ArchivDeutsches Ärzteblatt21/2019Datenschutz: Ein Jahr DSGVO – was hat sich seither getan?

ÄRZTESTELLEN

Datenschutz: Ein Jahr DSGVO – was hat sich seither getan?

Dtsch Arztebl 2019; 116(21): [2]

Staufer, Andreas

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Vor einem Jahr, am 25. Mai 2018, ist die Datenschutzgrundverordnung, kurz DSGVO, in Kraft getreten. Wie haben Gesundheitseinrichtungen und Rechtsprechung darauf reagiert?

Foto: peterschreiber.media/stock.adobe.com
Foto: peterschreiber.media/stock.adobe.com

Bis Mai letzten Jahres war das Thema Datenschutz meist nur eine Randerscheinung. Kurz vor Inkrafttreten verbreitete sich Panik, zum einen wegen der zahlreichen Gerüchte um mögliche Abmahnwellen, aber auch Kammern und Verbände trugen zur Sorge bei. Denn größtenteils informierten sie ihre Mitglieder erst kurz vor Inkrafttreten der DSGVO und ließen ihnen damit wenig bis keine Zeit zu reagieren. Daher verfielen die einen teils in unüberlegten Aktionismus, andere ließen die Sache erst mal auf sich zukommen und taten nichts. Tatsächlich blieb es bisher in Sachen Abmahnungen äußerst ruhig. Einerseits liegt das an der Unsicherheit potenzieller Abmahner. Andererseits fehlt bislang eine höchstrichterliche Rechtsprechung, die sich im Umgang mit der DSGVO noch unentschlossen zeigt.

Anzeige

Betroffene kennen ihre Rechte besser

Dagegen kennen die Betroffenen, einschließlich der Mitarbeitenden, zunehmend ihre Rechte, die sie auch einfordern. Bei der Vertragsgestaltung wächst die Sensibilität im Umgang mit dem Datenschutz. Auch die Datenschutzbehörden rücken zunehmend in den Fokus. Gerade bei den Arbeitsabläufen im Krankenhaus wird auf den Umgang mit sensiblen Patientendaten geachtet. Das betrifft vor allem die Zugriffsmöglichkeiten auf Patientendaten, einschließlich der Zugangsberechtigungen. Dort wo früher noch die Belegung der Behandlungsräume auf einem großen Monitor nebst Patientennamen uneingeschränkt einsehbar war, beschränken sich die Informationen heute auf das erforderliche Maß. Berechtigungsmechanismen reduzieren den Zugriff auf die Patientenakte auf die behandelnden Mitarbeitenden.

Die DSGVO enthält zwar größtenteils Anforderungen, die in Deutschland bereits vor Inkrafttreten galten. Dazu gehörten die Pflichten, einen Datenschutzbeauftragten zu bestellen, ein Verzeichnis von Verarbeitungstätigkeiten anzulegen oder einen Auftragsdatenverarbeitungs-Vertrag abzuschließen. Allerdings fällt heute die Höhe der zu verhängenden Ordnungsmittel weitaus höher aus. So sollen Sanktionen nach Art. 84 Abs. 1 Satz 2 der DSGVO „wirksam, verhältnismäßig und abschreckend“ sein. Immerhin 400 000 Euro verhängte Zeitungsberichten zufolge die portugiesische Datenschutzbehörde CNPD gegen ein Krankenhaus in Lissabon wegen Mängeln bei Zugriffsberechtigungen. Stein des Anstoßes waren Zugriffe von IT-Technikern auf Patientendaten sowie eine überhöhte Anzahl zugriffsberechtigter Nutzer, die gar nicht mehr hätten existieren dürfen.

Wichtig: Beratung und Harmonisierung

Wünschenswert wäre, den Fokus stärker auf die Beratung und Harmonisierung zu legen, eine offene, sektorenübergreifende Kommunikation sowie eine Fehlerkultur zu etablieren. Zumal betroffene Unternehmen meist von IT-Unternehmen abhängig sind. Gerade in medizinischer Standardsoftware sind Nutzerberechtigungskonzepte vielfach nur rudimentär angelegt. Anwender riskieren mit smarten Geräten und länderübergreifenden Anwendungen unbewusst Datenschutzverstöße. Bereits die bloße Mitnahme eines Smartphones im Notarztwagen oder im ärztlichen Bereitschaftsdienst ermöglicht Dritten aufgrund der Ortungsmöglichkeiten, Patienten zu identifizieren.

Der Fokus sollte sich vorrangig auf die Hersteller und das Etablieren branchenübergreifender, harmonisierter Datenschutzkonzepte und -empfehlungen verlagern. Krankenhäuser sollten sich insoweit behelfen, dass sie Hersteller und Dienstleister vertraglich stärker in die Pflicht nehmen und Risiken vertraglich verlagern.

Schulungen im Umgang mit Patientendaten

Wichtige Maßnahmen, die DSGVO umzusetzen, waren bislang:

  • Bestellen eines Datenschutzbeauftragten,
  • Erarbeiten und die Pflege des Verzeichnisses von Verarbeitungstätigkeiten,
  • Ermitteln der Rechtsgrundlagen der Datenverarbeitung,
  • Prüfen von Verträgen, vor allem zur Auftragsverarbeitung,
  • Nachkommen von Informations- und Auskunftspflichten,
  • Priorisierung der Maßnahmen.

Doch diese Maßnahmen sind in vielen Einrichtungen des Gesundheitswesens bislang immer noch nicht, jedenfalls noch nicht vollständig, umgesetzt. Zudem ist es wichtig, die Mitarbeitenden zu schulen, gerade im Umgang mit sensiblen Patientendaten: Offene E-Mail-Verteiler, ungesicherte Patientendaten und eine allzu offene Kommunikation sorgen häufig noch für Beanstandungen. Andererseits ist ein positiver Trend hin zum Datenschutz durchaus zu erkennen. Grobe Lücken und Versäumnisse bei der ärztlichen Schweigepflicht und im Datenschutz sind vielfach geschlossen. Dies beruht wahrscheinlich auch auf der hohen Sensibilisierung von Betroffenen und Mitarbeitenden. Die Zahl der Auskunftsersuchen stieg an. Auch eine höhere Kontrolldichte der Datenschutzbeauftragten beziehungsweise der jeweiligen Landesämter ist zu verzeichnen.

Orientierungshilfen und Muster

Tatsache ist aber auch, dass vor allem in der Datensicherheit erforderliche Maßnahmen teils nur mit erheblichen Kosten zu bewältigen sind. Hardware- und Softwareentwickler sowie Verbände sind daher gefordert, Nutzern und Mitgliedern den Umgang mit dem Datenschutz durch gemeinsame, harmonisierte Empfehlungen, Muster und Voreinstellungen zu erleichtern. Inzwischen unterstützen immerhin zahlreiche Leitlinien und Orientierungshilfen Krankenhäuser und Ärzte dabei, die DSGVO umzusetzen. Für Ärzte bieten sich die gemeinsamen Publikationen von Bundes­ärzte­kammer und Kassenärztlicher Bundesvereinigung an. Dennoch gibt es weiterhin Unsicherheiten. Das liegt zum einen an der Komplexität und am Umfang der mit dem Datenschutz einhergehenden Aufgaben, zum anderen an den teils widersprüchlichen Aussagen selbst ernannter Experten.

Unsicherheiten herrschen überwiegend bei dem Erfordernis von Einwilligungen und dem sogenannten Kopplungsverbot, wenn also ein Vertragsabschluss an die Einwilligung des Betroffenen an die Verarbeitung seiner personenbezogenen Daten zu einem nicht ausschließlich für die Vertragserfüllung bestimmten Zweck „gekoppelt“ wird. Der Oberste Gerichtshof in Österreich entschied richtungsweisend, dass diese Einwilligung bei kostenpflichtigen Verträgen keine Bedingung für den Vertragsschluss sein darf. Ebenso kritisch ist die technische Umsetzung, die vor allem kleineren Unternehmen durchaus zu schaffen macht.

Dr. Andreas Staufer

Partner, Rechtsanwalt, Fachanwalt für Medizinrecht und für Informationstechnologierecht

FASP Finck Sigl & Partner

80336 München

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema

Ärztestellen