DS-GVO – Jetzt wird es auch für Augenärzte ernst

von RAin und FAin für MedizinR Taisija Taksijan, LL.M., D+B Rechtsanwälte Partnerschaft mbB, Berlin, www.db-law.de  Im Datenschutz liegt für Augenärzte mit der neuen Datenschutz-Grundverordnung (DS-GVO) seit dem 25.05.2018 eine große Herausforderung. Die Umsetzung einiger Vorgaben sollte man spätestens jetzt in Angriff nehmen. Denn Verstöße gegen das Datenschutzrecht werden zukünftig hart bestraft. Die DS-GVO sieht Bußgeld von bis zu ...

DS-GVO – Jetzt wird es auch für Augenärzte ernst

von RAin und FAin für MedizinR Taisija Taksijan, LL.M., D+B Rechtsanwälte Partnerschaft mbB, Berlin, www.db-law.de 

Im Datenschutz liegt für Augenärzte mit der neuen Datenschutz-Grundverordnung (DS-GVO) seit dem 25.05.2018 eine große Herausforderung. Die Umsetzung einiger Vorgaben sollte man spätestens jetzt in Angriff nehmen. Denn Verstöße gegen das Datenschutzrecht werden zukünftig hart bestraft. Die DS-GVO sieht Bußgeld von bis zu 20 Mio. Euro bzw. 4 Prozent des Jahresumsatzes vor – je nachdem, was höher liegt. Lesen Sie im Folgenden, worauf Sie als niedergelassener Arzt achten müssen und am Ende des Beitrags, was für Sie als Klinikarzt zudem wichtig ist.

Augenärztliche Daten sind sensibel

Augenärzte sind stets mit der Erfassung und Speicherung von Patientendaten befasst. Deshalb müssen gerade sie in ihrem beruflichen Alltag ein besonderes Augenmerk auf den Datenschutz legen. Die Behandlungsdaten enthalten Angaben, aus denen sich Informationen über den Gesundheitszustand des Patienten ableiten lassen. Es handelt sich damit um Gesundheitsdaten im Sinne des

Art. 4 Nr. 15 DS-GVO. Diese dürfen als „besondere Kategorien personenbezogener Daten“ nach Art. 9 Abs. 1 DS-GVO wegen der besonderen Sensibilität nur unter erhöhten Voraussetzungen verarbeitet werden. „Verarbeitung“ ist dabei ein Oberbegriff für alle Datenumgänge. Davon erfasst sind nach Art. 4 Nr. 2 DS-GVO

  • jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie
  • das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Praxisinhaber ist auch für Auftragsverarbeiter verantwortlich

Der Praxisinhaber hat die Gesamtverantwortung für eine rechtmäßige Datenverarbeitung und die Einhaltung der geltenden Datenverarbeitungsgrundsätze. Diese erstreckt sich nicht nur auf die Verarbeitung durch den Verantwortlichen selbst, sondern umfasst auch die Verarbeitung durch Auftragsverarbeiter.

Datenschutz-Folgen abschätzen

Eine der wichtigsten Neuerungen ist die Verpflichtung zur sogenannten Datenschutz-Folgenabschätzung als Instrument zur systematischen Eindämmung datenschutzrechtlicher Risiken. Bereits eine kleine Arztpraxis dürfte in den meisten Fällen verpflichtet sein, im Vorfeld der Datenverarbeitung Risikoanalysen und Datenschutz-Folgenabschätzungen vorzunehmen (Art. 35 DS-GVO).

Praxishinweis: Bei einer Datenschutz-Folgenabschätzung sind insbesondere die geplante Datenverarbeitung und ihr Zweck systematisch zu beschreiben. Die Risiken eines Datenverlusts müssen bewertet und Maßnahmen dokumentiert werden, die zur Bewältigung dieser Risiken erfolgen. Es dürfte dabei sinnvoll bzw. notwendig sein, etwa Hersteller von IT-Systemen einzubeziehen.

Verarbeitungsverzeichnis anlegen

Darüber hinaus ist ein Verarbeitungsverzeichnis anzulegen (Art. 30 DS-GVO). Dieses muss folgende Angaben enthalten:

  • Name und Kontaktdaten des Verantwortlichen, seines Vertreters und ggf. des Datenschutzbeauftragen
  • Zweck der Datenverarbeitung
  • Beschreibung der Kategorien betroffener Personen und personenbezogener Daten
  • Nach Möglichkeit die vorgesehenen Fristen für die Löschung
  • Nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Wahrung eines angemessenen Schutzniveaus

Auf Anfrage der Aufsichtsbehörden müssen die Verzeichnisse diesen zur Verfügung gestellt werden.

Praxishinweis: Alle Tätigkeiten der Datenverarbeitung sollten rechtzeitig in einem Verzeichnis beschrieben werden. Das Verzeichnis kann sodann als wesentliche Grundlage für eine strukturierte Dokumentation genutzt werden.

Informationspflichten erfüllen

Außerdem kommen auf Ärzte neue und umfangreiche Informationspflichten zu (Art. 13 DS-GVO). Patienten müssen konkret darüber informiert werden, was mit ihren Daten passiert und über welche Rechte sie verfügen. Folgende Mitteilungen sind dabei insbesondere gegenüber dem Patienten zu machen:

  • Namen und Kontaktdaten des Verantwortlichen sowie seines Vertreters
  • Kontaktdaten des Bundesdatenschutzbeauftragten
  • Zwecke der Datenverarbeitung
  • Rechtsgrundlage der Datenverarbeitung
  • Dauer der Datenspeicherung
  • Rechte des Patienten auf Auskunft, Berichtigung, Löschung, Einschränkung der Datenverarbeitung, Datenübertragung
  • Recht auf Widerruf der Einwilligung
  • Recht auf Beschwerde bei einer Aufsichtsbehörde

Praxishinweis: Für die konkrete Information Ihrer Patienten müssen Sie entsprechende Informationsschreiben vorbereiten.

Datenverlust melden

Im Falle eines Datenverlusts gilt die Pflicht zur Selbstanzeige gegenüber der Aufsichtsbehörde innerhalb von 72 Stunden (Art. 32 DS-GVO). Auch der betroffene Patient ist unverzüglich zu benachrichtigen (Art. 33 DS-GVO). Entsprechende Pflichten können etwa durch folgende Datenpannen ausgelöst werden:

  • Fehlende oder fehlerhafte Datensicherung (Backup)
  • „Hackerangriff“, Datendiebstahl, Datenmanipulation
  • Ungenügender Zutritts- bzw. Zugangsschutz
  • Fehlgeleitete E-Mail
  • Datenverlust, Verlust von Geräten und Datenträgern

Datenschutzbeauftragten anzeigen

Mit Wirksamwerden der DS-GVO müssen Praxen, die zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, diesen der zuständigen Aufsichtsbehörde melden (Art. 37 Abs. 7 DS-GVO). Dies betrifft jedenfalls größere Praxen mit zehn oder mehr Mitarbeitern, die ständig mit automatisierter Datenverarbeitung beschäftigt sind. Eine Verpflichtung besteht zukünftig aber auch für kleinere Gemeinschaftspraxen.

Unterbleibt die Meldung des Datenschutzbeauftragten, stellt dies nicht nur einen Verstoß dar, sondern auch eine Möglichkeit für die Aufsichtsbehörde, anhand der fehlenden Meldung schnell festzustellen, wer es mit dem Datenschutz nicht so genau nimmt.

Praxishinweis: Jede Praxis sollte überprüfen, ob sie einen Datenschutzbeauftragten bestellen muss. Informieren Sie sich über die zuständige Behörde und bereiten Sie eine Meldung vor.

Auftragsverarbeitung regeln

Verträge zur Datenverarbeitung müssen die Vorgaben des Art. 28 DS-GVO enthalten. Bestehende Vereinbarungen mit Auftragsverarbeitern, etwa zur Wartung von IT-Systemen etc., sollten zusammengestellt und auf die Vereinbarkeit mit der DS-GVO hin überprüft werden.

Praxishinweis: Wegen einer Neuregelung in § 203 Abs. 4 Strafgesetzbuch sollte in Auftragsverarbeitungsverhältnissen ein Hinweis der Auftraggeber auf die Strafbarkeit der Auftragnehmer enthalten sein.

Einwilligung prüfen

Der deutsche Bundesgesetzgeber ist in der Zwischenzeit tätig geworden und hat insbesondere die Anpassung des Bundesdatenschutzesgesetzes (BDSG) beschlossen. Diese Änderungen werden gleichzeitig mit der Wirkungserlangung der DS-GVO zum 25.05.2018 in Kraft treten. Die maßgebliche Erlaubnisnorm für die Verarbeitung von Gesundheitsdaten wird § 22 BDSG sein. Wenn diese nicht ausreicht, wird die Einwilligung des Patienten notwendig.

Auch für Einwilligungen gelten strenge Anforderungen (Art. 7 DS-GVO): Die Einwilligung muss freiwillig für einen bestimmten Fall und unmissverständlich abgegeben werden. Sie muss in einfacher, klarer Sprache verfasst werden. Wird sie im Zusammenhang mit anderen Erklärungen eingeholt, muss sie erkennbar abgegrenzt werden. Eine allgemeine umfassende Einwilligung zu unspezifischen Verarbeitungsprozessen ist daher i. d. R. nicht ausreichend.

Praxishinweis: Formulare (etwa Anamnesebögen, die eine Einwilligungserklärung enthalten) sollten geprüft und ggf. angepasst werden.

Datenschutzkonzept erstellen

Während der Verarbeitung sind die Daten durch technische und organisatorische Maßnahmen im Rahmen eines umfassenden Datenschutzmanagements zu sichern (Art. 32 DS-GVO). Die Umsetzung der vom Gesetzgeber unter der Überschrift „Sicherheit der Verarbeitung“ letztlich nur vage beschriebenen Maßnahmen läuft auf die Etablierung eines Datenschutzkonzepts hinaus.

Praxishinweis: Für die Datensicherheit werden ein Risikomanagementsystem und ggf. entsprechende Richtlinien für die Mitarbeiter zu dem Datenumgang erforderlich.

Sorgfältig dokumentieren

Schließlich trifft den Arzt eine umfassende Dokumentations- und Rechenschaftspflicht, durch die die Einhaltung aller Vorgaben der DS-GVO nachgewiesen werden soll (Art. 5 Abs. 2 DS-GVO), insbesondere auch die oben aufgezählten Maßnahmen, etwa:

  • Datenschutz-Folgeabschätzung
  • Information der Patienten
  • Anzeige des Datenschutzbeauftragten
  • Sicherheitsmaßnahmen

 

Fazit

Augenärzten in Praxis und Klinik kann angesichts der Herausforderungen nur empfohlen werden, sich mit dem Thema Datenschutz auseinanderzusetzen (und ggf. die Hilfe kompetenter Dienstleister einzuholen). Zunächst sollten sie den Ist-Zustand der Datensicherheit in ihrer Praxis/Ambulanz analysieren und Sicherheitslücken identifizieren. Dann sollten der Soll-Zustand beschrieben und auf dieser Grundlage Prozesse zur Schließung der Lücken und Erreichung des Soll-Zustands installiert werden. Ein Datenschutzkonzept sollte am besten ein Arbeitshandbuch beinhalten, in dem alle Prozesse und Kontrollen vorgeschrieben werden.