Verschärfter Datenschutz in der Praxis – Datenschutzbeauftragter u.a.

Datenschutzbeauftragter, DSGVO, BDSG, Arztpraxis, Gesundheitssektor, Medizin, Meldepflicht, Indopflicht, E-Mail-Verschlüsselung, Fax-Versand, Rechtsanwalt David Seiler, Cottbus, Berlin, Brandenburg, Leipzig, Dresden

Exklusives Experteninterview: Verschärfter Datenschutz in der Arztpraxis

In der Zeitschrift Arzt & Wirtschaft Ausgabe 03/2018, S. 58 – 60 ist ein Interview mit mir als Titelgeschichte erschienen.

Das Interview betraf wesentlichen Kernfragen des neuen Datenschutzrechts, der EU-Datenschutzgrundverordnung – kurz DSGVO. Es ging darum, ob der Praxisinhaber und/oder die Mitarbeiter bzw. der Datenschutzbeauftragte für die Einhaltung des Datenschutzrechts in der Arztpraxis verantwortlich sind und welche Sanktionen die jeweiligen Personen treffen können, wenn sie für Datenschutzverstöße verantwortlich sind.

Datenschutzbeauftragter in der Arztpraxis

Eine Frage, die es in dieser Form zwar bisher auch schon gab, deren Klärung aber aufgrund der erhöhten Aufmerksamkeit für die Einhaltung (Compliance) des Datenschutzes aufgrund der verschärften Sanktionen deutlich mehr Aufmerksamkeit gewinnt ist die Frage, ob bzw. ab welchen Grenzwerten eine Arztpraxis einen Datenschutzbeauftragten benötigt. Kurz gesagt: Ab 10 Personen, die mit Datenverarbeitung befasst sind (einen Computer benutzen) auf jeden Fall. Bei nur einem Berufsträger nicht und dazwischen kommt es darauf an, ob eine große Anzahl besonders sensibler Daten – dazu gehören auch Gesundheitsdaten – verarbeitet werden. Aber auch wenn man keinen Datenschutzbeauftragten benennen muss, muss das Datenschutzrecht gleichwohl eingehalten werden. Neu ist, dass die Kontaktdaten des Datenschutzbeauftragten der Datenschutzaufsicht gemeldet werden müssen (ab 25.05.2018). Weitere spannende Fragen, die im Rahmen es Interview nicht geklärt werden konnten sind, über welche Qualifikationen ein Datenschutzbeauftragter verfügen muss und was die Vor- und Nachteile eines internen gegenüber eines externen Datenschutzbeauftragten sind und mit welchen Kosten man rechnen muss.

Ebenfalls neu ist die Datenschutz-Folgeabschätzung, Art. 35 DSGVO, die die alte Vorabkontrolle (§ 4d Abs. 5 BDSG) ablöst, konkretisiert und verschärft.

Informationspflichten gegenüber Mitarbeitern und Patienten

Ebenfalls angesprochen wurde die Pflicht, die Mitarbeiter und Patienten über die Datenverarbeitung zu informieren. Dazu gehört neben der Angabe des Zweck der Datenverarbeitung und der Dauer der Datenspeicherung auch die Aufklärung über die Rechte der von der Datenverarbeitung betroffenen Personen. Diese Betroffenenrechte umfassen u.a. das Recht auf Auskunft, Berichtigung und Löschung aber auch auf Beschwerde bei der Datenschutzaufsicht.  Gerade der letzte Punkt wird nach meiner Erwartung dazu führen, dass die Beschwerden bei den Aufsichtsbehörden über Datenschutzverstöße deutlich zunehmen werden. Dieser Trend ist beim Beschäftigtendatenschutz nach den Meldungen über Beschwerdezahlen und deren Entwicklung in den Tätigkeitsberichten von Datenschutzaufsichtsbehörden bereits erkennbar. Die praktische Umsetzung der Informationspflicht war auch Gegenstand des Interviews.

Vertraulichkeit bei der Datenübermittlung per E-Mail, Fax, Messaging-App wie WhatsApp

Das Spannungsverhältnis von Patienten auf unkomplizierte elektronische Kommunikation und die Erwartungshaltung der Datenschutzaufsichtsbehörden an Sicherheit und Verschlüsselung der Kommunikation wurde für die E-Mail-Kommunikation angesprochen, gilt aber auch für Webseiten und Kontaktformulare. Praktische Probleme, die immer wieder in den Tätigkeitsberichten der Datenschutzaufsichtsbehörden auftauchen sind Irrläufern von Faxen. Gründe dafür sind neben Zahlendrehern auch Faxgeräte auf der Arbeit, deren Nummer die Patienten angeben. Die wenigsten Personen haben ein Faxgeräte am Arbeitsplatz. Kommt ein Fax jedoch bei einem zentralen Faxanschluss an kann es schon vorkommen, dass ein psychosomatischer Befundbericht erst durch die Hände mehrerer Kollegen wandert, bis er den eigentlichen Empfänger erreicht. Um den vorzubeugen, sollte eine Sensibilisierung des Praxispersonals erfolgen und eine Arbeitsanweisung geschrieben werden, die z.B. dazu verpflichtet mit dem Empfänger telefonisch abzuklären, aber er oder sie an dem Faxgerät stehen und z.B. die Laborbefundübermittlung entgegen nehmen können.

Die Schlussfragen betrafen den Komplex der Sanktionen (drastische Bußgelder und Schadensersatz) und Art sowie Zeitpunkt der Kontrollen.

David Seiler, Rechtsanwalt

berät bundesweit u.a. zu Fragen des Datenschutz- und IT-Rechts mit den Branchenschwerpunkten Finanzwesen und Gesundheitssektor