01.06.2018 |
Gesundheitsdatenschutzrecht
Ausgabe 06/2018

Vorsicht Abmahnfalle DS-GVO: Anforderungen an einen „abmahnsicheren“ Außenauftritt

von RAin und FAin für MedizinR Taisija Taksijan, LL.M., D+B Rechtsanwälte Partnerschaft mbB, Berlin, www.db-law.de

Seitens der Aufsichtsbehörden wird zwar fehlende Kapazität für eine flächendeckende Überprüfung der Umsetzung der Vorgaben der Datenschutz-Grundverordnung (DS-GVO) signalisiert. Nicht außer Acht zu lassen ist jedoch, dass die Behörden verpflichtet sind, das neue Recht letztlich effektiv umzusetzen. Außerdem drohen Abmahnrisiken durch Abmahnanwälte, die sichtbare und offenkundige Verstöße schnell identifizieren können. Sorgen Sie deshalb insbesondere für einen einwandfreien – digitalen wie persönlichen – Außenauftritt und legen Sie ein besonderes Augenmerk auf die Einhaltung der neuen Informationspflichten gemäß Art. 13 DS-GVO.

Neue Informationspflichten

Praxen und Kliniken treffen beim Beginn der jeweiligen Datenverarbeitung neue Pflichten gemäß Art. 13 DS-GVO, die Betroffenen über die Verarbeitung ihrer Daten umfassend zu informieren.

Die Informationspflichten entfallen nur, wenn und soweit die betroffene Person bereits über die Information verfügt (Art. 13 Abs. 4 DS-GVO).

HINWEIS | Die Unterscheidung zwischen den Informationen, die nach Art. 13 Abs. 1 DS-GVO „mitzuteilen“ sind, und den Informationen, die nach Art. 13 Abs. 2 DS-GVO „zur Verfügung zu stellen“ sind, hat keine praktische Relevanz. Der Unterschied ergibt sich lediglich aus der deutschen Übersetzung und taucht in der englischen und französischen Fassung nicht auf („provide“ und „fournir“).

Zu den erforderlichen Informationen gehören insbesondere folgende:

  • Vor- und Nachname und Anschrift, elektronische und/oder telefonische Erreichbarkeit des Verantwortlichen sowie seines Vertreters
  • Anschrift und elektronische und/oder telefonische Erreichbarkeit des Datenschutzbeauftragten
  • Zweck der Datenverarbeitung

    Praxistipp

    Für jede Datenverarbeitung ist der Zweck vorher festzulegen. Der Zweck muss eindeutig sein, damit die Aufsichtsbehörde die Zulässigkeit der Datenverarbeitung prüfen kann.
     
  • Rechtsgrundlage für die Datenverarbeitung

    Praxistipp

    Jeder Umgang mit sensiblen Patientendaten ist grundsätzlich verboten und bedarf daher (weiterhin)

    • entweder einer gesetzlichen Erlaubnis oder
    • einer Einwilligung durch den Patienten (sogenanntes Verbot der Datenverarbeitung mit Erlaubnisvorbehalt).
     
  • Empfänger bei Übermittlung der Daten
  • Dauer der Datenspeicherung oder Kriterien der Festlegung der Speicherdauer

    Praxistipp

    Ärztliche Aufzeichnungen sind i.d.R. 10 Jahre nach Abschluss der Behandlung aufzubewahren (§ 630f Abs. 3 Bürgerliches Gesetzbuch, § 57 Abs. 2 Bundesmantelvertrag Ärzte). Für radiologische Behandlungsunterlagen gelten spezielle Aufbewahrungszeiten (z. B. sind Aufzeichnungen über Röntgenbehandlungen nach § 28 Abs. 3 S. 1 Röntgenverordnung 30 Jahre lang nach der letzten Behandlung aufzubewahren).
     
  • Ggf. Pflicht der Patienten, die Daten bereitzustellen
  • Rechte der Betroffenen

    Praxistipp

    Es geht insbesondere um Rechte auf

    • Auskunft, Art. 15 DS-GVO
    • Berichtigung, Art. 16 DS-GVO
    • Löschung („Vergessenwerden“), Art. 17 DS-GVO
    • Einschränkung der Datenverarbeitung, Art. 18 DS-GVO
    • Datenübertragung, Art. 20 DS-GVO
    • Widerruf der Einwilligung, Art. 7 Abs. 3 DS-GVO
    • Beschwerde bei einer Aufsichtsbehörde, Art. 77 DS-GVO

    Um zu gewährleisten, dass die neuen Betroffenenrechte auch effektiv genutzt werden können, sind entsprechende Informationen erforderlich. Was die Betroffenenrechte im Einzelnen ausmacht, lesen Sie in einem gesonderten Beitrag in einer der nächsten Ausgaben.
     

Homepage „abmahnsicher“ gestalten

Schon immer konnten etwaige Verstöße gegen datenschutzrechtliche Vorgaben am einfachsen anhand der Homepage identifiziert werden. Dies gilt jetzt insbesondere für eine zunächst oberflächliche Überprüfung, ob den Informationspflichten Genüge getan wird. Seit dem 25.05.2018 müssen auch die neuen Informationen (z. B. über Rechte der Betrofffenen) auf der Homepage enthalten sein.

Bereits beim Aufruf einer Homepage wird regelmäßig die IP-Adresse des Nutzers erhoben. Hierdurch wird ein „personenbezogenes Datum“ i. S. d. DS-GVO verarbeitet – diese Datenverarbeitung löst wiederum Informationspflichten nach der DS-GVO aus. Werden zusätzlich zur Erhebung der IP-Adresse personenbezogene Daten im Rahmen der Nutzung einer Homepage verarbeitet (z. B. durch Cookies, E-Mail-Newsletter, Terminvergabesysteme, Social Media-Anbindungen), sind entsprechende Informationen darüber erforderlich.

Praxistipp

Die Pflichtangaben gemäß Art. 13 DS-GVO sollten in der Datenschutzerklärung Ihrer Praxis-Homepage enthalten sein.

Bei der Formulierung sind die Regelungen zur Gestaltung der erforderlichen Informationen in Art. 12 DS-GVO zu beachten. Danach müssen die Informationen

  • präzise, transparent, verständlich und in leicht zugänglicher Form sowie
  • in klarer einfacher Sprache verfasst sein.

 

Informationsformulare für Patienten „abmahnsicher“ ergänzen

Patienten müssen noch vor Beginn der Behandlung und einer damit zusammenhängenden Erhebung ihrer ganz besonders sensiblen (Gesundheits-)Daten alle notwendigen Informationen über die Verwendung dieser Daten erhalten. Abhängig von dem jeweiligen Praxisgeschehen müssen die Patienten dabei über alle Datenverarbeitungsvorgänge im Einzelnen erfahren, von denen ihre unter besonderem Schutz stehenden (Gesundheits-)Daten betroffen sind.

Die Informationen auf der Homepage reichen hierfür in der Regel nicht aus. Denn die Patienten müssten vorab auf die Homepage hingewiesen werden und noch vor der Erhebung der Daten die Informationen nachweisbar zur Kenntnis nehmen können. Die Informationen sollten den Patienten daher schriftlich ausgehändigt werden.

Praxistipp

Seit dem 25.05.2018 treffen die Praxen und Kliniken umfassende Dokumentations- und Rechenschaftspflichten. Sie müssen also nachweisen können, alle Vorgaben der DS-GVO beachtet zu haben.

Dies gilt auch für die Einhaltung der Informationspflichten. Lassen Sie sich deshalb von den Patienten schriftlich bestätigen, dass sie die Informationen über die Verwendung ihrer Gesundheitsdaten vor der Behandlung erhalten und verstanden haben und archivieren Sie diese Bestätigungen.

 

Terminvergabe am Telefon

Die praktische Umsetzung der vorgenannten DS-GVO-Anforderungen ist insbesondere im Rahmen einer telefonischen Terminvergabe schwierig. Eine vollständige Aufklärung gemäß Art. 13 DS-GVO ist einerseits noch vor Erfassung des Namens des Patienten im System erforderlich, die Durchführung per Telefon ist andererseits nicht praktikabel.

Praxistipp

Hier könnte z. B. eine telefonische Menüfunktion mit Sprachwiedergabe der entsprechenden Informationen angeboten werden, um den Anforderungen der DS-GVO zu genügen.

 

Von vielen Aufsichtsbehörden wird hierzu bisher die Auffassung vertreten, dass in dieser Situation die Ausnahme des Art. 13 Abs. 4 DS-GVO greift. Es könne demnach davon ausgegangen werden, dass die Patienten bereits wissen, dass ihre persönlichen Daten gespeichert und verwendet werden, wenn sie bei ihrem Arzt anrufen, um einen Termin zu erhalten. Dem ist hinsichtlich einiger Informationen – wie etwa Kontaktdaten des Verantwortlichen, Verwendung der Daten zum Zweck der Terminvereinbarung – zuzustimmen.

Praxistipp

Es ist aber nicht ohne Weiteres davon auszugehen, dass jedem Patienten auch weitergehende Informationen – insbesondere die Rechte auf Auskunft, Löschung etc. – ebenfalls bereits bekannt sind. Hier sollte zumindest umgehend nach dem Telefonat eine E-Mail zur Terminbestätigung mit einem Link zur Homepage versendet werden.

Unter dem Link sollten die Informationen hinterlegt sein, die im Zusammenhang mit der Terminvergabe erforderlich sind.

Außerdem sollten die Patienten bereits am Telefon auf die Informationen auf der Homepage hingewiesen werden. Welches Prozedere die Behörden und insbesondere die Gerichte bei der telefonischen Terminvergabe letztlich als ausreichend ansehen werden, bleibt abzuwarten.

 

Fazit

Es wird befürchtet, dass gerade die Internetseiten und die Informationsformulare der Ärzte das Einfallstor für Abmahnungen wegen Nichterfüllung der datenschutzrechtlichen Informationspflichten sein werden. Im Übrigen gehört es leider auch regelmäßig zum Praxisalltag dazu, dass etwa unzufriedene Patienten, ausgeschiedene Mitarbeiter und Konkurrenten aus unterschiedlichen Motivationen datenschutzrechtliche Rechtsverstöße geahndet wissen möchten. Damit die DS-GVO Ihnen hier nicht zusätzlich unnötige Unannehmlichkeiten bereitet, sollten Sie besonders auf einen datenschutzkonformen Außenauftritt achten.

Weiterführender Hinweis

  • Die Muster einer Datenschutzerklärung und einer Patienteninformation stellt die Kanzlei D+B Rechtsanwälte Partnerschaft mbB, Berlin, kostenlos unter https://www.db-law.de/de/mandanten/mvz/datenschutzrecht zur Verfügung. Dabei handelt es sich um einen geschlossenen Link, d. h. es ist ein Passwort erforderlich. Dieses kann angefordert werden bei Frau Valadkhany, Tel.: 030 327787-13, E-Mail: valadkhany@db-law.de). Ihre Datenschutzerklärung und Ihre Patienteninformation sollte jeweils individuell angepasst werden.

AGB und Datenschutz

AGB und Datenschutz

Wir bedanken uns für Ihren Besuch auf dieser Website. Hier finden Sie unsere
>>AGB
und unsere
>>Datenschutzbestimmungen.

Cookie-Einstellungen

Impressum

Impressum

Guerbet GmbH
Otto-Volger-Straße 11,
65843 Sulzbach/Taunus
Telefon: 06196 762-0
www.guerbet.de
E-Mail: info@guerbet.de

>>Weiterlesen

Kontakt zur Redaktion

Kontakt zur Redaktion

Wenn Sie Fragen oder Anregungen zur Berichterstattung haben, erreichen Sie uns über folgende E-Mail-Adresse: rwf@iww.de.

Produktinformation

Produktinformation

Wenn Sie Fragen oder Anmerkungen zu Produkten der Guerbet GmbH haben, kontaktieren Sie uns bitte hier.

>>Zum Kontaktformular