Datenschutz-Praxis-CheckAnalysieren Sie die Umsetzung des Datenschutzes in Ihrer Praxis

100 % anonym und vertraulich

Ihre Antworten bleiben anonym und können technisch nicht von mir gespeichert werden. So können Sie ehrlich und unbefangen antworten – für eine realistische Einschätzung des Datenschutzniveaus in Ihrer Praxis.

Selbsttest für Ihre Praxis

Der Test ist so gestaltet, dass jede Praxisleitung oder jeder Arzt die Umsetzung des Datenschutzes schnell und unkompliziert selbst analysieren kann.

Ihr Datenschutz-Praxis-CheckHinweise zur Bearbeitung

Start - Datenschutz - Checkliste für Ihre Praxis
  1. Checkliste ausdrucken
  2. Praxis analysieren
Datenschutz-Praxis-Checkliste.pdf
  1. Interaktive Checkliste lokal speichern
  2. Praxis analysieren und direkt im PDF per Klick dokumentieren
  3. Ergebnis erneut lokal speichern
Datenschutz-Praxis-Checkliste-interaktiv.pdf

 

Zu jeder Frage auf Ihrer Checkliste habe ich ergänzende Informationen für Sie bereitgestellt. Klicken Sie einfach auf das gewünschte Thema. Sollten Sie weitere Informationen benötigen, kontaktieren Sie mich gerne, ich beantworte Ihre Anfrage zeitnah. Ihre Fragen helfen mir, die bereitgestellten Informationen kontinuierlich zu verbessern.

Bestellpflicht Datenschutzbeauftragter

Bestellpflicht eines Datenschutzbeauftragten (DSB) in Arztpraxen

Für Arztpraxen können bestimmte gesetzliche Kriterien eine Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB) auslösen. Sofern mindestens eines der folgenden Merkmale auf Ihre Praxis zutrifft, ist die Bestellung eines DSB erforderlich:

  • In Ihrer Praxis sind mehr als zehn Mitarbeitende regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten (z. B. über einen PC) betraut.
  • Ihre Praxis verarbeitet personenbezogene Daten in einem Umfang, der über das übliche Maß einer kleinen Praxis hinausgeht.
  • In Ihrer Praxis wird Künstliche Intelligenz (KI) eingesetzt.
  • Sie setzen Videoüberwachung in Ihrer Praxis ein.

Bitte beachten Sie: Bereits das Vorliegen eines dieser Punkte begründet die gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten.

Ordnungsgemäße Bestellung eines Datenschutzbeauftragten (DSB)

Sofern Ihre Praxis zur Bestellung eines Datenschutzbeauftragten (DSB) verpflichtet ist, sollten Sie die Einhaltung folgender Voraussetzungen sorgfältig prüfen:

  • Wurde der DSB offiziell benannt und die Bestellung der zuständigen Datenschutzbehörde gemeldet?
  • Wurde bei der Auswahl des DSB darauf geachtet, dass es sich weder um die Praxisleitung noch um einen Familienangehörigen der Praxisleitung oder eine Person in leitender Funktion handelt?
  • Verfügt der DSB über die erforderliche Fachkunde und nimmt regelmäßig an Weiterbildungen teil?

Wichtig: Eine Abweichung von diesen Vorgaben kann dazu führen, dass die Bestellung des Datenschutzbeauftragten als nicht ordnungsgemäß gilt.

Auftragsverarbeitungsvertrag AVV)

Auftragsverarbeitungsvertrag (AV-Vertrag, AVV)

Ein AV-Vertrag ist gesetzlich vorgeschrieben und regelt die Verarbeitung personenbezogener Daten zwischen Ihrer Praxis und einem externen Dienstleister. Das bedeutet: Jeder Dienstleister, der in Ihrem Auftrag Patientendaten oder Mitarbeiterdaten verarbeitet, muss mit Ihnen einen AVV abschließen. Beispiel IT-Fernwartung: Ihr IT-Dienstleister führt eine Fernwartung an Ihrem Praxis-PC durch. Diese Fernwartung stellt eine Auftragsverarbeitung dar und aus diesem Grund benötigen Sie einen AV-Vertrag mit Ihrem Dienstleister, der die Datenverarbeitung regelt bevor er die Fernwartung durchführt wird.

Besonders wichtig bei Gesundheitsdaten

Hier gelten besonders strenge Vorgaben. Externe Firmen dürfen Gesundheitsdaten grundsätzlich nicht selbstständig verarbeiten. Eine Ausnahme gibt es nur, wenn Sie als Arzt die volle Verantwortung für die Datenverarbeitung übernehmen. Das heißt konkret:

  • Der Dienstleister darf die Daten ausschließlich auf Ihre Weisung hin verarbeiten.
  • Sie müssen sicherstellen, dass alle Datenschutzvorgaben eingehalten werden.
  • Und ganz wichtig: Die Datenverarbeitung muss regelmäßig von Ihnen kontrolliert werden!
  • Falls der Dienstleister keine eigene AVV-Vorlage hat, Vorsicht! Das kann ein Warnsignal sein, dass er den Datenschutz nicht ernst nimmt.

Was sollten Sie tun, bevor Sie einen AV-Vertrag unterschreiben?

Prüfen Sie, ob Ihr Dienstleister Ihre hohen Datenschutzanforderungen überhaupt erfüllen kann. Am besten lassen Sie die Verträge vor der Unterzeichnung von einem zertifizierten Datenschutzbeauftragten auf Datenschutzkonformität überprüfen.

Prüfen Sie jetzt Ihre Auftragsverarbeitungsverträge

Bitte prüfen Sie jetzt mit Ihrer Checkliste für welche Datenverarbeitung Sie mit dafür mit jedem Dienstleister einen AV-Vertrag geschlossen haben.

 

Zusätzliche Hinweise

  • Wenn Sie eine E-Mail-Adresse für Ihre Praxis nutzen, benötigen Sie dafür einen Auftragsverarbeitungsvertrag (AVV). Nutzen Sie eine kostenlose Freemail-Adresse, ist der Abschluss eines AVV in der Regel nicht möglich. In diesem Fall dokumentieren Sie bitte den Handlungsbedarf.
  • Es ist zu empfehlen  alle AV-Verträge in Ihrem Datenschutzordner oder DSMS abzulegen.
Verzeichnis von Verarbeitungstätigkeiten (VVT)

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das Verzeichnis von Verarbeitungstätigkeiten ist ein zentrales Element im Datenschutzmanagement Ihrer Praxis. Es dokumentiert alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, von der Patientenaufnahme bis zur Abrechnung. Für jede Verarbeitungstätigkeit werden die Art, der Zweck der Verarbeitung, die Rechtsgrundlage sowie die ergriffenen Schutzmaßnahmen detailliert festgehalten. Das VVT dient als internes Steuerungsinstrument und als Nachweis gegenüber den Aufsichtsbehörden, dass Ihre Praxis die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllt. Es trägt entscheidend dazu bei, den Datenschutz in Ihrer Praxis zu gewährleisten und die Rechte Ihrer Patientinnen und Patienten zu schützen.

Prüfung Ihrer Auftragsverarbeitungsverträge (AVV)

Ein wesentlicher Bestandteil des VVT ist die Prüfung der Auftragsverarbeitungsverträge (AVV). Es muss eindeutig dokumentiert werden, ob ein AVV vorliegt und welche Kriterien bei der Prüfung des Vertrages berücksichtigt wurden.

Technisch und organisatorische Maßnahmen (TOMs)

Ein weiterer Bestandteil des VVT ist die Dokumentation der Technischen und Organisatorischen Maßnahmen (TOMs) ihrer Praxis. Diese umfassen sowohl technische Sicherheitsvorkehrungen (z. B. Verschlüsselung, Zugangskontrollen) als auch organisatorische Maßnahmen (z. B. Schulungen, interne Datenschutzrichtlinien). Die regelmäßige Überprüfung und Anpassung dieser TOMs ist ein integraler Bestandteil des kontinuierlichen Datenschutzmanagements.

Prüfen Sie jetzt Ihr Verzeichnis von Verarbeitungstätigkeiten

Bitte prüfen Sie jetzt welche der Verarbeitungsvorgänge von Ihrer Checkliste in Ihrer Praxis genutzt werden und ob Sie dafür jeweils ein entsprechendes Verzeichnis in Ihrem Datenschutz Management System griffbereit haben.

Richtlinien für Ihre Mitarbeiter

Richtlinien für Ihre Mitarbeiter im Datenschutz

Die Praxisleitung ist verantwortlich für klare Datenschutzrichtlinien, die den sicheren und rechtskonformen Umgang mit personenbezogenen Daten regeln. Diese Vorgaben sind verbindlich und von allen Mitarbeitenden einzuhalten. Nur durch schriftliche Regelungen und klare Kommunikation können Mitarbeitende ihre Aufgaben datenschutzkonform umsetzen und den Schutz sensibler Patientendaten gewährleisten.

Prüfen Sie jetzt Ihr Datenschutz-Regelwerk

Bitte überprüfen Sie anhand Ihrer Checkliste, ob die grundlegenden Datenschutzregeln in Ihrer Praxis schriftlich festgelegt sind. Diese Basis-Regelungen sollten klar definiert und im Datenschutz-Management-System (DSMS) dokumentiert sein, damit sie für alle Mitarbeitenden jederzeit zugänglich und umsetzbar sind.

Datenvernichtung gemäß DIN 66399

Datenvernichtung in der Arztpraxis

Medizinische Daten zählen zu den besonders schützenswerten personenbezogenen Daten und unterliegen daher strengen gesetzlichen Vorgaben zur Vernichtung. Für diese Daten gilt die Schutzklasse 5 gemäß DIN 66399. Sie stellt sicher, dass Daten nur mit unverhältnismäßig hohem Aufwand wiederhergestellt werden können.

 

Datenvernichtung gemäß Schutzklasse 5

Medium der Dokumente Partikelgröße Schutzklasse 5
Informationen in Originalgröße - Papierdokumente max. 30 mm²
Informationen in verkleinerter Form - Mikrofilm max. 1 mm²
Optische Datenträger - DVD max. 10 mm²
Magnetische Datenträger - Disketten max. 30 mm²
Festplatten mit magnetischen Datenträgern max. 320 mm²
Elektronische Datenträger - SSD, USB-Stick max. 10 mm²

Datenaufbewahrung und fristgerechte Vernichtung sicherstellen

Um den Überblick zu behalten und die fristgerechte Vernichtung sicherzustellen, empfehle ich Ihnen, ein Verzeichnis aller gespeicherten Daten inkl. der jeweiligen Aufbewahrungsfristen zu führen. So stellen Sie sicher dass alle Mitarbeiter die Speicherdauer einsehen und umsetzen können.

Digitale Datenträger: SSDs und USB-Sticks

Für digitale Speichermedien wie SSDs und USB-Sticks schreibt die DIN 66399 eine Zerkleinerung auf maximal 10 mm vor. Passende Dienstleister sind jedoch selten. Ich empfehle Ihnen außerdem, alle digitalen Datenträger bereits vor der Nutzung zu verschlüsseln, um unbefugten Zugriff oder Datenmissbrauch von Anfang an zu verhindern.

Vernichtungsprotokoll für elektronische Datenträger

Für die Vernichtung elektronischer Datenträger ist die Erstellung eines Vernichtungsprotokolls erforderlich. Dieses muss den Zeitpunkt und die Art der Vernichtung dokumentieren und sollte im Dokumentenmanagementsystem (DMS) Ihrer Praxis archiviert werden. Damit stellen Sie sicher, dass die ordnungsgemäße Vernichtung jederzeit nachvollziehbar ist.

Hinweis zur Nutzung von Datentonnen

Wenn Sie eine Datentonne zur Vernichtung sensibler Unterlagen verwenden, beachten Sie bitte folgende Punkte:

  • Überprüfen Sie Ihren Vertrag mit dem Dienstleister und stellen Sie sicher, dass Schutzklasse 5 gemäß DIN 66399 vereinbart wurde.
  • Stellen Sie sicher, dass die Datentonne stets verschlossen ist.
  • Sichern Sie die Tonne mit geeigneten Vorrichtungen, um die unbefugte Entwendung zu verhindern.
IT-Dokumentation

IT-Dokumentation

In einer Arztpraxis werden besonders schützenswerte personenbezogene Daten verarbeitet, insbesondere Gesundheitsdaten. Diese fallen gemäß Art. 9 DSGVO unter die „besonderen Kategorien personenbezogener Daten“ und erfordern daher einen erhöhten Schutz.

Die IT-Dokumentation ist aus folgenden Gründen unverzichtbar

  • Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Die Praxis muss jederzeit nachweisen können, wie die Datenschutzgrundsätze umgesetzt und eingehalten werden.
  • Absicherung bei Datenschutzkontrollen oder Datenpannen: Eine strukturierte Dokumentation dient als Grundlage für eine effektive Zusammenarbeit mit der Aufsichtsbehörde sowie externen IT-Dienstleistern, die im Ernstfall schnell Unterstützung leisten können.
  • Die Vorlage eines aktuellen Netzwerkplans wird zusätzlich auch in der IT-Sicherheitsrichtlinie der Kassenärztlichen Vereinigung (KBV) gefordert.
Datenschutzinformation für Patienten

Datenschutzinformation für Ihre Patienten

Nach der Datenschutz-Grundverordnung (DSGVO) sind Praxen verpflichtet, ihre Patienten umfassend darüber zu informieren, wie ihre personenbezogenen Daten erhoben, verarbeitet und gespeichert werden. Diese Information dient sowohl der rechtlichen Absicherung der Praxis als auch dem Schutz der Rechte der Patienten. Es ist von entscheidender Bedeutung, dass Patienten Zugang zu diesen Datenschutzinformationen haben. Eine ausdrückliche Zustimmung der Patienten ist nicht erforderlich, jedoch muss gewährleistet sein, dass sie die notwendigen Informationen erhalten.

Praxis-Website

Ihre Praxiswebsite

Ihre Website ist weltweit zugänglich, und Fehler sind für jeden sichtbar. Falls Sie in diesem Kontext Handlungsbedarf feststellen, empfehle ich Ihnen, diese Aufgabe zu priorisieren.

Erreichbarkeit Ihrer Datenschutzerklärung

Ist die Datenschutzerklärung von jeder einzelnen Seite Ihrer Website mit nur einem Klick erreichbar? Der Link zur Datenschutzerklärung sollte gut sichtbar und idealerweise im Footer platziert sein.

Vollständigkeit Ihrer Datenschutzerklärung

Überprüfen Sie, ob jede von Ihnen eingesetzte Software, jedes Tool und jede Funktion, die personenbezogene Daten verarbeitet, in der Datenschutzerklärung konkret benannt und erklärt ist – inklusive Zweck und Rechtsgrundlage der Verarbeitung.

 

Checkliste - Vollständigkeit Ihrer Datenschutzerklärung:

  • Online-Terminbuchung
  • Videosprechstunde
  • Medizinischer Messenger
  • Digitale Patientenaufklärung und Anamnese-Tools

Kontaktformular auf Ihrer Praxiswebsite

Checkliste - wenn die Übertragung von medizinischen Daten möglich ist:

  • Werden die Daten im Klartext auf dem Webserver gespeichert? (Unzulässig)
  • Werden die Daten per unverschlüsselter E-Mail verschickt? (Unzulässig)

Ich empfehle, den Übertragungsweg von einem IT-Experten überprüfen zu lassen. Alternativ können Sie sich schriftlich von Ihrem Webmaster bestätigen lassen, dass die Datenübertragung vollständig Ende-zu-Ende verschlüsselt erfolgt und keine Daten im Klartext auf dem Webserver gespeichert werden.

Online-Terminbuchung

Online-Terminbuchung

Datenschutzerklärung – Auffindbarkeit und Verlinkung

Ihre Datenschutzerklärung muss für Nutzer jederzeit leicht auffindbar und mit nur einem Klick erreichbar sein – sowohl auf Ihrem Profil als auch in jedem Schritt der Online-Terminbuchung. Dies gilt selbstverständlich auch für die mobile Ansicht.

Datenschutzerklärung – Inhaltliche Anforderungen

Die Datenschutzerklärung muss speziell auf das von Ihnen genutzte Terminbuchungssystem abgestimmt sein. Eine allgemeine Website-Datenschutzerklärung reicht nicht aus, da Buchungssysteme personenbezogene Daten unterschiedlich verarbeiten können.
Überprüfen und aktualisieren Sie Ihre Datenschutzerklärung regelmäßig – insbesondere bei Änderungen in der Datenverarbeitung oder der Rechtslage. Falls Sie auf die Datenschutzerklärung Ihrer Website verweisen, muss klar und eindeutig erkennbar sein, dass diese auch für die Terminbuchung gilt.

Terminbestätigung und Erinnerungen - E-Mails und SMS

E-Mails und SMS werden in der Regel nicht Ende-zu-Ende verschlüsselt. Daher dürfen medizinische Informationen nur dann über diese Kanäle versendet werden, wenn eine Ende-zu-Ende-Verschlüsselung gewährleistet ist.

 

Prüfen Sie, ob Ihre Nachrichten die folgenden Kriterien erfüllen:

  • Keine medizinischen Patientendaten enthalten
  • Kein Behandlungsgrund enthalten

Optimal wäre es, wenn Ihr Patient lediglich eine neutrale Nachricht von Ihrem Terminbuchungstool erhält und die Details erst nach sicherer Authentifizierung in seinem persönlichen Account oder der Praxis-App einsehen kann.

Social Media Account

Sozial Media Account von Ihrer Praxis

Datenschutzerklärung einfach erreichbar

Auch Social-Media-Profile unterliegen der DSGVO und bringen besondere Herausforderungen mit sich. Ihre Datenschutzerklärung muss auf dem Profil leicht auffindbar und sollte mit einem Klick erreichbar sein. Gerade in der mobilen Ansicht besteht das Risiko, dass Inhalte unvollständig angezeigt werden. Zusätzlich ändern die Plattformbetreiber regelmäßig die Darstellung, was die Erreichbarkeit der Datenschutzerklärung beeinträchtigen kann. Das müssen Sie regelmäßig kontrollieren.

Datenschutzerklärung – inhaltliche Kontrolle

Inhaltlich muss die Erklärung auf die jeweilige Plattform abgestimmt sein. Eine allgemeine Website-Datenschutzerklärung reicht nicht aus, da jede Plattform Daten unterschiedlich verarbeitet. Änderungen bei der Datenverarbeitung oder der Rechtslage erfordern regelmäßige Überprüfung und Anpassung. Falls Sie auf eine Datenschutzerklärung auf Ihrer Website verweisen muss, eindeutig erkennbar sein, dass diese Erklärung für Ihr Sozial Media Profil gilt.

Strategie zum Umgang mit medizinischen Anfragen

Ein weiteres Problem stellt der mögliche Eingang medizinischer Anfragen über Social Media dar. Sie benötigen eine Strategie, um zu verhindern, dass Besucher medizinische Anfragen über diesen Kanal stellen, da Social Media in der Regel nicht die Voraussetzungen für die datenschutzkonforme Verarbeitung besonderer personenbezogener Daten erfüllt.

Diskretion an der Anmeldung

Diskretion im Anmelde- und Empfangsbereich sicherstellen

  • Stellen Sie sicher, dass Patienten an der Anmeldung vertraulich bedient werden können.
  • Verhindern Sie, dass andere Patienten Gespräche an der Anmeldung mithören.
  • Achten Sie darauf, dass auch bei lauterem Sprechen, z. B. bei schwerhörigen Patienten, keine Informationen für Dritte hörbar sind.

Meine Empfehlung zur alternativen Anmeldemöglichkeit

Falls an der Anmeldung keine vollständige Diskretion gewährleistet werden kann, empfehle ich Ihnen, Ihre Patienten gut sichtbar – z. B. mit einem Plakat – darauf hinzuweisen, dass sie den Anmeldevorgang auf Wunsch in einem separaten Raum durchführen können. Es ist wichtig, dass währenddessen sensible Patienteninformationen am Empfang geschützt sind und nicht für Dritte einsehbar oder hörbar werden.

Meine Empfehlung zur Diskretion beim Aufruf

Sie könnten Ihren Patienten, die nicht namentlich aufgerufen werden möchten, anbieten, über eine Patienten-ID aufgerufen zu werden. In den Fällen, in denen dies von Ihren Patienten gewünscht ist, nennen Sie dem Patienten die Patienten-ID und kommunizieren diesen Wunsch intern an den Aufrufenden.

Einwilligungserklärung

Einwilligungserklärung

Eine Einwilligungserklärung zur Datenverarbeitung muss rechtssicher sein. Bereits kleine Formfehler können dazu führen, dass die Datenverarbeitung unzulässig ist. Lassen Sie am besten Ihre Einwilligungserklärungen von einem Fachanwalt für Datenschutz erstellen und regelmäßig prüfen, ob sie der aktuellen Rechtsprechung entsprechen.

 

Grundsätze für eine wirksame Einwilligungserklärung:

  • Ausdrückliche Einwilligung: Die Einwilligung muss klar und eindeutig vorliegen.
  • Freiwilligkeit: Einwilligungen unter Druck oder Zwang sind unwirksam. Formulierungen wie „Ohne Unterschrift keine Behandlung“ sind unzulässig, es sei denn, es geht um eine freiwillige Zusatzleistung.
  • Umfassende Information: Der Patient muss über alle wesentlichen Vor- und Nachteile der Datenverarbeitung informiert sein. Fehlen relevante Informationen, ist die Einwilligung in der Regel unwirksam.
  • Widerrufbarkeit: Der Patient muss jederzeit das Recht haben, seine Einwilligung für die zukünftige Datenverarbeitung zu widerrufen – und Sie müssen diesen Widerruf organisatorisch umsetzen können.

Sonderfall – Einwilligungserklärung zur elektronischen Patientenakte (ePA) für alle

Mit der Einführung der ePA für alle sind Sie als Arzt verpflichtet, bei gesetzlich versicherten Patienten relevante Daten aus dem Behandlungskontext in der ePA zu speichern, sofern kein Widerspruch des Patienten vorliegt. Zudem sind Sie verpflichtet, jeden Widerspruch nachweisbar zu dokumentieren.

 

Wichtig: Jeder Datenupload ist für den Patienten transparent nachvollziehbar. Erfolgt dennoch ein Upload trotz erklärtem Widerspruch, stellt dies aus meiner Sicht einen meldepflichtigen Datenschutzverstoß dar. Daher benötigen Sie einen sicheren Prozess, um Widersprüche Ihrer Patienten zuverlässig zu erfassen und organisatorisch korrekt umzusetzen.

Kommunikation

Kommunikation in der Arztpraxis

Die Kommunikation mit sensiblen personenbezogenen Daten betrifft insbesondere Personaldaten sowie Gesundheitsdaten Ihrer Patienten und Mitarbeiter. Davon betroffen sind verschiedene Bereiche der täglichen Kommunikation. Dazu zählt der Austausch mit Ihren Patienten, die Kommunikation mit Kollegen im Gesundheitswesen und in der Verwaltung sowie die Übermittlung von Daten an das Lohnbüro.

E-Mail

In der Regel ist der E-Mail-Verkehr nicht Ende-zu-Ende verschlüsselt und daher für die Übermittlung medizinische personenbezogene Daten unzulässig.
Ausnahme: Eine KIM-Nachricht (Kommunikation im Medizinwesen) ist ein Beispiel für eine zulässige, Ende-zu-Ende verschlüsselte E-Mail.

FAX

Faxnachrichten sind unverschlüsselt. Mehrere Gerichtsurteile haben bereits bestätigt, dass der Versand personenbezogener Daten per Fax unzulässig ist. Daher gilt grundsätzlich: Das Faxen medizinische personenbezogene Daten ist nicht erlaubt. Die Verantwortung für die Datenübertragung liegt beim Absender, auch wenn beispielsweise ein Gesundheitsamt medizinische Daten per Fax anfordern würde.

SMS

Auch SMS-Nachrichten sind unverschlüsselt und daher für den Versand medizinische personenbezogene Daten ungeeignet und unzulässig.

Messenger-Dienste

Gängige Messenger-Apps auf dem Smartphone sind für die professionelle Kommunikation in der Praxis nicht geeignet. Häufig fehlt die Möglichkeit, einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Anbieter abzuschließen. Für eine datenschutzkonforme Nutzung sollten Sie einen von der gematik zugelassenen TI-Messenger verwenden.

Videoüberwachung

Videoüberwachung in Ihrer Arztpraxis

Die Videoüberwachung in einer Arztpraxis ist ein sensibles Thema, da regelmäßig besondere Kategorien personenbezogener Daten verarbeitet werden. Eine Videoüberwachung ist grundsätzlich nur zulässig, wenn sie auf einer klaren Rechtsgrundlage beruht und ein berechtigtes Interesse vorliegt. Besonders bei der Überwachung von Bereichen, in denen sich Patienten aufhalten (z. B. Wartezimmer, Flure), ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich, da hier ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Eine DSFA muss schriftlich dokumentiert werden.

 

Wichtig: Ist eine DSFA notwendig, so muss auch zwingend ein Datenschutzbeauftragter (DSB) bestellt werden. Lassen Sie sich daher zu diesem Thema individuell von Ihrem Datenschutzbeauftragten beraten.

Verantwortung auf alle Mitarbeiter übertragen

Verantwortung und Pflichten im Team

Die datenschutzrechtliche Verantwortung liegt immer bei der Praxisleitung. Durch klare Prozesse und Vorgaben können Sie jedoch Ihre Mitarbeiter aktiv einbeziehen und so Ihre Angriffsfläche im Hinblick auf Datenschutzrisiken deutlich reduzieren.

Verpflichtungserklärung

Jeder Mitarbeiter sollte eine schriftliche Datenschutz-Verpflichtung als Ergänzung zum Arbeitsvertrag unterzeichnen. Tipp: Diese Erklärung sollte auch die berufsrechtliche Verschwiegenheitsverpflichtung enthalten, um sicherzustellen, dass Mitarbeiter sowohl die datenschutzrechtlichen als auch die berufsrechtlichen Vorgaben kennen und einhalten.

Regelmäßige Schulungen

Datenschutz kann nur effektiv umgesetzt werden, wenn alle Mitarbeiter ihn verstehen. Daher sind regelmäßige Schulungen notwendig. Empfehlung: Schulungen sollten mindestens einmal pro Jahr stattfinden, um sicherzustellen, dass das Wissen aktuell und korrekt bleibt. Detaillierte rechtliche Grundlage mit Erklärungen

Schriftlicher Nachweis

Nutzen Sie Schulungszertifikate als dokumentierten Nachweis über die Teilnahme an den Schulungen. Diese Nachweise können in Ihrem Datenschutz-Management-System abgelegt werden und helfen, die ordnungsgemäße Durchführung der Schulungen sowie die Erfüllung der gesetzlichen Anforderungen nachzuweisen.

Verantwortung auf alle Mitarbeiter übertragen

.

Matthias Boden telefoniert

Jetzt ein Beratungsgespräch vereinbaren.

Kontakt aufnehmen