18.06.
2018

Die Datenschutz-Grundverordnung – Eine neue Herausforderung im Praxis- und Apothekenalltag

Die neue Datenschutz-Grundverordnung (DSGVO) wird zum 25. Mai 2018 in Kraft treten. Sie beinhaltet eine Vielzahl von neuen Verpflichtungen sowie empfindliche Sanktionen im Falle eines Verstoßes gegen das Datenschutzrecht. Dieser Beitrag stellt lediglich eine kurze Einführung in die Materie dar, die den Leser für die aufkommenden Herausforderungen sensibilisieren soll.

In der Arztpraxis, im Krankenhaus oder in der Apotheke ist es Aufgabe des Arztes, Heilpraktikers oder Apothekeninhabers darauf zu achten, dass die datenschutzrechtlichen Vorschriften beachtet werden. Zu erwähnen ist in diesem Zusammenhang, dass auch den Aufsichtsbehörden neue Befugnisse eingeräumt wurden, um die Einhaltung der Vorschriften zu prüfen. Da Arztpraxen, Heilpraktiker, Krankenhäuser oder Apotheken zwangsweise auch Gesundheitsdaten verarbeiten müssen, ist hierauf ein besonderes Augenmerk zu legen, da der Gesetzgeber diese Daten, wie leicht nachzuvollziehen ist, als äußerst sensibel eingestuft hat und hieran strengere Voraussetzungen knüpft. Auch die Bußgelder sind empfindlich erhöht worden und gleichzeitig wurden den Aufsichtsbehörden weitgehende neue Befugnisse zur Prüfung der Einhaltung der Datenschutzvoraussetzungen eingeräumt.

Aspekte der neuen Grundverordnung

Es stellt sich die maßgebliche Frage, was der Schutzbereich der Verordnung umfasst und wie die neuen Vorschriften in der Praxis einzuhalten sind. Vorab: Es reicht nicht mehr aus, die Vorschriften einzuhalten, vielmehr ist die Einhaltung der Vorschriften zu dokumentieren.

1. Verantwortlicher im Sinne der Verordnung

Verantwortlicher im Sinne der Verordnung ist die Arztpraxis, der Heilpraktiker oder die Apotheke, sofern dort personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden, was heutzutage unvermeidbar der Fall ist. Dies beruht auf der Pflicht der persönlichen Leitung. Ärzte, Heilpraktiker und Apotheker sind verpflichtet, ihre Mitarbeiter über die Pflicht zur Verschwiegenheit zu belehren und dies schriftlich festzuhalten.

2. Personenbezogene Daten

Dies sind alle Informationen, die eine Identifizierung einer natürlichen Person mittelbar oder unmittelbar ermöglichen. Hierzu gehören Name, Anschrift, Geburtsdatum, IP-Adressen sowie Standortdaten oder ähnliche.

3. Gesundheitsdaten

In Arztpraxen, beim Heilpraktiker oder in den Apotheken werden nicht nur personenbezogene Daten, sondern insbesondere auch Gesundheitsdaten verarbeitet. Dies sind personenbezogene Daten, die sich auf die körperliche und geistige Gesundheit einer natürlichen Person einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus denen Informationen über den Gesundheitszustand hervorgehen. Diese Daten sind im Sinne der DSGVO als äußerst sensible Daten eingestuft.

4. Voraussetzungen

Der Kern der neuen Verordnung ist Art. 5 DSGVO. Hier finden sich die neuen Grundsätze des Datenschutzes. Demnach muss die Datenverarbeitung rechtmäßig, zweckgebunden, minimiert (die Speicherdauer muss begrenzt sein), sicher und vertraulich erfolgen sowie vertraulich behandelt werden.

a) Rechtmäßigkeit: Die Erhebung und Verarbeitung von personenbezogenen Daten und Gesundheitsdaten ist grundsätzlich nur rechtmäßig, wenn ein Erlaubnistatbestand gegeben ist. Dieser ist in Art. 6 DSGVO geregelt. Hier ist zu beachten, dass nicht von einer Erlaubnis auszugehen ist, vielmehr muss eine ausdrückliche Erlaubnis der Verarbeitung personenbezogener Daten vorliegen. Dies kann durch die Einwilligung des Patienten gegeben sein:

wenn die Verarbeitung der personenbezogenen Daten für die Erfüllung eines Vertrages erforderlich ist,
wenn die Verarbeitung für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist,
wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen des betroffenen Patienten oder einer anderen Person zu schützen,
wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt,
wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Arztes oder Apothekers oder eines Dritten erforderlich ist, wenn nicht die Rechte oder Interessen der betroffenen Person überwiegen.

§ 9 DSGVO regelt die Besonderheiten für die Verarbeitung von Gesundheitsdaten, welche in nachvollziehbarer Weise nochmals strenger sind. Die berechtigten Interessen des Arztes, Heilpraktikers oder Apothekers können demnach die Verarbeitung von Gesundheitsdaten nicht rechtfertigen, hier ist die Einwilligung des Patienten obligatorisch.

b) Zweckbindung und Richtigkeit: Personenbezogene Daten und Gesundheitsdaten dürfen nur, soweit dies für die Erfüllung des Zwecks notwendig und richtig ist, gespeichert werden. Der Verantwortliche muss daher im Voraus festlegen, zu welchem Zweck die Daten gespeichert werden. Die Daten müssen sich auf dem neuesten Stand befinden. Ansonsten würde gegen das Gebot der Richtigkeit der Daten verstoßen werden. Hier kann es insbesondere zu Problemen bei der Adresse oder E-Mail-Adresse kommen.

c) Datenminimierung: Die Verarbeitung der Daten ist auf das für die Zweckbestimmung notwendige Maß begrenzt. Die Arztpraxis, der Heilpraktiker oder die Apotheke dürfen nicht mehr Daten als notwendig erheben. Sofern der Patient der Erhebung darüber hinausgehender Daten ausdrücklich zustimmt, können die Daten natürlich erhoben werden.

d) Speicherbegrenzung: Die personenbezogenen Daten und Gesundheitsdaten dürfen nur bis zur Zweckerreichung gespeichert werden. Danach sind sie zu löschen, es sei denn, es besteht eine anderweitige gesetzliche Pflicht, die Daten zu speichern. Kündigt ein Patient beispielsweise seine Kundenkarte oder meldet sich von einem Newsletter ab, so sind seine Daten unverzüglich zu löschen, sofern diese nicht für eine andere, rechtmäßige Zweckerreichung notwendig sind.

e) Integrität und Vertraulichkeit: Die personenbezogenen und Gesundheitsdaten sind so zu verarbeiten, dass ihre Sicherheit gewährleistet ist. Hier sind auch technische Voraussetzungen zu schaffen, damit die Daten vor unberechtigten Zugriffen geschützt sind.

5. Vorgehensweise

Der Verantwortliche ist verpflichtet, bis zum 25. Mai 2018 einen Datenschutzbeauftragten bei der Datenschutzbehörde des Bundeslandes zu benennen und zu veröffentlichen. Diese Verpflichtung besteht nun unabhängig von der Größe und Anzahl der Mitarbeiter der Arztpraxis oder Apotheke. Es kommt daher nicht mehr darauf an, dass mehr als neun Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Auch eine externe Benennung eines Datenschutzbeauftragten ist möglich. Aus meiner Sicht ist die Bestellung eines externen Datenschutzbeauftragten
vorzugswürdig.

Sobald personenbezogene Daten und Gesundheitsdaten verarbeitet werden, ist über sämtliche Verarbeitungen ein Verfahrensverzeichnis zu führen. Das Verfahrensverzeichnis hat folgende Angaben aufzuführen:

den Namen des Verantwortlichen (Inhaber) sowie des Datenschutzbeauftragten,
den Zweck der Verarbeitung,
die Beschreibung der personenbezogenen Daten,
die Beschreibung der Empfänger, gegenüber welchen die personenbezogenen Daten und Gesundheitsdaten gegebenenfalls offengelegt werden, hier muss auch die Übermittlung der personenbezogenen Daten und Gesundheitsdaten in ein Drittland angezeigt werden,
der voraussichtliche Zeitpunkt der Zweckerreichung und damit der Zeitpunkt der Löschung der Daten,
die Beschreibung der technischen und organisatorischen Maßnahmen der Sicherheit der Verarbeitung.

6. Informationspflichten

Werden Personendaten bei den Patienten oder bei Dritten erhoben, bestehen umfangreiche Informationspflichten. Diese sind durch die Arztpraxis, den Heilpraktiker oder die Apotheke ohne weitere Aufforderung anzuzeigen. Dabei muss den Patienten die Rechtsgrundlage der Datenerhebung und Speicherung mitgeteilt werden, insbesondere bezüglich der Einwilligungserklärungen. Bei Apothekenfilialen oder anderen Praxisstandorten ist die Einwilligung auf diese auszudehnen, sofern die Daten auch dort genutzt werden sollen. Nicht genutzte Einwilligungserklärungen von Patienten sind nach zwei Jahren zu löschen.

7. Sonstiges

a) Externe Dienstleister: Die sogenannten Auftragsdatenverarbeiter als externe Dienstleister bleiben im Verantwortungsbereich des verantwortlichen Arztes, Heilpraktikers oder Apothekers. Dieser muss seine Auswahl und die Verpflichtung zur Wahrung der Datenschutzgrundsätze darlegen sowie dies in regelmäßigen Abständen kontrollieren. Dies betrifft auch und insbesondere Abrechenfirmen oder Rechenzentren, da diese mit den Patientendaten und damit auch den Gesundheitsdaten in Kontakt kommen.

b) Verstöße: Verstöße, sprich Datenpannen, der Verlust, die Offenlegung der Daten oder ein Fremdzugriff, sind der Aufsichtsbehörde zukünftig innerhalb von 72 Stunden mitzuteilen. Ein Verstoß kann auch darin bestehen, dass Rezepte oder Kassenzettel, Verordnungen, Patientenakten oder Ähnliches durch unberechtigte Personen eingesehen bzw. Telefonate oder persönliche Patientengespräche
mitgehört werden können. Hier müssen die Arztpraxis, der Heilpraktiker und die Apotheke geeignete Diskretionsabstände wahren. Auch dies ist zum einen zu beachten und im Falle eines Verstoßes binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Verstöße gegen die datenschutzrechtlichen Regelungen der DSGVO sind bußgeldbewehrt und die Bußgelder sind empfindlich angehoben worden. Bußgelder können bis zu 20 Millionen Euro (!) oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens betragen. Daher sind die Vorschriften der DSGVO dringend einzuhalten. Daneben wurde die strafrechtliche Verantwortung in § 203 StGB, betrifft die ärztliche Schweigepflicht, erweitert. Die jeweiligen Maßnahmen sind schriftlich nachvollziehbar zu dokumentieren.

Auf den folgenden besonderen Umstand möchte ich noch hinweisen:
Auch ein Mitarbeiter kann ein Patient sein. Der Mitarbeiter ist dann genauso zu behandeln, wie jeder andere Patient. Auch er muss beispielsweise einer weitergehenden Datenverarbeitung zustimmen und dies auch schriftlich tun.

Fazit

Wie zu erwarten war, hat das Thema Datenschutz durch die DSGVO weiter an Relevanz gewonnen. Die neuen Pflichten stellen die Ärzte, Heilpraktiker und Apotheker vor weitgehende Herausforderungen, welche es angesichts der drohenden empfindlichen Bußgelder zu bewältigen gilt.

Hier geht es zum zweiten Teil unserer DSGVO-Reihe.

Bei weiteren Fragen zum Thema stehen Ihnen unsere Rechtsanwälte für IT-Recht jederzeit zur Verfügung.

Autor