Datenschutzrecht: 1 Jahr unter der DSGVO in der (Arzt-)Praxis

DSGVO, Datenschutz, Arztpraxis, Ärzteschaft, Rechtsanwalt David Seiler

EU-Datenschutz-Grundverordnung: Da kommt noch einiges auf Arztpraxen zu

Viel Lärm um nichts? Von wegen!

Das Datenschutzrecht hat mit der EU-Datenschutz-Grundverordnung (DSGVO) ab dem 25.05.2018 in der Öffentlichkeit hohe Wellen geschlagen. Jetzt ist es ruhiger, aber war es das wirklich schon? Nein! Im ersten Jahr stand bei den Datenschutzaufsichtsbehörden die Beratung im Vordergrund. Jetzt werden verstärkt Prüfungen angekündigt und durchgeführt. Was ist für Sie als Arzt in der Praxis wichtig? Die hier dargestellten Grundprinzipien des Datenschutzrechts und des Berufsgeheimnisses gelten entsprechend auch für Apotheker.

Datenschutz richtig praktiziert, schützt nicht nur die Daten von Patienten und Beschäftigten, sondern auch die Ärzte vor Imageverlusten, Bußgeldern und strafbaren Verstößen gegen das Berufsgeheimnis, § 203 StGB. Datenschutz umfasst auch die Pflicht zur IT-Sicherheit, Art. 32 DSGVO, § 22 BDSG. Datenverluste, Hackerangriffe, IT-Stillstand durch Stromausfall oder Erpressungssoftware wie im Krankenhaus in Fürstenfeldbruck müssen im Regelfall der Datenschutzaufsicht und oft auch den Patienten angezeigt werden, Art. 33 DSGVO, Art. 34 DSGVO.

Viel Lärm um nichts? Mitnichten!

Das Bundesdatenschutzgesetz gibt es seit über 40 Jahren und auch mit der DSGVO sind die wesentlichen Grundprinzipien gleich geblieben. Neu sind allerdings die Informationspflichten, Art. 13 DSGVO, und der erheblich ausgeweitete Bußgeldrahmen: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, Art. 83 DSGVO.. Das sorgte zunächst in den Medien aber auch in der Ärzteschaft für große Aufregung, die sich inzwischen aber weitgehend gelegt hat. 

Die Aufsichtsbehörden arbeiten an der Durchsetzung des Datenschutzrechts, beraten, prüfen und leiten auch erste Bußgeldverfahren ein. Stand das Jahr 2018 nach Aussagen von Aufsichtsbehörden schwerpunktmäßig im Zeichen der Beratung, so werden 2019 verstärkt Datenschutzprüfungen durchgeführt und auch Bußgelder verhängt werden.

Wer bislang noch nicht von Beschwerden, Prüfungen, Abmahnungen oder Bußgeldern betroffen war, sollte daraus keine Zukunftsprognose dahingehend ableiten, dass es auch so bleibt. Derjenige hat einfach Glück gehabt und sollte die Zeit nutzen, etwaige noch erforderliche Umsetzungsmaßnahmen anzugehen.

Wo hapert’s beim Datenschutz noch in der (Arzt-)Praxis?

Eine grundlegende Herausforderung ist das vielfach unzureichende Verständnis der Rechtsgrundlage der Datenverarbeitung: muss oder muss keine Einwilligung eingeholt werden und wenn ja, in welchen Fällen bzw. welche gesetzliche Grundlage gestattet auch ohne Einwilligung die Verarbeitung von Patientendaten. Somit werden häufiger unnötig Einwilligungen für die Datenverarbeitung im Rahmen der Diagnose und Behandlung eingeholt, obwohl für den Arzt eine gesetzliche Rechtsgrundlage zur Datenverarbeitung zur Diagnostik und Behandlung inkl. Diagnostik und Abrechnung besteht, Art. 9 Abs. 2 h) DSGVO, § 22 Abs. 1 BDSG. Wird trotzdem aktiv eine Einwilligung erbeten, kann diese vom Patienten jederzeit und ohne Angaben von Gründen widerrufen werden, Art. 7 DSGVO. Dann ist aber nach Ansicht der Datenschutzaufsichtsbehörden ein Rückgriff auf die gesetzliche Verarbeitungsgrundlage nicht mehr möglich. Die Datenverarbeitung ist dann rechtswidrig und kann streng genommen mit einem Bußgeld sanktioniert werden. 

Eine weitere Herausforderung ist das korrekte Ausfüllen von Musterformularen z. B. der Patienteninformation zum Datenschutz (KBV, LDS NS)., In der Praxis sind dabei vielfach grundlegende Fehler anzutreffen, z. B. 

  • wird der Datenschutzbeauftragte als Verantwortlicher genannt 
  • werden Datenschutzbeauftragte angegeben, obwohl keine benannt werden müssen 
  • werden Ärzte als Datenschutzbeauftragte angegeben, die einem Interessenkonflikt unterliegen
  • wird die Ärztekammer als Datenschutzaufsicht genannt 
  • werden falsche Rechtsgrundlagen oder Aufbewahrungsfristen angegeben.

Die qualifizierte Prüfung von Verträgen zur Auftragsverarbeitung mit Dienstleistern ist in der Praxis nur schwer zu leisten. Das schließt auch die technisch-organisatorischen Datenschutzmaßnahmen mit spezifischen Maßnahmen zum Gesundheitsdatenschutz ein. Wenige Dienstleiter bieten die nach der Neufassung des § 203 StGB (Berufsgeheimnis) erforderlichen Regelungen von sich aus an. Ärzte dürfen nach der Neufassung des § 203 StGB seit dem 22.09.2017 nicht nur „berufsmäßig tätige Gehilfen“ (z.B. Arzthelfer/-in) sondern auch „sonstige mitwirkende Personen“ (z.B. externe IT-Fachleute) im erforderlichen Rahmen Einsicht in Patientenakten gewähren, ohne sich strafbar zu machen. Dafür müssen sie aber im Gegenzug diesen Personenkreis über deren neue Strafbarkeit belehren, um sich nicht selbst wegen der unterlassenen Belehrung strafbar zu machen. Dieses Pflicht und das sonst bestehende Strafbarkeitsrisiko scheint noch wenig bekannt zu sein.

Beratung bieten u. a. im Gesundheitsdatenschutz spezialisierte Anwälte an.

Beratungsanfrage und Auslegungshilfen zur DSGVO

Die Verunsicherung, auch in der Ärzteschaft, hat dazu geführt, dass die Datenschutzaufsichtsbehörden mit Beratungsanfragen überhäuft wurden. Daher haben sich zumindest einige Aufsichtsbehörden mit speziellen Fragen der Umsetzung der DSGVO im Gesundheitsdatenschutz befasst und zahlreiche Detailfragen geklärt, Orientierungshilfe, Leitlinien, FAQ_Listen, Muster und Handreichungen veröffentlicht. Diejenigen, welche diese Hilfe nicht annehmen und umsetzen, sollen sanktioniert werden. Bei 16 Landesdatenschutzaufsichtsbehörden ist das Angebot groß. Hier sei auf zwei Beispiele verwiesen: 

Zunehmende Beschwerden wegen Datenschutzverstößen

Bundesweit haben die Aufsichtsbehörden bis September 2018 über 11.000 Beschwerden gezählt. Die Zahl der Beschwerden ist geradezu explodiert: 3 bis 10-mal so hoch wie vor der DSGVO. Die Zahl der Mitarbeiter der Aufsichtsbehörden ist nicht bzw. nicht im gleichen Maße gestiegen, so dass die Bearbeitung der Beschwerden teils mehrere Monate in Anspruch nimmt. Auch dies ist ein Grund, weshalb bislang nur vereinzelt etwas von den Auswirkungen der DSGVO zu hören ist.

Erste Bußgelder wegen Datenschutzverletzungen

Doch mittlerweile werden erste Konsequenzen spürbar: Das erste bekannt gewordene Bußgeld unter der DSGVO wurde in Portugal verhängt. 400.000 Euro Bußgeld wurde gegen ein Krankenhaus festgesetzt, weil kein funktionierendes Berechtigungskonzept vorlag. So gab es ca. 1.000 Ärzte-Accounts mit vollen Zugriffsrechten auf Patientendaten, aber nur ca. 300 Ärzte. In Deutschland wurde ein Bußgeld von 20.000 Euro wegen fehlender Verschlüsselung von Accountdaten inkl. E-Mail-Adresse und Passwörtern verhängt. Die Daten sind gehackt und ins Internet gestellt worden. 5.000 Euro Bußgeld wurden gegen eine 2-Personenfirma verhängt, die mit ihrem Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen hatte. 80.000 Euro Bußgeld wurde festgesetzt, weil Patientendaten im Internet zugänglich waren.

Datenschutzprüfungen

Beschwerden über Datenschutzverstöße veranlassen die Datenschutzaufsichtsbehörden zu konkreten Prüfungen. Es gibt aber auch Prüfungen, bei denen die Aufsichtsbehörden „Verantwortliche“ anschreiben und dazu auffordern, einen Fragebogen zum Stand der Umsetzung der DSGVO auszufüllen. Dabei zielten die ersten Prüfungen auf die allgemeine Umsetzung der DSGVO ab. Inzwischen werden auch spezielle Themen geprüft, z. B. die Umsetzung im Beschäftigtendatenschutz, Datenschutz auf Webseiten oder die IT-Sicherheit im Gesundheitsbereich – siehe das Beispiel der LDA Bayern bzgl. Schutz gegen Ransomware.

Wer die Prüfungsfragen auswertet, kann zielgerichteter die Datenschutzanforderungen umsetzen. Startpunkt für die noch fehlenden Umsetzungsmaßnahmen kann ein freiwilliges Datenschutz-Audit sein. 

Fazit

Die DSGVO hat mangels breiter öffentlicher Aufmerksamkeit vermeintlich an Brisanz verloren, doch die Auswirkungen werden uns auch zukünftig weiter beschäftigen. Nach den Beratungen im ersten Jahr, planen die Aufsichtsbehörden für dieses Jahr verstärkt konkrete Prüfungen. Wer noch offene Fragen beim Datenschutz hat, sollte sich daher informieren und die erforderlichen Maßnahmen (Verarbeitungsverzeichnisse erstellen, Mitarbeiter zum Datenschutz und Berufsgeheimnis verpflichten und schulen, technisch-organisatorische Datenschutzmaßnahmen festlegen, Verträge mit externen Dienstleistern auflisten und erforderlichenfalls Regelungen zur Auftragsverarbeitung und zum Berufsgeheimnis treffen, Informationspflichten erfüllen …) umsetzen. Datenschutz lohnt sich und gibt Sicherheit, nicht nur Beschäftigten und Patienten, sondern auch den Ärzten. 

Arztpraxen, Ärzte, Arzt, Patienten, Apotheken, Apotheker, Kunden, Ärzteschaft, Apothekerschaft

Rechtsanwalt David Seiler

RA Seiler verfügt mehr als 22 Jahre Berufserfahrung als Anwalt. Der Jurist ist als Autor, Dozent, Lehrbeauftragter (Datenschutzrecht, IT-Security Law), Gutachter und Datenschutzbeauftragter u. a. in größeren Arztpraxen und einer Ärztekammer tätig. Er berät bundesweit primär Unternehmen und Verbände.