichten bestehen auch nach Aufgabe der Praxis fort. Die Krankenunterlagen sind in eigenen oder angemieteten Räumen sicher aufbewahren.
  • Verstirbt der Praxisinhaber, sind die Erben als Gesamtrechtsnachfolger des Verstorbenen zur Aufbewahrung der Patientenunterlagen verpflichtet. Die Erben dürfen keinem Unbefugten Einblick in die Unterlagen nehmen lassen.

 

  1. Berichtigung, Löschung und Sperrung von personenbezogenen Daten
  • 35 Abs. 2 BDSG schreibt vor, wann Daten zu löschen sind, nämlich immer dann, wenn
  • ihre Speicherung unzulässig ist,
  • es sich um Gesundheitsdaten handelt, deren Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,
  • sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnisse für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist,
  • sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist.

Nach § 35 Abs. 1 BDSG sind unrichtige personenbezogene Daten sind zu berichtigen.

PRAXISTIPP

Bei der Berichtigung ist zu beachten, dass die Patientenakte auch in diesem Fall so zu führen ist, dass der ursprüngliche Inhalt der Dokumentation erkennbar bleibt.

Werden Daten gelöscht, sind geeignete technisch - organisatorische Maßnahmen (TOM) zu ergreifen, welche die Datensicherheit garantieren.

Dies kann zum Beispiel durch die professionelle Vernichtung durch einen externen Dienstleister, mit dem ein entsprechender Vertrag zur Auftragsdatenverarbeitung geschlossen wurde, garantieren.

Denken Sie bei dem Vertrag zur Auftragsdatenverarbeitung schon jetzt daran, diesen bestenfalls bereits DSGVO-konform zu gestalten. So sparen Sie sich eine Anpassung zum 25. Mai 2018.

Externer Datenschutzbeauftragter für Ihre Arztpraxis

Sie benötigen einen externen Datenschutzbeauftragten für Ihre Arztpraxis oder Berufsausübungsgemeinschaft? Die Datenschutzexperten und Rechtsanwälte von Spirit Legal erarbeiten passgenaue Lösungen und unterstützen Unternehmen im Datenschutzrecht.

Sie erreichen uns wochentags an unserem Leipziger Standort, rund um die Uhr per Telefon und natürlich jederzeit über E-Mail oder unser Kontaktformular.

 

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2024, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: