Unsere Themen

Artikel

null 3. Einige wichtige Änderungen im Überblick

Pflicht zur Bestellung eines Datenschutzbeauftragten,

Art. 37 EU-DSGVO iVm. § 38 BSDG-neu

Eine Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) kann sich sowohl aus der EU-DSGVO als auch aus dem nationalen Recht ergeben. Derzeit herrscht noch Uneinigkeit unter den Experten, ob durch das neue Recht jede Praxis verpflichtet ist, einen Datenschutzbeauftragten zu bestellen.

Soweit in einer Arztpraxis „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt werden, ist gem. § 38 Abs. 1 BDSG in jedem Fall ein Datenschutzbeauftragter zu benennen. Es sind nur die Mitarbeiter zu berücksichtigen, die regelhaft und nicht nur gelegentlich mit der Datenverarbeitung beschäftigt sind. Dies sind die Mitarbeiter, die beispielsweise mit der Datenerfassung am Empfang oder der Datenverarbeitung im Rahmen der Abrechnung betraut sind. Erfasst werden auch angestellte Ärzte, Auszubildende sowie freie Mitarbeiter.

Zudem ist nach Art. 37 Abs. 1 c EU-DSGVO ein Datenschutzbeauftragter zu bestellen, wenn „die Kerntätigkeit […] in der umfangreichen Verarbeitung“ von Gesundheitsdaten liegt. Eine Definition zur „umfangreichen Verarbeitung“  existiert insoweit nicht und ist Auslegungssache. Allerdings dürfte bei einer Einzelpraxis hiervon in der Regel nicht die Rede sein (siehe Erwägungsgrund 91). Es bleibt jedoch eine Einzelfallentscheidung. Im Zweifel sollte ein DSB bestellt werden.

 

Wer kann Datenschutzbeauftragte(r) werden?

Der Datenschutzbeauftragte wird aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit, die sich aus Art. 39 EU-DSGVO ergebenden Aufgaben zu erfüllen, benannt. Es werden deutschlandweit verschiedene Seminare angeboten, um die Grundkenntnisse des Datenschutzrechts zu erlangen. Diese dienen dem Verantwortlichen als Nachweis der Qualifikation des DSB, der sich zudem regelmäßig fortbilden muss. Der DSB kann ein interner Mitarbeiter oder ein extern bestellter DSB sein. Der Praxisinhaber selbst jedoch darf die Position des DSB nicht ausüben, da diese Stellung zu Interessenkonflikten führen könnte und eine Selbstkontrolle wenig zielführend sein dürfte. Die Bestellung des DSB sollte aus Beweisgründen schriftlich erfolgen.

Die Bestellung eines DSB entbindet, wie Art. 24 Abs. 1 EU-DSGVO klarstellt, den Verantwortlichen – den/die Praxisinhaber – nicht davon sicherzustellen und nachzuweisen, dass die Datenverarbeitung im Einklang mit den Regelungen der EU-DSGVO steht.

Fazit: Auch die Bestellung eines DSB für die Praxis entbindet den/die Inhaber nicht davon, sich mit der neuen Rechtslage zu befassen und auf deren Einhaltung hinzuwirken. Der/die Inhaber bleiben Verantwortliche, die sich im Falle eines Verstoßes gegen die neuen Regelungen zu verantworten haben.

 

Verzeichnis von Verarbeitungstätigkeiten, Art. 30 EU-DSGVO

Nach Art. 30 EU-DSGVO ist jede Arztpraxis verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Das heißt, es muss schriftlich festgehalten werden, welche personenbezogenen Daten für welchen Zweck, auf welcher Rechtsgrundlage verarbeitet und an wen sie übermittelt werden. Zudem soll es eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten enthalten. Wie konkret diese Beschreibung sein muss, ergibt sich nicht aus der EU-DSGVO, sie sollte jedoch so detailliert sein, dass die Aufsichtsbehörde anhand des Verzeichnisses eine erst Rechtmäßigkeitsprüfung durchführen kann.

Das Verzeichnis ist ein wichtiger Bestandteil der Rechenschaftspflichten nach Art. 5 EU-DSGVO, sollte daher sorgfältig geführt und regelmäßig auf Aktualität geprüft werden. Das unabhängige Datenschutzzentrum Saarland stellt ein Muster für ein Verzeichnis von Verarbeitungstätigkeiten auf seiner Internetseite zur Verfügung, viele weitere Muster finden sich auf diversen Datenschutzseiten im Internet.

Die Möglichkeit für jedermann Einblick in das Verzeichnis zu erhalten ist nicht mehr vorgesehen, sodass es nur vorgehalten und auf Anfrage der Aufsichtsbehörde vorgelegt werden muss.

 

Informationspflichten bei der Datenerhebung, Art. 13 und 14 EU-DSGVO

Die EU-DSGVO will die Transparenz bei der Datenverarbeitung erhöhen, weshalb dem Patienten bei der Datenerhebung die in Art. 13 (bei Datenerhebung beim Patienten selbst; Direkterhebung) bzw. Art. 14 (Erhebung bei Dritten) genannten Informationen mitzuteilen sind. Dies sind z.B. Kontaktdaten des Datenschutzbeauftragten, Zweck sowie die Rechtsgrundlage der Verarbeitung, Empfänger der Daten etc. Um diese umfangreichen Informationspflichten praktikabel erfüllen zu können, sollten entsprechende Vordrucke genutzt werden, die zumindest gut sichtbar in der Praxis ausgehängt werden sollten. Derzeit beschäftigt sich eine Arbeitsgruppe der Datenschutzbeauftragten der KVen mit der praktikablen Umsetzung der neuen Vorgaben und ggf. der Erarbeitung solcher Vordrucke.

 

Auskunftsrecht des Patienten, Art. 15 EU-DSGVO

Patienten haben nicht nur das Recht, bei der Datenerhebung informiert zu werden, vielmehr können sie mit formlosem Antrag ohne Begründung Auskunft über die vom Arzt gespeicherten personenbezogenen Daten verlangen. Dieser datenschutzrechtliche Auskunftsanspruch dient dazu, dem Betroffenen die Durchsetzung seiner Rechte auf Berichtigung, Sperrung und Löschung zu erleichtern und tritt neben das Einsichtsrecht aus § 630g BGB. Im Falle eines Auskunftsersuchens eines Patienten sind diesem zumindest die in Art. 15 Abs. 1 EU-DSGVO genannten Informationen mitzuteilen. Die Auskunft hat unverzüglich – spätestens innerhalb eines Monats – zu erfolgen und kann schriftlich, elektronisch oder auch mündlich erteilt werden. Zu Dokumentationszwecken sollte die schriftliche oder elektronische Form gewählt werden. Nach Art. 15 Abs. 3 EU-DSGVO stellt der Verantwortliche dem Patienten eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Die Auskunftserteilung und die Zurverfügungstellung der Kopien haben in der Regel unentgeltlich zu erfolgen (Art. 12 Abs. 5, Art. 15 Abs. 3 S. 2 EU-DSGVO).

 

Recht auf Vergessenwerden, Art. 17 EU-DSGVO

Nach Ablauf der einschlägigen Aufbewahrungsfristen, die das Berufs- und Vertragsarztrecht vorschreiben, hat der Patient das Recht, dass sämtliche Daten über ihn unwiederbringlich gelöscht werden. Es genügt nicht, nur die ggf. noch vorhandene Papierakte des Patienten datenschutzkonform zu vernichten, vielmehr müssen auch sämtliche digital vorliegenden Daten und ggf. deren Sicherung gelöscht werden.

 

Auftragsdatenverarbeitung, Art. 28 EU-DSGVO

Verarbeiten Dritte personenbezogene Daten im Auftrag des Arztes, beispielsweise in Form der Wartung von Praxis-EDV oder der Nutzung von Cloud-Diensten, muss ein schriftlicher Vertrag, der den  Anforderungen des Art. 28 EU-DSGVO genügt, geschlossen werden. Insbesondere muss der Auftragnehmer (Auftragsverarbeiter) sorgfältig ausgewählt werden. Der Auftraggeber muss sich davon überzeugen, dass der Auftragnehmer ausreichende technische und organisatorische Maßnahmen zum Schutze der Rechte der Patienten getroffen hat. Anhaltspunkte hierfür sind beispielsweise einschlägige Zertifikate. Der Auftragsverarbeiter ist gemäß Art. 29 EU-DSGVO weisungsgebunden und auf die strafrechtliche Geheimhaltung (§ 203 Abs. 3 und 4 StGB) zu verpflichten. Bereits abgeschlossene Verträge sind auf EU-DSGVO-Konformität zu überprüfen. Muster für solche Verträge finden sich ebenfalls zahlreich im Internet.

 

Fazit

Die EU-DSGVO hat 2 Seiten: Die eine ist die der zunehmenden Bürokratisierung. Viele werden sicherlich nicht unberechtigt sagen: „Noch mehr Papierkrieg und weniger Zeit für Patienten. Wozu?“

Auf der anderen Seite trägt die EU-DSGVO, nicht zuletzt mit ihrem hohen Sanktionsrahmen, dazu bei, die Gesellschaft insbesondere im Umgang mit den interessanten und schützenswerten Gesundheitsdaten zu sensibilisieren. Die Daten sind aufgrund der Digitalisierung und fortschreitenden Vernetzung immer leichter zugänglich und immer neuen und größeren Gefahren ausgesetzt. Das führt dazu, dass der Datenschutz-Teil der Imagepflege einer Praxis werden sollte, denn nicht nur eine unzureichende Behandlung spricht sich unter Patienten schnell herum, sondern auch die zu lasche Handhabung der sensiblen Daten.

Um es noch einmal zu betonen: Wer in seiner Praxis bisher auf den Datenschutz geachtet hat, wird auch mit der Geltung der EU-DSGVO wenige Probleme bekommen. Es muss schlichtweg das Gelebte dokumentiert werden, das erfordert leider etwas Fleißarbeit.

Anlagen