ArchivDeutsches Ärzteblatt20-21/2018Datenschutz: Neuerungen für ärztliche Praxen

MANAGEMENT

Datenschutz: Neuerungen für ärztliche Praxen

Dtsch Arztebl 2018; 115(20-21): A-1020 / B-860 / C-856

Halbe, Bernd

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Je näher der 25. Mai dieses Jahres rückt, umso gewaltiger scheint die Thematik des Datenschutzes und der Datenschutzgrundverordnung auf die ärztliche Praxis zuzukommen. Der Beitrag soll einen Überblick über den Umgang mit datenschutzrechtlichen Aspekten geben.

Gesundheitsdaten unterliegen der Berufsgeheimnispflicht und haben ein gesteigertes Risikopotenzial, darum verpflichtet die DSGVO unter anderem zu einer Risikoanalyse. Foto: rocketclips/stock.adobe.com
Gesundheitsdaten unterliegen der Berufsgeheimnispflicht und haben ein gesteigertes Risikopotenzial, darum verpflichtet die DSGVO unter anderem zu einer Risikoanalyse. Foto: rocketclips/stock.adobe.com

Verantwortlicher für den Datenschutz im Sinne des Art. 4 Ziff. 7 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Falle der Arztpraxis begründet dies eine Verantwortlichkeit des/der Inhaber der Praxis. Die Verantwortlichkeit bei größeren medizinischen Organisationseinheiten (beispielsweise Medizinische Versorgungszentren) und Krankenhäusern liegt hingegen bei der Trägergesellschaft; dies sollte regelmäßig eine juristische Person des Privatrechts sein. Betroffene Person im Sinne des Art. 4 Ziff. 1 Datenschutzgrundverordnung (DSGVO) ist regelmäßig die Patientin/der Patient.

Anzeige

Einwilligung

Gemäß Art. 4 Nr. 11 DSGVO hat die Einwilligung der betroffenen Person zweifellos auch unter dem neuen Datenschutzregime eine überragende Stellung in Bezug auf die Verwirklichung und Sicherstellung datenschutzrechtlicher – und damit informationeller – Selbstbestimmung. Dies gilt sowohl im Bereich der Verarbeitung personenbezogener Daten als auch in jenem der besonderen Kategorien personenbezogener Daten – somit unter anderem der Gesundheitsdaten.

Neben einer Zulässigkeit der Datenverarbeitung durch die Einwilligungserklärung der betroffenen Person hat der europäische Gesetzgeber andere gesetzliche Erlaubnistatbestände gesetzt, die je nach Einzelfall der Situation eine Datenverarbeitung erlauben. Exemplarisch soll hier Art. 9 Abs. 2 lit. h DSGVO genannt werden, welcher eine Datenverarbeitung dann für zulässig erklärt, wenn der Zweck der Verarbeitung etwa die Versorgung oder Behandlung im Gesundheitsbereich ist und diese zwischen dem Angehörigen eines Gesundheitsberufs und der betroffenen Person vertraglich vereinbart wurde; die Datenverarbeitung muss aber durch einen Berufsgeheimnisträger erfolgen.

Schutzmaßnahmen

Da Gesundheitsdaten grundsätzlich auch unter die Berufsgeheimnispflicht fallen, besteht im Bereich des Gesundheitswesens ein deutlich gesteigertes Risikopotenzial, wenn es tatsächlich zu einer Verletzung datenschutzrechtlicher Vorgaben kommen sollte. Eine hohe Risikorelevanz liegt unter anderem vor, wenn Daten verarbeitet werden, die einem Berufsgeheimnis unterfallen. Der (teilweise) Verlust dieser Daten würde zu einer nachhaltigen und tief greifenden Rechtsgutsschädigung aufseiten der betroffenen Person führen.

Aus diesem Grund verpflichtet die DSGVO (Art. 24 Abs. 1 Satz 1) jeden Verantwortlichen, eine allgemeine datenschutzrechtliche Risikobewertung der getätigten Verarbeitungsvorgänge durchzuführen. Diese Risikoanalyse ist die Grundlage für eine objektive Bewertung des Gefährdungs- und Risikopotenzials, das sich aus der Datenverarbeitung innerhalb der konkreten (medizinischen) Organisationseinheit ergibt. Auch wenn die Herausarbeitung der einzelnen Verarbeitungsvorgänge durchaus mit einem gewissen Arbeitsaufwand verbunden sein mag, sollte man diese Verpflichtung dennoch als Möglichkeit begreifen zu reflektieren, ob getätigte Verarbeitungsprozesse in jedem Falle erforderlich sind. Dies kann auch lediglich einzelne Aspekte der Verarbeitungssituation betreffen, beispielsweise die zu starke „Streuung“ von Zugriffsberechtigungen innerhalb einer Software zur Praxisorganisation.

Sobald etwaige Risiken identifiziert worden sind, hat der Verantwortliche geeignete Maßnahmen zum Schutz der verarbeiteten Daten zu ergreifen. Ziel ist es, datenschutzrechtlich relevante (Verlust-)Risiken zu minimieren. In diesem Zusammenhang sind technisch-organisatorische Maßnahmen zu ergreifen, wobei hiermit ein weites Begriffsverständnis verbunden werden soll. Umfasst sind neben den tatsächlichen, räumlichen Gegebenheiten (Zugangsbeschränkung) auch technische Maßnahmen, welche die IT-Sicherheit betreffen (Zugriffsrechte). Eine einmalige Risikoanalyse dürfte insoweit nicht als ausreichend angesehen werden, als dass der Verantwortliche gemäß Art. 24 Abs. 1 Satz 2 DSGVO der Verpflichtung zu einer Überprüfung der gewählten Maßnahmen ebenso unterliegt wie der laufenden Anpassung der Maßnahmen.

Über die allgemeine Risikoanalyse hinaus kann der Verantwortliche auch zu einer – weitergehenden – Datenschutz-Folgeabschätzung verpflichtet sein (Art. 35 DSGVO). Dies kann dann der Fall sein, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gegeben ist. Die Durchführung einer Datenschutz-Folgeabschätzung soll bei Verarbeitungen, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, eine verbesserte Compliance mit Blick auf die Maßgaben der DSGVO bewirken.

Anknüpfend an die Verantwortlichkeit in datenschutzrechtlicher Hinsicht hat der Verantwortliche dafür Sorge zu tragen, dass ein Verzeichnis aller Verarbeitungstätigkeiten angelegt, geführt und einer regelmäßigen Kontrolle unterzogen wird (Art. 30 DSGVO). Das Verarbeitungsverzeichnis ist der zuständigen Aufsichtsbehörde auf Verlangen vorzulegen. Das Verzeichnis enthält als zwingende Vorgabe auch den Zweck der jeweiligen Verarbeitungsmaßnahme, damit die Verbindung zwischen einer erteilten Einwilligung in die zweckgebundene Datenverarbeitung und der erfolgenden Verarbeitung erkennbar ist. Denn personenbezogene Daten dürfen nach Art. 5 Abs. 1 lit. b DSGVO nur zu eindeutig festgelegten Zwecken erhoben und verarbeitet werden.

Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist immer dann zu benennen, wenn der Verantwortliche eine Datenschutz-Folgeabschätzung verpflichtend vorzunehmen hat. Soweit eine solche Verpflichtung nicht bestehen sollte, besteht eine Erforderlichkeit immer dort, wo die Datenverarbeitung als Kerntätigkeit angesehen wird, also regelmäßig einen primären Geschäftszweck darstellen wird. Ob die Datenverarbeitung im Bereich des Gesundheitswesens tatsächlich als Kerntätigkeit angesehen werden kann oder nicht vielmehr die medizinische Heilbehandlungsleistung regelmäßig Kerntätigkeit sein wird, darf durchaus kritisch hinterfragt werden. Eine Ausnahme bildet hier ferner die nationale Regelung des § 38 BDSG (neu). Danach ergibt sich die Verpflichtung zur Benennung eines Datenschutzbeauftragten, wenn in der medizinischen Organisationseinheit in der Regel mindestens zehn Personen mit einer automatisierten Datenverarbeitung ständig befasst sind. Hier wird man durchaus mit Interesse verfolgen dürfen, in welcher Form die datenschutzrechtlichen Aufsichtsbehörden sich hinsichtlich der Erforderlichkeit der Benennung eines Datenschutzbeauftragten positionieren werden. Prof. Dr. jur. Bernd Halbe

www.medizin-recht.com

Auskunftsrechte betroffener Personen

Bereits nach alter Rechtslage stand es betroffenen Personen offen, von Verantwortlichen eine Auskunft über gespeicherte personenbezogene Daten zu erhalten, ohne das Auskunftsverlangen begründen zu müssen. Davon weicht insoweit auch die DSGVO nicht ab. In jedem Fall sollte der Verantwortliche sicherstellen, dass eine Offenlegung nicht gegenüber unbefugten Dritten erfolgt. Da die begehrte Auskunft schriftlich, elektronisch oder im Einzelfall mündlich erfolgen kann, ist insbesondere in den letzten beiden Fällen eine Absicherung der Identität zwingend erforderlich.

In einem abgestuften Verhältnis steht einer betroffenen Person zunächst das Recht zu, Auskunft zu verlangen, ob überhaupt Daten bei dem Verantwortlichen verarbeitet werden. Ist dies der Fall, hat die betroffene Person weiter das Recht zu erfahren, welche personenbezogenen Daten zu welchem konkreten Zweck verarbeitet worden sind (Art. 15 Abs. 1 DSGVO).

Die Auskunftserteilung hat unverzüglich zu erfolgen, spätestens jedoch innerhalb eines Monats seit Auskunftsbegehren (Art. 12 Abs. 3 DSGVO). Um ein derart enges Zeitfenster einhalten zu können, empfiehlt es sich, geeignete Maßnahmen zu ergreifen. Die Auskunft ist regelmäßig unentgeltlich zu erteilen; bei offenkundig unbegründeten oder exzessiven Auskunftsverlangen kann aber ein angemessenes Entgelt erhoben werden (Art. 12 Abs. 5). Die offenkundige Unbegründetheit sowie ein exzessives Auskunftsverlangen bildet im Einzelfall zudem die Grenze des Auskunftsrechts der betroffenen Person. Gleiches kann sich im begründeten Einzelfall daraus ergeben, dass Rechte des Verantwortlichen oder aber Rechte Dritter dem Auskunftsverlangen entgegenstehen.

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.