IMS Services Datenschutz
/

 


Datenschutzinformationen für Arztpraxen

Datenschutzbeauftragte Person (DSB)

In der Arzt­pra­xis findet in aller Regel keine umfang­rei­che Vera­r­bei­tung beson­de­rer Kate­go­rien perso­nen­be­zo­ge­ner Daten statt, die zu einer Benen­nungs­pflicht führt. Es ist daher ein Daten­schutz­be­auf­trag­te(r) (DSB) nur zu benen­nen, wenn mindes­tens 20 Perso­nen stän­dig mit der auto­ma­ti­sier­ten Vera­r­bei­tung perso­nen­be­zo­ge­ner Daten beschäf­tigt sind. „Stän­dig beschäf­tigt“ ist z. B. die Sprech­stun­den­hilfe. „Nicht stän­dig beschäf­tigt“ ist dage­gen beispiels­weise, wer als Putz­kraft theo­re­tisch Daten zur Kennt­nis nehmen kann. Trotzdem müssen nicht nur alle Vorgaben der EU-DSGVO erfüllt und umgesetzt werden, sondern eingesetzte Fachkräfte entsprechend aus- und weitergebildet werden. Eine freiwillige Beauftragung eines DSB kann daher sehr nützlich sein.

Pati­en­ten­in­for­ma­tion

Jeder Verant­wort­li­che hat den betrof­fe­nen Perso­nen schon bei der Date­n­er­he­bung bestimmte Infor­ma­ti­o­nen über die Vera­r­bei­tung ihrer Daten zu geben. Zumin­dest muss er darauf hinwei­sen, wo die Infor­ma­ti­o­nen leicht zugäng­lich sind (z. B. Flyer, Aushang, Home­page). Die betrof­fe­nen Perso­nen haben auch das Recht, Auskunft über die Vera­r­bei­tung ihrer Daten zu erhal­ten. Um alle Pati­en­ten zu errei­chen, empfiehlt sich ein Aushang in der Praxis oder ein Infor­ma­ti­ons­blatt, das im Warte­zim­mer ausge­legt wird. Die Pati­en­ten­in­for­ma­tion kann zusätz­lich auf der Home­page der Praxis veröf­fent­licht werden. Eine persön­li­che Infor­ma­tion, zum Beispiel bei der ersten Kontakt­auf­nahme am Tele­fon, ist aber nicht erfor­der­lich.

Verzeich­nis der Vera­r­bei­tungs­tä­tig­kei­ten

Arzt­pra­xen gehen mit gesund­heits­be­zo­ge­nen Daten um und müssen ein Verzeich­nis ihrer Vera­r­bei­tungs­tä­tig­kei­ten führen. Darin werden Tätig­kei­ten bezie­hungs­weise Vorgänge erfasst, bei denen in der Praxis perso­nen­be­zo­gene Daten vera­r­bei­tet werden. Die Aufstel­lung und Beschrei­bung der Tätig­kei­ten ist auf Verlan­gen der Aufsichts­be­hörde bereit­zu­stel­len. Liegt kein Verzeich­nis vor, drohen Gelds­tra­fen.

Auftrags­ver­a­r­bei­tung; Anpas­sung der beste­hen­den Verträge

Immer dann, wenn ein exter­ner Dienst­leis­ter auf Pati­en­ten- oder Mita­r­bei­ter­da­ten zugrei­fen kann, ist der Abschluss eines Vertra­ges zur Auftrags­ver­a­r­bei­tung (als Anlage zum Haupt­ver­trag) erfor­der­lich.

Daten­schutz-Folge­ab­schät­zung (Beispiel: Tele­me­di­zin)

Da auch bei Gesund­heits­da­ten nicht immer ein hohes Risiko bei der Daten­ver­a­r­bei­tung besteht, muss nur in Ausnah­me­fäl­len eine Daten­schutz-Folge­ab­schät­zung vorge­nom­men werden. Vorstell­bar ist dies bei tele­me­di­zi­ni­schen Verfah­ren, bei denen eine hohe Anzahl von Gesund­heits­da­ten über neue Tech­no­lo­gien vera­r­bei­tet, neue Geschäfts­fel­der eröff­net oder über das Inter­net kommu­ni­ziert werden. Das Risiko defi­niert sich dabei nicht ausschließ­lich an der Menge oder an der Art der Daten, sondern beson­ders am Infor­ma­ti­ons­ge­halt über den einzel­nen Betrof­fe­nen, der sich aus ihrer Vera­r­bei­tung und dem Kontext ergibt. (z. B. Profi­ling, Scoring, Tracking etc.)

Wichtige Fragen und Antwort zum Datenschutz im Praxisalltag

Muss ich von meinen Patienten eine Vereinbarung zur Datenverarbeitung unterschreiben lassen?

Nein. DSGVO erlaubt die Vera­r­bei­tung von Gesund­heits­da­ten u. a. dann, wenn diese für Zwecke der Gesund­heits­vor­sorge, für die medi­zi­ni­sche Diagno­s­tik, die Versor­gung oder Behand­lung im Gesund­heits­be­reich oder aufgrund eines Vertra­ges mit einem Ange­hö­ri­gen eines Gesund­heits­be­ru­fes erfor­der­lich ist. Diese Daten müssen gemäß DSGVO von Fach­per­so­nal oder unter dessen Verant­wor­tung vera­r­bei­tet werden und dieses Fach­per­so­nal muss dem Berufs­ge­heim­nis unter­lie­gen.

Diese Voraus­set­zun­gen sehen wir in einer Arzt­pra­xis als erfüllt an, so dass eine Einwil­li­gung des Betrof­fe­nen / Pati­en­ten nicht erfor­der­lich ist. Zum einen ist die Vera­r­bei­tung perso­nen­be­zo­ge­ner Daten für die medi­zi­ni­sche Diagno­s­tik notwen­dig, zum ande­ren besteht zwischen Arzt und Pati­ent ein Behand­lungs­ver­trag, weshalb die Date­n­er­he­bung (Vera­r­bei­tung) auch durch § 630 f BGB zwin­gend vorge­schrie­ben ist.

Besteht zwischen einem externen Betriebsarzt und der ihn beauftragenden Firma ein Auftragsdatenverarbeitungsverhältnis gemäß Art. 28 EU-DSGVO?

Der Betriebs­a­rzt eines betrieb­s­ärzt­li­chen Diens­tes wird vom Unter­neh­mer schrift­lich bestellt (exter­ner Arzt oder Ange­stell­ter des Unter­neh­mens) und ist diesem direkt unter­stellt. Eine Weisungs­be­fug­nis gegen­über den Mita­r­bei­tern ergibt sich hier­aus nicht, sodass keine Auftrags­da­ten­ver­a­r­bei­tung gemäß EU-DSGVO vorliegt und somit auch kein Verzeich­nis von Vera­r­bei­tungs­tä­tig­kei­ten (Art. 30 EU-DSGVO) geführt werden muss.

Darf ich nach der DSGVO weiterhin personenbezogene Daten via E-Mail, Telefax und / oder WhatsApp versenden?

Es ist drin­gend zu empfeh­len, bei der Kommu­ni­ka­tion mit den Pati­en­ten via E-Mail eine Verschlüs­se­lung vorzu­se­hen, da andern­falls die sensi­blen Pati­en­ten­da­ten nicht End-zu-End verschlüs­selt und damit letzt­end­lich wie eine Post­karte für Dritte einseh­bar sind. Es sollte daher streng darauf geach­tet werden, welche Infor­ma­ti­o­nen über den „nor­ma­len“ E-Mail-Weg verschickt werden. Unpro­ble­ma­tisch sind sicher­lich Inhalte zur Praxis­or­ga­ni­sa­tion, die even­tu­ell auch auf der Website der Arzt­pra­xis auffind­bar sind. Auch Termi­ner­in­ne­run­gen oder reine Termin­ver­ein­ba­run­gen sind weni­ger kritisch, wenn sie keine Hinweise auf die Art der Unter­su­chung enthal­ten und zuvor das Einver­ständ­nis des Pati­en­ten einge­holt wurde. Deshalb ist auch in solchen Fällen zu beach­ten, dass Termin­ver­ein­ba­run­gen, aus denen der Grund des Arzt­be­su­ches hervor­geht, vertrau­lich sind. Daher sollte insbe­son­dere auch das Praxis­per­so­nal für einen daten­schutz­kon­for­men Umgang mit Pati­en­ten­da­ten sensi­bi­li­siert werden.

Grund­sätz­lich ist auch bei der Versen­dung von Pati­en­ten­da­ten per Fax eine beson­dere Sorg­falt anzu­wen­den, da es sich auch hier­bei um eine Art „offene Zustel­lung“ handelt. Soweit dennoch im Einzel­fall Pati­en­ten­da­ten per Fax versandt werden sollen, muss zwin­gend beim Versen­den der Pati­en­ten­da­ten sicher­ge­stellt sein, dass nur der Empfän­ger selbst oder ausdrü­ck­lich dazu ermäch­tigte Dritte Kennt­nis vom Inhalt des Schrei­bens erhal­ten. Dies gilt insbe­son­dere dann, wenn ärzt­li­che Mittei­lun­gen an den Pati­en­ten gefaxt werden (in dessen Wohnung bezie­hungs­weise an dessen Arbeits­platz). Diese Siche­rung kann zum Beispiel durch Ankün­di­gung der Über­sen­dung beim Empfän­ger erreicht werden. Wich­tig ist eben­falls, dass regel­mä­ßig gespei­cherte Fax-Rufnum­mern über­prüft werden.

Bitte beach­ten Sie: 
Eine Fehl­zu­stel­lung bei der Über­tra­gung von Tele­fa­xen mit beson­ders schutz­wür­di­gem Inhalt, wie beispiels­weise medi­zi­ni­sche Daten, kann gravie­rende Folgen für den Absen­der, Empfän­ger und den Betrof­fe­nen haben. Deshalb sollte zumin­dest in diesen Fällen eine unver­schlüs­selte Daten­über­tra­gung unter­blei­ben. Auch der Kommu­ni­ka­ti­ons­weg über Whats­App ist nicht zu empfeh­len. Laut der neuen Richt­li­nie dürfen Ärzte und Arbeit­ge­ber Messen­ger-Dienste nur anwen­den, wenn die Daten­si­cher­heit und der Schutz vor unbe­rech­tig­ten Daten­zu­grif­fen sicher­ge­stellt sind. Dies ist bei Whats­App gerade nicht der Fall, da die App sich den Zugang zu den Kontak­ten bezie­hungs­weise zum Adress­buch der User verschafft.

Soll­ten Sie alter­na­tive Kommu­ni­ka­ti­ons-Apps verwen­den wollen ist drin­gend zu empfeh­len, sich vor Nutzung mit der zustän­di­gen Daten­schutz­auf­sicht in Verbin­dung zu setzen, um dies über­prü­fen zu lassen.

Müssen die Mitarbeiter in einer Arztpraxis zum Datengeheimnis verpflichtet werden?

Die DSGVO enthält zwar keine ausdrü­ck­li­che Rege­lung zur Verpflich­tung von Mita­r­bei­tern auf das Daten­ge­heim­nis, jedoch hat jeder Verant­wort­li­che die Pflicht, seine Mita­r­bei­ter entspre­chend anzu­wei­sen. Die Daten­schutz­auf­sicht empfiehlt deshalb, die Mita­r­bei­ter nach­weis­bar über ihre Pflich­ten nach der DSGVO zu unter­rich­ten.

Mustererklärung Download
Musterverpflichtung Datenschutz Mitarbeiter
O2R18_DatSch_Anlage_Muster Verpflichtung Mitarbeiter.docx (15.42KB)
Mustererklärung Download
Musterverpflichtung Datenschutz Mitarbeiter
O2R18_DatSch_Anlage_Muster Verpflichtung Mitarbeiter.docx (15.42KB)

Wie muss eine datenschutzrechtskonforme Vereinbarung bei einer Praxisgemeinschaft nach Art. 26 DSGVO (gemeinsam Verantwortliche) aussehen?

Die Daten­schutz­kon­fe­renz (DSK) hat ein Kurz­pa­pier heraus­ge­ge­ben, das als Hilfe­stel­lung für eine Verein­ba­rung nach Art. 26 DSGVO dienen soll. Daraus geht hervor, dass insbe­son­dere folgende Punkte in einer solchen Verein­ba­rung zwin­gend mitauf­ge­nom­men werden müssen:
  • Fest­hal­ten der Vertrags­par­teien
  • Aufga­ben­be­schrei­bung mit Abgren­zung, welcher Verant­wort­li­che welche Aufgabe über­nimmt
  • Fest­le­gung des Zwecks und der Mittel der Daten­ver­a­r­bei­tung
  • Pflich­ten der jewei­li­gen Vertrags­par­tei
Die Verein­ba­rung sollte außer­dem zwin­gend die tatsäch­li­chen Funk­ti­o­nen und Bezie­hun­gen der gemein­sa­men Verant­wort­li­chen gegen­über der betrof­fe­nen Person wider­spie­geln. Des Weite­ren sollte eine interne Ausgleichs­re­ge­lung für den Fall getrof­fen werden, dass ein Verant­wort­li­cher wegen des Fehlers des ande­ren von der betrof­fe­nen Person aufgrund von Art. 26 Abs. 3 DSGVO in Anspruch genom­men wird.

O2R18 Anlage Muster Datenschutzkonforme Vereinbarung
O2R18_DatSch_Muster DSGVO Gemeinsame Datenverarbeitung.docx (22.79KB)
O2R18 Anlage Muster Datenschutzkonforme Vereinbarung
O2R18_DatSch_Muster DSGVO Gemeinsame Datenverarbeitung.docx (22.79KB)

Müssen Arztpraxen die Patienteninformation zum Datenschutz von den Patienten unterschreiben lassen?

Nein, nach DSGVO ist die Vera­r­bei­tung von Gesund­heits­da­ten u. a. dann erlaubt, wenn diese für Zwecke der Gesund­heits­vor­sorge, für die medi­zi­ni­sche Diagno­s­tik, die Versor­gung oder Behand­lung im Gesund­heits­be­reich oder aufgrund eines Vertra­ges mit einem Ange­hö­ri­gen eines Gesund­heits­be­ru­fes erfor­der­lich ist. Diese Daten müssen gemäß DSGVO von Fach­per­so­nal oder unter dessen Verant­wor­tung vera­r­bei­tet werden und dieses Fach­per­so­nal muss dem Berufs­ge­heim­nis unter­lie­gen. Diese Voraus­set­zun­gen sehen wir, in einer Arzt­pra­xis als erfüllt an, so dass eine Einwil­li­gung des Betrof­fe­nen / Pati­en­ten nicht erfor­der­lich ist. Zum einen ist die Vera­r­bei­tung perso­nen­be­zo­ge­ner Daten für die medi­zi­ni­sche Diagno­s­tik notwen­dig, zum ande­ren besteht zwischen Arzt und Pati­ent ein Behand­lungs­ver­trag, weshalb die Date­n­er­he­bung (Vera­r­bei­tung) auch durch § 630 f BGB zwin­gend vorge­schrie­ben ist.

Brauche ich eine schriftliche Einwilligung des Patienten für die Einbeziehung einer privaten Verrechnungsstelle?

Ja, in diesen Fällen müssen Praxen nach­wei­sen können, dass die Pati­en­ten eine Einwil­li­gungs­er­klä­rung zur Daten­wei­ter­gabe unter­schrie­ben haben. Zu beach­ten ist, dass seit dem 25. Mai 2018 Einwil­li­gungs­er­klä­run­gen den Hinweis erhal­ten müssen, dass der Pati­ent sein Einver­ständ­nis jeder­zeit wider­ru­fen kann.

Muss ich nach der DSGVO 2018 von jedem Patienten, der mir mit einem gültigen Überweisungsschein zugewiesen wird, einen Verarbeitungsvertrag für personenbezogene Daten unterschreiben lassen?

Nein. Der Abschluss eines Vertra­ges zur Auftrags­ver­a­r­bei­tung ist immer nur dann notwen­dig, wenn Dritte als Dienst­leis­ter die perso­nen­be­zo­ge­nen Daten im Auftrag des Verant­wort­li­chen vera­r­bei­ten, z. B. die Praxis­soft­ware warten oder Akten- und Daten­trä­ger nach Ablauf der Aufbe­wah­rungs­frist vernich­ten.

Müssen eigene Patienten eine Einverständniserklärung zur Weitergabe unterschreiben, wenn ich Befunde, z. B. Laborwerte oder selbst erhobene Befunde, an andere Kollegen weiterleiten möchte?

Für die Weiter­gabe an Dritte ist auf das Infor­ma­ti­ons­blatt der Bunde­s­ärz­te­kam­mer und der KBV hinzu­wei­sen. Darin finden Sie unter Punkt 2.4.1 die Voraus­set­zun­gen für eine Einwil­li­gung zur Daten­wei­ter­gabe. Im Grund­satz gilt hier, dass eine Weiter­gabe nur mit Einwil­li­gung erfol­gen kann, wobei eine Schrift­form nicht in jedem Fall notwen­dig ist und konklu­den­tes Verhal­ten ausrei­chen kann. In Zwei­fels­fäl­len ist zu Beweis­zwe­cken eine schrift­li­che Einwil­li­gung empfeh­lens­wert.

Ist bei der Beauftragung eines Labors ein Auftragsverarbeitungsvertrag zu schließen?

Nein. Der behan­delnde Arzt beauf­tragt das Labor mit still­schwei­gen­der Voll­macht (sog. Innen­voll­macht) des Pati­en­ten mit Labor­un­ter­su­chun­gen. Der Vertrag über die Labor­un­ter­su­chung wird also unmit­tel­bar zwischen Pati­ent und Labor­a­rzt geschlos­sen, d. h. nicht der behan­delnde Arzt schließt den Vertrag mit dem Labor, sondern der Pati­ent, vertre­ten durch den behan­deln­den Arzt. Der behan­delnde Arzt über­mit­telt die Pati­en­ten­da­ten daher nicht selbst als verant­wort­li­che Stelle, sondern als Vertre­ter des Pati­en­ten.

Da es nicht zu einer Daten­über­mitt­lung durch den behan­deln­den Arzt im recht­li­chen Sinne kommt, benö­tigt der behan­delnde Arzt auch keine daten­schutz­recht­li­che Einwil­li­gung des Pati­en­ten. Es bedarf daher auch keines Vertrags zur Auftrags­da­ten­ver­a­r­bei­tung nach DSGVO. Bei der Ertei­lung von Labor­auf­trä­gen handelt es sich nicht um eine Auftrags­ver­a­r­bei­tung, weil es sich bei der labo­r­ärzt­li­chen Tätig­keit um eine Tätig­keit „höhe­rer Art“ handelt, die der stren­gen Weisungs­ge­bun­den­heit der Auftrags­da­ten­ver­a­r­bei­tung fremd ist. Die unab­hän­gi­gen Daten­schutz­be­hör­den des Bundes und der Länder (Daten­schutz­kon­fe­renz, DSK) stel­len hierzu in ihrem Kurz­pa­pier Nr. 13 aller­dings fest, dass ein Austausch zwischen Berufs­ge­heim­nis­trä­gern (§ 203 StGB) keine Auftrags­da­ten­ver­a­r­bei­tung nach Art. 28 DSGVO darstellt. Die Über­wei­sung der Labor­tä­tig­keit ist für Kassen­pa­ti­en­ten wie bisher nach SGB V mit den Über­wei­sungs­schei­nen abschlie­ßend gere­gelt. Für Pati­en­ten ist weiter­hin eine schrift­li­che Infor­ma­tion zur Proben- und Daten­wei­ter­gabe an das Labor erfor­der­lich.

Wer ist die in der Patienteninformation anzugebende Aufsichtsbehörde?

Die Landesämter für Datenschutz über­wachen die Einhal­tung des Daten­schutz­rechts im nicht-öffent­li­chen Bereich, das heißt, in den priva­ten Wirt­schafts­un­ter­neh­men, bei den frei­be­ruf­lich Täti­gen, in Verei­nen und Verbän­den sowie im Inter­net. Die Adresse Ihres zuständigen Landesamtes finden Sie hier:

LINK: https://www.datenschutzkonferenz-online.de/datenschutzaufsichtsbehoerden.html

Dürfen Auskünfte an Apotheken zu ausgestellten Rezepten erteilt werden?

Gemäß § 17 Abs. 5 Apothe­ken­be­triebs­ord­nung (ApBe­trO) müssen die abge­ge­be­nen Arznei­mit­tel den Verschrei­bun­gen und den damit verbun­de­nen Vorschrif­ten des Sozi­al­ge­setz­buch V (SGB V) zur Arznei­mit­tel­ver­sor­gung entspre­chen. Enthält eine Verschrei­bung einen für den Abge­ben­den erkenn­ba­ren Irrtum, ist sie nicht lesbar oder erge­ben sich sons­tige Beden­ken, so darf das Arznei­mit­tel nicht abge­ge­ben werden, bevor die Unkla­r­heit besei­tigt ist.

Daher dürfen auch weiter­hin Anfra­gen von Apothe­ken zu ausge­stell­ten Rezep­ten beant­wor­tet werden, auch dann, wenn diese tele­fo­nisch erfol­gen. In einem solchen Fall ist aber sicher­zu­stel­len, dass die Nach­frage auch tatsäch­lich aus der Apotheke kommt, die der Pati­ent zur Einlö­sung der Verord­nung aufge­sucht hat. Einer Schwei­ge­pflich­tent­bin­dungs­er­klä­rung bedarf es nicht.

Ist es weiterhin möglich, dass Schülerinnen und Schüler ihr Praktikum in einer Arztpraxis ableisten?

Ja, wenn die betref­fen­den Pati­en­ten hier­über aufge­klärt und ihre ausdrü­ck­li­che Einwil­li­gung erklärt haben. Wich­tig ist hier­bei, dass selbst­ver­ständ­lich auch die Prak­ti­kan­ten zur Einhal­tung der daten­schutz­recht­li­chen Anfor­de­run­gen nach der Daten­schutz-Grund­ver­ord­nung (DS-GVO) verpflich­tet und unterrichtet werden.

Inwieweit ist der Einsatz von Cloud-Computing in der Arztpraxis zulässig?

Ja, wenn die daten­schutz­recht­li­chen Vorga­ben nach der Daten­schutz-Grund­ver­ord­nung (DS-GVO) beach­tet werden. Nach den „Hin­weise und Empfeh­lun­gen zur ärzt­li­chen Schwei­ge­pflicht, Daten­schutz und Daten­ver­a­r­bei­tung“ der Bunde­s­ärz­te­kam­mer und der Kassen­ärzt­li­chen Bundes­ver­ei­ni­gung ist eine externe Vera­r­bei­tung (u. a. Spei­che­rung, Archi­vie­rung etc.) von Pati­en­ten­da­ten außer­halb des eige­nen Praxis­ver­wal­tungs­sys­tems grund­sätz­lich als möglich erach­tet worden. Dabei sind aber, wie unter Punkt 5.2. der tech­ni­schen Anla­gen aufge­führt, sehr strenge recht­li­che Vorga­ben zu beach­ten (vgl. § 203 Abs. 3 S. 2 StGB und ggf. Arti­kel 28 DS-GVO).

Es ist davon auszu­ge­hen, dass in der Regel eine Fall­kon­stel­la­tion vorliegt, die den Abschluss eines Vertrags zur Auftrags­ver­a­r­bei­tung erfor­dert. Proble­ma­tisch im Hinblick auf den Abschluss eines DS-GVO konfor­men Vertra­ges zur Auftrags­ver­a­r­bei­tung im Sinne der DSGVO erscheint dabei insbe­son­dere die Fest­stel­lung der Zuver­läs­sig­keit sowie die Durch­füh­rung wirk­sa­mer Kontrol­len. Jeden­falls solange keine sinn­vol­len, ausrei­chend umfas­sen­den Zerti­fi­zie­run­gen in diesem Sektor vorlie­gen, kann sich dies, je nach Dienst­leis­tung, schwie­rig gestal­ten. Gefähr­dungs­po­ten­zial ist hier unter ande­rem dann vorhan­den, wenn der Auftrags­ver­a­r­bei­ter in einem Dritt­land nieder­ge­las­sen ist. Eine beson­ders sorg­fäl­tige Auswahl der Auftrags­ver­a­r­bei­ter ist hier gerade auch im Hinblick auf die Art der vera­r­bei­te­ten Daten unab­kömm­lich. Zurück­hal­tung ist auch gebo­ten in Bezug auf die von Dienst­leis­tern häufig verspro­che­nen angeb­li­chen Anony­mi­sie­run­gen, welche sich nach unse­rer Erfah­rung häufig als Pseud­ony­mi­sie­run­gen entpup­pen und darüber hinaus insbe­son­dere bei vielen Arten ärzt­li­cher Doku­men­ta­tion tech­nisch schwie­rig umsetz­bar sind.

Das BayLDA ist der Auffas­sung, dass je nach einge­setz­tem Produkt, durch­aus häufig von einem hohen Risiko bei dem Einsatz von Cloud-Diens­ten ausge­gan­gen werden muss, weshalb der Einsatz von Cloud-Lösun­gen häufig die Durch­füh­rung einer Daten­schutz­fol­ge­n­ab­schät­zung auslöst.

Anfragen von gesetzlichen Krankenkassen – Wann bedarf es der Einverständniserklärung des Patienten?

Ergän­zend zu den gesetz­li­chen Grund­la­gen, regeln die zwischen der Kassen­ärzt­li­chen Bundes­ver­ei­ni­gung (KBV) und den Spit­zen­ver­bän­den der Kran­ken­kas­sen geschlos­se­nen Bundes­man­tel­ver­träge (BMV), einschließ­lich der Vordruck­ver­ein­ba­run­gen, die Moda­li­tä­ten zur Auskunft­s­er­laub­nis und -verpflich­tung gegen­über Kran­ken­kas­sen. Danach ist der Vertrags­a­rzt grund­sätz­lich berech­tigt und verpflich­tet, den Kran­ken­kas­sen für die Erfül­lung ihrer gesetz­li­chen Aufga­ben Auskünfte zu ertei­len.

Aufbewahrungsfristen für Arztpraxen
Aufbewahrungsfristen für Arztpraxen
Aufbewahrungsfristen Arztpraxen_Auszug Deutsches Ärzteblatt_22102025.pdf (2.45MB)
Aufbewahrungsfristen für Arztpraxen
Aufbewahrungsfristen Arztpraxen_Auszug Deutsches Ärzteblatt_22102025.pdf (2.45MB)