Datenschutz bei Ärzten
Als Datenschutzbeauftragter im Gesundheitswesen gehe ich in Ihrer Praxis, Ihrem MVZ oder Krankenhaus wie folgt vor:
1. Bestellung & Einbindung
- Schriftliche Benennung als Datenschutzbeauftragter
- Meldung an die zuständige Aufsichtsbehörde
- Aufnahme in die Organisationsstruktur (Unabhängigkeit sicherstellen)
- Schulungsnachweis / Fachkunde dokumentiert
2. Datenschutz-Dokumentation prüfen & aufbauen
- Verzeichnis der Verarbeitungstätigkeiten (VVT) vorhanden & aktuell
- Auftragsverarbeitungsverträge (AVV) vorhanden & vollständig
- Datenschutzrichtlinien und interne Weisungen geprüft
- Technisch-organisatorische Maßnahmen (TOMs) dokumentiert
- Datenschutz-Folgenabschätzungen (DSFA) geprüft/begleitet
3. Technische und organisatorische Maßnahmen (TOMs)
- Zugangskontrollen (physisch & digital)
- Zugriffskontrollen (Rollenkonzepte, Berechtigungen)
- Pseudonymisierung / Verschlüsselung
- Backup- und Wiederherstellungskonzepte
- Schutz vor Malware, Firewalls etc.
4. Belegschaft & Schulung
- Datenschutz-Schulungen durchgeführt (regelmäßig, nachweisbar)
- Verpflichtung auf Vertraulichkeit dokumentiert
- Datenschutzinformationen für Mitarbeitende bereitgestellt
5. Umgang mit Datenschutzvorfällen
- Meldeverfahren für Datenschutzpannen etabliert
- Bewertung der Meldepflicht an Aufsichtsbehörde
- Dokumentation jedes Vorfalls (auch wenn nicht meldepflichtig)
- Kommunikation mit Betroffenen geplant (falls notwendig)
6. Informationspflichten und Betroffenenrechte
- Datenschutzerklärungen aktuell (Website, Apps, Formulare)
- Verfahren zur Auskunft, Löschung, Berichtigung, Widerspruch etc.
- Fristen zur Bearbeitung von Anfragen eingehalten
- Identitätsprüfung bei Betroffenenanfragen geregelt
7. Laufende Überwachung & Weiterentwicklung
- Jährlicher Datenschutzbericht (intern/extern)
- Regelmäßige Audits oder Stichproben
- Begleitung neuer Projekte mit Datenschutzbezug (z. B. neue Tools)
- Kontinuierliche Weiterbildung (Fachliteratur, Seminare etc.)