Schließen×

Enable a module in position phone to display here
or disable this position from Extensions > Template manager > vg_progressive > Header > Enable 'phone' position: No

Mittwoch, 28 März 2018 10:00

"Die meisten Physios wissen nicht, wie und ob sie sich an den Datenschutz halten"

von
Artikel bewerten
(2 Stimmen)
"Die meisten Physios wissen nicht, wie und ob sie sich an den Datenschutz halten" Foto: Daniel Keller

Ab Mai 2018 gilt die EU-DSGVO. Rechtsanwalt Alt erklärt die Rolle des Datenschutzbeauftragten und warum die Frage nach der Bestellungspflicht eher zweitrangig ist. 

Herr Alt. Die Bestellung eines Datenschutzbeauftragten (DSB) ist in aller Munde. Welche Aufgabe hat er denn konkret? 
D. Benjamin Alt: Der Datenschutzbeauftragte soll die Einhaltung des Datenschutzes überwachen und auf die Umsetzung datenschutzrechtlicher Bestimmungen im Betrieb hinwirken. 

Wann ein DSB für das eigene Unternehmen zu bestellen ist, regelt die neue Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).

Welche Praxen müssen denn einen Datenschutzbeauftragten bestellen?
D. Benjamin Alt: Fest steht, dass jede Praxis, in der mehr als neun Personen Zugriff auf Patientendaten haben, einen Datenschutzbeauftragten bestellen muss.
Es spielt dabei keine Rolle, ob es sich um Vollzeit- oder Teilzeitkräfte, freie Mitarbeiter, Praktikanten oder den Praxisinhaber handelt.

Zusätzlich müssen nun aber auch Unternehmen, bei denen die umfangreiche Verarbeitung von Gesundheitsdaten zu den Kerntätigkeiten gehört, einen DSB bestellen, egal wie viele Mitarbeiter beschäftigt werden. Das kann letztlich also bei vielen Physiotherapiepraxen der Fall sein, vor allem, wenn zum Beispiel Patientenkarten im PC geführt werden, Dokumentationen am PC stattfinden oder der Krankheitsverlauf eines Patienten am PC gespeichert wird. 

Die Frage nach der Bestellungspflicht eines Datenschutzbeauftragten ist aber meines Erachtens zweitrangig, denn das eigentliche Problem der meisten Praxen ist, dass sie nicht wissen, wie und ob sie sich überhaupt an den Datenschutz halten und zudem ein korrektes Verfahrensverzeichnis benötigen!

Was meinen Sie damit?
D. Benjamin Alt: Es gibt noch andere, wichtige Punkte in Sachen „Datenschutz“, die man unbedingt einhalten sollte, um im Einklang mit dem Datenschutzrecht zu sein.

Stellen Sie sich beispielsweise folgende Fragen:

  • Erfüllt die Praxis alle Dokumentationspflichten?
  • Habe ich in puncto Datensicherheit alle notwendigen Maßnahmen getroffen? (Passwörter am PC, Virenscanner, Firewall, etc.)
  • Sind Datenschutzeinwilligungen von Patienten im Behandlungsvertrag untergebracht?
  • Habe ich von Abrechnungszentren, Steuerberater etc. die Garantie, dass diese im Einklang mit der DSGVO arbeiten und dies schriftlich dokumentiert?
  • Existiert ein an die DSGVO angepasstes Verfahrensverzeichnis, in dem dokumentiert und erläutert ist, wie personenbezogene Daten verarbeitet werden?

Zur rechtzeitigen Absicherung empfehle ich deswegen dringend, sich zum Datenschutz individuell beraten zu lassen.

Trotzdem wollen wir natürlich wissen: Interner oder externer Datenschutzbeauftragter?
D. Benjamin Alt: Ein betrieblicher Datenschutzbeauftragter kann grundsätzlich sowohl intern durch einen Mitarbeiter, oder extern in Person eines Dienstleisters bestellt werden.

Mitarbeiter haben den Vorteil, dass sie (vermeintlich!) günstiger und direkt in der Praxis anzutreffen sind. Allerdings fehlt ihnen die notwendige Sachkunde, die sie im Rahmen eines Kurses zum Preis von mindestens 2.500 Euro erwerben müssen. Dabei stellt sich juristisch absolut die Frage, ob ein solcher Kurs ausreichend ist. Viele fühlen sich nach Abschluss nicht hinreichend in die Thematik eingearbeitet, was bei dem Umfang an Informationen auch verständlich ist. Zusätzlich kommen also weitere (kostenpflichtige) Nachschulungen hinzu.

Was man auch wissen sollte: Wird ein Mitarbeiter zum internen Datenschutzbeauftragten bestellt, steht er unter einem besonderen Kündigungsschutz!
Der externe DSB ist im Gegensatz zum internen DSB bereits Datenschutzexperte und verfügt über die notwendige Sachkenntnis. Die Beauftragung zum externen Datenschutzbeauftragten kann fristgerecht beendet werden.

Kommt es zum Datenschutz-Verstoß durch fehlerhafte Beratung des internen DSB, haftet im schlimmsten Fall der Arbeitgeber. Im Gegensatz dazu übernimmt der externe DSB im Haftungsfall selber den Schaden, sofern dieser auf seine Pflichtverletzung zurückgeht.

Zur neuen EU-DSGVO kursieren aktuell viele Diskussionen. Welche Informationen stimmen nicht?
D. Benjamin Alt: Unsere Kanzlei hat einige Irrtümer aufgeführt, was für mehr Klarheit sorgen soll. Dazu gehören zum Beispiel die folgenden:

Mit der DSGVO tut sich eigentlich nichts Neues!
Falsch! Es gibt eine Vielzahl von neuen Regelungen und neuen Dingen, die zu beachten sind. Insbesondere das Verfahrensverzeichnis und der Datenschutzbeauftragte wurden neu geregelt. Der Bereich des Umgangs mit Gesundheitsdaten ist verschärft worden.

Es reicht aus, wenn ich mich im Mai mit den neuen Regelungen auseinandersetze
Falsch. Die meisten Betriebe haben sehr viele Aufgaben umzusetzen. Auch Fortbildungen und Koordinierungen mit Datenschutzbeauftragten dauern eine Weile. Mitarbeiter müssen zudem geschult werden und alles muss bis zum 25. Mai 2018 korrekt laufen.

Der Praxisinhaber kann selbst Datenschutzbeauftragter sein
Falsch. Der Betriebsinhaber ist davon ausgeschlossen, weil er sich selbst nicht kontrollieren kann. Auch Geschäftsführer, Leiter oder Familienmitglieder sind ausgeschlossen. Zudem muss die ausgewählte Person die Fachkunde nachweisen können.

Kleine Praxen brauchen keinen Datenschutzbeauftragten
Der DSGVO besagt, dass eine Praxis, in denen nur ein Therapeut oder Arzt allein tätig ist, keinen Datenschutzbeauftragten benötigt. Es wird aber immer ein Datenschutzbeauftragter benötigt, wenn mehr als neun Personen auf Daten zugreifen.

Allerdings müssen sich alle Praxen, egal wie viele Personen dort tätig sind, an den Datenschutz halten. Dies bedingt aber, dass man auch Verfahrensverzeichnisse, Datenschutzfolgenabschätzungen und deren Umsetzung selbst vornehmen kann. Dies ist jedoch ohne einen Datenschutzbeauftragten aufgrund der Komplexität kaum zu leisten. Wenn man auf den DSB verzichten will, dürfte dies für eine durchschnittliche Praxis schwer zu vertreten sein.

Was passiert, wenn ich gegen den Datenschutz verstoße?
D. Benjamin Alt: Es gibt neue Straf- und Bußgeldvorschriften. Bislang waren Bußgelder eher selten und nicht hoch. Jetzt können Bußgelder in Höhe von bis zu 20 Millionen Euro verhängt werden. Zwar wird das im Einzelfall nicht vorkommen, aber die Erhöhung des Bußgeldrahmens verdeutlicht, wie ernst die EU es mit dem Datenschutz meint. Dass die Aufsichtsbehörden bald alle Praxen kontrollieren, ist nicht sonderlich wahrscheinlich.

Allerdings sind schärfere Kontrollen bereits angekündigt worden und fast alle Aufsichtsbehörden empfehlen, dass sich Praxen von einem DSB beraten lassen sollten. Zudem darf nicht vergessen werden, dass ab dem 25. Mai 2018 auch Patienten einen direkten Anspruch gegen eine Praxis haben können, die nicht korrekt mit den Daten des Patienten umgeht.

Zuletzt haben auch Wettbewerbsvereine ab dem genannten Datum die Möglichkeit, gegen Praxen vorzugehen, die sich nicht an die Regeln halten. Dies ist auch neu.

Wo bekomme ich weitere Informationen?
D. Benjamin Alt: Derzeit sind wir dabei, ein Buch zu dem Thema auf den Markt zu bringen. Die Veröffentlichung wird aber noch etwas Zeit in Anspruch nehmen, weil derzeit viele Praxen dringende Betreuung benötigen. Selbstverständlich kann man sich auch einfach mit uns per E-Mail oder Telefon in Verbindung setzen. Zudem bieten wir viele Informationen auf unserer Website www.RechtsanwaltAlt.de

Vielen Dank für das Gespräch.

Gelesen 3996 mal
Jasmin Clegg

Jasmin Clegg hat ihre Ausbildung als Physiotherapeutin 2009 an der Hogeschool Zuyd in Heerlen (NL) beendet.

Aus beruflichem und privatem Interesse hat sie zwischenzeitlich für zweieinhalb Jahre in Südafrika gelebt. Heute ist sie wieder in Deutschland und arbeitet in einer Physiotherapie-Praxis im Kölner Norden.

Nebenbei doziert sie an der Hochschule Fresenius und arbeitet freiberuflich als Journalistin. Seit 2017 schaukelt sie den mobiLEOS Physio-Blog und hat daher immer viel zu tun.

Kontakt: clegg@mobileos.de

Schreibe einen Kommentar

Netiquette zählt: Dein Kommentar wird schnellstmöglich geprüft und freigeschaltet.

Diese Webseite verwendet Cookies, damit Sie als Besucher verschiedene Funktionen nutzen können und um die Nutzung der Webseite zu vereinfachen. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok