Wie viel hat sich seit Inkrafttreten der Datenschutzgrundverordnung im täglichen Praxisalltag tatsächlich geändert?
Bernd Halbe und Jan Ippach:
Die Frage wird man sicherlich nur praxisindividuell und weniger generell beantworten können, da der Umsetzungsstand sich in den Praxen auch ein Jahr nach „Inkrafttreten“ der DS-GVO unterscheidet; dies ist jedenfalls der Eindruck, welcher sich in der täglichen (juristischen) Beratungspraxis zeigt. Deutlich zugenommen hat sicherlich der Aufwand, mit welchem die Einhaltung der datenschutzrechtlichen Vorgaben dokumentiert wird. Priorität hat zudem die Information der Patienten über die Datenverarbeitungsvorgänge in der Praxis. Viele datenschutzrechtliche Missverständnisse konnten in der Zwischenzeit ausgeräumt werden; manches bleibt jedoch weiterhin ungeklärt, was zu einer anhaltenden Verunsicherung in den Praxen beiträgt. Hier bleibt zu hoffen, dass auch die Zusammenarbeit der Datenschutzaufsichtsbehörden der Länder untereinander bald zu Um- und Durchsetzung eines praktikablen Datenschutzes führen wird. Das Bewusstsein für den Datenschutz ist in jedem Fall deutlich gestiegen.
Welche grundlegenden Maßnahmen sollte jeder Praxisinhaber unmittelbar ergreifen?
Carsten Dochow, Bert-Sebastian Dörfer und Marlis Hübner:
Zu einem guten Datenschutzmanagement und einer datenschutzkonformen Praxisorganisation gehören eine Reihe von Maßnahmen: Ärztinnen und Ärzte sollten zu aller erst ein Verzeichnis der Verarbeitungstätigkeiten erstellt haben. Dies verschafft einen guten Überblick darüber, welche Datenverarbeitung in der Praxis stattfindet und es dient dem Nachweis, falls Aufsichtsbehörden etwas überprüfen wollen.
Außerdem sollten Patientinnen und Patienten über wichtige Fragen zum Datenschutz in einer Datenschutzerklärung informiert werden, die in der Praxis sichtbar aufgehängt oder ausgelegt werden kann.Ein Aushang, der an der Innenseite der Tür zum Behandlungszimmer angebracht wird, ist sicherlich kaum wahrzunehmen. Weil in dem Informationsblatt die Rechtsgrundlage für die Datenverarbeitung angegeben werden muss, sollte geprüft werden, zu welchem Zweck und auf welcher Grundlage Patientendaten verarbeitet werden. Meist ist das § 22 Abs. 1 Nr. 1 Buchstabe b BDSG, weil der Großteil der Datenverarbeitung zu Behandlungszwecken und zur Dokumentation erfolgt.
Falls Einwilligungserklärungen in der Praxis verwendet werden, z. B. für die Weitergabe von Patientendaten an Private Verrechnungsstellen, ist es wichtig, die Erklärungen auf ihre Richtigkeit und Aktualität zu überprüfen. Diese müssen alle wichtigen Informationen enthalten und zum Beispiel auf die Möglichkeit des Widerrufs hinweisen. Auch etwaige Vereinbarungen mit Dienstleistern für IT und EDV-Wartung sollten geprüft werden, ob diese den gesetzlichen Vorgaben zur Auftragsverarbeitung entsprechen. In diesem Zusammenhang darf auch nicht vergessen werden, dass das parallel zu beachtende Strafrecht nunmehr verlangt, dass solche Dienstleister zur Geheimhaltung zu verpflichten sind.
Außerdem sind in größeren Gesundheitseinrichtungen betriebliche Datenschutzbeauftragte zu benennen und bei hochriskanten Datenverarbeitungstätigkeiten ist eine Datenschutz-Folgenabschätzung vorzunehmen. Es empfiehlt sich auch eine betriebsinterne Datenschutzrichtlinie zu erstellen, in der zum Beispiel festgelegt wird, wie bei Datenpannen zu verfahren ist, wie Betroffenenrechte auf Auskunft oder Löschung zu realisieren sind und welche Maßnahmen im Interesse der Datensicherheit zu ergreifen sind. Wichtig ist auch, dass die Verarbeitung von Beschäftigtendaten ebenfalls ein Thema in der Arztpraxis ist.
Welche Arbeitsbereiche der ärztlichen Praxis sind von den Bestimmungen des Datenschutzes betroffen?
Joachim Schütz:
Im Grunde sind alle Arbeitsbereiche in der ärztlichen Praxis betroffen. Angefangen von dem Anlegen der (elektronischen) Patientenakte bis zum Löschen der Patientendaten sind alle Bereiche betroffen. Insbesondere gilt es den Informationspflichten gegenüber den Patienten nachzukommen und sie über ihre Rechte (Auskunft, Berichtigung, Übermittlung, etc.) aufzuklären. Hierzu sind entsprechende Informationen gut sichtbar im Empfangsbereich und / oder im Wartezimmer auszulegen oder aufzuhängen. Der Betrieb im Empfangsbereich, im Wartezimmer und in den Behandlungszimmern ist so zu organisieren, dass die Vertraulichkeit zugunsten der Patienten jederzeit gewährleistet ist. Mithören, Lesen und jeder sonstige Zugriff auf Patientendaten durch unbefugte Dritte ist zu vermeiden. Deshalb dürfen Patientenakten, Rezepte oder Überweisungen nicht offen herumliegen. Ebenso muss ausgeschlossen werden, dass unbefugte Dritte, also auch andere Patienten oder Postzusteller, Zugriff auf die Praxiscomputer haben und sei es nur durch die Draufsicht auf die Bildschirme, auf denen Patientendaten zu lesen sind. Schließlich ist die gesamte IT und Praxissoftware (Dokumentation, Abrechnung, etc.) durch Passwörter, Virenschutz, Firewalls, etc. zu schützen. Emails mit Patientendaten sollten immer nur verschlüsselt verschickt oder empfangen werden.
Wie können die Patienten rechtssicher über die neuen Bestimmungen informiert werden?
Jürgen Schröder:
Wichtig ist, dass der Praxisinhaber die Patienten über die in der Arztpraxis stattfindenden Datenverarbeitungen informiert. Dabei ist u.a. auch der Zweck der Datenverarbeitung und etwaige Empfänger der Daten zu benennen. Diese Information kann auf der Homepage und als Aushang in der Arztpraxis oder durch Übergabe an den Patienten zur Verfügung gestellt werden. Eine Gegenzeichnung des Patienten ist hierbei nicht erforderlich. Eine darüberhinausgehende Pflicht des Arztes, allgemein über die Bestimmungen der DS-GVO zu informieren besteht nicht.
Welche Konsequenzen drohen bei Verstößen bzw. Datenlecks?
Bernd Halbe und Jan Ippach:
Die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz geben den staatlichen Aufsichtsbehörden einen „Maßnahmenkatalog“ an die Hand, um die Einhaltung datenschutzrechtlicher Vorgaben sicherzustellen. Verstöße gegen den Datenschutz werden folglich zukünftig stärker geahndet werden, als dies bislang der Fall gewesen ist. Neben der Geldbuße stehen den Aufsichtsbehörden weitere „Werkzeuge“ zur Verfügung ((Ver-)Warnung, Aussetzungsanordnung, Beschränkungsanordnung, Verarbeitungsverbot), um Verstöße gegen den Datenschutz zu sanktionieren. Die (mediale) Wahrnehmung in der Öffentlichkeit beschränkt sich derzeit weitestgehend auf die Sanktion mittels Bußgeldern. Jedoch sollte nicht unbeachtet bleiben, dass – je nach Einzelfall – auch ein Schadensersatzanspruch der Personen bestehen kann, deren Persönlichkeitsrechte durch den Datenschutzverstoß verletzt worden sind.
Vielen Dank!
Die Fragen stellte Martin Reinhart, Deutscher Ärzteverlag.