Datenschutzbehörden prüfen Arztpraxen per Fragebogen

von RA Dr. Tim Oehler, Lehrbeauftragter der Universität Witten/Herdecke, Wallenhorst

Datenschutzbehörden waren bisher mit allgemeinen Ausarbeitungen zur DS-GVO, der Beratung zu individuellen Fragen und deren Beantwortung sowie der Beschwerdenbearbeitung vollends ausgelastet. Nun haben manche Aufsichtsbehörden den Schritt zu Stichprobenprüfungen beim Datenumgang vollzogen. Ungewöhnlich ist die Durchführung: Ein unscheinbarer Fragebogen wird an Arztpraxen geschickt. Radiologische Praxen können für derartige Datenschutzkontrollen besonders interessant sein.  

Radiologie für Datenschutzbehörden interessant

Die vorgehaltene Medizintechnik in radiologischen Praxen und Medizinischen Versorgungszentren (MVZ) weicht vom Zuschnitt der durchschnittlichen Praxis erheblich ab, nimmt eine Schlüsselfunktion in der medizinischen Arbeitsteilung ein und es werden erhebliche Datenmengen erzeugt (Stichwort: digitale Bilder). Für Hacker mit Erpressungssoftware wäre eine Radiologie-Praxis ein lohnenswertes Ziel und für Datenschutzbehörden daher ein geeignetes Prüfobjekt.

Einordnung von und Rechtsgrundlagen für Auskunftsanfragen

Die Aufsichtsbehörde ist befugt, Verantwortliche (z. B. Inhaber einer Arztpraxis) anzuweisen, „alle Informationen“ bereitzustellen (Art. 58 Abs. 1 lit. a DS-GVO). Zu diesen Informationen gehören auch technische Abläufe und organisatorische Zusammenhänge in einer Arztpraxis. Es ist zulässig, dass die Anfragen und damit Fragebögen ohne Anlass (Veranlassung kann z. B. eine Patienten-Beschwerde sein) oder präventiv (z. B. Sensibilisierung für Cryptolocker-Angriffe auf medizinische Einrichtungen) gestellt werden.

Zu unterscheiden sind

  • Anfragen, die die Datenschutz-Aufsichtsbehörden z. B. über Fragebögen stellen und die punktuell oder auf einen bestimmten Ausschnitt (z. B. Absicherung der Arztpraxis-IT gegen Hackerangriffe) gerichtet sind, sowie
  • Datenschutzprüfungen, die nicht auf einzelne Komponenten, sondern auf die umfassende Überprüfung des Datenumgangs von Personendaten ausgerichtet sind (Art. 58 Abs. 1 lit. b DS-GVO).

Keine Formvorgaben nach der DS-GVO

Die DS-GVO gibt nicht vor, in welcher Form die Informationen zu erteilen sind. Die vom Verantwortlichen der Arztpraxis bereitgestellten Informationen selbst müssen vollständig, sachlich korrekt und dürfen nicht irreführend sein.

Einordnung des Fragebogens und Konsequenzen

Die Fragen sind vom Layout nicht als datenschutzbehördliche Bescheide an die Arztpraxis adressiert, haben keine Rechtsbehelfsbelehrung und keinen Hinweis auf eine Auskunftspflicht. Von dieser Unscheinbarkeit sollten sich die betroffenen Praxen nicht täuschen lassen. Von einer verbindlichen Antwortpflicht und einem sog. Verwaltungsakt (§ 35 VwVfG) ist auszugehen. Denn als aufsichtsbehördliche Motive für die Fragebögen werden Kontrolle und gezielte Prüfung angegeben. Daher besteht eine Antworterwartung.

Hat die Datenschutzbehörde den Arzt mit der Übersendung eines Fragebogens in die Pflicht genommen, Antworten zu liefern, so ergeben sich folgende Konsequenzen: Der verantwortliche Arzt

  • befindet sich mitten in einem datenschutzrechtlichen Verwaltungsverfahren,
  • hat die prozessrechtlichen Rechtsschutzmöglichkeiten (z. B. in Bayern Klageerhebung gegen den Fragebogen) und
  • sieht sich einem Vollstreckungstitel gegenüber, den die Aufsichtsbehörde gegen den Arzt ohne gerichtliche Hilfe vollstrecken kann.

Verwaltungsakt auch ohne Rechtsbehelfsbelehrung

Dass die Rechtsbehelfsbelehrung fehlt, dürfte dem Fragebogen nicht seine Verwaltungsaktqualität nehmen. In diesem Fall ist ein Jahr lang ein Rechtsbehelf möglich (§ 58 Abs. 2 VwGO). So lange kann keine abschließende Bindung (Bestandskraft) an die behördliche Anordnung entstehen. Solange der Fragebogen angefochten werden kann, kann die Anordnung der Fragen-Beantwortung auch nicht zwangsweise (z. B. durch Zwangsgeld) durchgesetzt werden. Die Datenschutz-Aufsichtsbehörde kann dies aber ändern, indem sie anordnet, dass der Fragebogen und damit die Antwortpflicht als sofort vollziehbar gelten.

Folgen einer Nicht-Beantwortung unklar

Falls eine Arztpraxis eine Anfrage nach der DS-GVO (Art. 58 Abs. 1 lit. a) unbeantwortet lässt, ist in Art. 85 Abs. 5 lit. e, Art. 85 Abs. 6 und Art. 85 Abs. 7 DS-GVO keine Geldbuße vorgesehen. Unklar ist derzeit allerdings, ob die Beantwortung der Fragen der allgemeinen Kooperationspflicht (Art. 31 DS-GVO) unterfällt. Für die fehlende allgemeine Kooperation kann nämlich nach Art. 84 Abs. 4 lit. a DS-GVO eine Geldbuße verhängt werden.

Rechte des geprüften Arztes

Der geprüfte Arzt hat zunächst einmal nach § 29 VwVfG ein Recht auf Akteneinsicht bei der Datenschutzaufsichtsbehörde zu dem Vorgang, der über ihn geführt wird.Neben dem Recht auf Akteneinsicht kann für den Arzt ein Auskunftsverweigerungsrecht bestehen, wenn er sich z. B. durch die Beantwortung der Fragen selbst belasten würde und dies mit Sanktionierungen einhergehen würde.

Fazit zum Umgang mit Fragebögen der Datenschutzbehörde

Zunächst einmal besteht nach Art. 31 DS-GVO eine allgemeine Kooperationspflicht. Sollte Art. 31 DS-GVO verletzt werden, so kann eine Geldbuße vorgesehen sein. Zudem kann der Umfang der Zusammenarbeit von z. B. verantwortlichen MVZ oder BAG mit der Behörde im Rahmen der Bußgeldbemessung zu honorieren sein (Art. 83 Abs. 2 S. 1 lit. f DS-GVO). Die Datenschutz-Aufsichtsbehörde in Baden-Württemberg hat beispielsweise im November 2018 die sehr gute Kooperation der Social-Media Plattform „Knuddels“ als Kriterium für die Bußgeldhöhe genommen.

Sollte eine Arztpraxis einen Fragebogen jedoch mehr als ein Jahr unbeantwortet lassen, können einer Aufsichtsbehörde etwaige für eine Arztpraxis sprechende Tatsachen fehlen (z. B. Tatsachen für datenschutzkonformes Verhalten).

Andererseits darf der Blick nicht auf die Bußgeldhöhe der Aufsichtsbehörde verengt werden. Denn z. B. die Betroffenen (z. B. Nutzer bei „Knuddels“ oder Patienten einer Praxis oder Klinik) könnten Schadenersatzansprüche beim Verantwortlichen anmelden. „Leichtfertige Eingeständnisse“ im Bußgeldverfahren können für Schadenersatzansprüche der Betroffenen genutzt werden, die dann aufgrund der Anzahl der Betroffenen den Bußgeldrahmen unproblematisch übersteigen.

Praxistipp

Eine schematisch-einfache Ausrichtung der datenschutzrechtlichen Antworten verbietet sich und Reaktionen wie z. B. „Wir setzen einen Virenscanner ein“ oder „Wir schützen unsere IT“ wecken ggf. eher das Interesse einer Aufsichtsbehörde, die Antworten in einer Datenschutzprüfung vor Ort auf ihren Wahrheitsgehalt zu prüfen.

 

Weiterführende Hinweise

  • Fragebogen des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) zu Verschlüsselungstrojanern in Arztpraxen online unter