von RAin und FAin für MedizinR Taisija Taksijan, LL.M., D+B Rechtsanwälte Partnerschaft mbB, Berlin, www.db-law.de

Im Datenschutz lauert für die Radiologen mit der neuen Datenschutz-Grundverordnung ( DS-GVO ) ab dem 25.05.2018 eine große Herausforderung. Die Umsetzung einiger Vorgaben sollte man nicht auf die lange Bank schieben, sondern rechtzeitig in Angriff nehmen. Denn Verstöße gegen das Datenschutzrecht werden zukünftig hart bestraft. Die DS-GVO sieht Bußgeld von bis zu 20 Mio. Euro bzw. 4 Prozent des Jahresumsatzes vor – je nachdem, was höher liegt.

Radiologische Daten sind sensibel

Radiologen sind stets mit der Erfassung und Speicherung von Patientendaten befasst. Deshalb müssen gerade sie in ihrem beruflichen Alltag ein besonderes Augenmerk auf den Datenschutz legen. Die Behandlungsdaten enthalten Angaben, aus denen sich Informationen über den Gesundheitszustand des Patienten ableiten lassen. Es handelt sich damit um Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DS-GVO. Diese dürfen als „besondere Kategorien personenbezogener Daten“ nach Art. 9 Abs. 1 DS-GVO wegen der besonderen Sensibilität nur unter erhöhten Voraussetzungen verarbeitet werden.

„Verarbeitung“ ist dabei ein Oberbegriff für alle Datenumgänge. Davon erfasst sind nach Art. 4 Nr. 2 DS-GVO

• jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie

• das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Praxisinhaber ist auch für Auftragsverarbeiter verantwortlich

Der Praxisinhaber hat die Gesamtverantwortung für eine rechtmäßige Datenverarbeitung und die Einhaltung der geltenden Datenverarbeitungsgrundsätze. Diese erstreckt sich nicht nur auf die Verarbeitung durch den Verantwortlichen selbst, sondern umfasst auch die Verarbeitung durch Auftragsverarbeiter.

Datenschutz-Folgen abschätzen

Eine der wichtigsten Neuerungen ist die Verpflichtung zur sogenannten Datenschutz-Folgenabschätzung als Instrument zur systematischen Eindämmung datenschutzrechtlicher Risiken. Bereits eine kleine Arztpraxis dürfte zukünftig in den meisten Fällen verpflichtet sein, im Vorfeld der Datenverarbeitung Risikoanalysen und Datenschutz-Folgenabschätzungen vorzunehmen (Art. 35 DS-GVO).

 

Verarbeitungsverzeichnis anlegen

Darüber hinaus ist ein Verarbeitungsverzeichnis anzulegen (Art. 30 DS-GVO). Dieses muss folgende Angaben enthalten:

• Name und Kontaktdaten des Verantwortlichen, seines Vertreters und ggf. des Datenschutzbeauftragen

• Zweck der Datenverarbeitung

• Beschreibung der Kategorien betroffener Personen und personenbezogener Daten

• Nach Möglichkeit die vorgesehenen Fristen für die Löschung

• Nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Wahrung eines angemessenen Schutzniveaus

Auf Anfrage der Aufsichtsbehörden müssen die Verzeichnisse diesen zur Verfügung gestellt werden.

 

Informationspflichten erfüllen

Außerdem kommen auf Ärzte neue und umfangreiche Informationspflichten zu (Art. 13 DS-GVO). Patienten müssen konkret darüber informiert werden, was mit ihren Daten passiert und über welche Rechte sie verfügen. Folgende Mitteilungen sind dabei insbesondere gegenüber dem Patienten zu machen:

• Namen und Kontaktdaten des Verantwortlichen sowie seines Vertreters

• Ggf. Kontaktdaten des Bundesdatenschutzbeauftragten

• Zwecke der Datenverarbeitung

• Rechtsgrundlage der Datenverarbeitung

• Dauer der Datenspeicherung

• Rechte des Patienten auf Auskunft, Berichtigung, Löschung, Einschränkung der Datenverarbeitung, Datenübertragung

• Ggf. Recht auf Widerruf der Einwilligung

• Recht auf Beschwerde bei einer Aufsichtsbehörde

 

Datenverlust melden

Im Falle eines Datenverlusts gilt die Pflicht zur Selbstanzeige gegenüber der Aufsichtsbehörde innerhalb von 72 Stunden (Art. 32 DS-GVO). Auch der betroffene Patient ist unverzüglich zu benachrichtigen (Art. 33 DS-GVO). Entsprechende Pflichten können etwa durch folgende Datenpannen ausgelöst werden:

• Fehlende oder fehlerhafte Datensicherung (Backup)

• „Hackerangriff“, Datendiebstahl, Datenmanipulation

• Ungenügender Zutritts- bzw. Zugangsschutz

• Fehlgeleitete E-Mail

• Datenverlust, Verlust von Geräten und Datenträgern

Datenschutzbeauftragten anzeigen

Mit Wirksamwerden der DS-GVO müssen Praxen, die zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, diesen der zuständigen Aufsichtsbehörde melden (Art. 37 Abs. 7 DS-GVO). Dies betrifft (heute schon) jedenfalls größere Praxen mit zehn oder mehr Mitarbeitern, die ständig mit automatisierter Datenverarbeitung beschäftigt sind. Eine Verpflichtung besteht zukünftig aber auch für kleinere Gemeinschaftspraxen.

Unterbleibt die Meldung des Datenschutzbeauftragten, stellt dies nicht nur einen Verstoß dar, sondern auch eine Möglichkeit für die Aufsichtsbehörde, anhand der fehlenden Meldung schnell festzustellen, wer es mit dem Datenschutz nicht so genau nimmt.

 

Auftragsverarbeitung regeln

Verträge zur Datenverarbeitung müssen die Vorgaben des Art. 28 DS-GVO enthalten. Bestehende Vereinbarungen mit Auftragsverarbeitern, etwa zur Wartung von IT-Systemen etc., sollten zusammengestellt und auf die Vereinbarkeit mit der DS-GVO hin überprüft werden.

 

Einwilligung prüfen

Der deutsche Bundesgesetzgeber ist in der Zwischenzeit tätig geworden und hat insbesondere die Anpassung des Bundesdatenschutzesgesetzes (BDSG) beschlossen. Diese Änderungen werden gleichzeitig mit der Wirkungserlangung der DS-GVO zum 25.05.2018 in Kraft treten. Die maßgebliche Erlaubnisnorm für die Verarbeitung von Gesundheitsdaten wird § 22 BDSG sein. Wenn diese nicht ausreicht, wird die Einwilligung des Patienten notwendig.

Auch für Einwilligungen gelten strenge Anforderungen (Art. 7 DS-GVO): Die Einwilligung muss freiwillig für einen bestimmten Fall und unmissverständlich abgegeben werden. Sie muss in einfacher, klarer Sprache verfasst werden. Wird sie im Zusammenhang mit anderen Erklärungen eingeholt, muss sie erkennbar abgegrenzt werden. Eine allgemeine umfassende Einwilligung zu unspezifischen Verarbeitungsprozessen ist daher i. d. R. nicht ausreichend.

 

Datenschutzkonzept erstellen

Während der Verarbeitung sind die Daten durch technische und organisatorische Maßnahmen im Rahmen eines umfassenden Datenschutzmanagements zu sichern (Art. 32 DS-GVO). Die Umsetzung der vom Gesetzgeber unter der Überschrift „Sicherheit der Verarbeitung“ letztlich nur vage beschriebenen Maßnahmen läuft auf die Etablierung eines Datenschutzkonzepts hinaus.

 

Sorgfältig dokumentieren

Schließlich trifft den Arzt eine umfassende Dokumentations- und Rechenschaftspflicht, durch die die Einhaltung aller Vorgaben der DS-GVO nachgewiesen werden soll (Art. 5 Abs. 2 DS-GVO), insbesondere auch die oben aufgezählten Maßnahmen, etwa:

• Datenschutz-Folgeabschätzung

• Information der Patienten

• Anzeige des Datenschutzbeauftragten

• Sicherheitsmaßnahmen

Fazit

Radiologen kann angesichts der Herausforderungen nur empfohlen werden, sich rechtzeitig mit dem Thema Datenschutz auseinanderzusetzen (und ggf. die Hilfe kompetenter Dienstleister einzuholen). Zunächst sollten sie den Ist-Zustand der Datensicherheit in ihrer Praxis analysieren und Sicherheitslücken identifizieren. Dann sollten der Soll-Zustand beschrieben und auf dieser Grundlage Prozesse zur Schließung der Lücken und Erreichung des Soll-Zustands installiert werden. Ein Datenschutzkonzept sollte am besten ein Arbeitshandbuch beinhalten, in dem alle Prozesse und Kontrollen vorgeschrieben werden.