Jump to content

Umsetzung Datenschutz / DSGVO


Recommended Posts

  • Aktives Mitglied

Lesen Sie Art. 9 DS-GVO

Art. 9 ist ein sogenanntes Verbot mit Erlaubnisvorbehalt

Art.9 Abs. stellt weitere Anforderungen an die Zulässigkeit der Verarbeitung durch Fachpersonal und ersetzt die Einwilligung nicht.

Verarbeitung besonderer Kategorien personenbezogener Daten

  1. Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
  2. Absatz 1 gilt nicht in folgenden Fällen:
    1. Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
    2. die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
    3. die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
    4. die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
    5. die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
    6. die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
    7. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
    8. die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
    9. die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
    10. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
  3. Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
  4. Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.
Link zu diesem Kommentar
Auf anderen Seiten teilen

  • Aktives Mitglied

Der Art. 9 ist mir nicht ganz unbekannt ? ...

Wenn Sie die litterae des Abs. 2 (warum Sie dort Ziffern zitieren, erschliesst sich mir nicht) etwas genauer studieren, werden Sie zwanglos feststellen, dass bei einigen dieser Ausnahmetatbestände bezogen auf Abs. 1 eine Einwilligung der Person erforderlich ist, bei anderen nicht. Zur letztgenannten Kategorie gehört eben lit. h, welcher der von Ihnen zitierten Ziff. 8 entspricht.

Hier wird die EInwilligung nicht gefordert - was IMHO auch der aktuellen Rechtsauffassung von BÄK und KBV entspricht. Die Einwilligung eines Patienten zur Weitergabe erforderlicher Daten an medizinische Leistungserbringer im Zuge der Mitbehandlung oder an die KV zur Honorarfeststellung oder an den MDK sollte damit für diese Zwecke nicht notwendig sein.

Anders sieht das bei Datenübermittlungen an PVS, Krankenversicherungen, Gerichte oder Behörden aus - aber dies entspricht im Wesentlichen der aktuellen Rechtslage.

Die Panikmache wirtschaftlich interessierter Kreise dient IMHO hauptsächlich eben diesem wirtschaftlichen Interesse.
 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • Aktives Mitglied

Ich muss Ihnen da widersprechen und die Ansicht der KBV und BÄK muss nicht richtig sein. Die KBV

Wenn man sich die Erwägungsgründe zu diesem Artikel anschaut, stellt m

Ich habe in der vergangenen Woche im Rahmen einer Fortbildung für Rechtsanwälte diesen Artikel intensiv diskutiert und die Teilnehmer sind unisono zu der Ansicht gelangt, dass die Verarbeitung der Gesundheitsdaten in einer Arztpraxis eine Einwilligung verlangt. Die weiteren literae des Artikel 9 erweitern den Abs. 2 a.) für die Fälle des öffentlichen Interesses , aber das öffentliche Interesse kann die Einwilligungsnotwendigkeit für die Arztpraxis nicht ersetzen.

https://www.datenschutz-grundverordnung.eu/grundverordnung/erwagungsgrund-054/

Ich stehe mit meiner Ansicht nicht allein, auch die Labore überschwemmen die Praxis meiner Frau kartonweise mit Einwilligungen, die den jeweiligen Proben beigefügt werden sollen, da andernfalls keine Verarbeitung stattfindet (das ist auch für mich Panikmache). Das kann man allerdings unterbinden, in dem mit dem Labor eine bilaterale Absprache getroffen wird, dass man sich die Einwilligung beim Pat. holt - eben in einer etwas generelleren Version. Was machen Sie denn, wenn ein Patient querschiesst und Sie haben kein Dokument in der Hand, um seine Einwilligung nachzuweisen oder dass er über sein Widerrufsrecht informiert worden ist (letztere gehört auch dazu)?

Die von Ihnen zitierte KBV schreibt auf ihrer DS-GVO Themenseite :" So müssen sie etwa die Einhaltung des Datenschutzes nachweisen."

Wie soll denn das gehen, ohne Dokument? Wenn Sie als Dentalchirurg 140 Patienten im Monat haben, dann kann man sich vielleicht eine Zeremonie vorstellen, an die sich Patient und Personal noch 30 Jahre erinnern können...Aber wenn Sie ein 150-170 Patienten pro Tag in einer Haut- oder Hausarztpraxis haben, wird das nicht funktionieren.

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • Aktives Mitglied
vor 4 Stunden schrieb Kunsperfrisch:

Ich muss Ihnen da widersprechen und die Ansicht der KBV und BÄK muss nicht richtig sein.

Widerspruch wird bei mir nicht standrechtlich geahndet und ja, auch KBV und BÄK können irren ? .

Aber auch Ihr Link zum Erwägungsgrund 54 steht dem Standpunkt von KBV/BÄK und damit auch meinem nicht entgegen. Die KBV publiziert hier Folgendes:

"Das Erfassen, Bearbeiten, Speichern etc. von Patientendaten ist gesetzlich gestattet. Nur in besonderen Fällen kann es erforderlich sein, dass Patienten zustimmen müssen, zum Beispiel bei der Einbeziehung einer privatärztlichen Verrechnungsstelle.

In diesen Fällen müssen Praxen nachweisen können, dass die Patienten eine Einwilligungserklärung zur Datenverarbeitung unterschrieben haben."

Das scheint mir ziemlich deckungsgleich zu dem, was ich aus DSGVO/BDSG herauslese ...

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • Aktives Mitglied

Hallo Forum,

nach Rücksprache mit unseren Fachanwälten ich zu folgender praxisnahen Lösung tendieren (siehe dazu z.B. auch das sehr gute Webinar von Stephan Hansen-Oest auf www.datenschutz-guru.de vom 23.4.2018).

Das meiste ist im SGB V geregelt.

Einwilligungserklärungen nur bei:

1. PVS

2. Recall-System

3. Newsletter (double Opt in)

4. Wenn Sie Befunde von Drittbehandlern haben wollen z.B. als Onkologe vom KH o.ä. 

Ansonsten ist Folgendes pragmatisch: Regeln Sie in einer Verfahrensanweisung in Ihrem QM, dass jeder Patient ein Infoblatt zum Datenschutz bekommt (ggf. auch Verweis in der Warteschleife am Telefon auf Ihre Datenschutzinfo). In einem kurzen Audit stellen Sie dann regelmäßig die Wirksamkeit der Maßnahme fest (oider auch nicht und handeln dann, die DSGVO ist ja im Kern nichts anderes als den QM-PDCA-Gedanken auf den Datenschutz angewendet). Fazit: Pragmatisch und ohne großen Aufwand umsetzbar.

Generelle Einwilligungen an Patienten sollten im Gegenteil nach Meinung vieler Juristan auch eher vermieden werden, denn es dürfte ein nicht unerhebliches Chaos, wenn ein Patient, der eine Einwilligungserklärung unterschrieben hat, auf diese beruft und dann auf Löschung seiner Daten klagt (man denke nur an Regresse, Dokumentation zum Haftungsausschluss, die dann weg wäre, Abrechnung etc.).

Freue mich auf Ihr Feedback,

J. Deuser / www.arzt-datenschutz.de 

 

Am 29.4.2018 um 13:53 schrieb KoelnDoc:

@Keine-Ahnung: mich irritiert Ihr "Ton" ein wenig - ich finde das Angebot von Herrn Deuser interessant. Es ist nicht der einzige Generator im Netz und auch nicht der einzige kostenfreie, aber hilfreich sind diese Vorschläge schon. Und was Abmahnungen von Winkeladvokaten angeht, erinnere ich nur an die Abmahnwelle bzgl. fehlender oder unzureichender Impressen. Unsere "Vertreter" liefern mal wieder vor allen Dingen heiße Luft ....

 

Allgemeine Generatoren für DSE gibt es eine ganze Menge, aber meines Wissens nach speziell für Arztpraxen und dann noch kostenfrei und ohne Speicherung der eingegebenen Daten (einfaches Java-Script) ist m.W.n. nur auf www.arzt-datenschutz.de/generator zu finden, korrigieren Sie mich gerne ?.

Herzliche Grüße nach Kölle von der Spree,

J. Deuser

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • Aktives Mitglied

Das deckt sich in etwa mit meiner (eher laienhaften) Rechtsauffassung, ausser:

vor einer Stunde schrieb Deuser Praxismanager.de:

4. Wenn Sie Befunde von Drittbehandlern haben wollen z.B. als Onkologe vom KH o.ä.

ich denke nicht, dass man dafür eine Einwilligungserklärung benötigt, allerdings müsste der Patient in dieser Konstellation eine Schweigepflichtentbindungserklärung abgeben.

 

vor einer Stunde schrieb Deuser Praxismanager.de:

Das meiste ist im SGB V geregelt.

Das würde implizieren, dass der Datenschutz bei Privatversicherten anders gehandhabt werden müsste - dieser Meinung bin ich ebenfalls nicht. Auch die Liquidation entzieht sich einer solchen Ungleichbehandlung, da sie ja an den Patienten übergeben wird und dieser dann seine Daten gegenüber seiner PKK offenbart, wenn er sie zur Verrechnung einreichen sollte - nicht mehr mein Ding.

 

vor einer Stunde schrieb Deuser Praxismanager.de:

Allgemeine Generatoren für DSE gibt es eine ganze Menge

Ihr Engagement ehrt Sie ja ... ich persönlich würde mich aber auf den output eines solchen Generators nicht verlassen wollen, zumal die Datenverarbeitungsprozesse in jeder Praxis und teils extrem variieren. Ich arbeite weitgehend papierlos und (noch) extrem viel mit email in der Kommunikation mit Patienten, hier ist mir noch kein praktikabler und betriebswirtschaftlich sinnvoller Weg eingefallen ... da ich prinzipiell mit einem inhouse-Exchange mail, voicemail und Telefax abfackele. Die secure-mailgateways mit Passwortverschlüsselung am Markt rechnen sich schlicht nicht für eine Einzelpraxis, und mit private keys kann ich weder meine Patienten belästigen noch wäre das vom handling akzeptabel. Mal schauen ...

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 weeks later...
  • Aktives Mitglied
Am 8.5.2018 um 19:37 schrieb keine-ahnung:

ich denke nicht, dass man dafür eine Einwilligungserklärung benötigt, allerdings müsste der Patient in dieser Konstellation eine Schweigepflichtentbindungserklärung abgeben.

Letztlich eine jederzeit widerrufliche etc. Erklärung, dass z.b. der behandelnde Onkologe anstelle des Pat. im Auftrag und mit Zustimmung des Pat. Befunde des Pat. von Vorbehandlern, die der Pat. offenbart hat, einholen darf. Nur dann darf die Drittpraxis die Daten auch herausgeben. Eine solche Erklärung ist aber nur notwendig, wenn kein Überweisungsauftrag etc. besteht. Bei vielen Onkologen (nicht nur da) ist es notwendig, Vorbefunde zu erhalten, weil die Pat. diese nicht mitgebracht haben. Dann brauche ich eine Erklärung d Pat. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • Aktives Mitglied
Am 8.5.2018 um 19:37 schrieb keine-ahnung:

Ich arbeite weitgehend papierlos und (noch) extrem viel mit email in der Kommunikation mit Patienten, hier ist mir noch kein praktikabler und betriebswirtschaftlich sinnvoller Weg eingefallen ... da ich prinzipiell mit einem inhouse-Exchange mail, voicemail und Telefax abfackele

Wir raten ( vereinfacht und verkürzt gesagt, komplexe Materie....)

1. Mit Pat per unverschlüsselter Mail kommunizieren ist ok, wenn der Pat vorher schriftlich wideruflich etc. zugestimmt hat und ich auf die Risiken hingewiesen habe.

Mit Kollegen per unverschlüsselter Mail kommunizieren geht gar nicht. Bruch Schweigepflicht = strafbar

Whatsapp am besten gar nicht mehr f. d Pat.-Kommunikation nutzen. Zu riskant. Grundproblem: Whatsapp überträgt das Adressbuch des smartphones auf die facebookserver, ohne dass die Personen zugestimmt haben.

Für Privatpat gilt dasselbe wie für Kassenpat. Behandlungsvertrag. Siehe DSGVO. Nur wenn Sie Privatärztliche Verrechnungsstellen einschalten, dann Einwilligungserklärung.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • Aktives Mitglied
vor 1 Stunde schrieb Deuser Praxismanager.de:

Mit Pat per unverschlüsselter Mail kommunizieren ist ok, wenn der Pat vorher schriftlich wideruflich etc. zugestimmt hat und ich auf die Risiken hingewiesen habe.

Ich glaube nicht, dass der Patient den Datenverarbeiter von den Rechtsfolgen der DSGVO präventiv exkulpieren kann - die Forderungen der VO sollten generell wirksam sein und schützen nicht nur die Daten, sondern verpflichten den Datenverarbeiter allgemein. Und da die Datenschützer den unverschlüsselten email-Verkehr prinzipiell als unsicheres Transportmedium kategorisieren, würde ich Ihrer o.g. Aussage so nicht zustimmen wollen.

Da die vermutlich meisten Praxen keinen inhouse-Mailserver nutzen, sondern irgendwelche mail-services im "Wölkchen", haben diese nicht einmal Einfluss auf den Datenschutz beim Hoster, insofern sind bei diesem Konstrukt selbst eingehende mail vom Patienten an die Praxis per se ungeschützt ... und zwar im Verantwortungsbereich des Arztes!

Das kann man mit Nutzung eines eigenen mail-Servers umgehen, entweder durch TLS-Transportverschlüsselung bei durch (SSL-geschützte) Webseitenformulare generierte email, welche direkt via smtp an die Praxis zugestellt werden oder durch direkte smtp-Zustellung vom device des Patienten zum eigenen mail-Server. Hier beginnt die Verantwortlichkeit erst mit dem Eintreffen der email in der Praxis.

Viel spannender ist der Richtung Praxis --> Patient. Hier müsste man key-basiert verschlüsseln, in der täglichen Praxis nicht zu handhaben.

Einziger Ausweg: passwort-basierte Verschlüsselung des email-Verkehrs über ein secure-mailgateway - das lässt sich aber aus  betriebswirtschaftlicher Sicht für kleine Praxen nicht wirklich darstellen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • Aktives Mitglied
vor 22 Stunden schrieb keine-ahnung:

Ich glaube nicht, dass der Patient den Datenverarbeiter von den Rechtsfolgen der DSGVO präventiv exkulpieren kann - die Forderungen der VO sollten generell wirksam sein und schützen nicht nur die Daten, sondern verpflichten den Datenverarbeiter allgemein. Und da die Datenschützer den unverschlüsselten email-Verkehr prinzipiell als unsicheres Transportmedium kategorisieren, würde ich Ihrer o.g. Aussage so nicht zustimmen wollen.

Dass Praxen mit Ihren Pat. nicht via gmx web.de und Konsorten mailen sollten, versteht sich von selbst, daher danke f d Hinweis.

Unter Kollegen KV Safenet. Oder via Micronova etc.

Mailverkehr zum Pat:

Man kann dem Pat. anbieten, per PGP etc. zu verschlüsseln. Nach unserer Erfahrung nutzen das aber unter 0.2% der Pat.

Der Pat. entscheidet. Und wenn ich mich mit dem Pat. einige und ihn über die Risiken aufkläre ("wie eine Postkarte"), ist das völlig ok. Dann darf der Arzt sogar Patienten operieren... ? Habe das u.a. mit diversen Anwälten f Datenschutzrecht durchdiskutiert. Wenn der Pat. es nicht möchte, bleibt ja immer noch der Postweg.

Eine weitere Möglichkeit ist ein Patientenportal, mit dem der Pat seine Befunde oder Teile daraus direkt aus der PraxisEDV ziehen kann. Dazu sind die meisten Systeme, die in den 80ern oder 90ern programmiert wurden, leider noch nicht hinreichend in der Lage...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Beteilige Dich an der Unterhaltung

You are posting as a guest. Wenn Du bereits Mitglied bist, dann melde Dich an um einen Beitrag in Deinem Namen zu schreiben.
Beachte:Dein Beitrag muss erst von einem Moderator freigeschalten werden, bevor dieser sichtbar wird.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingefügt.   Alternativ als einfachen Link darstellen

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Lädt...
  • [[Template core/global/plugins/superblocks is throwing an error. This theme may be out of date. Run the support tool in the AdminCP to restore the default theme.]]



×
×
  • Neu erstellen...

Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten.

Datenschutzerklärung