Ab 25. Mai Datenschutz-Grundverordnung: Checkliste für Arztpraxen

Alle Praxen:

• Verzeichnis von Verarbeitungstätigkeiten, das die Praxis auf Verlangen der Aufsichtsbehörde vorlegen kann: Darin werden Tätigkeiten beziehungsweise Vorgänge erfasst, bei denen in der Praxis personenbezogene Daten verarbeitet werden. Beispiele hierfür sind die Nutzung des Praxisverwaltungssystems oder das Führen von Personalakten.
• Interner Datenschutzplan mit einer Aufstellung der technischen und organisatorischen Maßnahmen in der Praxis: Dieser legt zum Beispiel klare Verhaltensweisen bei der Erfassung von Patientendaten fest und regelt Verantwortlichkeiten oder Zugriffsbeschränkungen für Mitarbeiter.
• Patienteninformation zum Datenschutz in der Praxis: Praxen müssen Patienten in der Regel zum Zeitpunkt der Datenerhebung darüber informieren, was mit ihren Daten passiert. Hierfür bieten sich laut KBV ein Aushang in der Praxis, ein Informationsblatt im Wartezimmer oder auch ein Hinweis auf der Praxis-Homepage an.  
• Vereinbarung zur Auftragsverarbeitung mit Softwareanbietern und anderen Dienstleistern, die auf Patienten- oder Mitarbeiterdaten zugreifen können: Die Auftraggeber müssen sich  davon überzeugen, dass der Dienstleister die Vorschriften des Datenschutzes einhält und entsprechende technische und organisatorische Maßnahmen durchführt. Die Firmen sollen dem Auftragsnehmer dazu ein Datenschutzsiegel oder eine Zertifizierung, zum Beispiel ISO/IEC 27001, vorlegen.

Praxen und MVZ ab 10 Personen:

• Einen internen oder externen Datenschutzbeauftragten, wenn in der Praxis mindestens zehn Personen regelmäßig personenbezogene Daten automatisiert verarbeiten, zum Beispiel am Empfang. Die Aufgabe des Datenschutzbeauftragten kann ein fachlich qualifizierter Mitarbeiter (nicht der Praxisinhaber) oder ein externer Datenschützer übernehmen. Name und Kontaktdaten müssen dem Landesdatenschutzbeauftragten mitgeteilt werden.