Die EU-Datenschutzgrundverordnung (DSGVO) - ausgewählte Aspekte für Arztpraxen und Krankenhäuser

Zum 25.Mai 2018 gilt die EU-Datenschutzgrundverordnung. Hier zeigen wir wesentliche und wichtige Aspekte für Arztpraxen bzw. Krankenhäuser auf. An dieser Stelle dürfen wir auf unseren einleitenden Artikel zur DSGVO sowie auf unseren Artikel zur Neuregelung der Berufsgeheimnisträger (§ 203 Abs. 3 und 4 StGB) hinweisen.

 

Die Europäische Datenschutzgrundverordnung (DSGVO) wird zum 25.05.2018 unmittelbar in allen europäischen Staaten gelten, d.h. es bedarf keines deutschen Umsetzungsgesetzes. Damit löst sie in Deutschland das bisherige Bundesdatenschutzgesetz (BDSG) ab. Die DSGVO lässt an verschiedenen Stellen nationale Regelungen (Öffnungsklauseln) zu. Diese werden durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU, nachfolgend BDSG-neu, in Deutschland ausgefüllt. Im Ergebnis sind ab dem 25. Mai 2018 alle datenschutzrechtlich relevanten Vorgänge zunächst nach der DSGVO und erst ergänzend nach dem Bundesdatenschutzgesetz-neu zu bewerten.

 

Betroffen sind davon insbesondere Praxisinhaber und Krankenhäuser, da diese besondere personenbezogene Daten verarbeiten. Nachfolgend werden die wesentlichen Aufgaben, welche sich aus der DSGVO für Praxen und Krankenhäuser ergeben:

  1. Festlegung der exakten Verarbeitungszwecke von Datenverarbeitungen gem. Art. 5 Abs. 1 b DSGVO
  2. Erstellung des Verzeichnisses für Verarbeitungsvorgänge gem. Art. 30 DSGVO
  3. ggf. Benennung eines Datenschutzbeauftragten gem. Art. 39 DSGVO
  4. Abschluss von Auftragsverarbeitungsvereinbarungen (AV) gem. Art. 28 DSGVO sowie Geheimhaltungsvereinbarungen nach der Novellierung des § 203 StGB für den Auftragnehmer und alle seine Subunternehmer
  5. Ergreifung geeigneter Maßnahmen, um Betroffenenrechte zu wahren gem. Art. 12 Abs. 1 DSGVO, beispielsweise Einhaltung der Informationspflichten gegenüber allen Patienten etc.
  6. Festlegung und Umsetzung von geeigneten technisch-organisatorische Maßnahmen mit entsprechender Dokumentation gem. Art. 24 Abs. 1, Art. 32 DSGVO
  7. Überarbeitung von Homepage/Impressum
  8. Prüfung der Datenportabilität.
  9. Prüfung, ob gem. Art. 35 DSGVO eine  Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss.
  10. Durchführung (ggf.) einer Datenpannenmeldung gegenüber der Aufsichtsbehörde.
  11. Beachtung von erhöhten Bußgelder bei Verstößen (sogar auch bereits bei nur drohenden Verstößen) gegen die DSGVO.

1. Festlegung exakter Verarbeitungszwecke

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Ausnahmen zu dieser Zweckbindung gelten lediglich für im öffentlichen Interesse liegende Archive, wissenschaftliche und historische Forschungen sowie für rein statistische Zwecke (Art. 5 Abs. 1 d DSGVO).

2. Verzeichnis für Verarbeitungsvorgänge gem. Art. 30 DSGVO

Die DSGVO fordert in Artikel 30, dass alle Verantwortlichen/Praxisinhaber ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen haben, die in ihrer Praxis/ihrem Krankenhaus durchgeführt werden. Dazu gehören z.B. die Patienten- und Personalakten, aber auch die Finanz- sowie Personalbuchhaltung und Terminverwaltung. Dazu muss in der Praxis eine Bestandsaufnahme erfolgen, welche Daten und auf welcher Rechtsgrundlage diese verarbeitet werden.
Die Verzeichnisse können sowohl elektronisch als auch auf Papier geführt werden. Sie müssen aktuell sein.

3. Datenschutzbeauftragter gem. Art. 39 DSGVO

Die Arztpraxis muss gem. § 38 BDSG-neu einen Datenschutzbeauftragten benennen und die Kontaktdaten der Aufsichtsbehörde melden, wenn in der Regel mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogenen Daten beschäftigt sind.
Einzelpraxen, d.h. Praxen in denen nur ein Berufsträger/Arzt tätig ist, müssen laut den Erwägungsgründen der DSGVO keinen Datenschutzbeauftragten bestellen, sofern keine umfangreiche Verarbeitung von Gesundheitsdaten, wie z. B. bei einer großen Anzahl von Patientendatensätzen erfolgt. Ungeklärt ist bisher, ob ab zwei Berufsträgern in der Arztpraxis grundsätzlich eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht.

4. Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO

Praxen/Krankenhäuser beauftragen beispielsweise für die Buchhaltung, die Wartung der Praxisverwaltungssysteme (PVS) oder die Aktenvernichtung externe Dienstleister, die vornehmen. Wenn ein externer Dienstleister diese Tätigkeiten im Auftrag der Arztpraxis/des Krankenhauses erledigt, handelt es sich nach neuem Recht um eine Auftragsverarbeitung gem. Art 28 DSGVO, bislang handelte es sich um eine Auftragsdatenverarbeitung gem. § 11 Abs. 2 Satz BDSG. Sowohl nach derzeitigem Recht als auch künftig nach der DSGVO sind für die wirksame Vereinbarung der Auftragsverarbeitung strenge vertragliche Anforderungen zu erfüllen. Insbesondere ist auf die konkrete Einhaltung der technisch-organisatorischen Maßnahmen (TOM) zur Datensicherheit das Augenmerk zu richten. Diese müssen konkret benannt werden. Die Aufführung der TOM als bloß geeignete Maßnahmen ohne konkrete Umsetzungsabsicht ist unzureichend und wurde bereits in der Vergangenheit mit Bußgeldern bestraft.
Bspw. hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in der Vergangenheit bereits ein Bußgeld in fünfstelliger Höhe gegen ein Unternehmen verhängt, weil dieses in seinen Auftragsdatenverarbeitungsverträgen keine hinreichend genauen Regelungen zu technisch-organisatorischen Maßnahmen zum Schutz der Daten getroffen hatte.

Je detaillierter man dabei vorgeht, desto besser. Es ist also nicht ausreichend, zu statuieren, dass ein Passwortmanagement besteht. Die TOM sollten auch darüber Aufschluss geben, wie dieses ausgestaltet ist. Demnach ist anzugeben, wie viele Stellen das Passwort haben muss, welche Komplexitätsanforderungen gestellt werden, wie oft das Passwort gewechselt werden muss und nach wie vielen Fehlversuchen eine Sperrung erfolgt. Die schriftliche Fixierung der TOMs dient dazu, dem Auftraggeber die gesetzlich vorgeschriebene Kontrolle seines Auftragnehmers zu ermöglichen. Erst wenn dies im Einzelfall problemlos möglich ist, kann die Festlegung der TOM als tatsächlich ausreichend angesehen werden.
Somit trifft den Arzt (das Krankenhaus), der (das) für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich gemacht wird, insbesondere die folgenden Pflicht:

 

Er hat den Auftragnehmer unter besonderer Berücksichtigung der Eignung der  von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig  auszuwählen. Somit hat er sich vor der Auftragserteilung zu  vergewissern, dass der Auftragnehmer befähigt und willens ist, die  erforderlichen Sicherungsmaßnahmen auch tatsächlich auszuführen.


Hier ist im Hinblick auf die erweiterten Geheimhaltungsverpflichtungen des Auftragnehmers und seiner Subunternehmer gem. § 203 StGB (siehe Aufsatz und 23. Rechtsprechungsreport vom 04.04.2017) zukünftig auch darauf zu achten, dass die Einbeziehung Dritter gleichzeitig deren Verpflichtung bedeutet.
Dem erforderlichen Schutz beruflich anvertrauter Geheimnisse wird dadurch versucht Genüge zu leisten, dass im „neuen“ § 203 Abs. 4 StGB die Tatbestände zusammengefasst werden, wonach sich andere Personen als die Berufsgeheimnisträger selbst wegen Verletzung des Privatgeheimnisse strafbar machen können. Darüber hinaus kann der Berufsgeheimnisträger sich seinerseits strafbar machen, wenn:
  • der Berufsgeheimnisträger die mitwirkenden Personen nicht zur Geheimhaltung verpflichtet hat oder
  • die mitwirkenden Personen weitere mitwirkende Personen beauftragt und diese nicht zur Geheimhaltung verpflichtet hat.

5. Neue Informationspflichten gegenüber den Betroffenen (Patienten/Patientin)

Die DSGVO erweitert die sogenannten Betroffenenrechte erheblich. Patienten sind konkret und verständlich darüber zu informieren, was zu welchem Zweck mit den personenbezogenen Daten gemacht werden soll. Die Information an den Patienten hat zu erfolgen, bevor die Datenverarbeitung stattfindet und/oder bei dem ersten Kontakt des Patienten zu dem Arzt. Sie ist nicht jährlich zu wiederholen.
Die Information muss die folgenden wesentlichen Eckpunkte beinhalten:
  • Namen und Kontaktdaten des Verantwortlichen
  • ggf. Kontaktdaten eines Datenschutzbeauftragten  
  • Zwecke, für die die Daten verarbeitet werden sollen sowie deren Rechtsgrundlage
  • Interessen des Verantwortlichen, wenn er Daten auf der Basis einer Interessenabwägung verarbeiten möchte
  • Empfänger der Daten, falls der verantwortliche Arzt die Behandlungsdaten beispielsweise aufgrund gesetzlicher Offenbarungsbefugnisse oder zu Zwecken der Abrechnung weitergeben möchte
Über die Betroffenenrechte ist sehr konkret zu informieren. Hierzu folgendes Textbeispiel (ohne Anspruch auf Vollständigkeit bzw. Richtigkeit im Einzelfall):

„Sie haben das Recht:
  • gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit  gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die  Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht  mehr fortführen dürfen;
  • gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten  personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft  über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten,  die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt  wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts  auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder  Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten,  sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer  automatisierten Entscheidungsfindung einschließlich Profiling und ggf.  aussagekräftigen Informationen zu deren Einzelheiten verlangen;
  • gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder  Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu  verlangen;
  • gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten  personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur  Ausübung des Rechts auf freie Meinungsäußerung und Information, zur  Erfüllung  einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von  Rechtsansprüchen erforderlich ist;
  • gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer  personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von  Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren  Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese  zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie
  • gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt  haben;
  • gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns  bereitgestellt haben, in einem strukturierten, gängigen und  maschinenlesebaren Format zu erhalten oder die Übermittlung an einen  anderen Verantwortlichen zu verlangen und
  • gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. In  der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen  Aufenthaltsortes oder Arbeitsplatzes oder unseres Praxissitzes in Stelle  wenden."

6. Festlegung und Umsetzung von geeigneten technisch-organisatorische Maßnahmen

Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und nachweisen zu können, dass die Verarbeitung im Sinne der DSGVO erfolgt. Hierbei hat er Art, Umfang, Umstände und Zweck der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen hinreichend zu berücksichtigen. 
Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen (Art. 24 DSGVO).

7. Praxishomepage/Impressum

In dem Zusammenhang müssen Impressum sowie Datenschutzerklärung auf der jeweiligen Praxishomepage überprüft und an die Voraussetzungen der DSGVO angepasst werden.

8. Datenportabilität

Nach der DSGVO darf jede betroffene Person (Patientin) verlangen, dass ihr der Verantwortliche ihre personenbezogenen Daten in einem strukturierten, gängigen sowie maschinenlesbaren Format zur Verfügung stellt. Informationen, die der Arzt eigenständig hinzugefügt hat, sind davon nicht betroffen.
Zur Datenübertragbarkeit verweisen wir auf einen Beitrag im Deutschen Ärzteblatt vom 23. Feb. 2018.

9. Datenschutzfolgeabschätzung gem. gem. Art. 35 DSGVO

Schon nach dem BDSG-alt war es gem. § 4d Abs. 5 erforderlich, in bestimmten Fällen eine Vorabkontrolle durchzuführen, nämlich dann, wenn sich aus der automatisierten Verarbeitung personenbezogener Daten besondere Risiken für die Betroffenen ergeben.[1]
 
Im BDSG war von „besonderen Risiken“ die Rede, Art. 35 Abs. 1 DSGVO fordert hingegen ein „hohes Risiko“ an. Als besonders risikobehaftet galten gemäß § 4d Abs. 5 BDSG-alt einerseits sogenannte „besondere Daten“, die sich nach ihrer Definition in § 3 Abs. 9 BDSG-alt auf höchstpersönliche Eigenschaften oder Überzeugungen einer Person beziehen. Exemplarisch nannte das Gesetz Datenverarbeitungen, die dazu bestimmt sind, eine Person in umfassender Weise zu bewerten, insbesondere hinsichtlich ihrer Fähigkeiten, Leistungen oder ihres Verhaltens.
 
Ähnlich formuliert es Art. 35 DSGVO, ohne jedoch ausdrücklich zu definieren, wann eine Verarbeitung ein hohes (oder besonderes) Risiko für den Betroffenen zur Folge hat. Tatsächlich werden in Abs. 3 Anwendungsfälle aufgeführt, die im Wesentlichen den bisherigen Beispielen des BDSG entsprechen, dass heisst insbesondere bei automatisierten Scoring-Verfahren, in denen ohne menschliches Dazutun über besonders wichtige Fragen entschieden wird (sog. „profiling“ aufgrund automatisierter Verfahren), beispielsweise bei Kreditvergaben oder Bewerbungsverfahren oder bei einer umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1.
Ergänzt werden diese Anwendungsfälle durch die drei Erwägungsgründe von 89 bis 91, die zusätzlich auf den Umfang der Verarbeitung und den Einsatz neuer Technologien abstellen. Es handelt sich dabei um die folgend aufgeführten Anwendungsfälle:
  • Automatisierte systematische und umfassende Bewertung persönlicher Aspekte, die als Grundlage einer Entscheidung mit Rechtswirkung dient.
  • Umfangreiche Verarbeitung von Daten besonderer Kategorien nach Art. 9 Abs. 1 DS-GVO, so bspw. Gesundheitsdaten.
  • Nach Erwägungsgrund 91 Satz 4 zu der DSGVO handele es sich allerdings nicht um eine umfangreiche Verarbeitung von Patienten- und Mandantendaten, wenn diese durch einen Einzelarzt erfolgt.

10. Datenpannenmeldung

Wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt, muss der Arzt/das Krankenhaus im Normalfall dies umgehend der zuständigen Landesaufsichtsbehörde melden. Er muss diese Meldung unaufgefordert von sich aus vornehmen. Wird dies unterlassen droht ein Bußgeld.
Der Katalog der meldepflichtigen Datenschutzverletzungen ist im Vergleich zur bisherigen Regelung umfangreicher. Die Erstmeldung an die Aufsichtsbehörde muss innerhalb von 72 Std. erfolgen. Unter Datenschutzverletzung ist jeder Umgang mit Daten, der – unbeabsichtigt oder beabsichtigt – zu einem unrechtmäßigen Umgang mit den Daten führt oder führen kann, d.h. auch Verletzungen der Sicherheit der Datenverarbeitung. Beispiele wären: Hackerangriff auf die IT-Systeme und Abzug von Daten; der Fehlversand von E-Mails, versehentlicher elektronischer Versand einer unverschlüsselten Liste mit Daten an einen unrechtmäßigen Empfänger; der Verlust oder Diebstahl eines Laptops oder eines anderen Datenträgers oder medizinischen Geräts, wenn die Daten darauf nicht ausreichend verschlüsselt sind.
Die Meldepflicht gegenüber den Datenschutzbehörden besteht nach der DSGVO schon, wenn ein Risiko für den Betroffenen vorliegt. Eine Meldepflicht gegenüber dem jeweils Betroffenen selbst wiederum benötigt das Vorliegen eines hohen Risikos für den/die Betroffenen. Alle Tatsachen, die im Zusammenhang mit einer Schutzverletzung stehen, sind zu dokumentieren (Art. 33 Abs. 5 DSGVO). Fehlt eine solche Dokumentation, kann dies ebenfalls zu einer bußgeldbewehrten Sanktion führen.

11. Bußgelder

Bei Verstößen gegen die Verpflichtungen der Art. 28 ff. DSGVO drohen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern nach Art. 83 DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist. Die Bußgelder sind in diesem Zusammenhang massiv erhöht worden und verleihen dem Regelungs- und Beachtungsbedarf durch die starke Verschärfung Nachdruck.
Autorin: Frau Rechtsanwältin Claudia Holzner, LL.M. (Fachanwältin für Medizinrecht)

Der Newsletterempfang kann jederzeit widerrufen werden.

6. Dresdner Medizinrechtssymposium
5. Dresdner Medizinrechtssymposium
4. Dresdner Medizinrechtssymposium
3.Dresdner Medizinrechtssymposium
2. Dresdner Medizinrechtssymposium
Klinische Auftragsforschung - Ein Geschäftsfeld im Krankenhaus
www.klifo-im-kh.de
Datenschutz in der Medizin
in Kooperation mit www.update-bdsg.com
1. Dresdner Medizinrechtssymposium 1. Dresdner Medizinrechtsymposium
Masterstudiengang "Medizinrecht LL.M."
Masterstudiengang "Medizinrecht LL.M."