Die EU-Datenschutz-Grundverordnung (DSGVO) ist seit 25. Mai 2018 national anzuwenden. Seit diesem Zeitpunkt sind die neuen rechtlichen Verpflichtungen von den datenschutzrechtlich Verantwortlichen zu beachten.

Mit der DSGVO werden niedergelassene Ärzte und Gruppenpraxen als Verantwortliche für die Datenanwendung mit einer Reihe von Pflichten konfrontiert, für deren Umsetzung wir Ihnen Muster zur Verfügung stellen:

• Verzeichnis von Verarbeitungstätigkeiten (VVT)

Für jede Einzel- und Gruppenpraxis ist ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Dabei handelt es sich um ein (schriftlich oder elektronisch) geführtes Dokument, in dem festgehalten werden muss, welche Datenanwendungen („Patientenverwaltung“, „Personalverwaltung“) in der Gruppenpraxis durchgeführt werden. Zudem ist unter anderem anzugeben, welche Datenkategorien („Name“, „Anschrift“, „Sozialversicherungsnummer“ etc.) auf Basis welcher Rechtsgrundlage für welche Dauer gespeichert werden.

• Dokument über technische und organisatorische Maßnahmen (TOM)

Weiters hat in Einzel- und Gruppenpraxen ein Dokument über technische und organisatorische Maßnahmen aufzuliegen, in dem zu beschreiben ist, welche Schritte gesetzt werden, um den Schutz personenbezogener Daten zu gewährleisten (z.B. Passwortmanagement, Vorgehen beim Vernichten von Patientenakten).

• Vereinbarungen mit IT-Dienstleistern (Auftragsverarbeitern)

Das neue Datenschutzrecht sieht auch vor, dass mit IT-Dienstleistern spezielle Vereinbarungen abzuschließen sind, in denen insbesondere deren Pflichten in Bezug auf die Wahrung des Datenschutzes verankert werden müssen. In vielen Fällen haben die IT-Dienstleister ihre Verträge bereits in den letzten Monaten angepasst, weil auch sie dazu verpflichtet sind.

• Rechte der Betroffenen

Patienten hatten schon bisher das Recht auf Auskunft und Richtigstellung, aber in der Regel nicht auf Löschung ihrer von der Einzel- oder Gruppenpraxis gespeicherten Daten. Dies ist auch in Zukunft der Fall. Schließlich hat im Falle eines Datenverlustes (Data Breach) eine Meldung an die Datenschutzbehörde und gegebenenfalls auch an die Betroffenen zu erfolgen.

• Datenschutzbeauftragter und Datenschutz-Folgenabschätzung

Bei Gruppenpraxen ist im Einzelfall zu prüfen, ob eine „umfangreiche Datenverarbeitung“ erfolgt. In diesen Fällen hat die Praxis einen Datenschutzbeauftragten zu bestellen und eine Datenschutz-Folgenabschätzung zu erstellen.

Musterformulare samt Erläuterungen zur Datenschutz-Grundverordnung für Einzelordinationen und Gruppenpraxen: 

• Datenschutzbehörde