DSGVO verschlafen? Ein Notfallplan für Hausärzte

DSGVO verschlafen? Ein Notfallplan für Hausärzte Heute ist die neue Datenschutzgrundverordnung exakt seit einem Monat gültig. Haben Praxisinhaber die Umstellung bisher verpasst, müssen sie in der Regel nicht mit Millionenstrafen rechnen – das Risiko für Bußgelder besteht trotzdem. Ein Experte erklärt, was zu tun ist. „Als Praxis sollte man das Thema Datenschutz ernst nehmen und – falls noch nicht geschehen – alles auf den Weg bringen“ sagt Dr. Matthias Rudolph. Er ist Fachanwalt für Urheber- und Medienrecht und Partner bei der FREY Rechtsanwälte Partnerschaft in Köln. Seit einem Monat gilt die neue Datenschutz-Grundverordnung (DSGVO). Müssen Praxisinhaber, die ihre Datenverarbeitung noch nicht an den rechtlichen Soll-Zustand angepasst haben, aktuell Angst vor Strafen haben? Rudolph: „Aufsichtsbehörden sind nicht begeistert, wenn Inhaber das Thema links liegen lassen. Ich glaube aber nicht, dass Arztpraxen bei Datenschutzbehörden ganz oben auf der Prioritätenliste stehen.“ Ein Risiko sei aber nicht auszuschließen. „Falls sich Patienten beschweren, gehen die Aufsichtsbehörden der Sache nach.“ Auch seien Abmahnungen durch missgünstige Konkurrenten möglich. Deshalb ist es jetzt an der Zeit, zu handeln. Der Notfallplan
Rudolph (2)

Dr. Matthias Rudolph © FREY Rechtsanwälte Partnerschaft „Zuerst sollte die Praxis auf ihrer Homepage korrekte Datenschutzhinweise veröffentlichen, um in der Außenkommunikation sauber aufzutreten und keine Abmahnungen zu provozieren“, rät Rudolph. Arbeitshilfen und Vorlagen sind z. B. bei der Ärztekammer Nordrhein und bei der Kassenärztlichen Bundesvereinigung (KBV) online abrufbar. Auch die Datenschutzkonferenz hat zahlreiche Kurzpapiere veröffentlicht. „Dann sollte eine schnelle Bestandsaufnahme folgen“, sagt der Experte.

Schritt 1: Erstellen Sie eine Übersicht mit allen Vorgängen, bei denen personenbezogene Daten von Patienten oder Angestellten erfasst werden.

Schritt 2: Prüfen Sie, welchen Zweck die Datenverarbeitung hat und ob diese durch bestehende Rechtsvorschriften legitimiert wird (etwa zu Abrechnungszecken) oder ob Zustimmungen eingeholt werden müssen (etwa Terminerinnerungen oder Newsletter). Wer sind die Empfänger, und welche Löschfristen gibt es?

Schritt 3: Ergänzen Sie Ihre Adresse und gegebenenfalls die Adresse Ihres Datenschutzbeauftragten, falls erforderlich (siehe unten).

Schritt 4: Führen Sie gegebenenfalls eine Datenschutz-Folgenabschätzung durch, falls erforderlich (siehe unten).

Das klingt nach viel Arbeit. Praxisinhaber können sich die Sache durch Vorlagen erleichtern oder zur Not Leistung einkaufen, indem sie einen externen Datenschutzbeauftragten beauftragen. Das bieten mittlerweile einige Firmen an. Vorgänge in der Praxis: Vieles ist nicht neu
„Datenschutz begegnet uns überall in der Arztpraxis“, so Rudolph. Das beginnt am Empfang bei der Anmeldung mit dem Einlesen der elektronischen Gesundheitskarte, mit Terminvereinbarungen, Verordnungen oder Überweisungen. Patientenakten mit Untersuchungsergebnissen, Blutwerte und Daten aus der Bildgebung kommen noch hinzu. Dass viele Ärzte angesichts der DSGVO stöhnen, ist für Rudolph nicht ganz nachvollziehbar: „Es gab auch schon vorher Regelungen zum Datenschutz.“ Viele Überlegungen seien nicht völlig neu:

Die Praxis achtet auf Diskretion. Das betrifft sowohl Gespräche am Empfang, beim Arzt, als auch Unterlagen oder Bildschirme.

Analoge oder digitale Patientenakten werden sicher verwahrt. Computer sind vor unbefugten Zugriffen durch Passwörter geschützt. Die Berechtigung von Angestellten richtet sich nach der ausgeübten Tätigkeit.

Es gibt klare Zuständigkeiten und Fristregelungen, um Daten zu löschen. Die Aufbewahrungsfristen sind bekannt.

Alle Angestellten wissen, an wen sie personenbezogene Daten weitergeben – und an wen nicht. Telefonische Auskünfte an unbekannte Personen sind nicht legitim.

Was vielen Ärzten neu erscheint, ist das Verhältnis zu externen Firmen. Hier sind Verträge zur Auftragsverarbeitung erforderlich. Das betrifft bei Praxen in erster Linie externe Firmen, die Arztinformationssysteme betreuen oder Dienstleister für Abrechnungen. „Aber auch eine Auftragsdatenverarbeitung gab es schon vor der DSGVO“, so Rudolph. Zweck der Verarbeitung: Manchmal geht es auch ohne Unterschrift
Nicht bei jeder Verarbeitung personenbezogener Daten müssen Betroffene zustimmen. Die Behandlung des Patienten oder die Abrechnung mit Krankenkassen sind ohne eine schriftliche Zustimmung möglich. Gibt es gesetzliche Pflichten, dürfen Ärzte aus datenschutzrechtlicher Sicht beispielsweise sozialrechtliche Informationen an Krankenkassen oder medizinische Daten zu übertragbaren Infektionen an Gesundheitsämter weitergeben. Es ist allerdings obligatorisch eine Patientenzustimmung einzuholen, wenn derartige Rechtsgrundlagen für eine Tätigkeit, die eine Verarbeitung personenbezogener Daten beinhaltet, fehlen. Das kann Anfragen gesetzlicher Krankenkassen auf dem „kleinen Dienstweg“ betreffen, aber auch Marketingmaßnahmen der Praxis wie Newsletter beziehungsweise Erinnerungsmails für Vorsorgeuntersuchungen. Bei Einbeziehung einer privatärztlichen Verrechnungsstelle kann dies ebenfalls erforderlich sein. Derartige Einwilligungserklärungen enthalten jetzt auch Hinweise darauf, dass Patienten ihre Einwilligung jederzeit widerrufen können. Unabhängig davon sieht die DSGVO vor, Patienten über den Zweck der Datenverarbeitung, über Empfänger, Aufbewahrungsfristen und über ihre Rechte aufzuklären – etwa per Aushang oder per Handzettel im Wartezimmer. Datenschutzbeauftragter – nicht immer erforderlich
Ab zehn Personen, die regelmäßig personenbezogene Daten automatisiert verarbeiten, muss darüber hinaus ein Datenschutzbeauftragter bestellt werden. Rudolph: „Kleinere Praxen brauchen diese Funktion nach Auffassung der Aufsichtsbehörden nicht zu besetzen.“ Ausschlaggebend ist die reine Zahl an Köpfen. Ob es sich um Vollzeit-, Teilzeitangestellte, Praktikanten oder Azubis handelt, interessiert den Gesetzgeber dabei nicht. Datenschutzbeauftragte sind keineswegs nur „Papiertiger“. Sie müssen entsprechendes Wissen bereits erworben oder Schulungen besucht haben. Außerdem genießen sie laut Rudolph einen stärkeren Schutz vor Kündigungen. Er rät her zu externen Anbietern – auch als schnellere Option, verglichen mit der Schulung von Angestellten. So oder so ist der Datenschutzbeauftragte offiziell zu bestellen. Das heißt, der Landesdatenschutzbeauftragte erhält seine Kontaktdaten. Der Praxisinhaber selbst scheidet als Datenschutzbeauftragter übrigens aus, da eine neutrale Person ohne Interessenkonflikte gewünscht ist. Datenschutz-Folgenabschätzung: Was könnte passieren?
Im Arbeitsalltag beraten Datenschutzbeauftragte die Praxisleitung zu allen Fragen rund um Datenschutz und Datensicherheit. Dazu gehören auch Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO bei besonders sensiblen Daten. „Das ist bei erhöhten Risiken, etwa durch die Verarbeitung großer Mengen personenbezogener Daten oder durch den Einsatz neuer Technologien mit hohem Risiko der Fall“, erklärt Rudolph. Hier lauern Risiken, weil die Passage schwammig formuliert sei. Der Experte verweist deshalb auf eine Zusammenstellung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg mit wichtigen Beispielen. Konkret ist eine Folgenabschätzung zum Beispiel bei Telemedizin-Lösungen erforderlich. Wer haftet bei Verstößen?
Verantwortlich für die Einhaltung aller Regelungen ist der Praxisinhaber. Bei größeren Strukturen wie medizinischen Versorgungszentren (MVZ) oder Krankenhäusern sind Geschäftsführer in der Pflicht. Wird die Verordnung nicht eingehalten, drohen Bußgelder in maximaler Höhe von 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes, je nachdem, welcher Wert der höhere ist. Haben Praxen Strafen in dieser Größenordnung zu befürchten? Das hält Rudolph zumindest in den Fällen für unwahrscheinlich, in denen Ärzte vernünftige Lösungen und Maßnahmen zum Datenschutz vorweisen können. „Die hohen Summen dürften vor allem bei schweren Verstößen von rein datengetriebenen Firmen greifen, deren Geschäftsmodell auf der umfangreichen Verarbeitung von personenbezogenen Daten beruht, und hängt auch von den ergriffenen Maßnahmen zum Schutz der personenbezogenen Daten ab“, sagt der Experte. Wer sich also gut um die Umsetzung der DSGVO kümmert, braucht nicht nervös zu werden – wer sie weiterhin ignoriert, schon eher.Bildquelle: Nick Webb, flickr / CC BY