FAQ Datenschutz
Fragen und Antworten Datenschutz
Was sind die übergeordneten Pflichten der verantwortlichen Ärzte*innen zur Datensicherheit?
Das Transparenzprinzip des Datenschutzes verpflichtet die Verantwortlichen über die Datenflüsse und die Verarbeitungen – also etwa Speichern, Löschen, Backups etc. – informiert zu sein. Sie müssen der Datenschutzbehörde dazu Rechenschaft geben können. Der Praxisinhabende muss sich also dafür interessieren, was mit den Daten in seiner Praxis-IT geschieht. Dazu dient übrigens die konkrete Verpflichtung der DSGVO, ein Verarbeitungsverzeichnis zu führen. Und der Praxisinhabende hat auch für die Verfügbarkeit und Integrität der Daten zu sorgen und muss deren Geheimhaltung sicherstellen. Die Daten dürfen nicht zweckentfremdet werden und es muss für ihre Richtigkeit gesorgt werden, also z.B. Fehler darin müssen beseitigt werden.
Diese Pflichten sind dynamisch: Der Praxisinhabende muss also an den technischen Entwicklungen „dranbleiben“ und die Einhaltung der Vorgaben regelmäßig überprüfen. Themen wie der Umgang mit Passwörtern, der Zugang zur Infrastruktur u.Ä. sollten persönlich im Auge behalten werden. Inwieweit die Wahrnehmung spezieller technischer Pflichten vertraglich an den IT-Dienstleistenden abgewälzt werden können, hängt vom Einzelfall ab. Der Praxisinhabende sollte auf alle Fälle schriftlich Konformitätserklärungen vom Dienstleistenden verlangen. (Artikel aus Medical Tribune)
Was sind „dynamische Pflichten“ bei der Umsetzung der Datensicherheit in Arztpraxen?
Der/Die Arzt/Ärztin muss sich nach der rechtlichen Regelung ständig über aktuelle Entwicklungen zur Datensicherung informieren. Ein großes Problem dabei ist – nicht nur für die Arztpraxen –, dass die konkreten Pflichten von den verschiedensten Organisationen empfohlen werden. Für den Praxisinhabenden ist es schwer, überhaupt von allen zu wissen! Bestes Beispiel: Im Mai 2019 hat das BSI präzise Anweisungen zur Parametrierung von MS-Office-Produkten ausgegeben. Käme es zu einer Datenpanne in einer Praxis, die bei Verwendung dieser Parameter nicht passiert wäre, könnte man einen haftungsrechtlichen Vorwurf gegenüber dem Praxisinhabende formulieren (Artikel aus Medical Tribune).
Welche organisatorischen Rahmenbedingungen sind bei der Telelematik-infrastruktur zu beachten
Die Telematik-infrastruktur, genannt TI, nimmt bei Haftungsfragen eine Sonderrolle ein, als sie gesetzlich geregelt ist und die Praxen sich anschließen müssen.
Die Gematik sagt dazu ganz klar: „Sofern die zugelassenen Komponenten (insbesondere der Konnektor) der TI bestimmungsgemäß verwendet werden und gemäß den mit dem BSI (Bundesamt für Sicherheit in der Informationstechnologie) abgestimmten und im Betriebshandbuch der Komponente beschriebenen Anforderungen durch den Praxisinhabenden aufgestellt und betrieben werden, scheidet eine Haftung des Praxisinhabenden nach der DSGVO in jedem Fall aus.“
Allerdings geht die Haftungsbefreiung nur bis zum Konnektor. Das heißt die Verantwortung des Praxisinhabenden für die korrekte Einrichtung und den korrekten Betrieb des Konnektors sowie für die eigene IT-Infrastruktur „hinter dem Konnektor“ nach Datenschutzrecht, Zivilrecht und Strafrecht bleibt bestehen. Daher ist auch die Einrichtung des Konnektors absolute „Chefsache“, die Vorgaben sollten penibel befolgt werden – Stichwort: paralleler versus serieller Betrieb! (Artikel aus Medical Tribune)
In welchen Fällen haftet der Praxisinhabende bei Verstößen gegen die Datensicherheit?
Der Praxisinhabende ist grundsätzlich für das verantwortlich, was in seiner Praxis geschieht. Ist allerdings ein Programm der Verursacher, ist eine strafrechtliche Haftung nicht anzunehmen. Datenschutzrechtlich ist der Praxisinhabende allerdings nach DSGVO schon für leichteste Fahrlässigkeit verantwortlich. Er muss Rechenschaft für eine datenschutzkonforme Verarbeitung geben und im Zweifel beweisen, dass er sämtliche Vorschriften der DSGVO eingehalten hat. Das wird in der Praxis häufig sehr schwierig werden, wenn kein professioneller Dienstleistende verpflichtet ist. (Artikel aus Medical Tribune)
Welche Haftungsrisiken sind beim Einsatz der Praxis SW zu beachten?
Beim Einsatz von Praxis-SW ist zu unterscheiden, ob es sich um eine von der KBV zugelassene PVS handelt. Eine gravierende Sicherheitslücke in einer zugelassenen Software könnte einen atypischen Schadensverlauf darstellen und von vornherein nicht vom Praxisinhabenden zu verantworten sein. Der Hersteller unterliegt zudem unabhängig vom Datenschutz der Produkthaftung und könnte so finanziell mit ins Boot kommen. Bei der gleichzeitig bestehenden Arzthaftung aus dem Behandlungsvertrag bzw. aus unerlaubter Handlung würde man wohl auch nicht von einem Verschulden des Praxisinhabers ausgehen. Mehr als eine zugelassene Software fachgerecht einzusetzen, kann nicht verlangt werden. Gleichwohl ist das Datenschutzrecht wesentlich schärfer als das klassische Arzthaftungsrecht, weil es sehr hohe Anforderungen an die IT-Infrastruktur und den Umgang mit Daten stellt. (Artikel aus Medical Tribune)
Wie kann sich der einzelne Arzt am besten schützen?
Der Gesetzgeber geht davon aus, dass der/die verantwortliche Arzt/Ärztin alle „technischen und organisatorischen Maßnahmen“ (TOM) einsetzt, um die sensiblen Patientendaten zu schützen und zu sichern. Geeignete Instrumente sind Datenmanagement-Systeme wie z.B. ein QM System (gesetzlich im SGB V vorgeschrieben), ein Datenschutz Management System (DSMS) und ein ISMS (Informations-Management-System), definiert im Digitale-Versorgung-Gesetz (DVG).
Die MCSS AG ist der Spezialanbieter für kombinierte, cloudbasierte Management System für Arztpraxen und Kliniken.