Datenschutz | Cyberkriminalität | Angriffsvektoren
Allgemeiner Gesundheitszustand, spezielle Blutergebnisse, sexuelle Orientierung: Bei jeder ärztlichen Untersuchung werden Mengen an besonders sensiblen personenbezogenen Daten erhoben. Diese werden gespeichert, aufbewahrt und oftmals auch an Dienstleister zur Verarbeitung weitergegeben.
Seit dem 25. Mai 2018 findet die Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO) auch in Deutschland Anwendung. Mit dem Gesetz wird das Datenschutzrecht europaweit vereinheitlicht. Personenbezogene Daten sollen mit den neuen Bestimmungen besser geschützt und ihre Weitergabe geregelt werden. Da der Gesundheitssektor häufig auch mit sensiblen personenbezogenen Daten zu tun hat, gilt hier besondere Vorsicht. Verantwortlich für den Schutz der Patientendaten ist in der Regel der behandelnde Arzt. Die Neuregelungen, zu denen die EU-DSGVO führt, stellen das Gesundheitswesen, insbesondere niedergelassene Ärzte, vor finanzielle und organisatorische Herausforderungen.
Die vier unseres Erachtens wichtigsten Herausforderungen haben wir für Sie punktuell zusammengefasst:
1. Informationspflicht bei der Erhebung von Patientendaten
Die Arztpraxis hat die Pflicht, ihre Patienten über die Erhebung der personenbezogenen Daten und deren Verarbeitung umfassend zu informieren. Dies gilt beispielsweise für die Zwecke der Verarbeitung der Daten, die Rechtsgrundlage zur Erhebung und etwaige Beschwerderechte. Auf Antrag des Patienten muss zudem mindestens innerhalb eines Monats nach der Antragstellung über weitere Details Auskunft gegeben werden.
Unser Tipp:
2. Beweispflichtige Dokumentation der Einwilligung
Der Patient muss in die Nutzung und Verarbeitung seiner Gesundheitsdaten ausdrücklich einwilligen, wenn keine speziellere gesetzliche Ausnahme greift. Die Voraussetzung der “Ausdrücklichkeit” stellt höhere Anforderungen an den Konkretheitsgrad, als dies bei einer “normalen” Einwilligung der Fall ist. Diese Einwilligung sollte unbedingt beweispflichtig dokumentiert und gespeichert werden. Hierfür bietet sich die Unterschrift des Betroffenen an. Das geht mit einem gewissen Verwaltungsaufwand einher, auf den Sie vorbereitet sein sollten. Außerdem gelten Sonderregelungen für Minderjährige; hier kommt es auf die Einwilligung der Erziehungsberechtigten an.
Unser Tipp:
3. Auftragsverarbeitung und Weitergabe von Gesundheitsdaten
Sie verarbeiten nicht alle personenbezogenen Daten in Ihrer Praxis? Wenn Sie diese Informationen an externe Dienstleister weiterleiten oder diese darauf Zugriff haben (wie z.B. IT-Dienstleister), sollten Sie prüfen, ob Sie den gesetzlichen Anforderungen entsprechende Auftragsverarbeitungsverträge abgeschlossen haben. Geht es um die Weitergabe originärer Gesundheitsdaten, müssen Sie dafür die Einwilligung des Betroffenen – also des Patienten, dessen Daten Sie weitergeben – einholen. Es sei denn, es greift eine spezielle gesetzliche Ausnahme. Dies gilt z.B. bei Abrechnungsdienstleistern. Generell gilt: Daten müssen bei Ihren Partnern ebenso gut geschützt sein, wie in Ihrem eigenen Unternehmen.
Unser Tipp:
4. IT-Sicherheits- und Datenschutzkonzept
Patientendaten sind, wie andere personenbezogene Daten auch, unter anderem nach dem Stand der Technik durch technische und organisatorische Maßnahmen vor unbefugtem Zugriff zu schützen. Datenpannen müssen Sie umgehend melden und die Betroffenen darüber informieren. Sicherheitsvorfälle führen nicht nur zu einem Verlust an Vertrauen in Ihre Arztpraxis, sondern schaden auch Ihrer Reputation. Der Gesetzgeber ahndet Verstöße mit empfindlichen Geldbußen von bis zu 20 Millionen Euro oder maximal vier Prozent des Vorjahresumsatzes.
Unser Tipp:
Patientendaten sind bei Cyberkriminellen beliebt. In Anbetracht des enormen Schadens, der bei einem Cyber-Sicherheitsvorfall entstehen kann, ist Prävention der wichtigste Bestandteil des IT-Sicherheits- und Datenschutzkonzepts.
Für den Fall, dass es doch zu einer Datenpanne kommt:
Data protection | Cybercrime | Attack vectors
General state of health, specific blood test results, sexual orientation: every medical examination involves the collection of particularly sensitive personal data. This data is stored, retained and often passed on to service providers for processing.
Since 25 May 2018, the European Union’s General Data Protection Regulation (EU GDPR) has also been applicable in Germany. The law harmonises data protection law across Europe. The new provisions are intended to better protect personal data and regulate its transfer. As the healthcare sector often deals with sensitive personal data, particular caution is required here. The attending physician is generally responsible for protecting patient data. The new regulations introduced by the EU GDPR pose financial and organisational challenges for the healthcare sector, especially for registered doctors.
We have summarised what we consider to be the four most important challenges for you:
1. Duty to provide information when collecting patient data
Medical practices are obliged to provide their patients with comprehensive information about the collection and processing of personal data. This applies, for example, to the purposes of data processing, the legal basis for collection and any rights of appeal. At the patient’s request, further details must also be provided within one month of the request being made.
Our tip:
2. Documentation of consent subject to proof
The patient must expressly consent to the use and processing of their health data unless a more specific legal exception applies. The requirement of ‘express consent’ places higher demands on the degree of specificity than is the case with ‘normal’ consent. This consent must be documented and stored in a verifiable manner. The signature of the data subject is ideal for this purpose. This involves a certain amount of administrative effort, which you should be prepared for. In addition, special regulations apply to minors; in this case, the consent of the legal guardians is required.
Our tip:
3. Processing and disclosure of health data
Do you process all personal data in your practice? If you forward this information to external service providers or give them access to it (e.g. IT service providers), you should check whether you have concluded data processing agreements that comply with the legal requirements. If original health data is to be transferred, you must obtain the consent of the data subject, i.e. the patient whose data you are transferring. Unless a special legal exception applies. This applies, for example, to billing service providers. As a general rule, data must be protected by your partners just as well as it is in your own company.
Our tip:
4. IT security and data protection concept
Like other personal data, patient data must be protected against unauthorised access using state-of-the-art technical and organisational measures. You must report data breaches immediately and inform those affected. Security incidents not only lead to a loss of trust in your medical practice, but also damage your reputation. The legislator punishes violations with heavy fines of up to 20 million euros or a maximum of four percent of the previous year’s turnover.
Our tip:
Patient data is popular with cybercriminals. In view of the enormous damage that can be caused by a cyber security incident, prevention is the most important component of an IT security and data protection concept.
In the event that a data breach does occur:
Datenschutz | Cyberkriminalität | Angriffsvektoren
Allgemeiner Gesundheitszustand, spezielle Blutergebnisse, sexuelle Orientierung: Bei jeder ärztlichen Untersuchung werden Mengen an besonders sensiblen personenbezogenen Daten erhoben. Diese werden gespeichert, aufbewahrt und oftmals auch an Dienstleister zur Verarbeitung weitergegeben.
Seit dem 25. Mai 2018 findet die Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO) auch in Deutschland Anwendung. Mit dem Gesetz wird das Datenschutzrecht europaweit vereinheitlicht. Personenbezogene Daten sollen mit den neuen Bestimmungen besser geschützt und ihre Weitergabe geregelt werden. Da der Gesundheitssektor häufig auch mit sensiblen personenbezogenen Daten zu tun hat, gilt hier besondere Vorsicht. Verantwortlich für den Schutz der Patientendaten ist in der Regel der behandelnde Arzt. Die Neuregelungen, zu denen die EU-DSGVO führt, stellen das Gesundheitswesen, insbesondere niedergelassene Ärzte, vor finanzielle und organisatorische Herausforderungen.
Die vier unseres Erachtens wichtigsten Herausforderungen haben wir für Sie punktuell zusammengefasst:
1. Informationspflicht bei der Erhebung von Patientendaten
Die Arztpraxis hat die Pflicht, ihre Patienten über die Erhebung der personenbezogenen Daten und deren Verarbeitung umfassend zu informieren. Dies gilt beispielsweise für die Zwecke der Verarbeitung der Daten, die Rechtsgrundlage zur Erhebung und etwaige Beschwerderechte. Auf Antrag des Patienten muss zudem mindestens innerhalb eines Monats nach der Antragstellung über weitere Details Auskunft gegeben werden.
Unser Tipp:
2. Beweispflichtige Dokumentation der Einwilligung
Der Patient muss in die Nutzung und Verarbeitung seiner Gesundheitsdaten ausdrücklich einwilligen, wenn keine speziellere gesetzliche Ausnahme greift. Die Voraussetzung der “Ausdrücklichkeit” stellt höhere Anforderungen an den Konkretheitsgrad, als dies bei einer “normalen” Einwilligung der Fall ist. Diese Einwilligung sollte unbedingt beweispflichtig dokumentiert und gespeichert werden. Hierfür bietet sich die Unterschrift des Betroffenen an. Das geht mit einem gewissen Verwaltungsaufwand einher, auf den Sie vorbereitet sein sollten. Außerdem gelten Sonderregelungen für Minderjährige; hier kommt es auf die Einwilligung der Erziehungsberechtigten an.
Unser Tipp:
3. Auftragsverarbeitung und Weitergabe von Gesundheitsdaten
Sie verarbeiten nicht alle personenbezogenen Daten in Ihrer Praxis? Wenn Sie diese Informationen an externe Dienstleister weiterleiten oder diese darauf Zugriff haben (wie z.B. IT-Dienstleister), sollten Sie prüfen, ob Sie den gesetzlichen Anforderungen entsprechende Auftragsverarbeitungsverträge abgeschlossen haben. Geht es um die Weitergabe originärer Gesundheitsdaten, müssen Sie dafür die Einwilligung des Betroffenen – also des Patienten, dessen Daten Sie weitergeben – einholen. Es sei denn, es greift eine spezielle gesetzliche Ausnahme. Dies gilt z.B. bei Abrechnungsdienstleistern. Generell gilt: Daten müssen bei Ihren Partnern ebenso gut geschützt sein, wie in Ihrem eigenen Unternehmen.
Unser Tipp:
4. IT-Sicherheits- und Datenschutzkonzept
Patientendaten sind, wie andere personenbezogene Daten auch, unter anderem nach dem Stand der Technik durch technische und organisatorische Maßnahmen vor unbefugtem Zugriff zu schützen. Datenpannen müssen Sie umgehend melden und die Betroffenen darüber informieren. Sicherheitsvorfälle führen nicht nur zu einem Verlust an Vertrauen in Ihre Arztpraxis, sondern schaden auch Ihrer Reputation. Der Gesetzgeber ahndet Verstöße mit empfindlichen Geldbußen von bis zu 20 Millionen Euro oder maximal vier Prozent des Vorjahresumsatzes.
Unser Tipp:
Patientendaten sind bei Cyberkriminellen beliebt. In Anbetracht des enormen Schadens, der bei einem Cyber-Sicherheitsvorfall entstehen kann, ist Prävention der wichtigste Bestandteil des IT-Sicherheits- und Datenschutzkonzepts.
Für den Fall, dass es doch zu einer Datenpanne kommt:
Kontaktieren Sie uns.
Unser Team ist für Sie da!
Telefon: +49 30 95 999 8080
E-Mail: info@perseus.de
© 2025 Perseus Technologies GmbH. All rights reserved
