Verschärftes Datenschutzrecht ab dem 25. Mai 2018 – die Neuerungen für Ärzte und Zahnärzte

Verschärftes Datenschutzrecht ab dem 25. Mai 2018 – die Neuerungen für Ärzte und Zahnärzte

Ab dem 25.05.2018 gilt EU-weit die europäische Datenschutz-Grundverordnung (DSGVO) unmittelbar für alle Mitgliedstaaten. Damit einhergehend hat der deutsche Gesetzgeber auch ein neues Bundesdatenschutzgesetz(BDSG) geschaffen, das zeitgleich mit der DSGVO in Kraft tritt.

Rechtsanwältin Walburga van Hövell fasst die wichtigsten neuen datenschutzrechtlichen Anforderungen und Risiken für (Zahn-)Arztpraxen zusammen.

Van Hövell: Personenbezogene Daten sind von unserer Rechtsordnung als schützenswertes Gut anerkannt und ein Verstoß gegen das Datenschutzgesetz ist lange kein Kavaliersdelikt, sondern ein echtes Problem für den „Täter“. Ab dem 25.05.2018 gilt ein schärferer Sanktionsrahmen als bisher (z. B. Bußgelder bis zu 20 Mio. Euro bzw. in Höhe von 4 % des vorvergangenen Jahresumsatzes bei bestimmten Verstößen gegen das Datenschutzrecht). Allein dies zeigt, dass jeder, der beruflich Umgang mit personenbezogenen Daten hat – auch kleinere Unternehmen wie Arztpraxen – sich an die jeweils geltenden Vorschriften halten sollte.

Wie gestaltet sich das Datenschutzrecht in der Arztpraxis?
Van Hövell: Der Begriff „personenbezogene Daten“ ist nach der DSGVO sehr weit definiert. Vereinfacht: Alle Informationen, die mit einer bestimmten natürlichen Person in Verbindung stehen und Rückschlüsse auf die Persönlichkeit zulassen. „Betroffene“ in einer Praxis sind Personen, deren personenbezogene Daten genutzt werden – Patienten, Angestellte oder externe Lieferanten. Dazu gehören neben Adressdaten auch in der DSGVO einzeln definierte besondere Daten wie die Gesundheitsdaten – Informationen über die körperliche oder geistige Gesundheit eines Betroffenen sowie die an ihm erbrachten Gesundheitsdienstleistungen.

Wer ist „Verantwortlicher“ im Sinne der DSGVO und was fällt unter die „Verarbeitung personenbezogener Daten“?
Van Hövell:
Jeder, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, ist Verantwortlicher ist im Sinne der DSGVO: Praxisinhaber, Praxisgemeinschafter und auch auf MVZ-Gesellschaften als juristische Personen. Unter die Verarbeitung fällt alles, was die automatisierte Verarbeitung und jede nicht automatisierte Verarbeitung bei Speicherung oder geplanter Speicherung der Daten in einem Dateisystem betrifft. Alltägliche Abläufe in einer Praxis fallen auch unter datenschutzrechtliche Vorgaben, z. B. die Kommunikation per E-Mail, die Nutzung von Praxis-Software oder einer analogen Kartei zur Dokumentation von Anamnesen und Diagnosen, Bestellungen per Fax, die Auslagerung der Abrechnung an einen externen Dienstleister, das Erstellen und Speichern von Röntgenbildern, die Internetseite der Praxis, Personalakten, die Videoüberwachung im Eingangsbereich, etc.

Erklären Sie uns kurz die Verarbeitung personen bezogener Daten nach neuem Recht.
Van Hövell: Für die Verarbeitung personenbezogener Daten gilt nach der DSGVO das „Prinzip des Verbots der Datenverarbeitung mit Erlaubnisvorbehalt“. Bedeutet im Praxisalltag: Es ist grundsätzlich notwendig, dass dem Praxisinhaber eine explizite Rechtsgrundlage für die Datenverarbeitung vorliegt. Das wäre zunächst eine ausdrückliche Einwilligung des Betroffenen in die Verarbeitung seiner Daten oder aber die Datenverarbeitung ist dem Verantwortlichen aufgrund einer Rechtsgrundlage (z.B. Behandlungsvertrag oder gesetzliche Dokumentions- und Aufbewahrungspflichten) erlaubt. Ebenso ist ein möglicher Erlaubnistatbestand, dass berechtigte Interessen des Verantwortlichen oder eines Dritten vorliegen, die die schutzwürdigen Interessen des Betroffenen überwiegen. Im Zweifel ist im konkreten Einzelfall zu prüfen, ob einer dieser drei vorgenannten Erlaubnistatbestände gegeben ist. Ist das nicht der Fall, ist die betreffende Datenverarbeitung unzulässig.

Viele Unternehmen, so auch Arztpraxen, sind nun verpflichtet, Datenschutzbeauftragte zu bestellen.
Van Hövell: Richtig – ein Datenschutzbeauftragter ist ein extra geschulter Mitarbeiter oder externer Dienstleister, der weisungsunabhängig und selbständig auf die Einhaltung des Datenschutzes hinwirkt. In einer Praxis muss dieser immer dann bestellt werden, wenn mehr als 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn z. B. eine umfangreiche Verarbeitung personenbezogener Daten mithilfe neuer Technologien erfolgt. Im Zweifel sollte mit fachkundiger Hilfe – z. B. des Landesdatenschutzbeauftragten oder eines Anwalts – geklärt werden, ob ein Datenschutzbeauft ragter bestellt werden muss.

Die DSGVO gibt verschiedene Verfahren vor, mit denen Verantwortliche ihren datenschutzrechtlichen Dokumentations- und Meldepflichten nachkommen müssen.
Van Hövell: Das ist zunächst die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten, was verpflichtend ist, da dort Gesundheitsdaten – „besondere Daten“ im Sinne der DSGVO – verarbeitet werden. Inhaltlich dokumentiert dieses Verzeichnis alle Prozesse einer Praxis, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen. Weiter gehört u.U. die Datenschutz-Folgeabschätzung zu den Dokumentations- und Meldepflichten. Hierbei handelt es sich um eine konkret strukturierte Risikoanalyse bezogen auf die Verarbeitung personenbezogener Daten. Aktuell dürfte ein einzelner selbstständiger Arzt hierzu allerdings nicht verpflichtet sein. Dessen Verarbeitung personenbezogener Daten gilt nicht als umfangreich im Sinne der DSGVO. Letztlich sind bezüglich der Dokumentations- und Meldepflichten noch die Meldungen und Benachrichtigungen bei Datenschutzverletzungen – z. B. Hackerangriff , Diebstahl der Praxis-EDV – zu nennen. Diese sind i. d. R. der Aufsichtsbehörde innerhalb von 72 Stunden, nach Kenntnisnahme, zu melden. Auch die Betroffenen – sogar ehemalige Patienten, deren personenbezogenen Daten noch gespeichert sind – müssen ggf. informiert werden.

Welche technischen und organisatorischen Maßnahmen zur Datensicherung sollte jeder Praxisinhaber vornehmen?
Van Hövell: Nach Art. 32 DSGVO sind bestimmte technische und organisatorische Datensicherungsmaßnahmen zu schaffen, die einen adäquaten Schutzstandard angesichts eines konkreten Risikos für die zu verarbeitenden personenbezogenen Daten gewährleisten, z. B. Verschlüsslung der Kommunikation von Gesundheitsdaten per E-Mail. Bezüglich der Sicherungsmaßnahmen verlangt die DSGVO allerdings nicht, dass sie in jedem Fall optimal umgesetzt werden, denn einen 100 prozentigen Schutz gibt es nicht. Gemessen wird an den Risiken bezüglich der konkret betroffenen personenbezogenen Daten. Zudem wird ein Nachweis verlangt, dass Kontrollmaßnahmen regelmäßig umgesetzt wurden.

Können Praxisinhaber weiterhin einen Dienstleister für die Datenverarbeitung beauftragen?
Van Hövell: Auch nach dem neuen Datenschutzrecht ist es einer Arztpraxis als Auftraggeber möglich, einen Dienstleister mit bestimmten Arbeiten, die personenbezogene Daten betreffen – Abrechnung oder Lohnbuchhaltung – zu beauftragen. Voraussetzung ist, dass der Betroff ene diesbezüglich eingewilligt hat oder eine gesetzliche Erlaubnis vorliegt. Dies nennt man Auftragsverarbeitung. Eine solche war und ist anhand der Maßstäbe des Datenschutzrechts zwischen Auftraggeber (Arztpraxis) und Auftragsverarbeiter vertraglich zu regeln. Neu ist, dass auch der Auftragsdatenverarbeiter zusammen mit seinem Auftraggeber gegenüber den Betroffenen bei Datenschutzverletzungen haftet. Neben der Durchführung von Datensicherungsmaßnahmen sind auch die Mitarbeiter des Auftragsverarbeiters zur Verschwiegenheit zu verpflichten. Darüber hinaus treffenden Auftragsverarbeiter umfangreichere Dokumentations- und Meldepflichten als bisher und er muss bei der Realisierung von Betroffenenrechten mitwirken. Die Nutzung einer Cloud stellt nach der DSGVO auch eineAuftragsverarbeitung dar – der Cloud-Anbieter unterliegt nun den gesetzlichen Vorgaben, die einen Auftragsverarbeiter betreffen.

Wie sieht es mit den Rechten betroffener Personen aus?
Van Hövell: Ab dem 25.05.2018 enthält das Datenschutzrecht erweiterte und neue Rechte, die Verantwortliche gegenüber Betroffenen – Patienten, Mitarbeitern etc. – beachten müssen. U. a. ist das nach der DSGVO die Pflicht zur transparenten Information des Verantwortlichen gegenüber dem Betroffenen und ein weitergehendes Widerspruchsrecht der Betroffenen und deren Recht auf Vergessenwerden. Weiterhin ist es dem Inhaber einer Zahnarztpraxis z. B. in der Regel nicht gestattet, seine Angestellten bei ihrer digitalen Kommunikation zu überwachen.

Ein persönlicher Rat zum Schluss.
Van Hövell: Machen Sie bereits jetzt eine datenschutzrechtliche Bestandsaufnahme Ihrer Praxis. Hilfestellungen bieten die für Sie zuständigen Landesdatenschutzbeauftragten. Diese sind nicht nur für die Verhängung von Bußgeldern zuständig, sondern auch Beratungsstelle bei datenschutzrechtlichen Problemen von Datenschutzverantwortlichen. Zudem kann natürlich ein auf Datenschutzrecht spezialisierter Rechtsanwalt Unterstützung bieten. Befassen Sie sich jetzt und auch zukünftig in regelmäßigen Abständen mit dem Thema und dokumentieren Sie dies. Denn haben Sie erst einmal ein Gespür und einen Handlungsplan für die entsprechenden Fragestellungen, so wird Sie ein eventuelles datenschutzrechtliches Vorkommnis nicht aus der Fassung bringen. Vielmehr können Sie dann angemessen reagieren und entsprechend mit Betroffenen oder Behörden kommunizieren. Und eine gute Kommunikation wird im Problemfall wichtig sein, denn hierdurch wird die Erarbeitung einer Lösung stets vereinfacht werden.


IM INTERVIEW

Walburga van Hövell
Rechtsanwältin | lennmed.de Rechtsanwälte
Am Hofgarten 3 · 53113 Bonn
Telefon: 0228 24 99 44 - 0


Quelle: ZP Zahnarztpraxis professionell 03/2018, Seite 4 ff .

Diese Webseite verwendet Cookies. Durch die Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Datenschutzinformationen