von RA Dr. Tim Oehler, Lehrbeauftragter der Universität Witten/Herdecke, Wallenhorst
Datenschutzbehörden waren bisher mit allgemeinen Ausarbeitungen zur DS-GVO, der Beratung zu individuellen Fragen und deren Beantwortung sowie der Beschwerdenbearbeitung vollends ausgelastet. Nun haben manche Aufsichtsbehörden den Schritt zu Stichprobenprüfungen beim Datenumgang vollzogen. Ungewöhnlich ist die Durchführung: Ein unscheinbarer Fragebogen wird an Arztpraxen geschickt. Radiologische Praxen können für derartige Datenschutzkontrollen besonders interessant sein.
Die vorgehaltene Medizintechnik in radiologischen Praxen und Medizinischen Versorgungszentren (MVZ) weicht vom Zuschnitt der durchschnittlichen Praxis erheblich ab, nimmt eine Schlüsselfunktion in der medizinischen Arbeitsteilung ein und es werden erhebliche Datenmengen erzeugt (Stichwort: digitale Bilder). Für Hacker mit Erpressungssoftware wäre eine Radiologie-Praxis ein lohnenswertes Ziel und für Datenschutzbehörden daher ein geeignetes Prüfobjekt.
Die Aufsichtsbehörde ist befugt, Verantwortliche (z. B. Inhaber einer Arztpraxis) anzuweisen, „alle Informationen“ bereitzustellen (Art. 58 Abs. 1 lit. a DS-GVO). Zu diesen Informationen gehören auch technische Abläufe und organisatorische Zusammenhänge in einer Arztpraxis. Es ist zulässig, dass die Anfragen und damit Fragebögen ohne Anlass (Veranlassung kann z. B. eine Patienten-Beschwerde sein) oder präventiv (z. B. Sensibilisierung für Cryptolocker-Angriffe auf medizinische Einrichtungen) gestellt werden.
Zu unterscheiden sind
Die DS-GVO gibt nicht vor, in welcher Form die Informationen zu erteilen sind. Die vom Verantwortlichen der Arztpraxis bereitgestellten Informationen selbst müssen vollständig, sachlich korrekt und dürfen nicht irreführend sein.
Die Fragen sind vom Layout nicht als datenschutzbehördliche Bescheide an die Arztpraxis adressiert, haben keine Rechtsbehelfsbelehrung und keinen Hinweis auf eine Auskunftspflicht. Von dieser Unscheinbarkeit sollten sich die betroffenen Praxen nicht täuschen lassen. Von einer verbindlichen Antwortpflicht und einem sog. Verwaltungsakt (§ 35 VwVfG) ist auszugehen. Denn als aufsichtsbehördliche Motive für die Fragebögen werden Kontrolle und gezielte Prüfung angegeben. Daher besteht eine Antworterwartung.
Hat die Datenschutzbehörde den Arzt mit der Übersendung eines Fragebogens in die Pflicht genommen, Antworten zu liefern, so ergeben sich folgende Konsequenzen: Der verantwortliche Arzt
Dass die Rechtsbehelfsbelehrung fehlt, dürfte dem Fragebogen nicht seine Verwaltungsaktqualität nehmen. In diesem Fall ist ein Jahr lang ein Rechtsbehelf möglich (§ 58 Abs. 2 VwGO). So lange kann keine abschließende Bindung (Bestandskraft) an die behördliche Anordnung entstehen. Solange der Fragebogen angefochten werden kann, kann die Anordnung der Fragen-Beantwortung auch nicht zwangsweise (z. B. durch Zwangsgeld) durchgesetzt werden. Die Datenschutz-Aufsichtsbehörde kann dies aber ändern, indem sie anordnet, dass der Fragebogen und damit die Antwortpflicht als sofort vollziehbar gelten.
Falls eine Arztpraxis eine Anfrage nach der DS-GVO (Art. 58 Abs. 1 lit. a) unbeantwortet lässt, ist in Art. 85 Abs. 5 lit. e, Art. 85 Abs. 6 und Art. 85 Abs. 7 DS-GVO keine Geldbuße vorgesehen. Unklar ist derzeit allerdings, ob die Beantwortung der Fragen der allgemeinen Kooperationspflicht (Art. 31 DS-GVO) unterfällt. Für die fehlende allgemeine Kooperation kann nämlich nach Art. 84 Abs. 4 lit. a DS-GVO eine Geldbuße verhängt werden.
Der geprüfte Arzt hat zunächst einmal nach § 29 VwVfG ein Recht auf Akteneinsicht bei der Datenschutzaufsichtsbehörde zu dem Vorgang, der über ihn geführt wird.Neben dem Recht auf Akteneinsicht kann für den Arzt ein Auskunftsverweigerungsrecht bestehen, wenn er sich z. B. durch die Beantwortung der Fragen selbst belasten würde und dies mit Sanktionierungen einhergehen würde.
Zunächst einmal besteht nach Art. 31 DS-GVO eine allgemeine Kooperationspflicht. Sollte Art. 31 DS-GVO verletzt werden, so kann eine Geldbuße vorgesehen sein. Zudem kann der Umfang der Zusammenarbeit von z. B. verantwortlichen MVZ oder BAG mit der Behörde im Rahmen der Bußgeldbemessung zu honorieren sein (Art. 83 Abs. 2 S. 1 lit. f DS-GVO). Die Datenschutz-Aufsichtsbehörde in Baden-Württemberg hat beispielsweise im November 2018 die sehr gute Kooperation der Social-Media Plattform „Knuddels“ als Kriterium für die Bußgeldhöhe genommen.
Sollte eine Arztpraxis einen Fragebogen jedoch mehr als ein Jahr unbeantwortet lassen, können einer Aufsichtsbehörde etwaige für eine Arztpraxis sprechende Tatsachen fehlen (z. B. Tatsachen für datenschutzkonformes Verhalten).
Andererseits darf der Blick nicht auf die Bußgeldhöhe der Aufsichtsbehörde verengt werden. Denn z. B. die Betroffenen (z. B. Nutzer bei „Knuddels“ oder Patienten einer Praxis oder Klinik) könnten Schadenersatzansprüche beim Verantwortlichen anmelden. „Leichtfertige Eingeständnisse“ im Bußgeldverfahren können für Schadenersatzansprüche der Betroffenen genutzt werden, die dann aufgrund der Anzahl der Betroffenen den Bußgeldrahmen unproblematisch übersteigen.
Praxistipp |
Eine schematisch-einfache Ausrichtung der datenschutzrechtlichen Antworten verbietet sich und Reaktionen wie z. B. „Wir setzen einen Virenscanner ein“ oder „Wir schützen unsere IT“ wecken ggf. eher das Interesse einer Aufsichtsbehörde, die Antworten in einer Datenschutzprüfung vor Ort auf ihren Wahrheitsgehalt zu prüfen. |
Weiterführende Hinweise
Wir bedanken uns für Ihren Besuch auf dieser Website. Hier finden Sie unsere
>>AGB
und unsere
>>Datenschutzbestimmungen.
Guerbet GmbH
Otto-Volger-Straße 11,
65843 Sulzbach/Taunus
Telefon: 06196 762-0
www.guerbet.de
E-Mail: info@guerbet.de
Wenn Sie Fragen oder Anregungen zur Berichterstattung haben, erreichen Sie uns über das nachstehende Kontaktformular.
>>Zum KontaktformularWenn Sie Fragen oder Anmerkungen zu Produkten der Guerbet GmbH haben, kontaktieren Sie uns bitte hier.
>>Zum Kontaktformular