Die Datenschutz-Grundverordnung – Eine neue Herausforderung im Praxis- und Apothekenalltag
Die neue Datenschutz-Grundverordnung (DSGVO) wird zum 25. Mai 2018 in Kraft treten. Sie beinhaltet eine Vielzahl von neuen Verpflichtungen sowie empfindliche Sanktionen im Falle eines Verstoßes gegen das Datenschutzrecht. Dieser Beitrag stellt lediglich eine kurze Einführung in die Materie dar, die den Leser für die aufkommenden Herausforderungen sensibilisieren soll.
In der Arztpraxis, im Krankenhaus oder in der Apotheke ist es Aufgabe des Arztes, Heilpraktikers oder Apothekeninhabers darauf zu achten, dass die datenschutzrechtlichen Vorschriften beachtet werden. Zu erwähnen ist in diesem Zusammenhang, dass auch den Aufsichtsbehörden neue Befugnisse eingeräumt wurden, um die Einhaltung der Vorschriften zu prüfen. Da Arztpraxen, Heilpraktiker, Krankenhäuser oder Apotheken zwangsweise auch Gesundheitsdaten verarbeiten müssen, ist hierauf ein besonderes Augenmerk zu legen, da der Gesetzgeber diese Daten, wie leicht nachzuvollziehen ist, als äußerst sensibel eingestuft hat und hieran strengere Voraussetzungen knüpft. Auch die Bußgelder sind empfindlich erhöht worden und gleichzeitig wurden den Aufsichtsbehörden weitgehende neue Befugnisse zur Prüfung der Einhaltung der Datenschutzvoraussetzungen eingeräumt.
Aspekte der neuen Grundverordnung
Es stellt sich die maßgebliche Frage, was der Schutzbereich der Verordnung umfasst und wie die neuen Vorschriften in der Praxis einzuhalten sind. Vorab: Es reicht nicht mehr aus, die Vorschriften einzuhalten, vielmehr ist die Einhaltung der Vorschriften zu dokumentieren.
1. Verantwortlicher im Sinne der Verordnung
Verantwortlicher im Sinne der Verordnung ist die Arztpraxis, der Heilpraktiker oder die Apotheke, sofern dort personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden, was heutzutage unvermeidbar der Fall ist. Dies beruht auf der Pflicht der persönlichen Leitung. Ärzte, Heilpraktiker und Apotheker sind verpflichtet, ihre Mitarbeiter über die Pflicht zur Verschwiegenheit zu belehren und dies schriftlich festzuhalten.
2. Personenbezogene Daten
Dies sind alle Informationen, die eine Identifizierung einer natürlichen Person mittelbar oder unmittelbar ermöglichen. Hierzu gehören Name, Anschrift, Geburtsdatum, IP-Adressen sowie Standortdaten oder ähnliche.
3. Gesundheitsdaten
In Arztpraxen, beim Heilpraktiker oder in den Apotheken werden nicht nur personenbezogene Daten, sondern insbesondere auch Gesundheitsdaten verarbeitet. Dies sind personenbezogene Daten, die sich auf die körperliche und geistige Gesundheit einer natürlichen Person einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus denen Informationen über den Gesundheitszustand hervorgehen. Diese Daten sind im Sinne der DSGVO als äußerst sensible Daten eingestuft.
4. Voraussetzungen
Der Kern der neuen Verordnung ist Art. 5 DSGVO. Hier finden sich die neuen Grundsätze des Datenschutzes. Demnach muss die Datenverarbeitung rechtmäßig, zweckgebunden, minimiert (die Speicherdauer muss begrenzt sein), sicher und vertraulich erfolgen sowie vertraulich behandelt werden.
a) Rechtmäßigkeit: Die Erhebung und Verarbeitung von personenbezogenen Daten und Gesundheitsdaten ist grundsätzlich nur rechtmäßig, wenn ein Erlaubnistatbestand gegeben ist. Dieser ist in Art. 6 DSGVO geregelt. Hier ist zu beachten, dass nicht von einer Erlaubnis auszugehen ist, vielmehr muss eine ausdrückliche Erlaubnis der Verarbeitung personenbezogener Daten vorliegen. Dies kann durch die Einwilligung des Patienten gegeben sein:
- wenn die Verarbeitung der personenbezogenen Daten für die Erfüllung eines Vertrages erforderlich ist,
- wenn die Verarbeitung für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist,
- wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen des betroffenen Patienten oder einer anderen Person zu schützen,
- wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt,
- wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Arztes oder Apothekers oder eines Dritten erforderlich ist, wenn nicht die Rechte oder Interessen der betroffenen Person überwiegen.
§ 9 DSGVO regelt die Besonderheiten für die Verarbeitung von Gesundheitsdaten, welche in nachvollziehbarer Weise nochmals strenger sind. Die berechtigten Interessen des Arztes, Heilpraktikers oder Apothekers können demnach die Verarbeitung von Gesundheitsdaten nicht rechtfertigen, hier ist die Einwilligung des Patienten obligatorisch.
b) Zweckbindung und Richtigkeit: Personenbezogene Daten und Gesundheitsdaten dürfen nur, soweit dies für die Erfüllung des Zwecks notwendig und richtig ist, gespeichert werden. Der Verantwortliche muss daher im Voraus festlegen, zu welchem Zweck die Daten gespeichert werden. Die Daten müssen sich auf dem neuesten Stand befinden. Ansonsten würde gegen das Gebot der Richtigkeit der Daten verstoßen werden. Hier kann es insbesondere zu Problemen bei der Adresse oder E-Mail-Adresse kommen.
c) Datenminimierung: Die Verarbeitung der Daten ist auf das für die Zweckbestimmung notwendige Maß begrenzt. Die Arztpraxis, der Heilpraktiker oder die Apotheke dürfen nicht mehr Daten als notwendig erheben. Sofern der Patient der Erhebung darüber hinausgehender Daten ausdrücklich zustimmt, können die Daten natürlich erhoben werden.
d) Speicherbegrenzung: Die personenbezogenen Daten und Gesundheitsdaten dürfen nur bis zur Zweckerreichung gespeichert werden. Danach sind sie zu löschen, es sei denn, es besteht eine anderweitige gesetzliche Pflicht, die Daten zu speichern. Kündigt ein Patient beispielsweise seine Kundenkarte oder meldet sich von einem Newsletter ab, so sind seine Daten unverzüglich zu löschen, sofern diese nicht für eine andere, rechtmäßige Zweckerreichung notwendig sind.
e) Integrität und Vertraulichkeit: Die personenbezogenen und Gesundheitsdaten sind so zu verarbeiten, dass ihre Sicherheit gewährleistet ist. Hier sind auch technische Voraussetzungen zu schaffen, damit die Daten vor unberechtigten Zugriffen geschützt sind.
5. Vorgehensweise
Der Verantwortliche ist verpflichtet, bis zum 25. Mai 2018 einen Datenschutzbeauftragten bei der Datenschutzbehörde des Bundeslandes zu benennen und zu veröffentlichen. Diese Verpflichtung besteht nun unabhängig von der Größe und Anzahl der Mitarbeiter der Arztpraxis oder Apotheke. Es kommt daher nicht mehr darauf an, dass mehr als neun Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Auch eine externe Benennung eines Datenschutzbeauftragten ist möglich. Aus meiner Sicht ist die Bestellung eines externen Datenschutzbeauftragten
vorzugswürdig.
Sobald personenbezogene Daten und Gesundheitsdaten verarbeitet werden, ist über sämtliche Verarbeitungen ein Verfahrensverzeichnis zu führen. Das Verfahrensverzeichnis hat folgende Angaben aufzuführen:
- den Namen des Verantwortlichen (Inhaber) sowie des Datenschutzbeauftragten,
- den Zweck der Verarbeitung,
- die Beschreibung der personenbezogenen Daten,
- die Beschreibung der Empfänger, gegenüber welchen die personenbezogenen Daten und Gesundheitsdaten gegebenenfalls offengelegt werden, hier muss auch die Übermittlung der personenbezogenen Daten und Gesundheitsdaten in ein Drittland angezeigt werden,
- der voraussichtliche Zeitpunkt der Zweckerreichung und damit der Zeitpunkt der Löschung der Daten,
- die Beschreibung der technischen und organisatorischen Maßnahmen der Sicherheit der Verarbeitung.
6. Informationspflichten
Werden Personendaten bei den Patienten oder bei Dritten erhoben, bestehen umfangreiche Informationspflichten. Diese sind durch die Arztpraxis, den Heilpraktiker oder die Apotheke ohne weitere Aufforderung anzuzeigen. Dabei muss den Patienten die Rechtsgrundlage der Datenerhebung und Speicherung mitgeteilt werden, insbesondere bezüglich der Einwilligungserklärungen. Bei Apothekenfilialen oder anderen Praxisstandorten ist die Einwilligung auf diese auszudehnen, sofern die Daten auch dort genutzt werden sollen. Nicht genutzte Einwilligungserklärungen von Patienten sind nach zwei Jahren zu löschen.
7. Sonstiges
a) Externe Dienstleister: Die sogenannten Auftragsdatenverarbeiter als externe Dienstleister bleiben im Verantwortungsbereich des verantwortlichen Arztes, Heilpraktikers oder Apothekers. Dieser muss seine Auswahl und die Verpflichtung zur Wahrung der Datenschutzgrundsätze darlegen sowie dies in regelmäßigen Abständen kontrollieren. Dies betrifft auch und insbesondere Abrechenfirmen oder Rechenzentren, da diese mit den Patientendaten und damit auch den Gesundheitsdaten in Kontakt kommen.
b) Verstöße: Verstöße, sprich Datenpannen, der Verlust, die Offenlegung der Daten oder ein Fremdzugriff, sind der Aufsichtsbehörde zukünftig innerhalb von 72 Stunden mitzuteilen. Ein Verstoß kann auch darin bestehen, dass Rezepte oder Kassenzettel, Verordnungen, Patientenakten oder Ähnliches durch unberechtigte Personen eingesehen bzw. Telefonate oder persönliche Patientengespräche
mitgehört werden können. Hier müssen die Arztpraxis, der Heilpraktiker und die Apotheke geeignete Diskretionsabstände wahren. Auch dies ist zum einen zu beachten und im Falle eines Verstoßes binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Verstöße gegen die datenschutzrechtlichen Regelungen der DSGVO sind bußgeldbewehrt und die Bußgelder sind empfindlich angehoben worden. Bußgelder können bis zu 20 Millionen Euro (!) oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens betragen. Daher sind die Vorschriften der DSGVO dringend einzuhalten. Daneben wurde die strafrechtliche Verantwortung in § 203 StGB, betrifft die ärztliche Schweigepflicht, erweitert. Die jeweiligen Maßnahmen sind schriftlich nachvollziehbar zu dokumentieren.
Auf den folgenden besonderen Umstand möchte ich noch hinweisen:
Auch ein Mitarbeiter kann ein Patient sein. Der Mitarbeiter ist dann genauso zu behandeln, wie jeder andere Patient. Auch er muss beispielsweise einer weitergehenden Datenverarbeitung zustimmen und dies auch schriftlich tun.
Fazit
Wie zu erwarten war, hat das Thema Datenschutz durch die DSGVO weiter an Relevanz gewonnen. Die neuen Pflichten stellen die Ärzte, Heilpraktiker und Apotheker vor weitgehende Herausforderungen, welche es angesichts der drohenden empfindlichen Bußgelder zu bewältigen gilt.
Hier geht es zum zweiten Teil unserer DSGVO-Reihe.
Bei weiteren Fragen zum Thema stehen Ihnen unsere Rechtsanwälte für IT-Recht jederzeit zur Verfügung.
Artikel teilen
Weitere Artikel des Autoren
Unsere Standorte
Wir sind deutschlandweit für Sie da!
Bad Kreuznach
John-F.-Kennedy-Straße 15
55543 Bad Kreuznach
T 0671 83900-0
F 0671 83900-25
bad-kreuznach@bietmann.eu
Bergisch Gladbach
Kölner Str. 2 / Ecke Schloßstr.
51429 Bergisch Gladbach
T 02204 918900-0
F 02204 918900-1
bensberg@bietmann.eu
Berlin
Behrenstraße 42
10117 Berlin
T 030 2250272-30
F 030 2250272-59
berlin@bietmann.eu
Bonn
Heinrich-Brüning-Straße 9
53113 Bonn
T 0228 90969-0
F 0228 90969-29
bonn@bietmann.eu
Duisburg
Düsseldorfer Landstraße 17
47249 Duisburg
T 0203 71035-0
F 0203 71035-25
duisburg@bietmann.eu
Erfurt
Hefengasse 3
99084 Erfurt
T 0361 59008-0
F 0361 59008-50
erfurt@bietmann.eu
Euskirchen
Otto-Lilienthal-Straße 15
53879 Euskirchen
T 02251 81336-30
F 02251 81336-31
euskirchen@bietmann.eu
Frechen
Hauptstraße 49
50226 Frechen
T 02234 99398-0
F 02234 99398-1
frechen@bietmann.eu
Köln
Martinstraße 22-24
50667 Köln
T 0221 925700-0
F 0221 925700-50
koeln@bietmann.eu
München
Brienner Straße 55
80333 München
T 089 171132-0
F 089 171132-11
muenchen@bietmann.eu
Aschau
Zinnkopfstraße 10a
83229 Aschau
T 08052-99590-10
F 08052-99590-39
aschau@bietmann.eu