Permalink

2

Datenschutzgrundverordnung – erste Hilfe!

Datenschutz

Das Thema der Datenschutzgrundverordnung (DSGVO) erregt zur Zeit die Gemüter in Arzt- und Zahnarztpraxen. Datenschutz ist damit nicht nur in Großunternehmen ein Thema. Für viele Betroffene ist allerdings unklar, wie sie sich verhalten sollen. Die zweijährige Übergangszeit seit 2016 bis zum 25.05.2018 haben die wenigstens Einrichtungen zur Vorbereitung genutzt. Die europarechtlichen Regelungen sind in sehr sperriger Sprache abgefasst. Im Zweifel sollte Kontakt mit kompetenten Beratern oder den Zahnärztekammern sowie den Fachverbänden gesucht werden. Allererste Maßnahmen sollten in jedem Fall ergriffen werden.

Warum die DSGVO beachten?

An Gesundheitsdaten haben viele Akteure ein Interesse: Seien es Versicherungen, seien es Anbieter aus der Gesundheitswirtschaft. Dabei handelt es sich um sehr persönliche und intime Daten des Einzelnen. Aus diesen Gründen ist ein Bewusstsein für Datenschutz nicht verfehlt.

Ganz praktisch geht es darum, dass bei Verstößen gegen Datenschutzvorschriften in Zukunft erhebliche Sanktionen drohen. Es drohen Bußgelder bis zu 20 Mio. Euro bzw. vier Prozent des Jahresumsatzes – je nachdem welche Grenze höher liegt. Natürlich wird eine einzelne (Zahn)arztpraxis einen solchen Betrag nicht erreichen. Die Erhöhung des Bußgeldniveaus in der Spitze führt allerdings auch in diesem Bereich zu empfindlichen Summen im fünfstelligen Bereich.

Von wem droht Gefahr?

Die Datenschutzbehörden, z. B. die Landesdatenschutzbeauftragten, überwachen, dass die Datenschutzregeln eingehalten werden. Da diese personell durchaus begrenzt aufgestellt sind, kann man prognostizieren, dass sie im Wesentlichen auf Anzeigen reagieren. Dabei handelt es sich voraussichtlich um den „üblichen Personenkreis“: Im Vordergrund stehen unzufriedene Patienten und unzufriedene frühere Mitarbeiter. Die Datenschutzbehörden haben eine Pflicht zum Tätigwerden, wenn Ihnen Vorgänge gemeldet werden. Daneben entstehen Betroffenen Schadensersatzansprüche. Zudem drohen einzelne Abmahnvereine mit Abmahnungen aufgrund mangelhafter Datenschutzerklärungen auf Homepages.

Was muss die Praxis tun?

Jede (Zahn)arztpraxis muss verschiedene Maßnahmen ergreifen, um dem neuen Datenschutzrecht zu begegnen:

  1. Datenschutzbeauftragten benennen

Sobald 10 Personen in der Praxis (nicht nach Stellen-, sondern nach Kopfzahl gerechnet) Kontakt mit elektronischer Datenverarbeitung haben, muss die Praxis einen Datenschutzbeauftragten ernennen. Die Praxisinhaber zählen bei der Berechnung allerdings nicht mit. Da nicht nur Patienten-, sondern auch z. B. Lieferantendaten geschützt sind, dürften viele Praxen zu dieser Ernennung gezwungen sein. Kaum ein Mitarbeiter verarbeitet nicht in irgendeiner Form Daten. Der Datenschutzbeauftragte darf kein Mitglied der Geschäftsführung, muss aber weisungsfrei in seiner Beauftragtentätigkeit sein. Er muss die Einhaltung der Vorschriften überwachen und die Geschäftsführung beraten. Ein Praxismanager oder ein angestellter (Zahn)arzt bieten sich hier aufgrund ihrer hierarchischen Stellung idealerweise an. Auch ein externer Beauftragter kann benannt werden, was je nach Praxisstruktur auch sinnvoll sein kann. Name und Kontaktdaten sind in der Praxis, auf der Praxishomepage und gegenüber der Aufsichtsbehörde zu benennen. An die Kompetenz des Datenschutzbeauftragten stellen Behörden grundsätzlich. hohe Anforderungen im rechtlichen und technischen Bereich. Diese Anforderungen können durch Fortbildungen erfüllt werden.

  1. Einwilligungsformulare erstellen

Insbesondere für Patienten müssen Einwilligungsformulare für die Datenverwendung erstellt werden. Bisherige Formulare reichen dazu oftmals nicht vollständig aus. Hierbei sind u. a.  anzugeben: Name und Kontaktdaten der Praxis und des Datenschutzbeauftragten, die Art der verarbeiteten Daten, die Zwecke der Datenverarbeitung, die Art der Personen, deren Daten verarbeitet werden, die möglichen Datenempfänger (Krankenkassen, privatärztliche Verrechnungsstellen), Übermittlung in die USA oder andere Nicht-EU-Länder, die Löschfristen, die datenschutzrechtlichen Ansprüche des Patienten, das Widerrufsrecht des Patienten und das Recht des Patienten, sich bei der Datenschutzbehörde zu beschweren. Auch auf den Praxiswebsites sollte umfangreich in dieser Form aufgeklärt werden, insbesondere bzgl. der Daten die bei Dritten, die die Homepage betreuen, anfallen.

Auch die Datenschutzerklärungen der Praxiswebsite müssen dahingehend überarbeitet werden.

  1. Verzeichnisse von Verarbeitungstätigkeiten

 Praxen müssen für jedes einzelne Datenverarbeitungsverfahren (Patientenakte, Buchhaltung, Terminverwaltung, Personalakten etc.) Verzeichnisse erstellen, in denen – bis auf die Belehrungen – ähnliche Informationen wie in den Einwilligungsformularen festgehalten werden. Es muss immer dargelegt werden, warum die Praxis Daten nutzt und speichert. In diesen Verzeichnissen kann auch dargestellt werden, warum z. B. im Strahlenschutz (Röntgen) lange Aufbewahrungsfristen notwendig sind.

Im Rahmen der Erstellung der Verzeichnisse muss eine sog. „Gap-Analysis“ durchgeführt werden zur Datensparsamkeit, Datenrichtigkeit, zur Datenrechtmäßigkeit, zu den Löschfristen, zur Zugangskontrolle und zum Schutz gegen Hacker und Malware. Beispielsweise müssen Datenverluste –  z. B. ein verlorenes Tablet oder Handy – innerhalb von 72 Stunden der Datenschutzbehörde gemeldet werden. Sonst drohen bereits Bußgelder. In diesem Zusammenhang muss die Praxis auch prüfen, inwieweit z. B. App-Anbieter auf Daten zurückgreifen können. Verträge mit Auftragsdatenverarbeitern (Verrechnungsstellen, IT-Dienstleistern) müssen in Zukunft zwingend schriftlich abgeschlossen werden.

Gegenstand der Prüfung muss immer sein: Sind die Daten sicher untergebracht? Benötigen die Mitarbeiter zu allem Zugang? Ist die Datensammlung rechtmäßig und wirklich erforderlich? Dazu sind die IT-Systeme der Praxis zu überprüfen und Daten sowie Datenüberprüfung so weit wie möglich zu verschlüsseln und zu pseudonymisieren. Verschiedene Datenschutzbehörden stehen auf dem Standpunkt, dass mit Patienten nur noch im Wege verschlüsselter E-Mails kommuniziert werden darf.

Umstritten ist, wie mit Altdaten umzugehen ist, die ggf. nicht unter den nun verpflichtenden Standards erhoben wurden. Ggf. sollte hier eine Löschung erfolgen. Zur Einhaltung notwendiger Aufbewahrungsfristen oder zur Geltendmachung von Ansprüchen dürfen die Daten nach allgemeiner Ansicht aufbewahrt werden, jedoch müssen dann Maßnahmen zu einem möglichst weitgehenden Schutz ergriffen werden. Wichtig ist jedenfalls eine genaue Dokumetation.

Aufgrund der ärztlichen Schweigepflicht können Datenschutzbehörden anders als bei Unternehmen die Datenbestände nicht im Einzelnen prüfen. Jedoch ist nach jetzigem Stand zu erwarten, dass gerade die Dokumentationen über durchgeführte Maßnahmen geprüft werden können.

Fazit zur Datenschutzgrundverordnung

Es ist zuzugeben: Ein hohes Maß an – vielfach allerdings – einmaliger Bürokratie tritt  im Praxisalltag auf. Das liegt auch daran, dass viele Praxen das bisherige Datenschutzrecht kaum beachteten und auch die Übergangsfrist von zwei Jahren bis zum Inkrafttreten der neue Regelungen nicht genutzt haben. Panik, die von manchen Datenschutzfirmen auch aus ökonomischen Motiven geschürt wird, ist allerdings verfehlt. Schon die Personalkapazitäten der Datenschutzbehörden setzen einer flächendeckenden Kontrolle aller Wirtschaftstreibenden eine natürliche Grenze. Mit kühlem Kopf sollten die o. a. ersten Maßnahmen umgesetzt werden, bevor man zwangsläufig tiefer in die Materie eindringt. Erste Praxen und Unternehmen berichten auch bereits davon, dass die Reflektion des Datenschutzes zu schlankeren und ökonomischeren Verfahrensabläufen im Tagesgeschäft geführt hat.

Lic. iur. can. Urs Fabian Frigger

Autor: Lic. iur. can. Urs Fabian Frigger

Rechtsanwalt Frigger verfügt über umfangreiche Erfahrungen in speziellen Rechtsfragen wie dem Schiedsstellenverfahren in der vertrags(zahn)ärztlichen Gesamtvergütung, dem Strahlenschutz in der Medizin oder besonderen Versorgungsaufträgen (Dialyse, Mammographie-Screening) ein. Zudem vertritt er sowohl (zahn-)ärztliche Leistungserbringer als auch Medizinproduktehersteller sowie Verbände und Institutionen in Fragen des gewerblichen Rechtsschutzes sowie der Compliance im Gesundheitswesen. An der Katholisch-Theologischen Fakultät der Universität Münster hat er das „Lizentiat im Kanonischen Recht (Lic. iur. can.), die Befähigung zum Richteramt in der Katholischen Kirche, erworben. An der Frankfurt University of Applied Sciences verantwortet er als Lehrbeauftragter die „Grundlagen des Medizinrechts“ im Rahmen des Studiengangs Wirtschaftsrecht.

2 Kommentare

  1. Dr. Marion Marschall 21. März 2018 um 19:05

    Ihr Beitrag wurde auf Facebook geteilt. In der Diskussion kam die Frage auf, wo genau steht, dass der Praxisinhaber bei Ermittlung der Kopfzahl nicht mitzählt. Wären für eine Aufklärung dankbar.

  2. Urs Fabian Frigger
    Urs Fabian Frigger 27. März 2018 um 11:49

    Sehr geehrte Frau Dr. Marschall,

    vielen Dank für Ihre Anfrage. Die Antwort ist zwangsläufig relativ juristisch:

    Hinsichtlich der Pflicht der Bestellung eines Datenschutzbeauftragten verfolgt die DSGVO eher einen risikoorientierten Ansatz, lässt aber landesrechtliche Öffnungsklauseln zu. Davon wurde in Deutschland Gebrauch gemacht. § 38 Abs. 1 S. 1 BDSG – neu – regelt:

    „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

    Dies entspricht weitgehend der bisherigen Regelung des § 4f BDSG -aktuell-, der regelt:

    „Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

    Entscheidendes Kriterium ist also „beschäftigen“: Hierunter fallen Arbeiter, Angestellte und Auszubildende, freie Mitarbeiter und Leiharbeitnehmer. Ein Beschäftigungsverhältnis im Sinne einer Weisungsbefugnis wird vorausgesetzt (Gola/Schomerus, BDSG, § 4f BDSG, Rn. 10a). Geschäftsinhaber (sofern sie nicht selbst angestellt sind) fallen jedoch nicht darunter, da sie Beschäftigende sind und nicht Beschäftigte (Moos, in: Wolff/Brinck, Beck’scher Online-Kommentar Datenschutzrecht, § 4f BDSG, Rn. 11; Gola/Klug, NJW 2007, S. 118, 120). Nicht vom Wortlaut gedeckt dürfte es jedoch sein, auch angestellte Geschäftsführer von der Kopfzahl auszunehmen, da hier ein Beschäftigungsverhältnis vorliegt.

    Hinzuzufügen ist allerdings: Es gibt Datenschutzbehörden, die bei der Frage, ob die Geschäftsleitung bei der Kopfzahl hinzugezählt werden muss, zumindest in ihren Informationen, aus redaktionellen oder aus juristischen Gründen keine Unterscheidung vornehmen, ob es sich bei um angestellte Geschäftsleitungen oder um “echte“ Inhaber handelt. Daher sollte im Zweifelsfall immer Rücksprache mit den Behörden gehalten werden!

    Wichtig ist: Schon geringe Berührungen mit Daten ausreichen können, dass eine Person dazugezählt werden muss! Zudem müssen auch bei einer geringeren Kopfzahl die Datenschutzvorschriften eingehalten werden. Daher kann es durchaus Sinn, einen Beauftragten zu bestellen, auch wenn die Grenzen eigentlich nicht überschritten werden – gerade im sensiblen Umfeld der Medizin.

Wir freuen uns über Ihr Feedback und Ihre Anregungen