von RAin und FAin für MedizinR Taisija Taksijan, LL.M., D+B Rechtsanwälte Partnerschaft mbB, Berlin, www.db-law.de
Im Datenschutz lauert für die Radiologen mit der neuen Datenschutz-Grundverordnung ( DS-GVO ) ab dem 25.05.2018 eine große Herausforderung. Die Umsetzung einiger Vorgaben sollte man nicht auf die lange Bank schieben, sondern rechtzeitig in Angriff nehmen. Denn Verstöße gegen das Datenschutzrecht werden zukünftig hart bestraft. Die DS-GVO sieht Bußgeld von bis zu 20 Mio. Euro bzw. 4 Prozent des Jahresumsatzes vor – je nachdem, was höher liegt.
Radiologen sind stets mit der Erfassung und Speicherung von Patientendaten befasst. Deshalb müssen gerade sie in ihrem beruflichen Alltag ein besonderes Augenmerk auf den Datenschutz legen. Die Behandlungsdaten enthalten Angaben, aus denen sich Informationen über den Gesundheitszustand des Patienten ableiten lassen. Es handelt sich damit um Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DS-GVO. Diese dürfen als „besondere Kategorien personenbezogener Daten“ nach Art. 9 Abs. 1 DS-GVO wegen der besonderen Sensibilität nur unter erhöhten Voraussetzungen verarbeitet werden.
„Verarbeitung“ ist dabei ein Oberbegriff für alle Datenumgänge. Davon erfasst sind nach Art. 4 Nr. 2 DS-GVO
Der Praxisinhaber hat die Gesamtverantwortung für eine rechtmäßige Datenverarbeitung und die Einhaltung der geltenden Datenverarbeitungsgrundsätze. Diese erstreckt sich nicht nur auf die Verarbeitung durch den Verantwortlichen selbst, sondern umfasst auch die Verarbeitung durch Auftragsverarbeiter.
Eine der wichtigsten Neuerungen ist die Verpflichtung zur sogenannten Datenschutz-Folgenabschätzung als Instrument zur systematischen Eindämmung datenschutzrechtlicher Risiken. Bereits eine kleine Arztpraxis dürfte zukünftig in den meisten Fällen verpflichtet sein, im Vorfeld der Datenverarbeitung Risikoanalysen und Datenschutz-Folgenabschätzungen vorzunehmen (Art. 35 DS-GVO).
Praxishinweis |
Bei einer Datenschutz-Folgenabschätzung sind insbesondere die geplante Datenverarbeitung und ihr Zweck systematisch zu beschreiben. Die Risiken eines Datenverlusts müssen bewertet und Maßnahmen dokumentiert werden, die zur Bewältigung dieser Risiken erfolgen. Es dürfte dabei sinnvoll bzw. notwendig sein, etwa Hersteller von IT-Systemen einzubeziehen. |
Darüber hinaus ist ein Verarbeitungsverzeichnis anzulegen (Art. 30 DS-GVO). Dieses muss folgende Angaben enthalten:
Auf Anfrage der Aufsichtsbehörden müssen die Verzeichnisse diesen zur Verfügung gestellt werden.
Praxishinweis |
Alle Tätigkeiten der Datenverarbeitung sollten rechtzeitig in einem Verzeichnis beschrieben werden. Das Verzeichnis kann sodann als wesentliche Grundlage für eine strukturierte Dokumentation genutzt werden. |
Außerdem kommen auf Ärzte neue und umfangreiche Informationspflichten zu (Art. 13 DS-GVO). Patienten müssen konkret darüber informiert werden, was mit ihren Daten passiert und über welche Rechte sie verfügen. Folgende Mitteilungen sind dabei insbesondere gegenüber dem Patienten zu machen:
Praxishinweis |
Für die konkrete Information Ihrer Patienten müssen Sie entsprechende Informationsschreiben vorbereiten. |
Im Falle eines Datenverlusts gilt die Pflicht zur Selbstanzeige gegenüber der Aufsichtsbehörde innerhalb von 72 Stunden (Art. 32 DS-GVO). Auch der betroffene Patient ist unverzüglich zu benachrichtigen (Art. 33 DS-GVO). Entsprechende Pflichten können etwa durch folgende Datenpannen ausgelöst werden:
Mit Wirksamwerden der DS-GVO müssen Praxen, die zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, diesen der zuständigen Aufsichtsbehörde melden (Art. 37 Abs. 7 DS-GVO). Dies betrifft (heute schon) jedenfalls größere Praxen mit zehn oder mehr Mitarbeitern, die ständig mit automatisierter Datenverarbeitung beschäftigt sind. Eine Verpflichtung besteht zukünftig aber auch für kleinere Gemeinschaftspraxen.
Unterbleibt die Meldung des Datenschutzbeauftragten, stellt dies nicht nur einen Verstoß dar, sondern auch eine Möglichkeit für die Aufsichtsbehörde, anhand der fehlenden Meldung schnell festzustellen, wer es mit dem Datenschutz nicht so genau nimmt.
Praxishinweis |
Jede Praxis sollte überprüfen, ob sie einen Datenschutzbeauftragten bestellen muss. Informieren Sie sich über die zuständige Behörde und bereiten Sie eine Meldung vor. |
Verträge zur Datenverarbeitung müssen die Vorgaben des Art. 28 DS-GVO enthalten. Bestehende Vereinbarungen mit Auftragsverarbeitern, etwa zur Wartung von IT-Systemen etc., sollten zusammengestellt und auf die Vereinbarkeit mit der DS-GVO hin überprüft werden.
Praxishinweis |
Wegen einer Neuregelung in § 203 Abs. 4 Strafgesetzbuch sollte in Auftragsverarbeitungsverhältnissen ein Hinweis der Auftraggeber auf die Strafbarkeit der Auftragnehmer enthalten sein. |
Der deutsche Bundesgesetzgeber ist in der Zwischenzeit tätig geworden und hat insbesondere die Anpassung des Bundesdatenschutzesgesetzes (BDSG) beschlossen. Diese Änderungen werden gleichzeitig mit der Wirkungserlangung der DS-GVO zum 25.05.2018 in Kraft treten. Die maßgebliche Erlaubnisnorm für die Verarbeitung von Gesundheitsdaten wird § 22 BDSG sein. Wenn diese nicht ausreicht, wird die Einwilligung des Patienten notwendig.
Auch für Einwilligungen gelten strenge Anforderungen (Art. 7 DS-GVO): Die Einwilligung muss freiwillig für einen bestimmten Fall und unmissverständlich abgegeben werden. Sie muss in einfacher, klarer Sprache verfasst werden. Wird sie im Zusammenhang mit anderen Erklärungen eingeholt, muss sie erkennbar abgegrenzt werden. Eine allgemeine umfassende Einwilligung zu unspezifischen Verarbeitungsprozessen ist daher i. d. R. nicht ausreichend.
Praxishinweis |
Formulare (etwa Anamnesebögen, die eine Einwilligungserklärung enthalten) sollten geprüft und ggf. angepasst werden. |
Während der Verarbeitung sind die Daten durch technische und organisatorische Maßnahmen im Rahmen eines umfassenden Datenschutzmanagements zu sichern (Art. 32 DS-GVO). Die Umsetzung der vom Gesetzgeber unter der Überschrift „Sicherheit der Verarbeitung“ letztlich nur vage beschriebenen Maßnahmen läuft auf die Etablierung eines Datenschutzkonzepts hinaus.
Praxishinweis |
Für die Datensicherheit werden ein Risikomanagementsystem und ggf. entsprechende Richtlinien für die Mitarbeiter zu dem Datenumgang erforderlich. |
Schließlich trifft den Arzt eine umfassende Dokumentations- und Rechenschaftspflicht, durch die die Einhaltung aller Vorgaben der DS-GVO nachgewiesen werden soll (Art. 5 Abs. 2 DS-GVO), insbesondere auch die oben aufgezählten Maßnahmen, etwa:
Radiologen kann angesichts der Herausforderungen nur empfohlen werden, sich rechtzeitig mit dem Thema Datenschutz auseinanderzusetzen (und ggf. die Hilfe kompetenter Dienstleister einzuholen). Zunächst sollten sie den Ist-Zustand der Datensicherheit in ihrer Praxis analysieren und Sicherheitslücken identifizieren. Dann sollten der Soll-Zustand beschrieben und auf dieser Grundlage Prozesse zur Schließung der Lücken und Erreichung des Soll-Zustands installiert werden. Ein Datenschutzkonzept sollte am besten ein Arbeitshandbuch beinhalten, in dem alle Prozesse und Kontrollen vorgeschrieben werden.
Wir bedanken uns für Ihren Besuch auf dieser Website. Hier finden Sie unsere
>>AGB
und unsere
>>Datenschutzbestimmungen.
Guerbet GmbH
Otto-Volger-Straße 11,
65843 Sulzbach/Taunus
Telefon: 06196 762-0
www.guerbet.de
E-Mail: info@guerbet.de
Wenn Sie Fragen oder Anregungen zur Berichterstattung haben, erreichen Sie uns über folgende E-Mail-Adresse: rwf@iww.de.
Wenn Sie Fragen oder Anmerkungen zu Produkten der Guerbet GmbH haben, kontaktieren Sie uns bitte hier.
>>Zum Kontaktformular