zurück

Wie man sich bestmöglich auf die DSGVO vorbereitet: Unser Interview mit Jürgen Recha

Datum:
20.03.2018 Autor:
hpO Lesezeit:
4 Minuten

Noch gut zwei Monate bis zum 25. Mai. Dann tritt die neue Datenschutz-Grundverordnung, DSGVO, in Kraft, die den Schutz personenbezogener Daten regelt und daher alle Praxisinhaber betrifft.

Gemeinsam mit unserem Kooperationspartner LEMNSICUS haben wir deshalb Anfang des Jahres ein DSGVO-Komplettpaket speziell für Praxen ausarbeiten lassen. Es besteht aus einem Survial-Paket mit sämtlichen relevanten Unterlagen und Formularen zur DSGVO und einer vierteiligen Webinarreihe.
 
Die ersten Survival-Pakete sind verschickt worden, jetzt stehen auch die Termine für die begleitenden Webinare fest: Am 10., 19. und 24. April sowie am 03. Mai wird der externe Datenschutzbeauftragte, IT-Sicherheitsbeauftragte und IT-Revisor Jürgen Recha, Geschäftsführer der Datenschutzagentur interev GmbH, die Neuerungen der DSGVO erklären und erläutern, wie man sich mit Hilfe des Survival-Pakets bestmöglich auf sie vorbereitet.
 
Wir haben Jürgen Recha dazu befragt:
Jürgen, am 25. Mai tritt europaweit die neue Datenschutz-Grundverordnung, DSGVO, in Kraft. Sie regelt den Schutz personenbezogener Daten – in einer Praxis also den Schutz von Patientendaten. Wer kontrolliert denn, ob ich die DSGVO in meiner Praxis einhalte oder nicht?
Wenn Du auf die Kontrolle im engeren Sinne abstellst, dann die jeweilige Landesdatenschutzbehörde. Im weiteren Sinne geht die Kontrolle viel weiter. Jeder Betroffene (Patient, Mitarbeiter, Dienstleister) hat das Recht, jederzeit zu erfahren, ob die Praxis den Datenschutz einhält. Dies ist durch das sogenannte Auskunftsrecht in Verbindung mit dem Verfahrensverzeichnis geregelt. Und wenn nun ein Betroffener der Meinung ist, das der Praxisinhaber nicht angemessen mit dem Datenschutz umgeht, dann informiert er die Landesdatenschutzbehörde.
 
Die Bußgelder, die bei Verstößen angedroht werden, sind extrem hoch. Muss ich wirklich mit so hohen Geldstrafen rechnen, wenn ich die DSGVO nicht einhalte?
Interessanterweise sprechen alle über die Höhe der Bußgelder. Ich frage zurück: Welcher Praxisinhaber könnte eine Strafzahlung von EUR 250.000,00 bereits jetzt verkraften? Was bewegt mich dann die Höhe von bis zu EUR 2.500.000,00? Ich sehe die Präsenz des Bußgeldes eher darin, dass durch die öffentliche Aufmerksamkeit mehr Kontrollen erfolgen werden. Aus meiner jahrzehntelangen Erfahrung mit den Aufsichtsbehörden sollten wir eins wohlwollend beachten: Zwischen gut vorbereitet auf den Datenschutz und dabei eine Dokumentation nicht vorzeigen zu können zu ich mache gar nichts und Datenschutz sowieso nicht, macht einen riesigen Unterschied bei der Bemessung des Bußgeldes.
 
Manch Hersteller von Abrechnungssoftware wirbt damit, dass seine Abrechnungssoftware DSGVO-konform sei und man sich daher um nichts zu kümmern brauche. Stimmt das?
Was bedeutet DSGVO-konform? Die falsche Antwort wäre hier, dass das Programm den Datenschutz einhält. Richtig dagegen – soweit es das kann – wäre die Aussage, das der Nutzer (Verantwortliche) mittels der Abrechnungssoftware die Datenschutzanforderungen umsetzen kann. Es wäre fatal, wenn ein Programm z.B. nicht löschen kann, obwohl es keine Aufbewahrungsfrist mehr gibt und der Patient es verlangt. Leider gibt es wenig Software, die die Betroffenenrechte umsetzen können.
 
Wie sollte jemand vorgehen, der in seiner ein-Personen-Praxis, bislang den Schutz seiner Patientendaten kaum beachtet hat?
Ich gehe davon aus, dass jeder den Datenschutz seiner Patienten, besonders die Gesundheitsdaten, unter Berücksichtigung der zur Verfügung stehenden Mittel einhält. Der eine mehr, der andere weniger. Fakt ist, dass jeder, egal ob Konzern oder Einzel-Praxis, den Datenschutz einhalten muss. Und das ist sehr, sehr wichtig. Ansonsten gäbe es eine Anschnallpflicht nur bei Autos mit Stern und alle anderen bräuchten es nicht.
 
Wie würde ich vorgehen? Antworten auf die Fragen geben, wo sind meine Daten? Wer hat darauf Zugriff? Sind sie sicher? Wenn ich dies nun mit entsprechender Dokumentation, wie z.B. im DSGVO-Komplettpaket, darstelle, dann habe ich einen sehr guten Basisschutz.
 
Die DSGVO betrifft auch die eigene Praxiswebsite. Was muss ich hier beachten?
Eigentlich ganz einfach. Der Nutzer meiner Seite, muss bei Betreten der Hauptseite erfahren, was mit seinen Daten passiert. Also, welche Daten werden wo erfasst, wofür werden sie genutzt und wohin werden sie vielleicht gegeben. Der Grundsatz lautet: Ich möchte gerne wissen, was du mit meinen Daten machst. Dies ist im Operativen ein wenig komplizierter, da im Hintergrund so einiges passiert, wovon der Websitebetreiber wahrscheinlich nichts mitbekommt. Trotzdem trägt er die Verantwortung. Wir prüfen im Rahmen des DSGVO-Komplettpakets die Website und geben Empfehlungen ab.
 
Du bietest über deine Firma Interev ein DSGVO-Komplettpaket speziell für Praxisinhaber an. Was enthält dein Paket im einzelnen?
Das sind 4 Säulen:

  1. Eine Checkliste in der genau aufgelistet ist, was der Praxisinhaber an welcher Stelle welches Formular ausfüllen sollte.
  2. Die sieben wichtigsten Formulare.
  3. Einen Bericht über die individuelle Prüfung der Website mit entsprechenden Empfehlungen.
  4. Vier Webinare, die jeweils ein Thema aufgreifen, die dazugehörigen Formulare besprechen und Tipps für die Praxis darstellen.

Und was erwartet deine Kunden in den vier Webinaren, die nach Ostern starten? 
Vier verschiedene Themenkomplexe. In jedem Webinar wird auf die Bedeutung eingegangen, die Risiken erläutert, die operative Umsetzung beispielhaft dargestellt und das korrekte Ausfüllen der Formulare besprochen.

Jürgen, vielen Dank für das Interview! 
Sehr, sehr gerne. Es ist halt mein Lieblingsthema.


Das DSGVO-Komplettpaket kann bestellt werden telefonisch unter: 0511 - 89 79 84 10
oder per E-Mail unter: info@interev.de

close

Mitgliederbereich

Registrieren Haben Sie Ihr Passwort vergessen?