Datenschutzgrundverordnung

Datenschutzgrundverordnung - Die Bestimmungen im Überblick

Die Bestimmungen der Datenschutzgrundverordnung (DSGVO) sowie der nationalen Begleitregelungen wurden mit 25. Mai 2018 wirksam. Nachstehend die wichtigsten Neuerungen, die Sie im Rahmen Ihrer Tätigkeit als niedergelassene Ärztinnen und Ärzte beachten müssen.

1. Verzeichnis von Verarbeitungstätigkeiten

Jeder Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Es handelt sich dabei um ein internes Verzeichnis, das der Datenschutzbehörde auf Verlangen zur Verfügung zu stellen ist. Von Seiten der Ärztekammer für Oberösterreich wird (voraussichtlich Ende März / Anfang April 2018) noch ein Muster für ein solches Verzeichnis zur Verfügung gestellt werden.

2. Informationspflicht

Die DSGVO knüpft an die Verarbeitung von personenbezogenen Daten auch eine Informationspflicht. Dem Betroffenen müssen bereits zum Zeitpunkt der Erhebung der Daten bestimmte Informationen (z. B. über Verarbeitungszwecke, Speicherdauer, etc.) zur Verfügung gestellt werden.Die Information kann beispielsweise durch Aushang in der Ordination erfolgen. Ein Muster-Informationsblatt werden wir (voraussichtlich Mitte April) zur Verfügung stellen.

3. Auftragsverarbeiter

Grundsätzlich ist es auch weiterhin zulässig, die Verarbeitung von personenbezogenen Daten an einen Auftragsverarbeiter „auszulagern". Eine Auftragsverarbeitung liegt beispielsweise dann vor, wenn Daten auf einem externen Server gespeichert werden. In diesem Fall ist nunmehr der Abschluss eines schriftlichen Vertrages erforderlich. Wir sind derzeit dabei, einen Mustervertrag auszuarbeiten und mit dem Verband der Softwarehersteller abzustimmen. Nach Fertigstellung werden wir Ihnen diesen zur Verfügung stellen.

4. Datenschutz-Folgenabschätzung und Datenschutzbeauftragter

Nach derzeitigem Stand ist davon auszugehen, dass in einer Einzelordination weder eine Datenschutz-Folgenabschätzung noch ein Datenschutzbeauftragter erforderlich sind. Ob dies auch für die Fächer Labor und Radiologie, für Gruppenpraxen und PVE gilt, ist noch nicht abschließend geklärt. Zur Klärung der noch offenen Fragen stehen wir bereits mit der Datenschutzbehörde in Kontakt und werden Sie noch rechtzeitig über die Ergebnisse der Gespräche informieren.

5. Sicherheit der Verarbeitung

Es sind von jedem Verantwortlichen geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen sind auch im Verzeichnis der Verarbeitungstätigkeiten anzuführen. Wir werden Ihnen gemeinsam mit dem Muster-Verzeichnis auch einen entsprechenden Maßnahmenkatalog zur Verfügung stellen.

6. Aufbewahrung der Daten / Löschung

Nach der Datenschutzgrundverordnung dürfen Daten nur so lange aufbewahrt werden, wie dies zur Erfüllung des Zweckes der Verarbeitung erforderlich ist. Aufgrund der in § 51 Abs 3 ÄrzteG vorgesehenen zehnjährigen Aufbewahrungspflicht ist davon auszugehen, dass die verarbeiteten Daten nach Ablauf der gesetzlichen Aufbewahrungsfrist, also nach zehn Jahren, zu löschen sind.In Einzelfällen kann aber eine Speicherung der Daten für einen Zeitraum von bis zu 30 Jahren gerechtfertigt sein, sofern noch mit der Geltendmachung von Schadenersatzansprüchen (z. B. aufgrund behaupteter Behandlungsfehler) durch den Betroffenen zu rechnen ist.

7. Meldepflichten bei Verletzungen

Bei Verletzungen des Schutzes personenbezogener Daten (z. B. Hackerangriff, Verlust eines Datenträgers, etc.) ist unverzüglich, jedoch spätestens binnen 72 Stunden ab Bekanntwerden, eine Meldung an die Datenschutzbehörde zu erstatten. Die Meldung kann unterbleiben, wenn kein Risiko für die Rechte und Freiheiten der Betroffenen besteht.
Wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen gegeben ist, so sind auch die Betroffenen zu benachrichtigen. Die Benachrichtigung kann jedoch in bestimmten Fällen unterbleiben (z. B. Unzugänglichmachung der Daten durch Verschlüsselung).