Willkommen beim DSGVO-Check für Praxen!

Ist Ihre Praxis im Datenschutz fit?

…nehmen wir mit dem DSGVO-Check Ihre Praxis unter die Lupe!

In ca. 8 Minuten erhalten Sie eine Einschätzung. Der DSGVO-Check ist kostenlos!

Der DSGVO-Check besteht aus 3 Frageblöcken zu jeweils 10 Fragen zu…

Am Ende erhalten Sie eine detaillierte Auswertung

Datenschutz in der Praxis

Datenschutz: mehr als abschließbare Schränke

Datenschutz in einer Arztpraxis, Physiotherapie-Praxis, Zahnarztpraxis oder jeder anderen Praxis heisst: Vertrauen schaffen! Denn das Vertrauen Ihrer Patienten ist Ihr Kapital. Ein souveräner und entspannter Umgang mit dem Datenschutz und den personenbezogenen Daten in Ihrer Praxis vermittelt: Hier sind Sie gut aufgehoben.

Datenschutz: Ein komplexer Begriff

Datenschutz zu definieren, ist gar nicht so leicht. Im Kern geht es um den Schutz personenbezogener Daten. Das Kompositum Datenschutz lässt zwar durch seine Bestandteile bereits erahnen, dass es um Daten geht, die geschützt werden müssen. Tatsächlich hebt aber erst der Personenbezug die Daten in den Anwendungsbereich von DSGVO und  BDSG; was auch in jeder Praxis gilt. Treffender könnte man formulieren:

Datenschutz ist der Schutz auf natürliche Personen bezogener Informationen

Aber auch diese Definition greift zu kurz, denn sie ist zu einseitig! Schauen wir auf die Geburtsstunde des modernen Datenschutzes: Das Bundesverfassungsgericht betonte in seiner berühmten Entscheidung zur Volkszählung im Jahre 1983:

Der Einzelne [Mensch] hat nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über “seine” Daten; er ist vielmehr eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit. Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann.

Diese komplizierte Richtersprache lässt sich in verständlicheres Deutsch übersetzen:

Auf einen Menschen bezogene Informationen sind geschützt, denn Wissen ist Macht! Und wer Wissen über andere Menschen hat, kann Macht ausüben und im Zweifel missbrauchen. Da wir Menschen aber nicht im luftleeren Raum existieren, sondern Teil einer Gesellschaft und Gesellschaftsordnung sind, entsteht durch die Teilnahme an dieser unweigerlich ein Abbild von uns in Form von Daten und Informationen. Jeder Gang zum Arzt, zur Physiotherapiepraxis, Zahnarztpraxis oder auch zur Arbeit hinterlässt unweigerlich eine Spur von Daten; sei es für die Anmeldung, die Ausstellung eines Rezeptes, für Terminvereinbarungen, etc….  Ohne unsere Daten und den Austausch und die Verarbeitung unserer Daten kann unsere Gesellschaft nicht funktionieren; können wir am Leben nicht teilnehmen.

Die (heimliche) Aufgabe des Datenschutzes: Interessenausgleich

Das (heimliche) den Datenschutz überwolbende Prinzip ist der angemessene und gerechte Ausgleich zwischen den Interessen der von Datenverarbeitung betroffenen Personen und denjenigen, die Daten verarbeiten (müssen), wie bspw. Arzt/Ärzte, Physiotherapie, Zahnarzt. Gerecht ist Datenverarbeitung also immer insbesondere dann, wenn einerseits die von Datenverarbeitung betroffenen auf die Achtung ihrer Interessen wie Geheimhaltung, Vertraulichkeit, Verfügbarkeit, etc. vertrauen können. Und andererseits die Verarbeiter von Daten – also z.B. Arztpraxis, Physiopraxis, Zahnarztpraxis – auf die betrieblich notwendige reibungslose Verarbeitung vertrauen können.

Dualität des Datenschutzes

Auch in den meisten Praxen wird mit Datenschutz vor allem der technische Aspekt assoziert, streng genommen, der technisch-organisatorische Datenschutz. Dieser dient aber nur der Verwirklichung der allgemeinen datenschutzrechtlichen Anforderungen, welche zwangsläufig die Grundlage der Datenschutz-Compliance bilden. Da beide Aspekte eine starke Eigenständigkeit aufweisen, kann von einer Dualität gesprochen werden.

Das Datenschutzrecht

…beschreibt alle gesetzlichen Vorgaben, die es bei der Verarbeitung von personenbezogenen Daten zu beachten gilt. Zentral ist die DSGVO (also die Datenschutzgrundverordnung), welche europaweit für ein hohes und gleichmäßiges Datenschutzniveau steht. Flankiert wird sie in Deutschland durch das BDSG (Bundesdatenschutzgesetz) welches Konkretisierungen enthält, welches beispielsweise bei der Verarbeitung von Mitarbeiterdaten relevant sein können.

Das Datenschutzrecht betrifft vor allem die Frage des “Ob” der Datenverarbeitung; also ob Daten überhaupt verarbeitet werden dürfen.

Die Datensicherheit

…beschreibt die reale, tatsächliche Umsetzung des Datenschutzes und steht insbesondere für die Gewährleistung der Schutzziele Verfügbarkeit der Daten, Vertraulichkeit der Daten und Integrität der Daten. Die Maßnahmen der Datensicherheit müssen dem risikobasierten Ansatz der DSGVO folgend, auf den konkreten Verarbeitungsfall, der Bedeutung der verarbeiteten Daten ausgerichtet und angemessen sein.

Die Datensicherheit betrifft vor allem die Frage des “Wie”, also auf welche Weise Daten verarbeitet werden müssen.

TOMS: Technische und organisatorische Maßnahmen

Mit den sogenannten technischen und organisatorischen Maßnahmen wird eine Brücke zwischen dem Datenschutzrecht und der Datensicherheit geschlagen. Jede Praxis ist verpflichtet, die zur Datensicherheit eingeführten Maßnahmen zu dokumentieren. Zur Förderung der Übersichtlichkeit hat es sich bewährt, diese in Maßnahmen der technischen und Maßnahmen der organisatorischen Sicherheit zu unterteilen.

Technische Maßnahmen…

…sind im Allgemeinen solche, die sich von selbst, also ohne fortwährenden Input der Nutzer vollziehen. Oft sind es verkörperte Maßnahmen, wie der abschließbare Aktenschrank oder das Sicherheitsschloss an der Praxistüre.

Organisatorische Maßnahmen…

…beschreiben vor allem den Rahmen der Datenverarbeitung, sowie verbindliche Regeln und Dienstanweisungen. Eine Schlüsselliste, eine Passwortrichtlinie, ein Berechtigungskonzept können typische organisatorische Maßnahmen sein.

Die Begriffe haben eine reine Ordnungsfunktion und sind nicht rechtsverbindlich. Oft fällt es selbst Fachleuten schwer, eine trennscharfe Linie zwischen beiden Begriffen zu ziehen. In der Praxis haben sie sich als Ordnungsinstrument jedoch bewährt.

Durch technische und organisatorische Maßnahmen sind insbesondere die klassischen Schutzziele der Informationssicherheit zu verwirklichen:

  • Vertraulichkeit
  • Verfügbarkeit
  • Integrität

Welche weiteren Schutzziele die DSGVO darüber hinaus statuiert, wird in der Fachwelt bisweilen noch diskutiert.

Eine Differenzierung verlangen auch die in der Praxis oftmals vermischten Begriffe der Datensicherheit und der Informationssicherheit. Während erstere Disziplin dem Schutz personenbezogener Daten dient und damit vornehmlich drittschützend ist, dient letztere dem Schutz der Gesamtheit der Datenverarbeitung eines Betriebes.

Technisch-organisatorischer Datenschutz

Welche organisatorischen und technischen Maßnahmen in einer Arztpraxis umzusetzen sind, bestimmt sich nach dem Risiko, welches sich für die verarbeiteten Daten der Patienten ergibt. Die DSGVO macht für eine Arztpraxis keine konkreten Angaben, welche technischen Maßnahmen der Datensicherheit umzusetzen sind. Auch der Blick ins BDSG ergibt keine Aufschlüsse.

Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat für Arztpraxen eine Checkliste herausgegeben, welche auch für Physiotherapiepraxen oder Zahnarztpraxen eine Hilfe darstellen kann. Entscheidend bleibt aber der Blick auf die konkrete Praxis!

Die DSGVO verlangt beim technisch-organisatorischen Datenschutz folgendes zu beachten:

  • Stand der Technik
  • Art, Umfang, Umstände und Zweck der Datenverarbeitung
  • Eintrittswahrscheinlichkeit und schwere möglicher Risiken
  • Implementierungskosten und Aufwand

Risikobasierter Ansatz: Vorteil für Ihre Praxis!

Die Pflicht zur Ausrichtung des technischen-organisatorischen Datenschutzes entlang möglicher Schadensszenarien und Risiken beinhaltet ein nicht zu unterschätzendes Maß an Verantwortung. Gleichzeitig bietet der risikobasierte Ansatz wertvolle Gestaltungsmöglichkeiten. Oftmals können kostspielige Investitionen in technische Sicherheitsmaßnahmen vermieden werden, wenn plausibel darstellbar ist, erkannte Risiken durch organisatorische Maßnahmen wirksam abschirmen zu können. Andersherum kann Aufwand und Arbeitskraft durch Implementierung technischer Sicherheitsmaßnahmen gespart werden. Diese Gestaltungsfreiheiten sind direkter Ausfluss des risikobasierten Ansatzes der DSGVO.

Datenschutz-Management

Implementierung des Datenschutzes als ganzheitlicher Vorgang…

Datenschutz als Hintergrundprozess

Die sich aus DSGVO und BDSG ergebenden Pflichten und Aufgaben, die jede Praxis – egal ob Arztpraxis oder Zahnarztpraxis – treffen, mögen erschlagend wirken; Doch sie sind es nicht! Denn auch hier gilt: Es ist alles eine Frage der Organisation!

Das Datenschutz-Management einer Praxis umschreibt vor allem zwei Aspekte:

  1. Datenschutz muss ganzheitlich implementiert, also in allen Bereichen, in denen die Verarbeitung personenbezogener Daten eine Rolle spielt, von vornherein konsequent mitgedacht werden.
  2. Datenschutz ist nicht statisch. Eingeführte Prozesse und Sicherheitsmaßnahmen müssen überprüft, Dokumente (bspw. Datenschutzerklärung) und Dokumentationen (bspw. Verzeichnis der Verarbeitungstätigkeiten) müssen gepflegt und up-to-date gehalten werden.

Das perfekte Datenschutz-Management ist (fast) unsichtbar

In jeder Praxis ist Datenverarbeitung Kernbestandteil der betrieblichen Tätigkeit. So wichtig Datenschutz ist: Er soll den Betrieb nicht aufhalten! Die Erfahrung zeigt dabei: je konsequenter der Datenschutz unter Einbindung des Praxisteams implementiert ist, desto reibungsloser läuft er. Die wichtigsten Bestandteile oder Prozesse des Datenschutz-Managements einer Praxis:

  • Prozess zur Schulung und Sensibilisierung der Mitarbeiter (z.B. durch eLearnings!)
  • Regeln und Verantwortlichkeiten für Anfragen Betroffener (z.B. Löschung, Auskuft, etc.)
  • Prozess und Verantwortlichkeit für den Fall einer Datenpanne (Art. 33, 34 DSGVO)
  • Prozess und Verantwortlichkeit zur Überprüfung der Sicherheitsmaßnahmen (i.e. Patchmanagement)
  • Benennung des Datenschutzbeauftragten
  • Pflege der Datenschutzdokumentation (i.e. Verzeichnis der Verarbeitungstätigkeiten)

Datenschutz ist Teamsache

Die Pflichtenzuweisung der DSGVO ist eigentlich klar: die Leitung / Inhaber einer Praxis sind für die Umsetzung des Datenschutzes verantwortlich. Durch eine konsequente Einbindung des Praxisteams kann nicht nur wertvolle Zeit der Praxisleitung gespart werden. Im Datenschutz geschulte und sensibilisierte Mitarbeiter einer Praxis sind – egal ob Arztpraxis oder Zahnarztpraxis oder Physiotherapie – der beste Schutz vor Ungemach. Bei der weit überwiegenden Zahl an Datenschutzverstößen war der Faktor Mensch ausschlaggebend.

Technische Maßnahmen des Datenschutzes

Sicherheit zum Anfassen…

Datenschutz als technische Herausforderung

Technische Sicherheitsmaßnahmen bilden gewissermaßen die Datensicherheit in der Realwelt ab. Sie sind davon geprägt, ohne fortwährenden Input eines Nutzers, Schutz zu vermitteln und meist von statischer Natur zu sein. Während organisatorische Maßnahmen – wie beispielsweise Dienstanweisungen zum Umgang mit Daten – oftmals von einer gewissen Lebendigkeit geprägt sind und sich situativ anpassen können, benötigen technische Maßnahmen aktives Handeln, um ihre Schutzwirkung auf sich verändernde oder neue Bedrohungsrealitäten auszuweiten.

Dies führt zu folgender Erkenntnis:

Jede technische Maßnahme muss durch organisatorische Maßnahmen gestützt werden.

Praxis auf dem Stand der Technik halten

Zu den wenigen Vorgaben, welche die DSGVO einer Arztpraxis oder Zahnarztpraxis oder Physiotherapie Praxis im Hinblick auf die Umsetzung des technisch–organisatorischen Datenschutzes macht, gehört die Ausrichtung der Sicherheitsmaßnahmen am Stand der Technik. Die Bedeutung dieser Vorgabe darf auf keinen Fall unterschätzt werden. Insbesondere im Bereich der elektronischen Datenverarbeitung muss zwingend ein wirksames Patch Management die technischen Maßnahmen flankieren. Vor allem Betriebssysteme und Praxis Management Software sollte automatisiert durch Einspielen von Updates auf dem neuesten Stand gehalten werden.

Organisatorische Maßnahmend des Datenschutzes in der Praxis

Rahmenbedingungen und Regeln zur Datenverarbeitung

Datenschutz als natürlicher Prozess

Ein Aktenschrank mit Patientenakten einer Arztpraxis oder Zahnarztpraxis vermittelt nur Sicherheit, wenn er auch abgeschlossen wird. Dies versinnbildlich, dass jede technische Sicherheitsmaßnahme ihre Wirkung erst durch Einbettung in organisatorische Prozesse entfalten kann. Die Erfahrung zeigt allerdings: In der Praxis wird sich oft darauf verlassen, die Mitarbeiter widmeten technischen Sicherheitsmaßnahmen schon aus sachgedanklichem Mitbewusstsein heraus gehörige Aufmerksamkeit. Diesem doppelten Trugschluss sollte keine Praxis erliegen:

  1. Die Pflicht zur Dokumentation der Flankierung technischer Sicherheitsmaßnahmen durch angemessene organisatorische Maßnahmen (z.B. Dienstanweisung zum Abschließen der Aktenschränke) ergibt sich bereits aus der Rechenschaftspflicht Art. 5 Abs. 2 DSGVO.
  2. Nur eine verbindliche Gleichförmigkeit im Umgang mit technischen Sicherheitsmaßnahmen ist für die Praxisleitung nachvollziehbar und schafft angemessene Sicherheit.