Login Mitglieder
A- A A+ Startseite Patienten‌ & Interessierte Fachkreise
06.04.2018

Informationsserie zum Datenschutz – Teil 4: Verzeichnis von Verarbeitungstätigkeiten für Daten in der Praxis erstellen

Sind Sie Praxisinhaber? Falls ja, haben Sie einen Überblick wo, wie und von wem Daten in Ihrer Praxis erhoben, verarbeitet, genutzt, gespeichert, gelöscht oder beispielsweise an Abrechnungsfirmen und weitere Dienstleister weitergegeben werden? All diese Punkte sollten in einem sogenannten Verzeichnis von Verarbeitungstätigkeiten dokumentiert sein. Dabei handelt es sich um eine übersichtliche Dokumentation über alle Arbeitsschritte, bei denen personenbezogene Daten verarbeitet werden.

Verzeichnis von Verarbeitungstätigkeiten – was im Gesetz steht und was auch gilt

Ab dem 25. Mai 2018 gilt europaweit die neue Datenschutz-Grundverordnung (DSGVO). Die neue Verordnung sieht vor, dass alle Unternehmen mit 250 und mehr Mitarbeitern ein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Unabhängig von der Mitarbeiterzahl gilt das aber auch für alle, die personenbezogene Gesundheitsdaten verarbeiten – also auch für Praxisinhaber in der Physiotherapie. Was in einem solchen Verzeichnis stehen sollte, beschreibt Artikel 30 der DSGVO.

Neu ist diese Pflicht zwar nicht, aber ab dem 25. Mai 2018 droht ein Bußgeld von bis zu zwei Prozent des Jahresumsatzes, wenn das Verzeichnis der Aufsichtsbehörde nicht entsprechend auf Nachfrage vorgelegt werden kann.

Neu ist aber, dass alle Dienstleister wie zum Beispiel Abrechnungsfirmen oder Krankenkassen, die im Auftrag des Praxisinhabers Daten verarbeiten, ebenfalls ein Verzeichnis von Verarbeitungstätigkeiten führen müssen. Informationen zu Auftragsdatenverarbeiter gibt es in Artikel 30,  Absatz  2 der DSGVO.

Datenschutz ernst nehmen und transparent darstellen

Alle Maßnahmen zum Datenschutz erfüllen nur dann ihren Zweck, wenn diese von Ihnen als Praxisinhaber und allen Mitarbeitern entsprechend mit Leben gefüllt wird. Wir empfehlen Ihnen, den Datenschutz regelmäßig in Teamsitzungen zu thematisieren und auf mögliche Schwachstellen wie zum Beispiel offen herumliegende Karteikarten oder Telefonate im Rezeptionsbereich hinzuweisen. Uns ist bewusst, dass die neue Verordnung vielen Praxisinhabern wertvolle Zeit abverlangt, Zeit, die nicht vergütet wird und an anderer Stelle fehlt. Aus diesem Grund bereiten wir die wichtigsten Eckpfeiler zum Datenschutz für unsere Mitglieder auf, damit diese nicht noch mehr Zeit durch umfangreiche Recherche und/oder kostspielige Fortbildungen verlieren.

Step bei Step zum Verzeichnis von Verarbeitungstätigkeiten

So viel wie nötig, aber so einfach wie möglich. Nach diesem Motto haben wir für unsere Mitglieder ein Formblatt erstellt, mit dem Praxisinhaber mit möglichst geringem Aufwand ein Verzeichnis von Verarbeitungstätigkeiten erstellen können. Hier einige hilfreiche Informationen zum Ausfüllen des Formblattes "Verzeichnis von Verarbeitungstätigkeiten".

Das Formblatt bezieht sich auf Artikel 30, Absatz 1 und 2 der DSGVO. Dort ist der Umfang des Verzeichnisses für den Praxisinhaber und für mögliche Auftragsdatenverarbeiter geregelt.

Folgende Fragen sind mit dem Verzeichnis von Verarbeitungstätigkeiten zu beantworten:

1. Wie lautet der Name der Praxis beziehungsweise der Name und die Kontaktdaten des Praxisinhabers sowie der Name und die Kontaktdaten des Datenschutzbeauftragten (falls notwendig)?

2. Zu welchem Zweck werden Daten erhoben, verarbeitet und genutzt?

3. Welche Personen sind von der Erhebung, Nutzung und Verarbeitung betroffen und um welche Daten handelt es sich jeweils?

4. Wer erhält welche Daten?

5. Welche Löschfristen für Daten gelten?

6. Gehen Daten an Drittstaaten?

 

Hier finden Sie ein Formblatt, in das Sie die Antworten auf obenstehende Fragen direkt eintragen können.

Hier einige nützliche Tipps zur Beantwortung der Fragen 2 bis 4:

Antwortbeispiele für Frage 2 (Zweck der Datenerhebung, -nutzung, - verarbeitung, Art der Verarbeitung):

  • Dokumentation der Patientendaten und des Behandlungsverlaufs, inklusive der Behandlungstermine
  • Pflege von Kundenstammdaten für Selbstzahlerleistungen
  • Abrechnung der Behandlung 
  • Rechnungsstellung von Selbstzahlerleistungen 
  • Lohn- und Gehaltsabrechnung

 

Zur Art der Verarbeitung: Die Daten werden entweder manuell erhoben (Patientenkartei) oder mithilfe der Praxissoftware xyz (Name der Software eintragen). Für die digitale Erfassung von Daten hat die Praxis Verträge mit den Dienstleistern xyz (Name der Dienstleister eintragen).


Antwortbeispiele für Frage 3 (betroffene Personen und Datenarten):

Betroffene Personengruppen:

  • Patienten
  • Kunden
  • Mitarbeiter 
  • Ärzte
  • weitere Dienstleister (Krankenkassen, Abrechnungsfirmen, Softwarehersteller, IT-Dienstleister, etc.)

Datenarten:

  • personenbezogene Gesundheitsdaten (Diagnosen, Daten der Behandlung etc.)
  • personenbezogene Kontaktdaten (Adressdaten, Geburtsdatum, Erziehungsberechtigte, Bevollmächtigte, Betriebszugehörigkeit, Qualifikationen, Tätigkeitsschwerpunkte, etc.)
  • Gehaltsdaten 
  • Sozialversicherungsdaten 
  • Zahlungsdaten (Name der Bank, Kontoinformationen, etc.) 
  • IT-Nutzungsdaten

 

Antwortbeispiel für Frage 4 (mögliche Empfänger von Daten):

  • Mitarbeiter 
  • Auftragsdatenverarbeiter (Abrechnungsfirma) 
  • Steuerberater
  • Finanzamt 
  • Sozialversicherungsträger 
  • Krankenkassen 
  • Ärzte 
  • etc.

 

Die Standardantworten für die Fragen 5 und 6 haben wir im Formblatt bereits eingesetzt. Zu den Aufbewahrungsfristen haben wir eine gesonderte Meldung veröffentlicht – hier klicken zum Nachlesen.


Rechtlicher Hinweis: Sowohl das Formular als auch die Informationen zu möglichen Antworten haben wir für unsere Mitglieder nach bestem Wissen erstellt. Bei Bedarf entwickeln wir diesen weiter und informieren darüber. Haftung und Gewähr schließen wir allerdings aus, da die neuen Bestimmungen zum Datenschutz noch nicht praxiserprobt sind und sicher noch weiterentwickelt werden. Unser Ziel ist es aber, Ihnen schon heute den Einstieg in den Datenschutz so einfach wie möglich zu machen.

Service von PHYSIO-DEUTSCHLAND

Auf unserer Homepage sammeln wir Informationen zum Datenschutz an einer zentralen Stelle und bauen einen Info-Pool zum Datenschutz für unsere Mitglieder auf – klicken Sie hier, um direkt dorthin zu gelangen. 

In den nächsten Folgen unserer Serie geht es um E-Mail-Benutzung, Patientenaufklärung, Honorarvereinbarung, Datenschutz in den Praxisräumen, Bestellung eines Datenschutzbeauftragten. Zudem liefern wir Ihnen eine praxistaugliche Checkliste zum Thema Datenschutz.

Haben Sie Fragen zum Datenschutz beziehungsweise Themenwünsche für unsere Serie? Dann schicken Sie uns Ihre Anmerkungen gerne an info(at)physio-deutschland.de.