Aktuelle Meldungen

Update DS-GVO: Diese drei Hinweise sollten Sie beachten!

DSGVO

1. Überprüfen Sie, ob Sie alle Vorgaben der DS-GVO erfüllt haben (Erste Vor-Ort-Prüfungen) 

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat vor dem 25. Mai 2018 über die neue EU-Datenschutz-Grundverordnung bestens informiert und ist unseres Erachtens in Sachen DSG-VO auch federführend. Jetzt führt das BayLDA auch die ersten Kontrollen durch, auch vor Ort und zeigt diesbezüglich auf seiner Webseite Transparenz.

 

 

 

Im Fokus der Datenschutzaufsicht stehen unter anderem Arztpraxen und zwar, wie sie mit Ransomware-Attacken umgehen und welche Prävention zu betreiben ist.

 

Auf der Unterseite „Datenschutzkontrollen“ hat das Bayrische Landesamt für Datenschutzaufsicht eine Auswahl der vom BayLDA durchgeführten Kontrollen aufgelistet und stellt eine Reihe von Prüfbögen, unter anderem zu Ransomware-Attacken zur Verfügung.

 

Deshalb unsere Bitte: Überprüfen Sie, ob Sie allen Vorgaben zur DS-GVO beachtet haben. Es ist davon auszugehen, dass auch andere Datenschutzaufsichtsbehörden nachziehen.

2. Erweitern Sie Ihr Verarbeitungsverzeichnis („Löschfristen nach Löschkonzept“)

Patientinnen und Patienten haben nach DS-GVO das Recht auf Löschung ihrer Daten. Eine offene Frage war, wie die Löschung von Patientendaten in Heilpraktikerpraxen zu handhaben ist und ob ein „Löschkonzept“ dafür erforderlich ist. Wir haben den Sachverhalt prüfen lassen und empfehlen Ihnen deshalb Ihr Verarbeitungsverzeichnis zu erweitern und eine Spalte „Löschfristen nach Löschkonzept“ hinzuzufügen.

 

Im Mittelpunkt des Löschkonzepts stehen die Fristen, nach denen gehandelt werden muss. Aufgrund des Behandlungsvertrages (§ 630ff BGB) haben Sie eine Dokumentationspflicht der Behandlung und eine Aufbewahrungspflicht von 10 Jahren nach Abschluss der Behandlung. Dieser Löschzeitpunkt gilt übrigens auch, wenn der Patient weiter in der Behandlung ist (!).

Allerdings ist in diesem Zusammenhang auch das „Verjährungsrecht“ von Bedeutung. Bei Heilbehandlungen tritt neben die „Verjährung des Behandlungsvertrags“ immer die „Verjährung aus Delikt“ (Körperverletzung). Für Verletzungen „des Körpers und der Gesundheit“ gilt eine Verjährungshöchstfrist von 30 Jahren (§ 199 Abs. 2 BGB).

Was heißt das im Klartext?

 

Rein rechtlich wäre es möglich, dass Ihre Patientin/ Ihr Patient zum Beispiel 20 Jahre nach Abschluss der Behandlung noch Schmerzensgeld- und Schadensersatzansprüche gegen Sie geltend macht. Und diese Ansprüche können im Todesfall sogar auch auf die Erben übergehen. Deshalb ist es gerechtfertigt, die Behandlungsdaten erst 30 Jahre nach Abschluss der Behandlung zu löschen. Damit dürfte sich der Verwaltungsaufwand zur Löschung von Behandlungsdaten in Grenzen halten.

Deshalb: Legen Sie bitte einen Zeitpunkt für die Löschung fest. Beispiel: 01.01.2048 Dann können in einem großen Umfang Daten gelöscht werden. Möglich ist auch eine Löschung immer zum 1. eines Jahres, auch wenn dadurch beispielsweise nach 29 Jahren bereits eine Löschung erfolgt.

 

Wie soll gelöscht werden?

Die DSG-VO definiert nicht wie Sie Ihre Daten zu löschen haben. Für das Löschen reicht es aus, die Daten für den gewöhnlichen Gebrauch unbenutzbar zu machen. Jegliche Art der Unkenntlichmachung soll danach erfasst sein. Vorausgesetzt, die Daten sind nicht unlesbar geworden bzw. stehen nicht mehr zur Verfügung. Eine Löschung auf allen verfügbaren Datenträgern oder eine Löschung sämtlicher Zwischen- und Sicherheitskopien ist hierfür nicht erforderlich; auch muss der Löscherfolg nicht strikt irreversibel sein; es genügt die technische Löschung von elektronischen Daten.

Alternativ können Sie personenbezogene Daten in Behandlungsdokumentationen auch nach 30 Jahren vernichten, das bedeutet dann zum Beispiel die Zerstörung der Festplatte, idealerweise wenn die Datensicherung auf einer externen Festplatte erfolgt. Hier kann eine zeitlich gestaffelte Verwendung von externen Festplatten, z.B. in einem 10-Jahres-Zeitraum, eine praktikable Organisation ohne großen Aufwand erfolgen.

 

Andere personenbezogene Daten müssen nach Ablauf der kurzen Verjährungsfristen (z.B. aus Arbeitsrecht oder Mietrecht) nach Ablauf dieser verhältnismäßig kurzen Fristen gelöscht oder vernichtet werden.

Hinweis: Wenn Sie diese Daten nicht elektronisch verarbeiten, sondern beispielsweise einen im Computer gespeicherten Basisarbeitsvertrag für die Einstellung einer neuer Mitarbeiterin/ eines neuen Mitarbeiters lediglich anpassen, ausdrucken und anschließend gleich löschen; ergibt sich keine Lösch- oder Vernichtungsfrist nach einem Löschkonzept.

3. Beachten Sie unser Musterformular „Einwilligung ab 14 Jahre“

Wenn Sie in Ihrer Praxis Minderjährige behandeln, die 14 Jahre oder älter sind, müssen diese nach der Rechtsprechung zusätzlich in ihre Behandlung (und in die Speicherung ihrer Daten) einwilligen. Deshalb finden Sie im internen Mitgliederbereich unter „Downloads“ → „Datenschutz“ jetzt das passendes Musterformular „Einwilligungserklärung in die Erhebung und Speicherung von Gesundheitsdaten bei der Behandlung eines Minderjährigen", das sie downloaden und für Ihre Praxis individualisieren können.

 

Links:

Zur Pressemeldung des BayLDA „Datenschutzprüfungen bei bayerischen Unternehmen und Ärzten nach der DS-GVO“: https://www.lda.bayern.de/de/aktuelles.html

Informationen des BayLDA zu Datenschutzprüfungen:https://www.lda.bayern.de/de/kontrollen.html



 

< Zurück