DSGVO — Datenschutz-Grundverordnung
EU-Verordnung zum Datenschutz, seit Mai 2018 anwendbar.
Hintergrund und Definition
Die Datenschutz-Grundverordnung (Verordnung 2016/679) regelt seit dem 25. Mai 2018 unmittelbar in der gesamten EU die Verarbeitung personenbezogener Daten. Für Arztpraxen besonders relevant sind: Art. 5 (Grundsätze wie Zweckbindung, Datenminimierung), Art. 6 und 9 (Rechtsgrundlagen, insbesondere für Gesundheitsdaten als besondere Kategorie), Art. 13/14 (Informationspflichten), Art. 15-21 (Betroffenenrechte), Art. 28 (Auftragsverarbeitung), Art. 32 (Sicherheit), Art. 33 (Meldung von Datenpannen), Art. 35 (Datenschutz-Folgenabschätzung). Begleitend gilt das BDSG. Die Aufsicht liegt bei den Landesdatenschutzbeauftragten. Bußgelder reichen bis 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes. Praxen mit mehr als 20 Beschäftigten brauchen einen Datenschutzbeauftragten, kleinere Praxen oft auch — bei umfangreicher Verarbeitung von Gesundheitsdaten ist ein DSB praktisch immer empfehlenswert. Die DSGVO steht neben § 203 StGB; beide gelten parallel.
Was das für die Praxis bedeutet
Praxen müssen technisch und organisatorisch sichere Verarbeitung gewährleisten — Verschlüsselung, Zugriffskonzept, Backups, Mitarbeiter-Schulung, Zutrittskontrolle. Cloud-Dienste mit US-Konzern-Sitz sind grundsätzlich kritisch zu prüfen, weil Drittlandtransfer und Cloud Act zusätzliche Pflichten auslösen. Ein aktuelles Verarbeitungsverzeichnis nach Art. 30 DSGVO ist Pflicht; ohne fällt jede Aufsichtsprüfung sofort negativ aus. Datenpannen müssen innerhalb von 72 Stunden gemeldet werden — eine interne Notfall-Routine sollte das vorsehen. Patienten-Informationen nach Art. 13 (Aushang oder Merkblatt) sind Standard, werden aber häufig vergessen oder veralten. Bei KI-Einsatz lohnt eine kurze schriftliche Datenschutz-Folgenabschätzung — sie ist bei umfangreicher Verarbeitung Pflicht.
Beispiele aus dem Praxisalltag
- Verarbeitungsverzeichnis mit allen Tools: PVS, Backup, Labor, Online-Termin, KI-Doku.
- Datenpanne durch Fehlversand per Fax: 72 Stunden zur Meldung an Aufsichtsbehörde.
- Patienten-Information am Empfang als Aushang oder Merkblatt.
- AVV mit jedem Cloud-Anbieter — Art. 28 DSGVO Pflicht.
Typische Stolperfallen
- Verarbeitungsverzeichnis fehlt oder ist veraltet — direkte Aufsichts-Beanstandung.
- Datenpanne nicht erkannt oder zu spät gemeldet.
- Cloud-Anbieter ohne AVV oder ohne Drittland-Garantien.
- Mitarbeiter-Schulungen nicht dokumentiert — bei Audit fehlt der Nachweis.
Verwandte Begriffe
- AVV — Auftragsverarbeitungsvertrag: Pflicht-Vertrag nach Art. 28 DSGVO mit jedem Software-Anbieter, der Patientendaten verarbeitet.
- US Cloud Act: US-Gesetz, das US-Konzerne weltweit zur Datenherausgabe verpflichten kann.
- Ärztliche Schweigepflicht: Berufs- und strafrechtliche Pflicht des Arztes, anvertraute Geheimnisse nicht zu offenbaren.
- § 203 StGB — Verletzung von Privatgeheimnissen: Strafbarkeit der Verletzung der ärztlichen Schweigepflicht.
Quellen und weiterführende Hinweise
- eur-lex.europa.eu — DSGVO-Volltext
- bfdi.bund.de — Hinweise des Bundesdatenschutzbeauftragten
- datenschutzkonferenz-online.de — Anwendungsleitlinien der DSK
Hinweis: Dieser Lexikon-Eintrag dient der Orientierung und ersetzt keine rechtliche oder medizinische Beratung im Einzelfall.
Praxis-Dokumentation ohne Cloud. otium.doc auf otium.arx.
14 Tage testen, vortrainiert auf GOÄ und ICD-10. Hardware in Ihrer Praxis.