MEDIZINRECHT

Neue Datenschutzgrundverordnung ab Mai 2018

Rechtsanwältin Anna Herzig

Rechtsanwältin Anna Herzig

Ab dem 25.05.2018 gilt europaweit ein neues, einheitliches und gegenüber dem nationalen Recht vorrangiges Datenschutzrecht – die Datenschutzgrundverordnung (DS-GVO). Was den Berufsstand der Ärzte betrifft, dient sie neben der ärztlichen Schweigepflicht auch dem Recht auf informationelle Selbstbestimmung des Patienten.

Letzteres ist eine besondere Ausprägung des durch das Grundgesetz geschützten allgemeinen Persönlichkeitsrechts (Art. 2 Abs 1 GG i. V. m. Art 1 Abs. 1 GG) und beinhaltet das Recht des Einzelnen, selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Eine Einschränkung kann nur auf gesetzlicher Grundlage erfolgen. Eine solche stellt die DS-GVO dar. 

Bei der DS-GVO handelt es sich um eine europäische Verordnung, die in den Rechtsordnungen der europäischen Mitgliedsstaaten unmittelbare Wirkung entfaltet. Sie ist daher nationalen Regelungen gegenüber – wie sie auch im neuen Bundesdatenschutzgesetz (BDSG-neu) aufgestellt werden – vorrangig. Daneben sind bereichsspezifische Datenschutzgesetze oder -regelungen (zu finden u. a. im SGB V, im Transfusions- oder Infektionsschutzgesetz) zu beachten. 

 

Inhaltliche Anforderungen der DS-GVO

Die inhaltlichen Anforderungen der DS-GVO ähneln vielfach dem derzeit geltenden Recht. Neu ist jedoch die sogenannte Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) des Verantwortlichen, d. h. des Praxisinhabers. Dieser muss die Einhaltung der Datenschutzgrundsätze sowie die ergriffenen Datenschutzmaßnahmen nun nachweisen können. Datenschutzgrundsätze sind z. B. das Rechtmäßigkeitsprinzip, d. h., dass eine Datenverarbeitung nur erlaubt ist, wenn eine gesetzliche Grundlage vorliegt oder der Betroffene eingewilligt hat. Im Rahmen eines Behandlungsvertrages wird eine ausdrückliche Einwilligung des Patienten in die Verarbeitung seiner Gesundheitsdaten grundsätzlich aber nicht erforderlich sein. Da die Datenverarbeitung dem Zwecke der Gesundheitsvorsorge und -versorgung dient und aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufes durch Fachpersonal, das einer entsprechenden Geheimhaltungspflicht unterliegt, erfolgt, liegt eine gesetzliche Grundlage gem. Art. 9 Abs. 2 lit. h) DS-GVO vor. Eine ausdrückliche Einwilligung wird regelmäßig allerdings für die Offenbarung von Patientendaten gegenüber Dritten (auch ärztlichen Kollegen) erforderlich sein, es sei denn, es liegen gesetzliche Offenbarungspflichten oder -befugnisse, wie z. B. die Übermittlung an die Kassenärztliche Vereinigung, vor. Einen weiteren – vor allem im Hinblick auf besonders sensible Daten, wie die Gesundheitsdaten – wichtigen Datenschutzgrundsatz stellt die Zweckbindung der Datenverarbeitung dar, d. h. die Daten dürfen nur für festgelegte und eindeutige Zwecke verarbeitet werden.  

Hierbei ist zu beachten, dass die DS-GVO den Aufsichtsbehörden erweiterte Befugnisse einräumt und einen beachtlich erhöhten Sanktionsrahmen geschaffen hat. Der Verantwortliche wird hingegen verpflichtet, Datenpannen und Datenschutzverstöße innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Welche dies ist, hängt vom jeweiligen Bundesland ab, in dem die Praxis ihren Sitz hat. Für die Arztpraxis sind besonders folgende Neuerungen relevant:
 

Erstellung eines Verzeichnisses für Verarbeitungsvorgänge in der Praxis (Art. 30 DS-GVO)

Alle Arztpraxen haben ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dies bedeutet, dass sie sämtliche Vorgänge, bei welchen personenbezogene Daten erhoben und verarbeitet werden, schriftlich erfassen und ihnen die nach der DS-GVO geforderten Angaben, wie u. a. Zwecke der Verarbeitung (z. B. ärztliche Dokumentation), betroffene Personengruppen (z. B. Patienten oder Beschäftigte), Datenkategorien (z. B. Gesundheitsdaten, Personaldaten), etc. zuordnen müssen. Wie eine entsprechende Dokumentation aussehen könnte, zeigt die Kassenärztliche Bundesvereinigung auf ihrer Homepage. (1)
 

Sicherheit der Datenverarbeitung (Art. 32 DS-GVO)

Zum Schutz personenbezogener Daten sind geeignete technisch-organisatorische Maßnahmen zu ergreifen und zu dokumentieren. Solche können sein: Nur verschlüsselte Übermittlung von Patientendaten übers Internet, klare Zugriffsberechtigungen für Mitarbeiter, praxisinterne Datenschutzrichtlinien über die Diskretion in den Praxisräumlichkeiten, die Verhaltensweisen beim Erfassen und Verwahren von Patientendaten oder die Erteilung von telefonischen Auskünften.
 

Patienteninformation (Art. 13 DS-GVO)

Patienten müssen zum Zeitpunkt der Datenerhebung darüber informiert werden, was mit ihren Daten passiert. In der Regel kann dies durch einen Aushang oder ein Informationsblatt in der Praxis, das Angaben zum Zweck sowie zur Rechtsgrundlage der Datenverarbeitung, aber auch die Kontaktdaten der Praxis und eines etwaigen Datenschutzbeauftragten enthält, erfolgen. Auch hier stellt die Kassenärztliche Bundesvereinigung ein ent-
sprechendes Muster zur Verfügung. (1)

Darüber hinaus ist der Patient über die Dauer der Speicherung und seine Betroffenenrechte, wie Auskunft (Art. 15 DS-GVO), Berichtigung oder Löschung (Art. 16 und 17 DS-GVO) zu informieren. Hervorzuheben ist dabei das Auskunftsrecht über die zu seiner Person in der Praxis gespeicherten Daten. 

Das Auskunftsrecht besteht neben dem Einsichtsrecht in die Patientenakte gem. § 630 g BGB und dient als Voraussetzung für die Geltendmachung weiterer Ansprüche auf Berichtigung oder Löschung, da der Patient diese erst sinnvoll geltend machen kann, wenn er weiß, über welche Informationen die Praxis verfügt. 

Da dem Auskunftsrecht grundsätzlich unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags unentgeltlich und schriftlich nachzukommen ist, empfiehlt es sich, auch hier praxisinterne Richtlinien zum Umgang mit entsprechenden Anfragen aufzustellen. Verfügt die Arztpraxis über einen Internetauftritt, sollte die Datenschutzerklärung auch dort eingestellt werden.
 

Informationspflichten bei besonderen Serviceleistungen 

Werden besondere Serviceleistungen angeboten, wie Online-Terminvereinbarungen, Terminerinnerungen per SMS oder Patienten-Newsletter, werden in der Regel Patientendaten gespeichert und verarbeitet.  

Somit ist der Patient darauf hinzuweisen, dass seine Daten wie Name, Postanschrift, E-Mail-Adresse, Telefonnummer oder das Geburtsdatum ausschließlich in Übereinstimmung mit dem jeweils geltenden Datenschutzrecht erhoben und genutzt werden, die Daten nur gespeichert werden, wenn sie aktiv vom Patienten übermittelt werden und z. B. nur zur Beantwortung von Anfragen, zur Vereinbarung eines Termins oder zur Zusendung von Informationsmaterial verwendet werden. Oft wird die Möglichkeit der Online-Terminvergabe durch externe Dienstleister angeboten. Auch hier ist darauf zu achten, dass die genannten Informationspflichten gegenüber den Patienten/Nutzern durch diese eingehalten werden. Werden für die Terminvereinbarung zudem Gesundheitsdaten abgefragt, so ist für die Verarbeitung auch eine Einwilligungserklärung des Patienten erforderlich sowie der Hinweis auf die Möglichkeit des Widerrufs der Einwilligung.
 

Auftragsdatenverarbeitung (Art. 28 DS-GVO)

Beauftragt eine Arztpraxis externe Dienstleister, z. B. für die Wartung der Praxis-EDV oder für die Akten- und Datenträgervernichtung, ist an einen Vertrag über die Auftragsdatenverarbeitung zu denken. Dieser besteht neben dem Hauptvertrag, der sich auf die zu erbringende Dienstleistung bezieht. Erkundigen Sie sich bei dem Dienstleistungserbringer, ob er über einen entsprechenden Mustervertrag verfügt. Schließlich gilt die DS-GVO auch für ihn. Anderenfalls sollten Sie sich hier juristisch beraten lassen.
 

Datenschutzbeauftragte/r (Art. 37 DS-GVO, § 38 BDSG-neu)

Arztpraxen, in denen 10 und mehr Personen mit der Verarbeitung personenbezogener Daten befasst sind, müssen einen Datenschutzbeauftragten benennen. Dieser kann ein eigener Angestellter oder ein externer Beauftragter sein.
 

Fazit 

Beachten Sie, dass die DS-GVO bereits seit 2016 in Kraft getreten ist und zum 25.05.2018 lediglich die Übergangsfrist abläuft. Verstöße können also ab dem 25.05.2018 sanktioniert werden. Die streng formalistischen Anforderungen sind also nicht auf die leichte Schulter zu nehmen.                                

Weitere Informationen:
www.kbv.de/html/datensicherheit.php
 

 

Rechtsanwältin Anna Herzig
Kanzlei Tacke Krafft
Rechtsanwälte in Partnerschaft mbB
Rindermarkt 3 und 4
80331 München