Praxen müssen mit Kontrollen durch die Datenschutzbehörde rechnen

Die Einhaltung des Datenschutzes ist heute eine wesentliche Anforderung für den Betrieb einer Gesundheitseinrichtung. Denn gerade im medizinischen Bereich werden sensible und schützenswerte personenbezogene Daten verarbeitet.

Welche Nachweise zum Datenschutz sind dafür erforderlich?

Seit Inkrafttreten der DSGVO müssen Arztpraxen die Datenschutzvorgaben nicht nur wahren, sondern deren Einhaltung insbesondere vor der Datenschutzbehörde auch nachweisen können. In diesem Zusammenhang haben Datenschutzbehörden die Möglichkeit, Kontrollen durchzuführen. Wird bei der Überprüfung des Praxisdatenschutzmanagements festgestellt, dass der Datenschutz nicht in ausreichendem Maße eingehalten wird, ist mit erheblichen Sanktionen zu rechnen.

Grundsätzlich können Kontrollen anlasslos und anlassbezogen erfolgen. Beschwerden von Betroffenen, z.B. von Mitarbeitern oder Patienten sowie eine gemeldete Datenpanne dienen oft als Anlass. Anlasslose Kontrollen hingegen erfolgen meist in Form einer allgemeinen, Querschnittsprüfung zum Umsetzungsstand der DSGVO. Dadurch können u.a. allgemeine Handlungsbedarfe erkannt werden und gezielte Orientierungs-Leitfäden von den Behörden zur Verfügung gestellt werden. Das Bayerische Landesamt für Datenschutzaufsicht führt seit Oktober 2018 stichprobenartige Datenschutzkontrollen in Arztpraxen durch. Diese konzentrieren sich auf die Problematik der Verschlüsselungstrojaner und überprüfen, welche Schutzmaßnahmen vor Verschlüsselungstrojanern getroffen werden. Die Ärzte werden dabei mittels eines Fragebogens zum Umgang und zur Prävention von Angriffen mittels Verschlüsselungstrojaner kontrolliert.

Es ist nicht auszuschließen, dass weitere Kontrollen dieser Art auch durch andere Datenschutzbehörden stattfinden werden. Datenschutzbehörden haben dabei nicht nur die Möglichkeit, Kontrollen mittels Fragebögen vorzunehmen, sondern können grundsätzlich auch Vor-Ort-Kontrollen durchführen.

Welche Dokumentationen sind zur Erfüllung einer Informations- und Nachweispflicht erforderlich?

Um im Falle einer Prüfung der Datenschutzbehörde Sanktionen zu vermeiden und um schnell auf alle relevanten Dokumente zurückgreifen zu können, sollte das Praxisdatenschutzmanagement mindestens folgende Dokumentationen beinhalten:

Folgen einer unzureichenden Dokumentation

Kann der Verantwortliche die Einhaltung der Datenschutzpflichten nicht nachweisen, geht dies als Verletzung der Nachweispflicht zu seinen Lasten, d.h. nach Art. 82 Abs. 3 DSGVO kann er sich nicht von einer Haftung befreien. Art. 82 Abs. 3 DSGVO lautet: "Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung (...) befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist."
 

KI_Logo_DE_PNG.png

KINAST Rechtsanwälte ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.