Datenschutzgrundverordnung

Update April 2018
 

Wie bereits mehrfach informiert, tritt mit 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, welche auch für niedergelassene Ärztinnen und Ärzte zahlreiche und in der Praxis belastende Auswirkungen hat. Die Österreichische Ärztekammer war in den letzten Monaten bemüht, diese Auswirkungen und die administrative Belastung für die Ärzteschaft möglichst gering zu halten. Die diesbezüglich von der zuständigen Datenschutzbehörde urgierten inhaltlichen Klarstellungen sowie sonstige Unterstützung wurden der Ärzteschaft leider versagt.

Um den Aufwand der notwendigen Umsetzungsmaßnahmen für Sie praktikabel und möglichst einfach zu gestalten, hat die Ärztekammer RA Mag. Dörfler (Kanzlei Höhne In der Maur & Partner) beauftragt, entsprechende Informationsunterlagen und Muster bzw. Ausfüllhilfen zu erarbeiten. Diese Unterlagen stellen wir Ihnen hiermit zur Verfügung.

Informationen und Unterlagen für:

 

Update - Stand März 2018
 

Warum werde ich die Dokumente erst Ende März/Anfang 2018 erhalten?

Obwohl die Verordnung seit bereits mehr als einem Jahr in Kraft ist, gibt es noch zahlreiche Unklarheiten, da die nationale Behörde noch nicht viele Fragen dazu beantwortet hat. Wir arbeiten gerade daran, diese Unklarheiten zu bereinigen, sodass Sie Dokumente erhalten, die den Betrieb Ihrer Praxis möglichst wenig einschränken.

 

Welche Fragen sind derzeit noch unbeantwortet?

  • Unklar ist, welche Kommunikationsmedien (etwa: E-Mail, Fax oder Messengerdienste) für die Übertragung von Gesundheitsdaten (etwa: Befunde) genützt werden dürfen. Die DSGVO sieht hier strenge Prinzipien vor, sie erklärt jedoch nicht, was nun konkret erlaubt ist und was nicht.
     
  • Eine weitere Frage ist, wie die Kommunikation einerseits innerhalb der Ärzteschaft und andererseits von der einzelnen Ärztin oder dem einzelnen Arzt zu anderen Institutionen zu erfolgen hat.
     
  • Zuletzt ist die Frage ungeklärt, ab welcher Größe Arztpraxen einen Datenschutzbeauftragten benötigen bzw. in welchen Fällen die Praxen eine Datenschutz-Folgenabschätzung erstellen müssen.

 

Was erhalte ich als niedergelassene Ärztin bzw. niedergelassene Arzt von der Wiener Ärztekammer, um die Datenschutzgrundverordnung umzusetzen?

Jede niedergelassene Ärztin bzw. jeder niedergelassene Arzt erhält ein Dokument, in dem eine vollständige Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten enthalten ist. Darin sind sämtliche typischen Datenanwendungen einer Ordination fertig ausformuliert. Es müssen lediglich Datenanwendungen, die nicht erfolgen, gestrichen werden, bzw. die angegebenen Datenanwendungen angepasst werden, sollte anders gearbeitet werden.

Daneben finden sich Muster einer Auftragsverarbeitervereinbarung sowie Beschreibungen, wie die jeweilige Ärztin oder der Arzt die Betroffenenrechte und die Informationspflichten wahrnehmen können. Kurz: alle Unterlagen die Sie als niedergelassene Ärztin oder niedergelassener Arzt für die Umsetzung der DSGVO benötigen, sind enthalten.

 

Das hört sich kompliziert an. Schaffe ich das als einzelne Ärztin oder Arzt ohne Hilfe?

Die Vorlagen müssen nur um die Ordinationsspezifika ergänzt werden. Was konkret ergänzt werden muss, wird in einer Anleitung samt Beispielen beschrieben. 

 

Was, wenn ich nicht weiterkomme?

Die Ärztekammer für Wien wird eine Hotline einrichten, bei der sich Mitglieder informieren können und im Rahmen derer Ihre Fragen beantwortet werden.

 

Ich erhalte derzeit viele Zuschriften von Dienstleistern, die mich bei der Umsetzung der DSGVO unterstützten wollen. Benötige ich diese?

Nein. Die Vorlagen der Ärztekammer sind so gestaltet, dass Sie keine Dokumente von dritter Seite benötigen.

 

Was kosten die Vorlagen und die Hotline der Ärztekammer für Wien?

Nichts. Das ist ein Service für unsere Mitglieder.

 

 


 

Update - Stand Dezember 2017
 

In welchem Verhältnis steht die Pflicht zur Löschung von personenbezogenen Daten im Verhältnis zur Aufbewahrungspflicht laut Ärztegesetz bzw. steuerlichen Verpflichtungen?

Grundsätzlich sieht die Datenschutzgrundverordnung vor, dass Daten zu löschen sind, wenn sie für den jeweiligen Zweck nicht mehr notwendig sind. Darüber hinaus sind Daten solange zu speichern (aufzubewahren), als einfach gesetzliche Regeln die Speicherung vorsehen. Die Dokumentationspflicht gemäß dem Ärztegesetz verpflichtet zur Speicherung der personenbezogenen Daten für zumindest zehn Jahre. Da die Dokumentationspflicht vorsieht, dass die Unterlagen „mindestens" zehn Jahre aufzubewahren sind, besteht die Möglichkeit die Daten auch länger zu speichern.
 

Was passiert mit den Patientendaten, wenn eine Ordination übernommen wird?

Gemäß § 51 Abs. 4 Ärztegesetz ist der Kassenplanstellennachfolger bzw. der Ordinationsstättennachfolger verpflichtet, die Dokumentation von seinem Vorgänger zu übernehmen und für die der Aufbewahrungspflicht entsprechende Dauer aufzubewahren. Eine Einwilligung des Patienten ist hierfür nicht notwendig. Eine Weiterverwendung durch den Nachfolger ist nur zulässig, wenn der jeweilige Patient in die Weiterverwendung eingewilligt hat.
Für die jeweilige Ärztin bzw. den jeweiligen Arzt bedeutet dies, dass er bei (vom Vorgänger) übernommenen Patienten vor Beginn der Behandlung fragen muss, ob er in die alte Patientenakte Einsicht nehmen darf.
 

Ist eine elektronische Übermittlung an die Krankenkassen nach der DSGVO überhaupt noch zulässig?

Gemäß § 51 Abs. 2 Ärztegesetz sind Ärzte berechtigt, die Dokumentation an die Sozialversicherungsträger und Krankenfürsorgeanstalten zu übermitteln. Eine gesonderte Datenschutzerklärung oder Ähnliches ist nicht notwendig.
 

Wann und wie müssen Patientendaten gelöscht werden?

Die Löschung von personenbezogenen Daten muss unmittelbar nach Wegfall des Zwecks erfolgen. Das bedeutet, dass die Ärztin oder der Arzt in regelmäßigen Abständen prüfen muss, welche Patientendaten zu löschen sind. Löschen bedeutet, dass die Daten durch niemanden mehr abrufbar sind.
Der Löschvorgang kann auch durch eine Anonymisierung erfolgen. Bei der Anonymisierung werden sämtliche Personenbezüge entfernt, sodass die jeweilige Information nicht mehr einer konkreten Person zugeordnet werden kann. Da das Anonymisieren meist aufwendig ist, ist die Anonymisierung nicht zu empfehlen.
 

Welche Daten müssen im Rahmen des Auskunftsrechts des Patienten an den Patienten übergeben werden?

Gemäß Artikel 15 DSGVO hat jede betroffene Person (somit jeder Patient) das Recht, vom Verantwortlichen (hier: der Ärztin/dem Arzt) eine Bestätigung darüber zu verlangen, ob und welche personenbezogenen Daten über den Betroffenen verarbeitet werden. Gleichzeitig kann die betroffene Person eine Kopie der verarbeiteten personenbezogenen Daten verlangen. Praktisch wird der Patient bei der Ärztin oder dem Arzt einen Antrag stellen, Auskunft über die verarbeiteten Daten zu erhalten. Die Ärztin oder der Arzt ist dann verpflichtet, die gesamte Dokumentation dem Patienten bereitzustellen.
 

Darf im Rahmen des Behandlungsvertrags ein Risikoaufklärungsbogen des Patienten angelegt werden, bzw. ein Lichtbildausweis des Patienten gespeichert werden?

Da die Aufklärung Teil des Behandlungsvertrages ist und die Ärztin bzw. der Arzt verpflichtet ist, die Identität des Patienten zu überprüfen, ist es rechtlich geboten, eine Kopie eines Lichtbildausweises sowie der Krankenversicherungskarte aufzubewahren; gleiches gilt für allfällige Aufklärungsbögen. 
 

Müssen Backups grundsätzlich verschlüsselt werden?

Gemäß der Datenschutzgrundverordnung sind Datensicherheitsmaßnahmen zu ergreifen, welche auch die Wiederherstellbarkeit der Daten sicherstellen. Da Backups problemlos „mitgenommen" werden können, müssen diese gesichert werden.

Falls die niedergelassene Ärztin oder der niedergelassener Arzt nicht sicherstellen kann, dass ein unberechtigter Zugriff auf die Daten unmöglich ist, ist eine Verschlüsselung des Backups erforderlich.

 

 


 

Stand August 2017

 

Was regelt die DSGVO?

Die DSGVO legt fest, wie personenbezogene Daten erhoben und verarbeitet, an Dritte weitergegeben und gelöscht werden müssen.
 

Was sind personenbezogene Daten?

Personenbezogene Daten, im Folgenden kurz: Daten, liegen vor, wenn durch diese eine konkrete Person identifiziert wird oder identifizierbar ist. Dabei gibt es keine belanglose Information - selbst die Information, dass eine konkrete Person zwei Arme hat, ist bereits ein personenbezogenes Datum, das durch die DSGVO geschützt ist. Beispiele für Daten sind der Name und die Adresse, aber auch die E-Mailadresse. Neben den „normalen" Daten gibt es noch besondere Kategorien von Daten, wie die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung. Diese „besonderen Kategorien von Daten" müssen besonders behandelt werden und genießen einen besonderen Schutz.
 

Was bedeutet verarbeiten von Daten?

Verarbeiten ist jede Art der Handhabung der Daten, sei es, dass die Daten erhoben, gespeichert oder auch nur am Bildschirm dargestellt werden. Jede Art der Handhabung von Daten ist durch das Datenschutzgesetz geschützt. Dabei unterscheidet das Gesetz nicht zwischen der „händischen" und der automationsunterstützten Verarbeitung von Daten. Es sind daher auch in Papierform geführte Patientenakten von der DSGVO erfasst.
 

Unter welchen Voraussetzungen darf ich Daten verarbeiten?

Die Verarbeitung ist nur zulässig, wenn die jeweilige betroffene Person in die Verarbeitung eingewilligt hat, die Verarbeitung für die Erfüllung eines Vertragsverhältnisses erforderlich ist oder die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

In einer Arztpraxis erfolgt die Verarbeitung der Daten – in den meisten Fällen – zur Erfüllung des Behandlungsvertrags oder zur Erfüllung der im Ärztegesetz vorgeschriebenen Dokumentationspflicht. Aus diesem Grund benötigen Ärztinnen und Ärzte in den meisten Fällen keine Einwilligung ihrer Patientinnen und Patienten, dass sie deren Daten verarbeitet dürfen. Achtung: Der Zweck der Erhebung der Daten muss dabei sehr genau eingehalten werden. Sollten Sie beispielsweise die E-Mailadresse der Patientin bzw. des Patienten erheben, um ihn an einen Termin zu erinnern, dürfen Sie die E-Mailadresse nicht für die Zusendung von Informationen über ein neues Medikament verwenden.
 

Wer ist für die korrekte Verarbeitung der Daten verantwortlich?

Verantwortlich für die korrekte Verarbeitung ist in einer Ordination immer die jeweilige behandelnde Ärztin bzw. der behandelnde Arzt. Sollten mehrere Ärztinnen oder Ärzte gemeinsam eine Ordination führen, sind diese in der Regel gemeinsam verantwortlich und haften daher auch – in der Regel – gemeinsam für etwaige Verstöße.
 

Was ist ein Verarbeitungsverzeichnis und müssen Ordinationen ein solches führen?

In der Vergangenheit mussten Verarbeitungsvorgänge beim Datenverarbeitungsregister gemeldet werden bzw. waren in gewissen Ausnahmefällen von der Meldung ausgenommen. In Zukunft müssen sämtliche niedergelassenen Ärztinnen und Ärzte als datenschutzrechtliche Verantwortliche ein Verzeichnis über die von Ihnen durchgeführten Verarbeitungstätigkeiten führen. Im Rahmen dieses Verzeichnisses muss dokumentiert werden, woher die Daten stammen, zu welchen Zwecken diese verarbeitet werden und was mit diesen passiert. Wir arbeiten derzeit an einem Muster, welches Sie nach Fertigstellung zur Erfüllung dieser Dokumentationspflicht verwenden können.
 

Benötigen Ordinationen einen Datenschutzbeauftragten?

Dieser Punkt ist noch nicht restlos geklärt, da die Datenschutzgrundverordnung hier – in Bezug auf Ordinationen – nicht eindeutig ist. Sobald auch diese Frage beantwortet ist, werden wir Sie selbstverständlich informieren.
 

Was ist eine Datenschutzfolgenabschätzung und benötigen die Ordinationen eine solche?

Eine Datenschutzfolgenabschätzung beschreibt die datenschutzrechtlichen Risiken, die im Rahmen eines Unternehmens, oder einer Ordination, passieren können. Diese Abschätzung muss verfasst werden, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Ob eine Datenschutzfolgeabschätzung bei Ordinationen notwendig ist, ist leider auch noch nicht vollständig definiert. Selbstverständlich werden wir Sie auch hier umgehend informieren, sobald wir diese Frage klären konnten.
 

Besteht eine Verzeichnispflicht bzw. gibt es eine Ausnahme für kleine Praxen?

Grundsätzlich ist die Führung eines Verzeichnisses von Verarbeitungsvorgängen für jeden Verantwortlichen (somit jeden Arzt) vorgeschrieben, sofern er besondere Kategorien von Daten verarbeitet. Ob es hier Erleichterungen für kleine Praxen geben wird, wird noch Gegenstand von Verhandlungen sein.
 

Ist das administrative Praxisprogramm, welches auf den Servern eines Unternehmens läuft als Auftragsdatenverarbeitung zu werten? 

Wenn die Verarbeitung nicht durch den Arzt selbst verarbeitet wird (durch eine eigene in den Ordinationsräumlichkeiten stehende Infrastruktur), liegt immer eine Auftragsverarbeitung vor. Ob und in welchen Fällen hier eine gesonderte Einwilligungserklärung der Patienten notwendig sein wird, ist noch nicht abschließend geklärt.
 

In wie weit muss eine Datenportabilität ermöglicht werden?

Dieser Punkt ist noch nicht geklärt und sollte im Rahmen der Verhaltensregeln geklärt werden.
 

Was passiert bei Verstößen gegen die DSGVO?

Die Strafdrohung reicht bis zu EUR 20 Mio., oder 4% des weltweiten Jahresumsatzes. Obwohl die konkreten Strafen geringer sein werden, ist derzeit noch nicht klar, wie hoch die Strafen tatsächlich sein werden.
 

Wo kann ich den Gesetzestext nachlesen, der 2018 in Kraft treten wird?

Den Gesetzestext der Datenschutz-Grundverordnung finden Sie unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=de.

Daneben gibt es auch in Österreich noch ein Datenschutzanpassungsgesetz, welches zwar beschlossen, jedoch noch nicht im Bundesgesetzblatt veröffentlicht wurde. Sie finden den angenommenen Entwurf (dieser wird erst in den nächsten Wochen im Bundesgesetzblatt als Gesetz veröffentlicht) unter https://www.parlament.gv.at/PAKT/VHG/XXV/I/I_01761/fname_643605.pdf.
 

Wer verhandelt mit wem über die noch offenen Fragen?

Im Rahmen der DSGVO ist vorgesehen, dass – unter anderem – die Mitgliedsstaaten, die Aufsichtsbehörden sowie die Kommission die Ausarbeitung von Verhaltensregeln fördern sollen. Darüber hinaus können Verbände und andere Vereinigungen Verhaltensregeln ausarbeiten. Die Ärztekammer für Wien plant gerade die weitere Vorgehensweise, um Verhaltensregeln zu erstellen, welche den Betrieb im Rahmen der Ordinationen möglichst gering einschränkt und dennoch dem Gesetz entspricht.
 

Wer hat letzten Endes Entscheidungskompetenz?

Die Entscheidungskompetenz in datenschutzrechtlichen Fragen liegt letztendlich bei der Österreichischen Datenschutzbehörde bzw. bei der EU-Kommission.
 

Wie kann sich Otto Normalarzt hier einbringen?

Da das Gesetz bereits beschlossen wurde und der Nationalrat sämtliche Stellungnahmen (es gab 113 Stellungnahmen) ignorierte, ist lediglich noch eine Änderung im Rahmen der Verhaltensregeln möglich. 


Wie geht es weiter?

Wir werden versuchen, Ihnen die noch offenen Fragen als Ärztekammer für Wien in den nächsten Wochen und Monaten zu beantworten und halten Sie selbstverständlich über unsere Kuriennews am Laufenden.


Sollten Sie zum Thema Datenschutz noch Fragen haben, richten Sie bitte ein E-Mail mit Ihrem Anliegen an datenschutz@aekwien.at. Wir werden diese Fragen sammeln, und – sofern bereits möglich – beantworten.


Kontakt