DE | EN
EYEFOX
Ernst-Augustin-Straße 12
12489 Berlin

TEL 02361 950207-0

info@eyefox.com



Unternehmensnachrichten

DS-GVO – Jetzt wird es auch für Augenärzte ernst21.06.2018

Gesundheitsdatenschutzrecht

AdobeStock_192624977.jpeg (3.05 MB)

 

DS-GVO – Jetzt wird es auch für Augenärzte ernst

 

von RAin und FAin für MedizinR Taisija Taksijan, LL.M., D+B Rechtsanwälte Partnerschaft mbB, Berlin, www.db-law.de 

 

Im Datenschutz liegt für Augenärzte mit der neuen Datenschutz-Grundverordnung (DS-GVO) seit dem 25.05.2018 eine große Herausforderung. Die Umsetzung einiger Vorgaben sollte man spätestens jetzt in Angriff nehmen. Denn Verstöße gegen das Datenschutzrecht werden zukünftig hart bestraft. Die DS-GVO sieht Bußgeld von bis zu 20 Mio. Euro bzw. 4 Prozent des Jahresumsatzes vor – je nachdem, was höher liegt. Lesen Sie im Folgenden, worauf Sie als niedergelassener Arzt achten müssen und am Ende des Beitrags, was für Sie als Klinikarzt zudem wichtig ist.

 

Augenärztliche Daten sind sensibel

Augenärzte sind stets mit der Erfassung und Speicherung von Patientendaten befasst. Deshalb müssen gerade sie in ihrem beruflichen Alltag ein besonderes Augenmerk auf den Datenschutz legen. Die Behandlungsdaten enthalten Angaben, aus denen sich Informationen über den Gesundheitszustand des Patienten ableiten lassen. Es handelt sich damit um Gesundheitsdaten im Sinne des

Art. 4 Nr. 15 DS-GVO. Diese dürfen als „besondere Kategorien personenbezogener Daten“ nach Art. 9 Abs. 1 DS-GVO wegen der besonderen Sensibilität nur unter erhöhten Voraussetzungen verarbeitet werden. „Verarbeitung“ ist dabei ein Oberbegriff für alle Datenumgänge. Davon erfasst sind nach Art. 4 Nr. 2 DS-GVO

  • jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie
  • das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

 

Praxisinhaber ist auch für Auftragsverarbeiter verantwortlich

Der Praxisinhaber hat die Gesamtverantwortung für eine rechtmäßige Datenverarbeitung und die Einhaltung der geltenden Datenverarbeitungsgrundsätze. Diese erstreckt sich nicht nur auf die Verarbeitung durch den Verantwortlichen selbst, sondern umfasst auch die Verarbeitung durch Auftragsverarbeiter.

 

Datenschutz-Folgen abschätzen

Eine der wichtigsten Neuerungen ist die Verpflichtung zur sogenannten Datenschutz-Folgenabschätzung als Instrument zur systematischen Eindämmung datenschutzrechtlicher Risiken. Bereits eine kleine Arztpraxis dürfte in den meisten Fällen verpflichtet sein, im Vorfeld der Datenverarbeitung Risikoanalysen und Datenschutz-Folgenabschätzungen vorzunehmen (Art. 35 DS-GVO).

 

Praxishinweis: Bei einer Datenschutz-Folgenabschätzung sind insbesondere die geplante Datenverarbeitung und ihr Zweck systematisch zu beschreiben. Die Risiken eines Datenverlusts müssen bewertet und Maßnahmen dokumentiert werden, die zur Bewältigung dieser Risiken erfolgen. Es dürfte dabei sinnvoll bzw. notwendig sein, etwa Hersteller von IT-Systemen einzubeziehen.

 

Verarbeitungsverzeichnis anlegen

Darüber hinaus ist ein Verarbeitungsverzeichnis anzulegen (Art. 30 DS-GVO). Dieses muss folgende Angaben enthalten:

 

  • Name und Kontaktdaten des Verantwortlichen, seines Vertreters und ggf. des Datenschutzbeauftragen
  • Zweck der Datenverarbeitung
  • Beschreibung der Kategorien betroffener Personen und personenbezogener Daten
  • Nach Möglichkeit die vorgesehenen Fristen für die Löschung
  • Nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Wahrung eines angemessenen Schutzniveaus

 

Auf Anfrage der Aufsichtsbehörden müssen die Verzeichnisse diesen zur Verfügung gestellt werden.

 

Praxishinweis: Alle Tätigkeiten der Datenverarbeitung sollten rechtzeitig in einem Verzeichnis beschrieben werden. Das Verzeichnis kann sodann als wesentliche Grundlage für eine strukturierte Dokumentation genutzt werden.

 

Informationspflichten erfüllen

Außerdem kommen auf Ärzte neue und umfangreiche Informationspflichten zu (Art. 13 DS-GVO). Patienten müssen konkret darüber informiert werden, was mit ihren Daten passiert und über welche Rechte sie verfügen. Folgende Mitteilungen sind dabei insbesondere gegenüber dem Patienten zu machen:

 

  • Namen und Kontaktdaten des Verantwortlichen sowie seines Vertreters
  • Kontaktdaten des Bundesdatenschutzbeauftragten
  • Zwecke der Datenverarbeitung
  • Rechtsgrundlage der Datenverarbeitung
  • Dauer der Datenspeicherung
  • Rechte des Patienten auf Auskunft, Berichtigung, Löschung, Einschränkung der Datenverarbeitung, Datenübertragung
  • Recht auf Widerruf der Einwilligung
  • Recht auf Beschwerde bei einer Aufsichtsbehörde

 

Praxishinweis: Für die konkrete Information Ihrer Patienten müssen Sie entsprechende Informationsschreiben vorbereiten.

 

Datenverlust melden

Im Falle eines Datenverlusts gilt die Pflicht zur Selbstanzeige gegenüber der Aufsichtsbehörde innerhalb von 72 Stunden (Art. 32 DS-GVO). Auch der betroffene Patient ist unverzüglich zu benachrichtigen (Art. 33 DS-GVO). Entsprechende Pflichten können etwa durch folgende Datenpannen ausgelöst werden:

 

  • Fehlende oder fehlerhafte Datensicherung (Backup)
  • „Hackerangriff“, Datendiebstahl, Datenmanipulation
  • Ungenügender Zutritts- bzw. Zugangsschutz
  • Fehlgeleitete E-Mail
  • Datenverlust, Verlust von Geräten und Datenträgern

 

Datenschutzbeauftragten anzeigen

Mit Wirksamwerden der DS-GVO müssen Praxen, die zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, diesen der zuständigen Aufsichtsbehörde melden (Art. 37 Abs. 7 DS-GVO). Dies betrifft jedenfalls größere Praxen mit zehn oder mehr Mitarbeitern, die ständig mit automatisierter Datenverarbeitung beschäftigt sind. Eine Verpflichtung besteht zukünftig aber auch für kleinere Gemeinschaftspraxen.

 

Unterbleibt die Meldung des Datenschutzbeauftragten, stellt dies nicht nur einen Verstoß dar, sondern auch eine Möglichkeit für die Aufsichtsbehörde, anhand der fehlenden Meldung schnell festzustellen, wer es mit dem Datenschutz nicht so genau nimmt.

 

Praxishinweis: Jede Praxis sollte überprüfen, ob sie einen Datenschutzbeauftragten bestellen muss. Informieren Sie sich über die zuständige Behörde und bereiten Sie eine Meldung vor.

 

Auftragsverarbeitung regeln

Verträge zur Datenverarbeitung müssen die Vorgaben des Art. 28 DS-GVO enthalten. Bestehende Vereinbarungen mit Auftragsverarbeitern, etwa zur Wartung von IT-Systemen etc., sollten zusammengestellt und auf die Vereinbarkeit mit der DS-GVO hin überprüft werden.

 

Praxishinweis: Wegen einer Neuregelung in § 203 Abs. 4 Strafgesetzbuch sollte in Auftragsverarbeitungsverhältnissen ein Hinweis der Auftraggeber auf die Strafbarkeit der Auftragnehmer enthalten sein.

 

Einwilligung prüfen

Der deutsche Bundesgesetzgeber ist in der Zwischenzeit tätig geworden und hat insbesondere die Anpassung des Bundesdatenschutzesgesetzes (BDSG) beschlossen. Diese Änderungen werden gleichzeitig mit der Wirkungserlangung der DS-GVO zum 25.05.2018 in Kraft treten. Die maßgebliche Erlaubnisnorm für die Verarbeitung von Gesundheitsdaten wird § 22 BDSG sein. Wenn diese nicht ausreicht, wird die Einwilligung des Patienten notwendig.

 

Auch für Einwilligungen gelten strenge Anforderungen (Art. 7 DS-GVO): Die Einwilligung muss freiwillig für einen bestimmten Fall und unmissverständlich abgegeben werden. Sie muss in einfacher, klarer Sprache verfasst werden. Wird sie im Zusammenhang mit anderen Erklärungen eingeholt, muss sie erkennbar abgegrenzt werden. Eine allgemeine umfassende Einwilligung zu unspezifischen Verarbeitungsprozessen ist daher i. d. R. nicht ausreichend.

 

Praxishinweis: Formulare (etwa Anamnesebögen, die eine Einwilligungserklärung enthalten) sollten geprüft und ggf. angepasst werden.

 

Datenschutzkonzept erstellen

Während der Verarbeitung sind die Daten durch technische und organisatorische Maßnahmen im Rahmen eines umfassenden Datenschutzmanagements zu sichern (Art. 32 DS-GVO). Die Umsetzung der vom Gesetzgeber unter der Überschrift „Sicherheit der Verarbeitung“ letztlich nur vage beschriebenen Maßnahmen läuft auf die Etablierung eines Datenschutzkonzepts hinaus.

 

Praxishinweis: Für die Datensicherheit werden ein Risikomanagementsystem und ggf. entsprechende Richtlinien für die Mitarbeiter zu dem Datenumgang erforderlich.

 

Sorgfältig dokumentieren

Schließlich trifft den Arzt eine umfassende Dokumentations- und Rechenschaftspflicht, durch die die Einhaltung aller Vorgaben der DS-GVO nachgewiesen werden soll (Art. 5 Abs. 2 DS-GVO), insbesondere auch die oben aufgezählten Maßnahmen, etwa:

 

  • Datenschutz-Folgeabschätzung
  • Information der Patienten
  • Anzeige des Datenschutzbeauftragten
  • Sicherheitsmaßnahmen

 

Hinweise für Klinik(chef-)ärzte

Verantwortlicher im Sinne der DS-GVO und damit Adressat der entsprechenden Pflichten ist i. d. R. der Krankenhausträger. Ausnahme: Chefärzte. Verantwortlicher i. S. d. DS-GVO wird der Chefarzt nur in den Fällen, in denen er nicht Patienten des Krankenhauses, sondern eigene Patienten behandelt. Der klassische Anwendungsfall ist die Chefarztambulanz. Hier ist der Chefarzt für die Einhaltung der DS-GVO insgesamt so verantwortlich wie der niedergelassene Kollege in seiner Praxis. Auch eine „Rückübertragung“ der Pflichten an das Krankenhaus, welches die DS-GVO ansonsten ebenfalls einzuhalten hat, scheidet im Außenverhältnis aus, Datenschutz ist hier „Chef-(arzt-)sache“. Von der Auftragsdatenverarbeitung zu unterscheiden, ist die wahlärztliche Behandlung: Hier schließt der Patient die Wahlleistungsvereinbarung mit dem Krankenhaus ab. Zwar erbringt auch der Chefarzt ggf. die ärztliche Leistung, „verantwortlich“ im Sinne der DS-GVO ist aber der Krankenhausträger.

 

Komplexer wird die Sachlage, wenn eine Verzahnung zwischen Krankenhaus und Chefarztambulanz über die räumliche Verbindung hinaus vorliegt: Viele Chefärzte mit eigener Ambulanz nutzen die Informationstechnologie des Krankenhauses, um die Daten „ihrer“ Patienten zu verarbeiten. Ebenso enthalten Vereinbarungen zwischen Krankenhaus und Chefarzt z. T. die Vereinbarung, dass die Abrechnung – ähnlich der privaten Verrechnungsstelle (PVS) – über das Krankenhaus erfolgt. Dafür müssen die abrechnungsrelevanten Daten an das Krankenhaus übermittelt werden. In diesen Fällen der Verzahnung ist zu prüfen, ob eine Auftragsdatenverarbeitung vorliegt. Dann wäre eine entsprechende, zusätzliche Vereinbarung zwischen Krankenhaus und Chefarzt und ggf. eine zusätzliche Einwilligung des Patienten in die Datenweitergabe erforderlich. Beides ist zwar nicht erst mit der DS-GVO eingeführt worden. Allerdings war die Überwachung durch die Behörden hier nicht besonders ausgeprägt.

 

Fazit

Augenärzten in Praxis und Klinik kann angesichts der Herausforderungen nur empfohlen werden, sich mit dem Thema Datenschutz auseinanderzusetzen (und ggf. die Hilfe kompetenter Dienstleister einzuholen). Zunächst sollten sie den Ist-Zustand der Datensicherheit in ihrer Praxis/Ambulanz analysieren und Sicherheitslücken identifizieren. Dann sollten der Soll-Zustand beschrieben und auf dieser Grundlage Prozesse zur Schließung der Lücken und Erreichung des Soll-Zustands installiert werden. Ein Datenschutzkonzept sollte am besten ein Arbeitshandbuch beinhalten, in dem alle Prozesse und Kontrollen vorgeschrieben werden.

 

 

Urteile zur Erstattungsfähigkeit Kat-OP mit Femtosekundenlaser12.06.2018

 Katarakt-OP mit Femtosekundenlaser: Urteile zur Erstattungsfähigkeit

 

Urteil

Kostenträger

Tenor

 

Verwaltungsgericht (VG) Düsseldorf, Beschluss vom 24.06.2015

(Az. 26 K 4701/14) Volltext

Beihilfe

Anregung eines Vergleichs unter Anerkenntnis der Nrn. 1375 und 5855 analog mit 2,5-fachem Faktor, aber nicht der Nr. 5377 für die 3-D-Rekonstruktion*

 

Amtsgericht (AG) Reutlingen, Urteil vom 26.06.2015 (Az. 5 C 1396/14) Urteilsbesprechung

Private Kranken-versicherung (PKV)

Anerkenntnis der Berechnung mit den Nrn. 1375 plus 5855 analog (2,5-fach)

VG Köln, Urteile vom 10.11.2016

(Az. 1 K 3094/16 Volltext und

Az. 1 K 4550/16 Volltext)

sowie vom 22.01.2016

(Az. 1 K 8285/16 Volltext)

Beihilfe

Anerkenntnis der Erstattung mit Nr. 1375 plus 5855 analog

 

VG München, Urteil vom 08.12.2016 (Az. M 17 K 16.483) Volltext

 

Beihilfe

Anerkenntnis der Erstattung mit Nr. 1375 plus 5855 analog mit 1,8-fachem Steigerungssatz

 

VG Koblenz, Urteil vom 03.02.2017 (Az. 5 K 950/16.KO) Volltext

Beihilfe

Anerkenntnis der Erstattung nach den Nrn. 1375 plus 5855 analog, allerdings nur dann, wenn zur Nr. 5855 der 1,8-fache Faktor nicht überschritten wird

 

*Dass das VG Düsseldorf die Berechnung von Nr. 5377 abgelehnt hat, ist plausibel. Die 3-D-Rekonstruktion ist hier keine selbstständige Leistung. Ebenso plausibel ist, dass ein höherer Faktor für jede der Leistungen individuell, patienten- oder krankheitsbezogen zu begründen ist. Der systematisch erhöhte Aufwand der Operation durch die Anwendung des Femtosekundenlasers ist ja schon durch die zusätzliche analoge Berechnung der Nr. 5855 berücksichtigt.

NEUES ZUR ABRECHNUNG -Kataraktoperation mit Femtosekundenlaser 11.06.2018

Privatliquidation

Kataraktoperation mit Femtosekundenlaser

 

In Zusammenhang mit der Privatabrechnung der Kataraktoperation mittels Femtosekundenlaser gab es in der Vergangenheit immer wieder rechtliche Auseinandersetzungen, vor allem mit der Beihilfe. Denn im Gegensatz zur LASIK-Operation enthalten die Beihilfevorschriften keinen Erstattungsausschluss zur Laseranwendung bei einer Kataraktoperation. Die Erstattungsfähigkeit war daher lange umstritten. Inzwischen ist sie durch zahlreiche Urteile bestätigt.

 

Zu klären war in den rechtlichen Auseinandersetzungen stets die Frage der analogen Berechnung der Nr. 5855 GOÄ – wie vom Berufsverband der Augenärzte Deutschlands (BVA) e.V. empfohlen – neben der einschlägigen Nr. 1375 GOÄ (für die eigentliche Kataraktoperation). Als Zuschlag für die Nutzung eines Lasers bei ambulanten Operationen stünde ja die – deutlich niedriger bewertete – Nr. 441 GOÄ zur Verfügung.

Da es für die Berechnung der Kataraktoperation mithilfe eines Femtosekundenlasers bisher keine Empfehlung der Gremien der Bundesärztekammer (BÄK) gibt, verweist die BÄK in ihrem GOÄ-Ratgeber vom 7. August 2017 auf zwei Urteile, in denen eine Abrechnung des Fem-tosekundenlasers bei der Kataraktoperation analog der Nr. 5855 GOÄ (einschließlich der zugehörigen Sachkosten, wie z. B. Interface), als zutreffend erachtet wurde: Das Urteil des Verwaltungsgerichts Düsseldorf vom 24. Juni 2015 (Az. 26 K 4701/14) sowie das Urteil des Amtsgerichts Reutlingen vom 26. Juni 2015 (Az. 5 C 1396/14). In beiden Urteilen wurde der zusätzliche Ansatz der Nr. 5855 GOÄ analog neben der Nr. 1375 GOÄ anerkannt. Die folgende Tabelle gibt einen Überblick über die genannten und weitere Urteile der letzten 3 Jahre.

 

Merke: Mit dem Analogabgriff der Nr. 5855 GOÄ ist die Laseranwendung bereits berücksichtigt, sodass dafür nicht nochmals die Nr. 441 GOÄ zum Ansatz kommen kann. Außerdem ist bei der Nr. 5855 GOÄ zu beachten, dass da die Ziffer aus Abschnitt O der GOÄ stammt und daher der beschränkte Gebührenrahmen von 1,0 bis 1,8-fach gilt (mit Begründung auf der Rechnung bis maximal 2,5-fach). Eine Abdingung oberhalb des  2,5-fachen Gebührensatzes ist gemäß § 2 Abs. 3 GOÄ für  Leistungen aus dem Abschnitt O unzulässig. Beide Regeln gelten aufgrund der in § 6 Abs. 2 GOÄ geforderten Gleichwertigkeit auch  beim analogen Ansatz der Nr. 5855 GOÄ.

 

 

Neuer Leiter Sales & Marketing bei EYEFOX12.04.2018

Scholtysik_small.png (39 KB)Sven Scholtysik besetzt seit 1. April die Position des Leiters Sales & Marketing. Er verantwortet künftig den gesamten Vertriebsprozess und Marketingaktivitäten von Eyefox.com

 

Sven Scholtysik war zuvor 2 Jahre als Head of Out of Home Media bei der Havas Media, eine der führenden Mediaagenturen in Deutschland, tätig. Der 42-Jährige blickt auf gut 20 Jahre Vertriebserfahrung zurück, die er in Unternehmen wie der WALL AG oder Saint Gobain gesammelt hat und bei Eyefox.com einbringt.

Wir freuen uns auf die Arbeit mit Herrn Scholtysik und wünschen ihm viel Erfolg.