So sind Sie top vorbereitet für die Datenschutz-Grundverordnung für Ärzte: Verfahrensverzeichnis, Datenschutzfolgeabschätzung und Datenschutzbeauftragter
In unserem ersten Beitrag zur Datenschutz-Grundverordnung für Ärzte haben wir ausführlich über neu entstehende Informationspflichten des Arztes und zusätzliche Rechte für Patienten berichtet. In diesem Beitrag wollen wir uns, basierend auf einem Gutachten von ao. Univ. Prof. Dr. Dietmar Jahnel, den weiteren Auflagen für Ärzte durch die DS-GVO widmen.
Verzeichnisführungpflicht für Ärzte – Was bedeutet das konkret?
Kernpunkt der DS-GVO ist die Erstellung eines Verfahrensverzeichnisses iSd Art 30 DS-GVO. Dies hat zur Folge, dass der Arzt ein Verzeichnis aller Verarbeitungstätigkeiten, welche in seiner Ordination vorgenommen werden, zu führen hat. Durch dieses Verfahrensverzeichnis kann sich die Datenschutzbehörde als Aufsichtsbehörde in Sachen Datenschutz auf Anfrage rasch einen Überblick über die unterschiedlichen Arten der Datenverarbeitung verschaffen.
Guideline zur Erstellung eines Verfahrensverzeichnisses
Das gesetzlich vorgeschriebene Verfahrensverzeichnis hat verpflichtend folgende Inhalte zu enthalten:
- Namen und Kontaktdaten des Arztes sowie eines etwaigen Datenschutzbeauftragten
- Zweck der Datenverarbeitung
- Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- Beschreibung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder offengelegt werden könnten
- Nennung der vorgesehenen Fristen zur Löschung der verschiedenen Datenkategorien
- Allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen
Datenschutzfolgeabschätzung
Bereits in unserem ersten Artikel haben wir erwähnt, dass Ärzte unter gewissen Voraussetzungen zusätzlich noch eine Datenschutzfolgeabschätzung zu erstellen haben. Eine Datenschutzfolgeabschätzung ist laut DS-GVO nur dann zu erstellen, wenn eine „umfangreiche Verarbeitung“ von „sensiblen Daten“ durchgeführt wird. Zweifelsohne handelt es sich bei Patientendaten um sensible Daten. Fraglich ist jedoch, ob eine umfangreiche Datenverarbeitung vorliegt, da dieser Begriff in der DS-GVO nicht definiert ist. Die Datenschutzbehörde hat jedoch in den nächsten Monaten eine Liste der Verarbeitungsvorgänge zu erstellen, für welche eine Datenschutzfolgeabschätzung durchzuführen ist und diese als Verordnung kundzumachen. Zur abschließenden Beantwortung dieser Frage ist somit der Erlass dieser Verordnung abzuwarten. In unserem Newsletter werden wir Sie gerne über Veränderungen zur DS-GVO informieren!
Bestellung eines Datenschutzbeauftragten?
Ebenso wie die Frage der Datenschutzfolgeabschätzung ist die Frage der Bestellung eines Datenschutzbeauftragten noch offen. In diesem Fall ist noch zu klären, ob die „Kerntätigkeit“ eines Arztes die Verarbeitung von sensiblen Daten umfasst sowie ob es sich bei der Verarbeitung um eine „umfangreiche Datenverarbeitung“ handelt. Grundsätzlich sollte man meinen, dass die Kerntätigkeit eines Arztes in der medizinischen Behandlung von Patienten besteht. Es ist jedoch festzuhalten, dass der Arzt diese Tätigkeit heutzutage nicht ohne die Verarbeitung von Gesundheitsdaten erbringen kann, weshalb die Datenverarbeitung einen Teil der Kerntätigkeit darstellt. Außerdem ist bis dato noch nicht hinreichend geklärt, ob die Datenverarbeitung durch einen Arzt als „umfangreich“ iSd DS-GVO zu werten ist. Zur Beantwortung dieser Frage ist auch der Erlass der Verordnung der Datenschutzbehörde abzuwarten. Vorab sei jedoch gesagt, dass ein allfällig zu bestellender Datenschutzbeauftragter einschlägiges Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen muss. Der Datenschutzbeauftragte kann entweder ein Angestellter des Arztes, der Arzt selbst oder ein Dritter sein, welcher seine Tätigkeit auf Basis eines Dienstleistungsvertrages erfüllt.
In Sachen DS-GVO immer up-to-date mit Latido!
Sind Sie an weiteren Informationen zur DSG-VO interessiert? Dann melden Sie sich jetzt für unseren Newsletter an! Mit Latido sind Sie stets auf der (rechts)sicheren Seite! Haben Sie weitere Fragen zur Ordinationssoftware Latido? Dann kontaktieren Sie uns jetzt!