Die neue EU-Datenschutz-Grundverordnung: Was Praxisinhaber beachten müssen
Herr Kranig, warum sollten und müssen sich aus Ihrer Sicht Ärztinnen und Ärzte künftig mehr für das Thema Datenschutz interessieren? Schließlich nimmt die Berufsgruppe das Thema ärztliche Schweigepflicht schon immer ernst.
Unsere Prüfungen haben gezeigt, dass Datenschutz auch in Arztpraxen nicht immer die Bedeutung findet, die er haben sollte. In der alltäglichen Praxis schleichen sich aus Unachtsamkeit, Unwissenheit oder einer falsch empfundenen Patientenfreundlichkeit schnell Fehler ein. Dann werden Arztbriefe an nicht behandelnde Ärzte verschickt, ungeeignete Kommunikationskanäle wie WhatsApp genutzt, Dienstleister ohne entsprechende datenschutzrechtliche Absicherung eingesetzt oder bereitwillig Informationen am Telefon herausgegeben. In zahlreichen Veröffentlichungen zum Datenschutz liest man aktuell, dass die neue Datenschutz-Grundverordnung zum Teil gravierende Änderungen gegenüber der bisherigen Rechtslage mit sich bringt.
Welche großen Änderungen sind das? Und inwiefern sind Ärztinnen und Ärzte mit eigener Praxis davon betroffen?
Alle Ärzte müssen ein „Verzeichnis der Verarbeitungstätigkeiten“ erstellt haben, d.h. eine Übersicht, welche personenbezogenen Daten in welchem Verfahren verarbeitet werden. Wie bisher dürfen Daten nur verarbeitet werden, wenn eine Einwilligung des Betroffenen vorliegt oder es eine Rechtsgrundlage gibt, die die Verarbeitung erlaubt oder anordnet. Neu ist, dass alle Ärzte jederzeit nachweisen können müssen, auf welcher Rechtsgrundlage sie die Daten verarbeiten, d.h. dass sie unter anderem alle Einwilligungen griffbereit haben müssen. Schließlich sind die Anforderungen an die Datensicherheit deutlich strenger geworden. Das bezieht sich auf die Datenverarbeitung innerhalb der Praxis, aber auch auf die Kommunikation mit externen Stellen. Die Anforderungen an die Transparenz der Datenverarbeitung und die Information der Betroffenen, d.h. hier der Patienten, sind deutlich gestiegen. Ärzte müssen prüfen, ob ihre Informationen, wie sie mit Patientendaten umgehen, in einfacher und verständlicher Form und auch vollständig verfügbar sind. Was alles in den Informationen vorkommen muss, steht in Art. 13 DS-GVO. Wir haben das in einem Kurzpapier zusammengefasst (www.lda.bayern.de/media/dsk_kpnr_10_informationspflichten.pdf). Führt die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien (z.B. Telemedizin), wegen der Art, des Umfangs der Umstände oder der Zwecke der Verarbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der Patienten, so muss der Arzt eine Datenschutz-Folgenabschätzung durchführen. Für die normale Arztpraxis trifft dies zum Glück nicht zu. Denn eine Datenschutz-Folgenabschätzung erfordert, dass alle denkbaren Schäden, die durch die Datenverarbeitung eintreten könnten, ermittelt werden. In einem zweiten Schritt muss geprüft werden, wie hoch die Wahrscheinlichkeit wäre, dass so ein Schaden eintritt. Dann muss überlegt werden, welche technischen oder organisatorischen Maßnahmen ergriffen werden könnten, um das Risiko, also den Schaden mal die Eintrittswahrscheinlichkeit, zu senken. Wenn man dann zu einem vertretbaren Risiko kommt, kann die Datenverarbeitung zulässig sein. Bleibt ein Risiko bestehen und will man die Verarbeitung trotzdem durchführen, muss man mit der Datenschutzaufsichtsbehörde klären, wie man damit umgeht.
Was müssen Praxisinhaber/-innen konkret bis zum 25. Mai 2018 tun? Was sind ihre neuen Pflichten?
Wir empfehlen, mit der Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten zu beginnen. Das ist die Grundlage dafür, dass Ärzte wissen, wo und in welcher Art und Weise in ihrer Praxis mit personenbezogenen Daten umgegangen wird. Dieses Verzeichnis kann dann auch die Grundlage dafür sein, zu prüfen, ob für jede Art der Verarbeitung personenbezogener Daten die erforderliche Rechtsgrundlage gegeben ist. Weiterhin sollten die Praxen die Informationen nach Art. 13 DS-GVO für die betroffenen Personen, also im Zweifel für die Patienten und Mitarbeiter, aktualisieren und verfügbar haben. Den Patienten müssen diese Informationen zur Verfügung gestellt werden. Dazu wird sich ein Aushang in der Praxis oder eine Aufnahme auf die Webseite anbieten. Ärzte müssen darauf vorbereitet sein, dass Patienten ihre Rechte nicht nur nach dem Patientenrechtegesetz, sondern auch nach der Datenschutz-Grundverordnung, wahrnehmen. Praxen müssen darauf vorbereitet sein, dass bei ihnen Verletzungen der Datensicherheit auftreten können und damit eine Pflicht zur Meldung an die Aufsichtsbehörde entsteht. Soweit Praxen Dienstleister eingeschaltet haben, die für sie personenbezogene Daten verarbeiten (z.B. Abrechnungsstellen, Wartung der Praxis-IT) müssen sie prüfen, ob sie die entsprechenden Verträge zur Auftragsdatenverarbeitung abgeschlossen haben bzw. Einwilligungen der Patienten zur Weitergabe der Daten vorliegen.
Brauchen alle Ärztinnen und Ärzte künftig einen Datenschutzbeauftragten bzw. für welche Ärztinnen und Ärzte ist ein Datenschutzbeauftragter Pflicht?
Wenn in einer Arztpraxis regelmäßig mehr als neun Personen mit der Verarbeitung personenbezogener Daten zu tun haben, ist – wie bisher auch – ein Datenschutzbeauftragter zu bestellen. Wenn in einer kleineren Praxis eine Datenverarbeitung erfolgt, die eine vorherige Datenschutz-Folgenabschätzung (siehe oben) erfordert, dann ist auch in diesem Fall ein Datenschutzbeauftragter zu bestellen.
Was sind die Aufgaben eines Datenschutzbeauftragten? Wer kann Datenschutzbeauftragter in einer ärztlichen Praxis werden? Was kann ich als Praxisinhaber tun, wenn niemand in der Praxis dafür geeignet ist?
Der Datenschutzbeauftragte soll den Praxisinhaber und die Mitarbeiter im Datenschutz schulen und beraten. Er soll die Einhaltung der Datenschutzvorschriften überwachen und gegenüber dem Praxisinhaber darauf hinwirken, dass die Vorschriften eingehalten werden. Schließlich steht der Datenschutzbeauftragte der Aufsichtsbehörde, Mitarbeitern und Patienten als Ansprechpartner zur Verfügung. Bestellt werden kann jede Person, die über die erforderlichen Kenntnisse im Datenschutzrecht verfügt und bei der, wenn sie bestellt wird, keine Interessenkollision auftaucht. Eine solche wäre z.B. dann gegeben, wenn der Praxisinhaber sich selbst oder den IT-Verantwortlichen bestellen würde. Wenn niemand in der Praxis vorhanden ist, der zum Datenschutzbeauftragten bestellt oder geschult werden kann, kann man auch auf vertraglicher Basis einen externen Datenschutzbeauftragten bestellen. Wird ein Datenschutzbeauftragter bestellt, muss das der Datenschutzaufsichtsbehörde mitgeteilt werden. Dafür wird es ab Mai einen Onlineservice auf unserer Homepage geben.
Welche Rechte haben meine Patienten (Auskunft etc.)?
Neben den Ansprüchen nach dem Patientenrechtegesetz, die hier nicht weiter dargestellt werden, verpflichtet die Datenschutz-Grundverordnung Praxisinhaber, die sogenannten Betroffenenrechte einzuhalten. Für Arztpraxen sind dies insbesondere die Rechte auf Auskunft, Berichtigung, Löschung und das Recht auf Widerruf einer Einwilligung. Das bedeutendste Recht ist das Recht auf Auskunft, da der Patient nur dann gegebenenfalls auch einen weiteren Anspruch auf Berichtigung oder Löschung von Daten geltend machen kann, wenn er weiß, über welche Informationen die Arztpraxis verfügt. Wichtig für die Praxis ist, dass dieses Recht nicht ausgeschlossen werden kann und innerhalb eines Monats erfüllt werden muss. Prüfungen haben gezeigt, dass viele Praxen nicht in der Lage sind, dieses Auskunftsrecht zu erfüllen. Es empfiehlt sich deshalb dringend, dass Praxen im Rahmen einer Übung testen, wie sie damit umgehen würden, wenn von mehreren Patienten Auskunftsansprüche geltend gemacht werden. Sie müssen dann in der Lage sein, aus möglicherweise unterschiedlichen Speichermedien alle Daten zusammenzutragen, die einen Patienten betreffen, und ihm diese Informationen in geeigneter Art und Weise zu übergeben. Soll die Verarbeitung von Patientendaten, z.B. die Übermittlung von Daten an Abrechnungsstellen, auf eine Einwilligung gestützt werden, müssen die Patienten auf ihr Recht auf Widerruf dieser Einwilligung hingewiesen werden. Wird die Einwilligung widerrufen, darf die Verarbeitung von Patientendaten, die bisher auf eine Einwilligung gestützt wurde, ab Widerruf nicht mehr erfolgen.
Womit müssen Ärztinnen und Ärzte seitens des Bayerischen Landesamts für Datenschutzaufsicht rechnen, wenn sie den Anforderungen der Datenschutz-Grundverordnung nicht gerecht werden? Welche Sanktionen drohen?
Die Datenschutz-Grundverordnung sieht für die Aufsichtsbehörden einen deutlich erweiterten Aufgabenkatalog vor und die Pflicht, effektive Kontrollen zur Einhaltung datenschutzrechtlicher Vorschriften durchzuführen. Ferner haben die Gesetzgeber bei der Datenschutz-Grundverordnung zur Sicherstellung der Einhaltung dieser Vorschriften den Sanktionsrahmen für Datenschutzverstöße drastisch auf bis zu 20 Mio. Euro erhöht. Die Erwartung des Gesetzgebers ist, dass die Aufsichtsbehörden bei festgestellten Datenschutzverstößen in wesentlich mehr Fällen als bisher Sanktionen festsetzen. Dies wird sich auch in der Praxis des Bayerischen Landesamts für Datenschutzaufsicht niederschlagen. Vorrang haben zwar nach wie vor die Bearbeitung konkreter Beschwerden und die Beratung zur Verhinderung der Verstöße. Dennoch wird die Zahl der Bußgeldbescheide deutlich steigen müssen.
Was muss ich tun, wenn es in meiner Praxis doch mal zu einer Datenpanne kommt? Muss ich jeden Vorfall der Aufsichtsbehörde melden?
Die Datenschutz-Grundverordnung hat die Pflicht zur Meldung von Verletzungen der Datensicherheit, bisher Datenpannen genannt, extrem erweitert. Jede Verletzung der Datensicherheit muss innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. Das kann der Verlust von Datenträgern sein, ein Hacking-Vorfall, aber auch eine Fehlversendung eines Arztbriefs an einen falschen Adressaten. Wie schon zur Sicherstellung der Betroffenenrechte ausgeführt, sollten Arztpraxen auch für den Fall einer Datenschutzverletzung vorbereitet sein und geübt haben, wie damit umzugehen ist. Sinnvoll ist es deshalb auch hier, testweise von einer Datenschutzverletzung auszugehen und zu üben und festzulegen, wer tatsächlich die Datenschutzverletzung festzustellen hat, welche Maßnahmen sofort ergriffen werden müssen und wie sichergestellt werden kann, dass die Aufsichtsbehörde innerhalb von 72 Stunden und gegebenenfalls auch die betroffenen Patienten informiert werden können.
Was ändert sich für Klinikärzte?
Klinikärzte sind in die Organisation des jeweiligen Krankenhauses eingebunden und datenschutzrechtlich nicht als sogenannte Verantwortliche anzusehen, die die datenschutzrechtlichen Pflichten treffen. Hier müssen die jeweiligen Krankenhäuser die rechtlichen Anforderungen umsetzen. Anders kann das dann sein, wenn der Arzt neben der eigentlichen Tätigkeit im Krankenhaus Patienten, etwa in einer privatärztlichen Ambulanz, behandelt. Hier treffen ihn im Zweifel die gleichen datenschutzrechtlichen Pflichten wie einen niedergelassenen Arzt. Sofern ein Arzt neben seiner Tätigkeit als niedergelassener Arzt auch als Belegarzt im Krankenhaus arbeitet, hat er gegebenenfalls in gemeinsamer Verantwortung mit dem Krankenhaus die datenschutzrechtlichen Vorschriften einzuhalten.
Welche Aufgaben hat das Bayerische Landesamt für Datenschutzaufsicht und was ist der Unterschied zwischen Ihrer Behörde und dem Bayerischen Landesbeauftragten für den Datenschutz?
Sowohl wir als auch der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) sind eigene unabhängige Datenschutzaufsichtsbehörden. Unsere Aufgaben lassen sich folgendermaßen zusammenfassen: Prüfen und Beraten der Verantwortlichen, Bearbeitung von Beschwerden, Erlass von Anordnungen und Bußgeldbescheiden bei festgestellten Verstößen sowie Zusammenarbeit mit anderen deutschen und europäischen Aufsichtsbehörden – mit dem Ziel des einheitlichen Vollzugs der Datenschutzvorschriften in Europa. Der Unterschied zwischen dem BayLfD und uns besteht in unseren Zuständigkeitsbereichen. Wir sind für den sogenannten nichtöffentlichen Bereich zuständig, also für Vereine, private Unternehmen und freiberuflich Tätige. Der BayLfD ist für öffentliche Stellen, d.h. Behörden, aber beispielsweise auch Krankenhäuser in öffentlicher Trägerschaft, zuständig.
Welche Unterstützung kann das Bayerische Landesamt für Datenschutzaufsicht betroffenen Ärztinnen und Ärzten geben?
Wir haben auf unserer Homepage (www.lda.bayern.de) zahlreiche Informationen zum Datenschutzrecht zusammengestellt. Was wir in den letzten Jahren getan und welche Auffassungen wir vertreten haben, findet sich auch in unseren Tätigkeitsberichten. Zusammen mit der KVB haben wir an allen Standorten der KVB im Herbst Vorträge zum neuen Recht gehalten. Die Materialien sind für alle KVB-Mitglieder online abrufbar. Zu einigen Themen der DatenschutzGrundverordnung haben wir in Kurzpapieren beschrieben, was gemacht werden sollte. Wir haben ferner Muster für Verträge und das Verzeichnis der Verarbeitungstätigkeit zusammengestellt. Zudem haben wir Fragebögen veröffentlicht, mit denen man selbst testen kann, was noch alles zur Erfüllung der neun datenschutzrechtlichen Vorschriften getan werden müsste. Diese Informationen werden permanent erweitert. Sofern Sie Antworten auf Ihre Fragen nicht auf unserer Homepage finden, stehen wir auch beratend zur Seite, am besten unter: poststelle@lda.bayern.de .
Wo finden sich weitere hilfreiche Materialien?
Die KVB hat ein Handbuch zum Datenschutz in der Arztpraxis veröffentlicht, das als Nachschlagewerk für einzelne Fragen hilfreich ist. Unsere Kollegen von der Aufsichtsbehörde in Schleswig-Holstein haben eine Liste mit Datenschutz-Kontrollfragen für Arztpraxen veröffentlicht, mit der man einen kleinen Selbstcheck der Praxisorganisation durchführen kann. Neben den erwähnten Materialen kann man weiterführend die sogenannten Working Paper des Arbeitsgremiums aller europäischen Datenschutzaufsichtsbehörden lesen. Sie eignen sich aber eher als Nachschlagewerk bei sehr speziellen Fragen.
Das Interview führte Stephanie Hügler