949 Aufrufe
Exisitiert mit den umfangreichen Vertragsunterlagen eine ausreichende Vereinbarung über Auftragsdatenverarbeitung?

Bedarf es eines speziellen Passus in der Datenschutzerklärung der Praxis-Homepage, der der externen Verlinkung für die Online-Termine Rechnung trägt? Mir ist nich klar, wo die Daten, die die Patienten in die Online-Termin-App eingeben, überall gespeichert werden. Das müsste ja wahrscheinlich auch in das Verzeichnis von Verarbeitungstätigkeiten (http://www.kbv.de/html/datensicherheit.php) aufgenommen werden.
Gefragt von (1.8k Punkte) | 949 Aufrufe
+5 Punkte

3 Antworten

Beste Antwort
Wie bereits an anderen Stellen kommuniziert, werden wir selbstverständlich zeitnah allen unseren Kunden einen aktualisierten Vertrag zur Auftragsdatenverarbeitung zukommen lassen.

In diesem Zuge werden auch die Datenschutzerklärungen der von Ihnen genutzten Online-Dienste, wie z.B. Online-Terminkalender und Videosprechstunde überarbeitet, sodass Sie diese Informationen in Ihre Dokumentation übernehmen können.
Beantwortet von (960 Punkte)
ausgewählt von
0 Punkte
Ich bitte ebenfalls um Information, ob von Tomedo eine aktualisierte Vereinbarung gem. DSGVO für Auftragsdatenverarbeitung vorbereitet wird oder schon existiert. Diese wäre nicht nur für Online-Termine, sondern auch für Online-Sprechstunde und für Fernwartungszugriffe erforderlich.

Georg Handwerker, Passau
Beantwortet von (810 Punkte)
+2 Punkte
Liebe Zollsoft-Mitarbeiter, Ich habe bisher noch keine aktualisierte Vereinbarung erhalten. Ich bitte nochmals DRINGEND um die entsprechenden Dokumente, sowie um einen Vorschlagstext für die Homepage (Wegen Online-Terminvereinbarung). Georg Handwerker

Hallo, voranstellen möchte ich, dass ich Arztgatte, Rechtsanwalt, Systemadministrator ud Datenschutzbeauftragter in der Praxis meiner Frau bin. Ich führe den von den Ärztekammern geforderten Check-up in Arztpraxen durch.

Die uns vorliegenden vertraglichen Vereinbarungen zu Tomedo entsprechen nicht den Anforderuneg der DS-GVO, aber das kan ja noch werden.

Zur Herstellung der DS-GVO-Konformität des Sytems Tomedo ist eine Passwortwechsel-Routine (8-stellig im 3-Monatswechsel) erforderlich. Gut, das läßt sich auch mit einer Fremd-App installieren, wäre aber innerhalb von Tomedo vorteilhaft, weil es ja gerade gilt, dieses System zu schützen und nicht irgendeine andere App auf dem Client. In diesem Zusammenhang kann ich den oder das Kameralogin von Tomedo als mustergültig testieren. 

Die Geschäftsleitung des Softwareherstellers sollte in geeigneter Weise ihre Mitarbeiter instruieren, Passwörter der Kunden NICHT zu speichern und bei der Erstinstallation auch keine Kombinationen wie praxis / praxis als Nutzer und Passwort zu vergeben. (Das finde ich auch auf Systemen in jeder 2. Praxis.) Sicher, man macht das, um einen leichteren Umgang mit den Kunden zu haben, aber genau diese Vorgehensweise eröffnet Datendieben Tor und Tür. Der Hersteller und Provider kann sich da selbst auch eine hübsche Abmahnung einfangen, wenn man so verfährt.

Wie die Damen und Herren der Ärzteschaft in den letzten Tagen wahrscheinlich auch gemerkt haben, versenden Labore für Histo/ Blut/ etc. zur Zeit kartonweise eigene Einwilligungserklärungen für ihre Untersuchungen. Hier wäre eine Hilfestellung von Tomedo wünschenswert über ein Auswahlpanel die gewünschten Einwilligungen formularartig zusammenzufassen. Beispiel: Patient kommt als Neupatient: Er willigt ein

  • in die Datenspeicherung durch die Praxis, mit Recht zum sofortigen Wideruf einschl. Anspruch auf Information über den Inhalt der Daten, Weiterleitung und Löschung
  • Weiterleitung der Daten an den Zuweiser
  • den Versand an die PVS/ ALG o.ä.
  • die Kenntnis, dass die Praxis zur Datenverarbeitung
    • einen/ zwei/ drei Dienstleister einsetzt, 
  • die Daten an den Steuerberater weiterleitet (betr. Privatabrechnungen/ Buchung durch den StB - das kann Arzt vermeiden), 
  • die Daten an das Labor A/ B/ C weiterleitet

... die Aufzählung ist sicher noch nicht abschliessend, erfasst aber die meisten Fälle.
Über eine Inhaltsauswahl könnte man das Dokument etwas eindampfen oder zweckgerichtet ausstatten.Erstaufnahme/ Laboruntersuchung/ OP/...Für ein Patiententerminal bestens geeignet, Weiterleitung der Dokumentation per E-Mail an den Pat oder Ausdruck, für den, der altersbedingt keinen Drucker hat.

Tomedo-Online Termine:

Wenn eine Person ihre Daten ungefragt zur elektronischen Verarbeitung zur Verfügung stellt, ist rein juristisch davon auszugehen, dass die Person mit dieser Verarbeitung (und nur mit dieser) einverstanden ist. Unter Compliance-Gesichtspunkten ist es wünschenswert, dem Patienten bereits mit der Reservierungsbestätigung mitzuteilen, dass die Terminierungsdaten auf dem Zollsoft-Server nicht länger als bis zum Termin (oder früher...?) gespeichert werden und automatisch gelöscht werden. Ein solcher Hinweis sollte kurzfristig eingearbeitet werden. (Auf der anderen Seite finde ich das Feature, dem Pat die Terminvergabe pro Quartal zu begrenzen auch sehr schick, bedetutet aber, dass die Daten wenigtens bis zum Ende des Quartals gespeichert werden.)

Kommt der Patient dann in die Praxis, sollte er eine Einwilligung der Nutzung seiner Daten in dem vorbeschriebenen Umfang unterschreiben. Hinweis: Früher erteilte Einwilligungen werden ab Ende Mai nicht bedeutungslos - sie sind aber regelmässig im Umfang beschränkt. Für die Nutzung von E-Mail-Daten ist aber zwingend eine Einwilligung einzuholen. Im Wartezimmer und auf der Homepage (soweit vorhanden) sollte dann noch einmal umfangreich über den Datenschutz der Praxis hingewiesen werden.

Zum Thema Datenlöschung gibt es kontroverse Ansichten und gegenäufige Rechtsvorschriften. Wenn der Pat die Löschung seiner Daten wünscht, dann sollte er auch unterschreiben, dass er auf Haftungsansprüche gegen den Arzt/ Ärztin für die nächsten 30 Jahre verzichtet, andernfalls wäre dies schlecht für den Arzt. Gegenüber den Vorstellungen der Ärztekammern, die Daten 10 Jahre aufzubewahren, würde ich das Interesse des Patienten als vorrangig betrachten. Aber diese Fälle werden sich in Bälde gerichtlich geklärt. Bis dahin sollten die daten nicht wirklich gelöscht, sondern archiviert werden. Und wenn wirklich einer kommt und um Löschung bittet, dann lassen Sie sich das in Gegenwart Dritter und nach ausdrücklicher Belehrung unterschreiben.

Herzliche Grüße

Jörg Frotscher

Beantwortet von (380 Punkte)
+4 Punkte
Regelmäßiger Passwortwechsel ist eigentlich eine längst überholte Empfehlung. Das führt nur dazu, dass man sich das dauernd geänderte Passwort irgendwo notiert, was ja nun nicht sein sollte.

Also liebe Zollsoftler: Bitte keine PW-Wechsel erzwingen! Die Nutzung eines Passwortes mit Mindestanforderung an Länge und Komplexität meinetwegen, aber keinen Wechsel. Bitte !!
Lieber Herr Cepin,
als Anwender bin ich (gefühlt) bei Ihnen. Als Jurist weise ich daraufhin, dass der erzwungene Passwortwechsel ein Muss ist ab Ende Mai. Die Ärztekammern warnen bereits vor einer Welle von Abmahnungen bei Nichtbeachtung, da Arztpraxen nicht unbedingt ein Ort intensiven Datenschutzes sind. Ich habe schon bei meinem internisten auf dem Ergometer gesessen und vor mir stand der PC mit der Liste der Patienten des Tages, kein Bildschirmschoner, kein Passwort (kein Tomedo...)

Passwörter kann man sich ganz einfach merken

Dies ist das Passwort für das 3Q18  = DidPf3Q18

Und das wird dann zu Beginn des nächsten Quartals etwas abgeändert (aber nicht weitersagen)
Herzliche Grüße
Jörg Frotscher
Es ist ja nicht das erste Mal, dass der Gesetzgeber Unsinn in ein Gesetz schreibt...

Ich bitte Sie aber tatsächlich mal um Quellenangabe, wo das mit dem Passwortwechsel steht!
Hallo Herr Cepin,

als Unsinn würde ich das nicht bezeichnen.  

Der 3-monatige Wechselrhythmus ist eine Vorgabe des Bundesamtes für Datensicherheit BSI gem. Art 40 DS-GVO. Es ist mit diesem Gesetz wie mit vielen anderen, man kann sich dran halten oder auch nicht. Aber letzten Endes dient es auch dem Schutz Ihrer Berufsausübung und mit dem Tomedo_System und Kameralogin kann es auch keine praktischen Probleme geben.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04376.html

Beste Grüße
Jörg Frotscher
Sehr geehrter Herr Frotscher,

ganz herzlichen Dank für ihre juristische Expertise! Könnten Sie nicht eine rechtlich sattelfeste Einwilligungserklärung für Neupatienten bei Tomedo im Tausch-Center zur Verfügung stellen? Das wäre doch für alle sehr hilfreich, und macht ihnen vermutlich keinen Aufwand, weil sie sowieso eine für ihre Frau und deren Praxis haben;-)

Herzlichen Gruß,

Heinz Gärber

Sehr geehrter Herr Gärber,
Sie leben davon Menschen zu heilen, ich davon, sie zu IT und Recht zu beraten.
Es ist ja nicht damit getan, ein Formular einzustellen. Das würde ich gerne machen.  Es sind ja auch die übrigen Bedingungen zu erfüllen, die die Bundesärztekammer für einen DS-GVO konformen Check-up aufgestellt hat. Und das ist ein indvidueller Vorgang, den man zwar für Tomedo-Nutzer als Package formen kann, weil sie die gleichen Verträge haben (sollten) und über einen einheitlichen Funktionsumfang verfügen.
https://hartriegel-Healthcare.de/spezial-ds-gvo

Mit feundlichen Grüßen
Jörg Frotscher

Selbstverständlich ist das nur ein Baustein, aber ein wesentlicher! Vielleicht können Sie auch ohne eine individuelle Beratung diesen Baustein ja mit uns Tomedo-Nutzern teilen?
Netter Versuch Herr Kollege Gerber. Der Rechtsanwalt hält offenbar nichts vom Teilen von Informationen für lau ... ;-)

Ist ja auch sein gutes Recht. Mich ärgert nur, wie mal wieder versucht wird die Ärzteschaft zu schröpfen, siehe der dezente Hinweis auf diese Dienstleistungsagentur Hartriegel.

Deren Webseite hat übrigens kein vernünftiges Impressum, da droht sicher eine Abmahnung ...
Ich dachte, dass sich eine Einwilligungserklärung bei uns erübrigt, da diese von Gesetzes wegen vorliegt... oder?

Hallo BP,

die Datenschutz-Grundverordnung zeigt ja gerade auf, dass es keine gesetzliche Einwilligung in die Verarbeitung personenbezogener Daten ergibt. Da Ihr Kommentar nur sehr knapp war, ;-) die gesetzliche Einwilligung des Patienten liegt nur im strafrechtlichen Bereich vor, dh. wenn der Patient von Ihnen ein Spritze gesetzt bekommt, ist damit auch eine Einwilligung in die damit verbundene Körperverletzung gegeben, § 228 StGB.

sehr geehrter herr fortscher,

mit dieser meinung widersprechen sie aber der kbv und sorgen für verunsicherung.

hier ein zitat der kbv:

Das Erfassen, Bearbeiten, Speichern etc. von Patientendaten ist gesetzlich gestattet. Nur in besonderen Fällen kann es erforderlich sein, dass Patienten zustimmen müssen, zum Beispiel bei der Einbeziehung einer privatärztlichen Verrechnungsstelle. 

In diesen Fällen müssen Praxen nachweisen können, dass die Patienten eine Einwilligungserklärung zur Datenverarbeitung unterschrieben haben“

Die Frage der Dokumentation hat mich das Wochenende über beschäftigt: es steht nirgends geschrieben, dass eine schriftliche Einwilligung eingeholt werden muss, wohl aber, dass im Falle eines Falles bewiesen werden muss, dass eine Aufklärung und Einholung des Einverständnisses/Aufklärung stattgefunden haben muss.

Momentan tendiere ich zu der Auffassung, dass dies' außerhalb des Sprechzimmers stattfinden muss und mit schwebt daher Folgendes vor: ich mache ein kurzes Webformular mit dem Inhalt, dass die erhobenen Daten dem Pat. gehören, er widerruflich in die Veerarbeitung und Weitergabe von den für die Behandlung erfolferlichen Daten einwilligt und für Details die im Wartezimmer ausliegenden/auf der Website publizierten, Informationen lesen kann.

Eine digitale Unterschrift am Tresen sollte besser als eine Aktennotiz "Aufklärung stattgefunden" sein und mE ausreichen.

Grüße, Jan Wessig

Hallo Herr Gerber,

ich habe meinen "Anmeldebogen" nach DSGVO im Tauschcenter veröffentlicht. Dieser kann nach Belieben noch ergänzt werden.

Viele Grüße

R. Gödicke

Herzlichen Dank!
Hallo BP,

ich widerspreche keines falls der KV. Ihr Fundstelle habe ich nicht gefunden, Art 7 und Art 4 der DS-GVO sind eindeutig, leider. Die Check-Liste der KBV verweist vielmehr auf die richtige Handhabung des Gesetzes, das ich nicht gemacht habe. Ich möchte hier nicht falsch verstanden werden, ich gestalte den Praxisbetrieb meiner Frau für die Einhaltung des Gesetzes mit geringstmöglichen Mitteln.

Wenn sie die persönlichen Daten eines Patienten erfassen, müssen Sie ihn darüber informieren und darauf hinweisen, dass er ein Recht dazu hat, diese seine auch konkludent gegebene Einwilligung zu widerrufen und dies gilt nicht nur in dem Fall, dass die Daten an die PVS oder den Steuerberater (Datev-File) weitergegeben werden, sondern grundsätzlich.Wir haben hier schon kartonweise Einwilligungsformulare der Histo- und Blutlabore, die ohne diese Formulare keine Untersuchungen machen wollen und dürfen, sofern der Name des Pat auf der Probe steht.

Geben Sie die Hinweise nur mündlich oder durch Aushang haben Sie kein Beweismittel, wenn Ihnen einer meiner Kollgen eine Abmahnung schickt.

Es gibt eine Einschränkung. Bestandspatienten müssen diese Einwilligung für die bisherige Speicherung nicht unterschreiben.
4,460 Beiträge
7,932 Antworten
9,993 Kommentare
1,875 Nutzer