Ja, die DSGVO enthält viele schwammige Formulierungen, die es einem sehr schwer machen, die Datenschutzvorgaben, wie gefordert, umzusetzen. Doch zu hoffen, dass schon alles so passt, wie Sie es vor in Kraft treten der DSGVO gehandhabt haben, war bereits vor einem Jahr fahrlässig – und jetzt erst recht. Mittlerweile sollte jede Praxis die Abläufe an die wichtigsten Punkte der Verordnung angepasst haben und die Vorgaben aktiv umsetzen. Welche das sind, lesen Sie in der Checkliste weiter unten.
Kontrollen werden zunehmen
Bisher kamen die Datenschutzbeauftragten der Länder primär beratenden Tätigkeiten nach und führten Kontrollen durch, wenn eine Beschwerde hereinflatterte. Das wird so aber nicht ewig weitergehen. Stefan Brink, Landesbeauftragter für Datenschutz aus Baden-Württemberg, etwa kündigte in einem Interview mit dem Südwestrundfunk an, zukünftig verstärkt Unternehmen zu kontrollieren, um Datenschutzverstößen auf die Spur zu kommen.
Checkliste: Alles DSGVO-konform?
1. Bestandsaufnahmen und Analyse der vorhandenen Daten
- Schritt 1: Sie haben sich mit den für die Praxis geltenden Vorgaben der DSGVO auseinandergesetzt und festgestellt, an welchen Stellen noch Handlungsbedarf besteht.
- Schritt 2: Sie haben die Abläufe entsprechend angepasst und/oder neue Vorgaben mit aufgenommen.
2. Verzeichnis von Verarbeitungstätigkeiten
Sie haben alle Prozesse identifiziert und beschrieben, bei denen regelmäßig personenbezogene Daten verarbeitet werden. Diese haben Sie in einem Verzeichnis von Verarbeitungstätigkeiten dokumentiert.
3. Informationspflichten an Patienten
Sie geben jedem Patienten die Datenschutzerklärung bei seiner erstmaligen Anmeldung mit – eine Unterschrift des Patienten, dass er diese erhalten hat, ist nicht nötig. Wenn Sie Daten an Dritte weitergeben möchten/müssen, etwa an Familienangehörige oder Abrechnungszentren, haben Sie sich dafür die Einwilligung der Patienten eingeholt. Das gilt auch für Foto- oder Videoaufnahmen zur Behandlungsdokumentation. Anders als bei der Datenschutzerklärung lohnt es hier, die Patienten unterschreiben zu lassen. Denn im Zweifel sind Sie in der Beweispflicht!
4. Möglichkeiten der Auskunft über gespeicherte Patientendaten
Sie können jedem Patienten auf Anfrage Auskunft darüber geben, welche Daten Sie von ihm gespeichert haben. Tipp: Werfen Sie dazu einfach einen Blick in Ihr Verfahrensverzeichnis.
5. Analyse der Löschfristen und Einrichtung eines Löschkonzepts
Sie haben in den Verfahrensverzeichnissen festgelegt, wie lange Sie Daten speichern. Zudem gibt es eine Arbeitsanweisung, die festlegt, wann welche Daten gelöscht werden.
6. Neufassung der Auftragsverarbeitungsverträge
Erheben, verarbeiten oder nutzen Dienstleister, z. B. Steuerberater, Abrechnungscenter, Cloud- oder Serveranbieter, personenbezogene Daten von Ihnen, so fällt dies unter die Auftragsverarbeitung. Die Dienstleister sind an die Weisungen des Auftraggebers (Sie) gebunden. Grundlage der Zusammenarbeit ist ein schriftlicher Vertrag, der zwingend in der Praxis vorliegen muss. Wichtig: Prüfen Sie bei bestehenden Verträgen mit externen Dienstleistern, ob sie „die hinreichenden Garantien dafür bieten, dass die Verarbeitung im Einklang mit den Anforderungen“ (Art. 28 Abs. 1 DSGVO) der DSGVO gewährleisten.
7. Schulung Ihrer Mitarbeiter
Das gesamte Team wurde nachweislich zum Thema Datenschutz geschult – entweder durch Sie oder einen externen Schulungsanbieter.
8. Datenschutz im Internet
Auf Ihrer Website ist eine Datenschutzerklärung zu finden (idealerweise auf einer eigenen Seite), die darüber informiert, wie Daten verarbeitet werden. Sie enthält Angaben zu dem Verantwortlichen (inkl. Kontaktdaten), dazu, welche Daten über den Webserver erfasst werden, zu der Nutzung von Cookies, zur Aufklärungen über die Betroffenenrechte, zu Web-Analyse-Tools (z. B. Google Analytics, Matomo) zu Social-Media-Plugins (z. B. Facebook und Instagram) und eine Information darüber, dass Dienstleister im EU-Ausland ansässig ist.
Hinweis: Wenn Sie per Mail Newsletter versenden, holen Sie sich von allen Empfängern Einwilligungen dafür ein („Bitte-um-Bestätigung-Mail“). Wenn Sie für das Anfertigen und Versenden Softwarelösungen nutzen, checken Sie, ob ein Auftragsverarbeitungsvertrag notwendig ist. Und: In jedem Newsletter befindet sich ein Abmeldelink.
9. Je nach Praxisgröße: Datenschutzbeauftragter
Haben Sie mehr als zehn Mitarbeiter, müssen Sie einen betrieblichen Datenschutzbeauftragten benennen. Dabei kann es sich um einen speziell fortgebildeten Mitarbeiter (ausgeschlossen: Sie oder ein leitender Angestellter) oder eine externe Fachkraft handeln.
