Das neue Datenschutzrecht aus Sicht der Arzt- und Zahnarztpraxis

Das neue Datenschutzrecht aus Sicht der Arzt- und Zahnarztpraxis


Am 25. Mai 2018 treten die EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Jede Arzt- und Zahnarztpraxis ist von den Neuregelungen betroffen. Nicht zuletzt aufgrund der im Vergleich zur bisherigen Rechtslage erheblichen Ordnungsgeldandrohungen für Datenschutzverstöße ist jeder Praxisinhaber gehalten, die Vorgaben des neuen Datenschutzrechtes umzusetzen.
 

1. Warum ist das für mich als Arzt/Zahnarzt überhaupt relevant? Für mich gelten doch bereits besondere Datenschutzbestimmungen aus Berufsrecht, oder nicht?

Die Neuregelungen betreffen jeden Praxisinhaber. Insbesondere geht es bei den neuen Datenschutzregelungen weniger um die Frage, ob Daten überhaupt erho-ben werden dürfen, sondern es geht darum, wie und was nach der Erhebung mit den Daten passiert. Bereits Artikel 1 Abs. 1 der DSGVO bestimmt als Ziel des neuen Datenschutzrechtes den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Artikel 2 der DSGVO bestimmt zum sachlichen Anwendungsbereich, dass die Verordnung für die automatisierte Verarbeitung sowie für die nicht automatisierte Verarbeitung von Daten gilt, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Mit „Speichern“ verbinden die meisten in erster Linie zwar die elektronische Datenverarbeitung (EDV), aber auch direkte Befragungen eines Patienten oder die Ausgabe eines Vordruckes an einen Patienten mit der späteren Aufnahme der Daten in eine manuelle oder elektronische Datei stellt ein Erheben von Daten und mithin Datenverarbeitung dar. Weitere Formen der Datenverarbeitung sind das Speichern, das Übermitteln, das Sperren oder das Löschen von Daten.

Praxistipp: Jeder Praxisinhaber muss sich spätestens jetzt um das neue Daten-schutzrecht kümmern!


2. Keine Übergangsfrist

Nach dem 25. Mai 2018 gibt es keine Übergangsfrist. Die Regelungen der DSGVO müssen entsprechend spätestes ab dem 25. Mai 2018 in der Praxis eingehalten werden. Sollte dies nicht der Fall sein, könnte die örtliche Datenschutzbehörde, in Schleswig-Holstein ist dies das unabhängige Landeszentrum für Datenschutz (ULD), aufsichtsrechtliche Maßnahmen erlassen sowie Bußgelder verhängen. Die Bußgelder können nach neuem Recht bis zu 20 Millionen Euro betragen. Auch wenn der Datenschutz im Wirtschaftsverkehr primär Ländersache ist, ist zu beachten, dass die Datenschutzgrundverordnung unmittelbar gilt, also nicht extra umgesetzt werden muss. Beschwert sich bei-spielsweise ein Patient bei der Datenschutzbehörde, kann dieser sich direkt auf die DSGVO berufen und die Behörde muss der Beschwerde nachgehen, egal welche Regelungen das zurzeit in Überarbeitung befindende Landesdatenschutzgesetz oder Bundesdatenschutzgesetz enthält.


3. Wichtige Ausnahmen vom Datenschutz für die Arzt- und Zahnarztpraxis

Deutschland hat von den wenigen Öffnungsklauseln der DSGVO Gebrauch ge-macht, um das Arztgeheimnis vor übermäßigen Begehrlichkeiten der staatlichen Datenschützer zu bewahren. So hat die Aufsichtsbehörde, anders als bei anderen Unternehmen, kein Recht auf Zugang zu den Praxisräumen. Ebenso besteht kein Zugriffsrecht der Aufsichtsbehörde auf die ärztliche Datenverarbeitung, es darf mithin kein Zugriff auf die PCs und Server in der Arztpraxis geben. Ebenso ist zu beachten, dass bereits die DSGVO besondere Vorschriften für personenbezogene Daten enthält, die dem Berufsgeheimnis, vorliegend mithin dem Arztgeheimnis, unterliegen und Informationspflichten insoweit eingeschränkt sind.


4. Die Umsetzung des neuen Datenschutzrechtes in der Praxis

a) Benennung eines Datenschutzbeauftragten erforderlich?

Nicht jede Arzt-/Zahnarztpraxis benötigt einen Datenschutzbeauftragten. Zunächst besteht gemäß § 38 BDSG weiterhin die Pflicht zur Benennung eines Daten-schutzbeauftragten bei Praxen, in denen ständig mindestens zehn Personen (also mehr als neun) mit der automatisierten Datenverarbeitung beschäftigt sind. Hier wird also weiterhin ausdrücklich auf die automatisierte Verarbeitung Bezug ge-nommen, sodass alleine die Mitarbeiter relevant sind, die Datenverarbeitung durch Einsatz von IT-Technik vornehmen. Anders als zum Beispiel beim Kündigungs-schutzrecht zählen nicht nur angestellte Mitarbeiter, sondern jede Person in der Arztpraxis unabhängig von Stellung und Arbeitszeit, also auch die Inhaber der Praxis sind hinzuzählen.

Da in Arzt-/Zahnarztpraxen aber auch Gesundheitsdaten verarbeitet werden, ist gemäß Artikel 37c der DSGVO zu beachten, dass auch bei einer Verarbeitung „im großen Maßstab“ in der Praxis ein Datenschutzbeauftragter zu benennen ist, unabhängig von der Mitarbeiterzahl. Die Frage, wann eine Verarbeitung „im großen Maßstab“ erfolgt, wird in der Verordnung leider nicht weiter definiert. Die Aufnah-me von Mitarbeiter- oder Fallzahlen ist im Rahmen des Gesetzgebungsver-fahrens zwar diskutiert worden, ist aber nicht Inhalt der Verordnung geworden. Die Leitlinie der verantwortlichen WP29-Gruppe der EU führt in den Auslegungsempfehlungen als Beispiele alleine aus, dass dies für ein „Hospital“ gelte, nicht aber für einen „individual physician“. Aufgrund dieses Beispiels folgern viele, dass bereits ab zwei Behandlern in der Praxis, unabhängig von der Anzahl der Person, die automati-sierte Verarbeitungen betreiben, ein Datenschutzbeauftragter zu benennen sei. So sagte beispielsweise auch die Rechtsabteilung der Ärztekammer Schleswig-Holstein in einer Veröffentlichung im März 2018 (vgl. Ärzteblatt Nr. 3, Seite 29), dass grundsätzlich bei jeder Gemeinschaftspraxis die Pflicht zur Benennung eines Datenschutzbeauftragten bestehen würde.

Unserer Ansicht nach ist es zu weitgehend, alleine aus der Differenzierung zwischen „einem Krankenhaus“ und einem „einzelnen Behandler“ die Schlussfolgerung zu ziehen, dass bereits ab zwei Behandlern, unabhängig von der Anzahl mit der automatisierten Datenverarbeitung beauftragten Personen, ein Datenschutzbeauftragter zu bestellen sei. Es ist sachfremd, die Datenverarbeitung in jeder Zweier-Berufsausübungsgemeinschaft mit der Datenverarbeitung in einem Kran-kenhaus gleichzusetzen.

In der Zwischenzeit hat nach der Datenschutzbehörde in Bayern auch die zuständige Datenschutzbehörde in Schleswig-Holstein am 10. April 2018 hierzu Stellung bezogen und mitgeteilt, dass in der Arztpraxis grundsätzlich nicht von einer Verar-beitung in „großem Maßstab“ auszugehen sei, mithin grundsätzlich ein Daten-schutzbeauftragter nur bei Beschäftigung von mindestens 10 Mitarbeitern i.S.d. BDSG benannt werden müsse.

Praxistipp: Beachten Sie die diesbezügliche Veröffentlichung des ULD für selb-ständige Heilberufler unter

www.datenschutzzentrum.de/artikel/1220-Die-Datenschutz-Grundverordnung-tritt-in-Kraft-das-muessen-selbststaendige-Heilberufler-beachten.html

Gleichwohl ist zu beachten, dass für die Aufsichtsbehörden und sonstige Dritte nichts leichter zu überprüfen ist als die Frage, ob ein Datenschutzbeauftragter benannt worden ist oder nicht. Der Datenschutzbeauftragte muss nämlich nicht nur der Behörde gemeldet werden, sondern ist, sofern eine Pflicht zur Benennung vorliegt, ab dem 25. Mai 2018 auch auf der homepage namentlich aufzuführen.

Da nach herrschender Ansicht der (Mit-)Inhaber der Praxis als Datenschutzbeauf-tragter ausscheidet, ist entweder ein Angestellter oder ein Externer als Daten-schutzbeauftragter zu benennen. Für Unternehmen, die Aufgaben eines externen Datenschutzbeauftragten anbieten, sind die Neuregelungen insofern geradezu als „Arbeitsbeschaffungsmaßnahmen“ zu werten. Bei der Benennung eines Mitarbeiters muss dieser über die erforderliche Sachkunde verfügen, er sollte also zum Datenschutzbeauftragten ausgebildet werden. Auch das ULD selbst bietet Kurse bezüglich des Datenschutzes in Arztpraxen an (siehe homepage ULD unter www.datenschutzzentrum.de).

Sofern ein angestellter Mitarbeiter als Datenschutzbeauftragter benannt wird, ist zu beachten, dass das BDSG in § 38 Abs. 2 auf die Vorgaben zur Abberufung und Kündigung des Datenschutzbeauftragten für öffentliche Stellen verweist. Hiernach ist die ordentliche Kündigung des angestellten Datenschutzbeauftragten unzuläs-sig! Nach dem Ende der Tätigkeit als Datenschutzbeauftragter ist die ordentliche Kündigung für 1 Jahr ebenfalls unzulässig. Es ist zu beachten, dass dieser beson-dere Kündigungsschutz aber nur dann Anwendung findet, wenn eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht. Inwieweit dieser Verweis auf die Vorschriften des Datenschutzbeauftragten für öffentliche Stellen sich auf den Angestellten als Datenschutzbeauftragter in der Arztpraxis auswirkt, bleibt abzu-warten. Es ist aber davon auszugehen, dass sich zukünftig nicht nur die Aufsichts-behörden, Verwaltungsgerichte und Zivilgerichte mit der Frage, ob ein Daten-schutzbeauftragter zu benennen ist oder nicht, zu beschäftigen haben, sondern auch die Arbeitsgerichte.

Praxistipp: Im Zweifelsfall sollte über die Frage, ob für die eigene Praxis nun ein Datenschutzbeauftragter zu benennen ist oder nicht, Auskunft über das ULD eingeholt werden. Bei Benennung eines angestellten Mitarbeiters ist aufgrund der möglichen Einschränkung des Kündigungsrechtes ein besonderes Vertrauensver-hältnis vorteilhaft.

b) Verzeichnis von Verarbeitungstätigkeiten

Artikel 30 DSGVO verpflichtet jeden Verantwortlichen dazu, ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. Die Konferenz der Landesdatenschutzbeauftragten in Deutschland hat hierzu bereits Erstellungshinweise mit Vordrucken veröffentlicht. Hiernach sollen sich Inhalt und Umfang des Verzeichnisses nach Art und Größenordnung des Verantwortlichen richten. Das Verzeichnis muss die maßgeblichen Verarbeitungstätigkeiten eines Verantwortlichen in Einzelbeschreibung erfassen, unter anderem Angaben zu de-nen von einer Verarbeitungstätigkeit betroffenen einzelnen Datenfeldern, zur Her-kunft der Daten, Rechtsgrundlagen für die Verarbeitung, verantwortlichen Mitarbeiter, zugriffsberechtigten Personen sowie Zwecken, denen eine Verarbeitungstätig-keit folgt. Artikel 30 Abs. 5 DSGVO sieht zwar eine Ausnahme für Unternehmen vor, die weniger als 250 Mitarbeiter beschäftigen, diese soll jedoch nur eingreifen, wenn dort Verarbeitungen nur gelegentlich erfolgen. Nach der Rechtsansicht der Konferenz der Datenschutzbeauftragten greift die Ausnahme bezüglich der Unter-nehmen mit weniger als 250 Mitarbeitern in der Praxis kaum, da bereits Lohnab-rechnungen als nicht nur gelegentliche Verarbeitungen gewertet werden. Für Arzt-/Zahnarztpraxen gilt die Ausnahme mit Betrieben unter 250 Mitarbeitern zudem deshalb nicht, da bei Verarbeitung von Gesundheitsdaten, unabhängig von der Größe der Praxis, stets ein Verzeichnis der Verarbeitungstätigkeiten zu führen ist.

Praxistipp: Entsprechende Formulare sind einsehbar unter der Internetadresse des Berufsverbandes der Datenschutzbeauftragten, www.bvdnet.de.


c) Technische und organisatorische Maßnahmen („TOMs“) nach Stand der Technik

Sofern, insbesondere nach Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, Schwachstellen im Rahmen einer „GAP-Analysis“ gefunden werden, ist ein Maßnahmenplan aufzustellen. Erforderliche technische und organisatorische Maßnahmen (TOMs) sind zu ergreifen.

Die Sicherheitsmaßnahmen müssen sich am Stand der Technik orientieren. Der Grundsatz erfordert zudem die Sicherstellung der Verfügbarkeit und Belastbarkeit der Systeme. Ein plötzlicher Stromausfall kann Schäden an Datenbanken auslösen. Integrität und Vertraulichkeit erfordern daher mehr als reine technische Da-tensicherung. Erforderlich ist insbesondere eine Dokumentation der Sicherheits-konfiguration (Firewall, Router etc.), ein Verschlüsselungskonzept der Kommunikation per E-Mail, ein Antivirenkonzept, eine Dokumentation über einen durchgeführ-ten Rücksicherungstest von Daten, Notfallhandbücher einschließlich Datensiche-rungskonzept, Dokumentation der Zugänge zu Praxisrechnern etc.


d) Auftragsverarbeitungsvereinbarungen prüfen

Unter dem Stichwort „Paperwork“ erfasst die DGSVG insbesondere Verträge mit Dritten. Oft beschäftigen Ärzte/Zahnärzte Dienstleister. Ebenso werden Dienstleister eingeschaltet, die im Rahmen ihrer Tätigkeit mit personenbezogenen Daten von Mitarbeitern der Praxis, Patienten oder sonstigen Dritten in Kontakt kommen (Wartung von Praxis EDV, Aktenvernichtung, Terminvergabe durch Web Kalender etc.). Hier ist der Arzt/Zahnarzt verpflichtet, die Dienstleister über eine sogenannte „Auftragsverarbeitungsvereinbarung“ zu verpflichten, deren Anforde-rungen im Einzelnen in Artikel 28 DSGVO geregelt werden. Hinzu kommt, dass die DSGVO nicht nur den verantwortlichen Arzt zum Abschluss einer Auftragsverar-beitung verpflichtet, sondern auch den Auftragsverarbeiter sanktioniert, der seiner-seits ohne eine solche Vereinbarung Leistungen erbringt.
Praxistipp: Bezüglich der Übermittlung der Daten an den eigenen Rechtsanwalt (z.B. zur Durchsetzung von Behandlungshonoraransprüchen) oder an den eigenen Steuerberater ändert sich nichts, da hier keine "Auftragsverarbeitung" i.S.d. Ver-ordnung vorliegt


e) Datenschutzinformationen und Anpassungen Einwilligungserklärungen

Zum notwendigen „Paperwork“ gehören auch Datenschutzinformationen für den Patienten. Die Informationspflichten sind nach neuem Datenschutzrecht umfang-reicher als nach bisherigem Recht. Alle Datenschutzbestimmungen auf Praxis-webseiten müssen überarbeitet werden. Zudem gelten die Informationspflichten nach neuem Recht nicht nur für Internetseiten, sondern für jede Form der Datenverarbeitung. Empfehlenswert dürfte daher sein, allgemeine „Hinweise zur Daten-verarbeitung“ zu erstellen, die jedem Patienten bei Aufnahme in der Praxis mitgegeben werden bzw. in der Praxis ausgehängt werden.

Bezüglich der Einwilligungserklärungen der Patienten verbleibt es dabei, dass das Erfassen, Bearbeiten, Speichern etc. von Patientendaten gesetzlich gestattet ist und hierfür keine gesonderte schriftliche Zustimmung erforderlich ist. Nur in besonderen Fällen kann es erforderlich sein, dass Patienten gesondert zustimmen müssen, zum Beispiel bei der Einbeziehung einer privatärztlichen Verrechnungs-stelle. Ab 25. Mai müssen solche Einwilligungserklärungen insbesondere einen Hinweis darauf enthalten, dass Patienten ihr Einverständnis jederzeit widerrufen können.

Praxistipp: Beispiele zu Datenschutzinformationen sind einsehbar unter www.bvdnet.de oder auf der homepage der Kassenärztlichen Bundesvereinigung unter www.kbv.de


f) weitere Aspekte

Artikel 20 DSGVO statuiert ein Recht auf Datenübertragbarkeit. Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verar-beitung mithilfe automatisierter Verfahren erfolgt.

Zudem bestehen gemäß Artikel 33 DSGVO besondere Meldepflichten. Hiernach muss jeder Datenschutzverstoß in Zukunft innerhalb von maximal 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden. Auch wenn es für Ärzte und Zahnärzte nach dem neuen BDSG einige Ausnahmen von der Meldepflicht gibt, gilt die Meldepflicht grundsätzlich auch für Arztpraxen. Verliert beispielsweise ein Mitarbeiter sein Diensthandy und befinden sich auf dem Diensthandy perso-nenbezogene Daten, kann dies zu einer Meldepflicht führen. Ebenso kann eine fehlgeleitete E-Mail zur Meldepflicht führen. Der bloße Verstoß gegen die Melde-pflicht kann bereits ein Bußgeld nach sich ziehen.

Praxistipp: weitere Vorlagen und Beispiele für eine Arztpraxis sind einsehbar auf der homepage des Bayerischen Landesamtes für Datenschutzaufsicht unter www.lda.bayern.de

 

 

 

 

 

« Zurück