Medizinische Datenverarbeitung in der Praxis

Patientendaten und Gesundheitsdaten

Als medizinische Einrichtung verarbeiten wir besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (Gesundheitsdaten). Die Verarbeitung erfolgt auf Grundlage von:

  • Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge oder Arbeitsmedizin)
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
  • § 22 Abs. 1 Nr. 1 lit. b BDSG (Gesundheitsvorsorge, medizinische Diagnostik)

Die Verarbeitung Ihrer Gesundheitsdaten ist für die medizinische Versorgung, Diagnose und Behandlung erforderlich. Wir verarbeiten nur die Daten, die für Ihre medizinische Betreuung notwendig sind.

IT-Dienstleister und Praxissoftware

Doctago GbR – IT-Dienstleister

Unser IT-Dienstleister für die Praxis-IT ist:

Doctago GbR
Am Airport 1
12529 Schönefeld
Telefon: 03379 34 189 50
E-Mail: info@doctago.de
Website: www.doctago.de

Doctago ist seit 2004 im Gesundheitsbereich tätig und betreut als medatixx-Premiumpartner medizinische Einrichtungen in den Regionen Berlin und Brandenburg mit maßgeschneiderten IT-Lösungen.

Datenverarbeitung durch Doctago:

  • IT-Support und Systemwartung der Praxis-IT
  • Installation und Betreuung der Praxissoftware medatixx
  • Betreuung der Praxishardware und Medizintechnik

Datenschutz und Sicherheit:

  • Mit Doctago wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen
  • Alle Mitarbeiter von Doctago sind auf das Datengeheimnis und die ärztliche Schweigepflicht gemäß § 203 StGB (Berufsgeheimnisträger) verpflichtet
  • Doctago hostet seine Dienste ausschließlich auf Servern innerhalb der Europäischen Union
  • Die Datenübertragung erfolgt SSL/TLS-verschlüsselt

Datenschutzerklärung von Doctago: www.doctago.de/datenschutz

Medatixx-Praxissoftware – Datensicherheit

Für die Verwaltung von Patientendaten nutzen wir die Praxissoftware von medatixx, bereitgestellt und betreut durch unseren IT-Dienstleister Doctago.

Zweigeteilte Datenspeicherung:

  • Behandlungs- und patientenbezogene Daten werden ausschließlich lokal auf dem Praxis-Server gespeichert und verbleiben in der Praxis
  • Öffentliche Listen und Kataloge (z.B. EBM-Stammdaten, Medikamentendatenbank, Blankoformulare) werden in der Microsoft Azure Cloud ausschließlich in Europa gehostet

Verschlüsselung und Sicherheit:

  • Datenaustausch: Grundsätzlich via TLS-Protokoll verschlüsselt. Bei Anbindung externer Arbeitsplätze zusätzlich AES-256-Bit-Paketverschlüsselung
  • Datenträger: Server, Laufwerke und Festplatten werden mit Microsoft BitLocker verschlüsselt
  • Praxisdatenbank: Der Datenträger mit der Datenbank (inkl. SQL-Server) ist per BitLocker verschlüsselt. Besonders sicherheitsrelevante Daten (Accountdaten, Passwörter) werden zusätzlich AES-256-Bit-verschlüsselt gespeichert (Art. 32 DSGVO)
  • Zugriffsschutz: Passwortgeschützter Zugang zur Praxissoftware mit Rollen- und Rechteverwaltung für einzelne Anwender
  • Azure Cloud: Zugriff via TLS-Verschlüsselung, Datenbanken permanent durch Transparent Data Encryption (TDE) verschlüsselt

Auftragsverarbeitungsvertrag: Der AVV zwischen medatixx und der Praxis regelt die Anforderungen aus Art. 28 DSGVO. Darin ist auch die Verpflichtung aller medatixx-Mitarbeiter auf den Berufsgeheimnisträgerparagrafen (§ 203 StGB) geregelt. medatixx ist „Mitwirkender" in der Berufsausübungsverpflichtung, beispielsweise bei Fernwartungen.

IT-Sicherheitsberatung: medatixx berät zur IT-Sicherheit nach § 75b SGB V und dem IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Weitere Informationen: medatixx.de/praxissoftware/datensicherheit

Verarbeitete Gesundheitsdaten

In unserer Praxis verarbeiten wir folgende Kategorien von Gesundheitsdaten:

  • Anamnese und Krankengeschichte
  • Untersuchungsbefunde (neurologische Untersuchungen)
  • Diagnostische Ergebnisse (EEG, EMG, Ultraschall, Laborwerte)
  • Therapiepläne und Behandlungsverläufe
  • Medikamentenpläne und Verordnungen
  • Arztbriefe und Überweisungen

Aufbewahrungsfristen medizinischer Daten

Patientenakten und Gesundheitsdaten werden entsprechend den gesetzlichen Bestimmungen aufbewahrt:

  • Patientenunterlagen: 10 Jahre nach Abschluss der Behandlung (§ 630f Abs. 3 BGB)
  • Röntgenaufnahmen und Untersuchungsdaten: 10 Jahre nach der Aufnahme (§ 85 Abs. 2 StrlSchG)
  • EEG-Aufzeichnungen: 10 Jahre nach der Untersuchung
  • Laborergebnisse: 10 Jahre nach der Untersuchung

Automatische Löschung: Nach Ablauf der gesetzlichen Aufbewahrungsfristen werden alle Patientendaten sicher gelöscht.

Datenweitergabe im medizinischen Bereich

Gesundheitsdaten werden nur in folgenden Fällen an Dritte weitergegeben:

  • Mit Ihrer ausdrücklichen Einwilligung (z.B. Überweisung an andere Ärzte)
  • Bei gesetzlicher Verpflichtung (z.B. Meldepflicht bei bestimmten Erkrankungen)
  • Für die Abrechnung mit Krankenkassen (nur abrechnungsrelevante Daten)
  • Im medizinischen Notfall zur Sicherstellung der Behandlung

Schweigepflicht und Datenschutz

Ärztliche Schweigepflicht

Alle Mitarbeiter unserer Praxis unterliegen der ärztlichen Schweigepflicht gemäß § 203 StGB und sind auf das Datengeheimnis verpflichtet. Dies gilt ebenso für unsere Auftragsverarbeiter (medatixx, Doctago), deren Mitarbeiter ebenfalls auf § 203 StGB verpflichtet sind.

Technische und organisatorische Maßnahmen

Zum Schutz Ihrer Gesundheitsdaten haben wir umfassende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

  • Verschlüsselte Datenspeicherung (BitLocker, AES-256) und -übertragung (TLS)
  • Passwortgeschützter Zugang mit Rollen- und Rechteverwaltung
  • Automatische Bildschirmsperre an allen Arbeitsplätzen
  • Regelmäßige Datensicherungen
  • Vernichtung von Datenträgern und Papierunterlagen nach DIN 66399
  • Schulung aller Mitarbeiter im Datenschutz und zur ärztlichen Schweigepflicht
  • IT-Sicherheit nach § 75b SGB V und BSI IT-Grundschutz

Ihre Rechte bezüglich Gesundheitsdaten

Ihre allgemeinen Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) sind in der Datenschutzerklärung beschrieben. Für Gesundheitsdaten gelten zusätzlich:

  • Einsicht in Ihre Patientenakte gemäß § 630g BGB
  • Übertragung Ihrer Daten an weiterbehandelnde Ärzte auf Ihren Wunsch

Einschränkungen: Diese Rechte können durch gesetzliche Aufbewahrungspflichten und medizinische Notwendigkeiten eingeschränkt sein.