HINWEIS: Die Geschäftsstelle des BMVZ bietet keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes an; der hier übernommene Dialog beinhaltet daher lediglich auf Erfahrungen und Recherchen beruhende Auskünfte und Meinungen ohne Anspruch auf Fehlerfreiheit oder Vollständigkeit. Die Darstellung des Dialogs folgt weitestgehend der ursprünglichen Form, d.h. es handelt sich um eine mit möglichst wenigen Modifikationen vorgenommene Transkription von Anfragen aus dem Geschäftsstellen-Alltag in eine internet-taugliche Form.
Frage
Ich habe gehört, dass ab Mai 2018 das
Bundesdatenschutzgsetz völlig neu gefasst wird.
Welche Auswirkungen hat das auf MVZ, bzw. müssen
wir uns auch als kleine Praxis damit befassen?
Und, wenn ja: Gibt es Richtlinien, Vorgaben oder
Checklisten für die Umsetzung der Änderungen?
Antwort
(bearbeitet Februar 2018):
Sehr geehrte(r) Frau/Herr XY,
ja, das Bundesdatenschutzgesetz (BDSG) ist komplett überarbeitet worden und tritt in der Neufassung am 25. Mai 2018 in Kraft. Dies ist eine Folge der Vereinheitlichung des Datenschutzrechtes auf europäischer Ebene, wo zeitgleich für alle EU-Mitgliedsstatten die EU-Datenschutz-Grundverordnung (DSGVO) Geltung erlangt. Beide Gesetze sind für alle MVZ und Arztpraxen künftig bindend.
Teilweise sind mit der Neufassung in der Tat auch echte Änderungen verbunden, die unbedingt Aufmerksamkeit eines jeden Unternehmens (gleich welche Größe oder Struktur) verlangen. Arztpraxen, respektive MVZ sind hierbei keine Ausnahme.
Im Gegenteil, da Ärzte in der Definition de DSGVO mit Gesundheitsdaten und damit mit besonderen, bzw. besonders schützenswerten Daten arbeiten, müssen Arztpraxen zusätzlich zum normalen Schutzlevel auch weitere Vorgaben beachten. Zum Beispiel gilt dies für die Frage, ob und wann die Praxis einen Datenschutzbeauftragten braucht.
Im Einzelnen kann ich an dieser Stelle nicht auf Details aufgehen – nutzen Sie dazu vor allem die Homepage des GMDS e.V. (siehe weiter unten). Jedoch möchte ich Ihnen ans Herz legen, sich zeitnah und dringend weiter zu informieren. Als Ausgangspunkt können Sie zum Beispiel auch die folgenden Texte nutzen:
HINWEIS: Mit der Verlinkung ist keinerlei Aussage über die Richtigkeit, bzw. Vollständigkeit der Darstellungen verbunden. Vielmehr folgt die Link-Auswahl einer persönlichen Willkür und vermag daher nicht mehr, als den Anfang der vertiefenden Informationen zu erleichtern.
EU-Datenschutz-Grundverordnung – die 10 wichtigsten Regeln
Datenschutz – Jetzt wird es auch für Radiologen ernst
(veröffentlicht im Radiologenforum, aber auch für andere Fachgruppen relevant)
Muss die Arztpraxis zwingend einen Datenschutzbeauftragten haben?
Datenschutzkonferenz veröffentlicht Kurzpapiere zum neuen Datenschutzrecht
In der Öffentlichkeit werden vor allem die drastisch erhöhten Bußgeldvorschriften diskutiert, wesentlicher ist aber meines Erachtens beinah noch, dass durch den Stichtag 25. Mai und die damit verbundene Aufmerksamkeit von allen Seiten noch viel genauer als sonst geschaut werden wird, ob und wie Verstöße vorkommen. es ist folglich davon auszugehen, dass die Berufsgruppe der sogenannten ‚Abmahnanwälte‘ die Zeit Ende Mai/Anfang Juni für sich zu nutzen weiß.
Gut beraten ist da der, der vorbereitet ist. Auch die Datenschützer haben die Umsetzung der Richtlinie natürlich auf ihrem To-Do-Zettel. Zuletzt hat die KV-Mecklenburg etwa in ihrem monatlichen Ärztejournal (Ausgabe 1/2018) berichtet, dass vom Landesdatenschützer bereits jetzt entsprechende Fragebögen versandt werden.
Gleichermaßen wird dort angekündigt, dass KBV und BÄK aktuell an der Überarbeitung der „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ arbeiten, was tatsächlich dringlich notwendig ist und dann eine gute Arbeitshilfe für Sie wäre.
Leider ist die Überarbeitung bis heute (Stand Mitte Februar) noch nicht veröffentlicht und auf Nachfrage bei der BÄK gab es auch keine Auskunft, wann dies passieren wird. Insgesamt ist auffällig, dass die Informationspolitik der Facharztverbände, Kammern und KVen zu diesem Thema erschreckend dünn, bis gar nicht vorhanden ist. Angesichts der großen Relevanz und damit verbundenen Änderungsnotwendigkeit für alle Arztpraxen ist dieser Mangel nicht nur unerklärlich, sondern auch ausgesprochen fahrlässig.
Als Letzeres möchte ich Sie auf Arbeit der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e.V. hinweisen. Im Unterschied zu den vielen weiteren Webseiten, die in der Regel von verschiedenen Kanzleien oder Datenschutzbüros mit den entsprechenden wirtschaftlichen Interessen betrieben werden, handelt es sich hierbei um eine Vereinigung verschiedener, zumeist universitär angebundener Medizininformatiker.
Homepage des GMDS e.V. zur Datenschutzgrundverordnung
Dort erhalten Sie neben hilfreichen Informationen (Rubrik Praxishilfen) auch einen umfängliche Checkliste zur Umsetzung der Anforderungen der Datenschutz-Grundverordnung, die unter einer Creative Commons-Lizenz veröffentlicht wurde und daher unbegrenzt vervielfältigt, weiter genutzt und in eigene Arbeiten integriert werden darf.
Wobei ich mich dem Hinweis des Autors anschließen und diesen auch auf meine bisherigen Ausführungen erstrecken möchte: „Die Checkliste kann in keinster Weise die notwendige Sachkunde ersetzen, die zur Umsetzung der Anforderungen der EU Datenschutz-Grundverordnung (DS-GVO) benötigt wird. Daher ist entsprechend geschultes Personal oder auch extern eingekaufte Beratungsleistung zur Umsetzung der Anforderungen der DS-GVO unabdingbar. „