Datenschutz (DSGVO)

Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung (DSGVO) ist seit 25. Mai 2018 national anzuwenden. Seit diesem Zeitpunkt sind die neuen rechtlichen Verpflichtungen von den datenschutzrechtlich Verantwortlichen zu beachten.

Mit der DSGVO werden niedergelassene Ärztinnen und Ärzte und Gruppenpraxen als Verantwortliche für die Datenanwendung mit einer Reihe von Pflichten konfrontiert, für deren Umsetzung wir Ihnen Muster zur Verfügung stellen:

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Für jede Einzel- und Gruppenpraxis ist ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Dabei handelt es sich um ein (schriftlich oder elektronisch) geführtes Dokument, in dem festgehalten werden muss, welche Datenanwendungen („Patient:innenverwaltung“, „Personalverwaltung“) in der Gruppenpraxis durchgeführt werden. Zudem ist unter anderem anzugeben, welche Datenkategorien („Name“, „Anschrift“, „Sozialversicherungsnummer“ etc.) auf Basis welcher Rechtsgrundlage für welche Dauer gespeichert werden.

Dokument über technische und organisatorische Maßnahmen (TOM)

Weiters hat in Einzel- und Gruppenpraxen ein Dokument über technische und organisatorische Maßnahmen aufzuliegen, in dem zu beschreiben ist, welche Schritte gesetzt werden, um den Schutz personenbezogener Daten zu gewährleisten (z.B. Passwortmanagement, Vorgehen beim Vernichten von Patient:innenakten).

Vereinbarungen mit IT-Dienstleistern (Auftragsverarbeitern)

Das neue Datenschutzrecht sieht auch vor, dass mit IT-Dienstleistern spezielle Vereinbarungen abzuschließen sind, in denen insbesondere deren Pflichten in Bezug auf die Wahrung des Datenschutzes verankert werden müssen. In vielen Fällen haben die IT-Dienstleister ihre Verträge bereits in den letzten Monaten angepasst, weil auch sie dazu verpflichtet sind.

Rechte der Betroffenen

Patientinnen und Patienten hatten schon bisher das Recht auf Auskunft und Richtigstellung, aber in der Regel nicht auf Löschung ihrer von der Einzel- oder Gruppenpraxis gespeicherten Daten. Dies ist auch in Zukunft der Fall. Schließlich hat im Falle eines Datenverlustes (Data Breach) eine Meldung an die Datenschutzbehörde und gegebenenfalls auch an die Betroffenen zu erfolgen.

Datenschutzbeauftragter und Datenschutz-Folgenabschätzung

Die DSGVO stellt auf die umfangreiche Verarbeitung von Gesundheitsdaten ab, daher empfehlen wir eine Orientierung an der Zahl der Patienten und Patientinnen pro Jahr (unverbindlicher Richtwert: 5000 Patienten und Patientinnen). In einer Einzelordination ist ein Datenschutzbeauftragter in der Regel nicht erforderlich. PVE und großen Gruppenpraxen empfehlen wir auf Grund der Annahme höherer Patientenzahlen die Bestellung eines Datenschutzbeauftragten.

Haben Sie einen Datenschutzbeauftragten bestellt, sind dessen Kontaktdaten der Aufsichtsbehörde (Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, E-Mail: dsb(at)dsb.gv.at) zu melden.