Datenschutzgrundverordnung


Die Bestimmungen der Datenschutzverordnung sowie der nationalen Begleitregelungen werden mit 25. Mai 2018 wirksam. Aus diesem Anlass informieren wir Sie über die wichtigsten Neuerungen, die Sie im Rahmen Ihrer Tätigkeit als niedergelassene Ärzte beachten müssen.   


 

1. Verzeichnis von Verarbeitungstätigkeiten

Jeder Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Es handelt sich dabei um ein internes Verzeichnis, das der Datenschutzbehörde auf Verlangen zur Verfügung zu stellen ist.

 

2. Informationspflicht

Die DSGVO knüpft an die Verarbeitung von personenbezogenen Daten auch eine Informationspflicht. Dem Betroffenen müssen bereits zum Zeitpunkt der Erhebung der Daten bestimmte Informationen (zB über Verarbeitungszwecke, Speicherdauer, etc) zur Verfügung gestellt werden.

 

3. Auftragsverarbeiter

Grundsätzlich ist es auch weiterhin zulässig, die Verarbeitung von personenbezogenen Daten an einen Auftragsverarbeiter „auszulagern“. Eine Auftragsverarbeitung liegt beispielsweise dann vor, wenn Daten auf einem externen Server gespeichert werden.

In diesem Fall ist nunmehr der Abschluss eines schriftlichen Vertrages erforderlich.

 

4. Datenschutz-Folgenabschätzung und Datenschutzbeauftragter

Nach derzeitigem Stand ist davon auszugehen, dass in einer Einzelordination weder eine Datenschutz-Folgenabschätzung noch ein Datenschutzbeauftragter erforderlich sind.

Ob dies auch für Fächer mit umfangreicherer Verarbeitung (wie zB Labor und Radiologie), für Gruppenpraxen und PVEs gilt, ist noch nicht abschließend geklärt.

Zur Klärung der noch offenen Fragen stehen wir bereits mit der Datenschutzbehörde in Kontakt und werden Sie noch rechtzeitig über die Ergebnisse der Gespräche informieren.

 

5. Sicherheit der Verarbeitung

Es sind von jedem Verantwortlichen geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen sind auch im Verzeichnis der Verarbeitungstätigkeiten anzuführen.

 

6. Aufbewahrung der Daten / Löschung

Nach der Datenschutzgrundverordnung dürfen Daten nur so lange aufbewahrt werden, wie dies zur Erfüllung des Zweckes der Verarbeitung erforderlich ist. Aufgrund der in § 51 Abs 3 ÄrzteG vorgesehenen zehnjährigen Aufbewahrungspflicht, ist davon auszugehen, dass die verarbeiteten Daten nach Ablauf der gesetzlichen Aufbewahrungsfrist, also nach 10 Jahren, zu löschen sind.

In Einzelfällen kann aber eine Speicherung der Daten für einen Zeitraum von bis zu 30 Jahren gerechtfertigt sein, sofern noch mit der Geltendmachung von Schadenersatzansprüchen (zB aufgrund behaupteter Behandlungsfehler) durch den Betroffenen zu rechnen ist.

 

7. Meldepflichten bei Verletzungen

Bei Verletzungen des Schutzes personenbezogener Daten (zB Hackerangriff, Verlust eines Datenträgers, etc) ist unverzüglich, jedoch spätestens binnen 72 Stunden ab Bekanntwerden, eine Meldung an die Datenschutzbehörde zu erstatten. Die Meldung kann unterbleiben, wenn kein Risiko für die Rechte und Freiheiten der Betroffenen besteht.

Wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen gegeben ist, so sind auch die Betroffenen zu benachrichtigen. Die Benachrichtigung kann jedoch in bestimmten Fällen unterbleiben (zB Unzugänglichmachung der Daten durch Verschlüsselung).

 

Folgende Dokumente stehen Ihnen zum Download zur Verfügung:

Rundschreiben Datenschutzgrundverordnung – Checkliste und Vorlagen
Anlage 1 – Checkliste DSGVO
Anlage 2 – Dokumentationsverpflichtung
Anlage 3 – Dokumentationspflicht DSGVO

 

Mag. Seyfullah Çakır