Tanja Altmaier
Datenschutzbeauftragte
Datenschutz und Datensicherheit im Überblick
Seit Einführung der DSGVO gilt besonderes Augenmerk dem Schutz von personenbezogenen Daten, vor allem dem Schutz spezieller Datenkategorien, wozu auch der Gesundheitsbereich zählt. Sofort denkt man an Ärztinnen und Ärzte oder Krankenhäuser.
Die Vorgaben der Datenschutzgrundverordnung treffen sämtliche Leistungserbringer im Gesundheitswesen, somit definitiv auch Ärzte – unabhängig davon, ob es die „kleine Landarztpraxis“ ist, oder die große Praxis in der Stadt. Die Anforderungen an den Schutz der Gesundheitsdaten gelten für alle.
Gerade weil es sich im medizinischen Bereich häufig um sensible und besonders schützenswerte Daten handelt, muss der Datenschutz mit Sorgfalt bedacht und umgesetzt werden.
Die Antwort auf diese Frage lässt sich nicht einfach mit einer bloßen Zahl benennen.
Elementare Kriterien sind die Größe einer Arztpraxis (bezogen auf die Mitarbeiterzahl), die Art und Menge der Daten, die verarbeitet werden, die Sensibilität der verarbeiteten Daten u. s. w. Schon im Bereich der Grundlagen wurde darauf eingegangen, dass es durchaus Unterschiede gibt, und Praxis nicht gleich Praxis ist. Das nimmt selbstverständlich Einfluss auf die Bestellpflicht für einen Datenschutzbeauftragten.
Basis für die Bestellung eines Datenschutzbeauftragten sind grundsätzlich Art. 37 Abs. 1 DSGVO, sowie §38 BDSG n. F..
Ein Blick in Art. 37 Abs. 1 b und c DSGVO zeigt, dass ein Datenschutzbeauftragter bestellt werden muss, wenn die Kerntätigkeit des Verantwortlichen, oder seines Auftragsverarbeiters in der Verarbeitung von personenbezogenen Daten besteht, und diese aufgrund von Art, Umfang oder Zweck als umfangreiche regelmäßige und systematische Überwachung eine Bestellung erforderlich machen, oder falls des zur Kerntätigkeit des Verantwortlichen gehört, Daten gemäß Art. 9 (also besondere Kategorien von Daten, wie Gesundheitsdaten) umfangreich zu verarbeiten.
Zu Beginn ein Beispiel: Krankenhäuser haben primär den Auftrag Patienten medizinisch zu versorgen. Die medizinische Versorgung wird definiert als Kern-Geschäft. Dafür werden Krankenhäuser durch die jeweiligen Kostenträger bezahlt.
Eine adäquate Patientenversorgung funktioniert jedoch nur dann, wenn gesundheitsbezogene Daten von Patienten verarbeitet werden, indem beispielsweise eine Krankenakte geführt wird. Zum Versorgungsauftrag, den Krankenhäuser haben, ist die Kerntätigkeit der Verarbeitung von personenbezogenen Gesundheitsdaten notwendig. Somit werden also „in großem Stil“ personenbezogene Daten und Gesundheitsdaten verarbeitet und dies auch durch eine Vielzahl von Personen innerhalb eines Krankenhauses. Deshalb besteht hier die Pflicht zur Benennung eines Datenschutzbeauftragten. (siehe auch WP243 der Artikel-29-Datenschutzgruppe)
Doch wie sieht es für Arztpraxen aus? Hier werden selbstverständlich eine Vielzahl von personenbezogenen Daten erhoben und verarbeitet. Viele davon sind notwendig, um die Versorgung von Patienten zu gewährleisten. Doch ist die Kerntätigkeit einer Arztpraxis die Verarbeitung von Daten? Kann hier von einer umfangreichen Verarbeitung von Daten gesprochen werden? Schließlich werden häufig die besonderen Kategorien von Daten gemäß Art. 9 DSGVO erhoben, gespeichert, u. s. w.?
Wie definiert sich „umfangreiche“ Verarbeitung? Dazu lassen sich aus ErwGr. 91 der DSGVO entsprechende Fakten ableiten: Entweder werden wirklich große Mengen an personenbezogenen Daten, oder auch Gesundheitsdaten verarbeitet (Volumen). Oder es ist eine große Anzahl von Personen durch die Verarbeitung betroffen oder in die Verarbeitung involviert und aufgrund der Sensibilität der Daten besteht ein hohes Risiko für die Rechte und Freiheiten von Betroffenen. Und zuletzt können sogar geographische oder zeitliche Aspekte eine Rolle spielen, wenn es um den Umfang einer Verarbeitung geht, falls z. B. regionaler und nationaler Ebene verarbeitet wird.
Und was ist das Kerngeschäft einer Arztpraxis? Nun, ähnlich wie bei einem Krankenhaus, besteht der Auftrag eines Arztes darin, Patienten medizinisch zu versorgen.
Der Haupt-Auftrag des Arztes besteht darin, Patienten in medizinischen Fragen zu beraten, Krankheiten zu erkennen und zu behandeln, Beschwerden zu lindern und Leben zu verlängern.
Da für alle im Gesundheitswesen Tätigen und Verantwortlichen die Führung einer entsprechenden Dokumentation verpflichtend ist, gehört die Verarbeitung von Gesundheitsdaten ebenfalls unmittelbar zu Kerntätigkeit. Denn der Begriff Kerntätigkeit definiert sich durch Tätigkeiten, die von Bedeutung für die Erreichung von „Unternehmenszielen“ sind, oder in unserem Fall, um die adäquate Patientenversorgung zu gewährleisten. (ErwGr. 97 der DSGVO)
Das bedeutet, in einer Arztpraxis, die aus dem Arzt und drei medizinischen Fachangestellten besteht, gehört es zwar zu den Kerntätigkeiten, für eine aussagekräftige Dokumentation personenbezogener/patientenbezogener Daten zu verarbeiten.
Doch kann hier nicht von einer „umfangreichen“ Verarbeitung gesprochen werden. Dazu ein Blick auf ErwGr 91 zur DSGVO, wo es unter Nr. 4 heißt, dass die Verarbeitung personenbezogener Daten nicht als umfangreich gilt, wenn die Verarbeitung personenbezogene Daten von Patienten betrifft und durch einen einzelnen Arzt erfolgt.
In Anlehnung an diesen Erwägungsgrund haben sich die Datenschutz-Aufsichtsbehörden im Jahr 2018 darauf geeinigt, dass die Verarbeitung von Gesundheitsdaten bei Verantwortlichen mit weniger als 10 beschäftigten Personen (seit 26.11.2019 sind es 20) nicht als umfangreich im Sinne von Art. 37 Abs. 1 c zu werten ist.
Aber, wie so häufig – gibt es Ausnahmen. Nämlich dann, wenn beispielsweise eine Hausarztpraxis über einen umfangreichen und generationsübergreifenden Datenbestand verfügt, weil z. B. nicht nur eine Person sondern die ganze Familie beim selben Arzt ist, und somit in der Folge ein Abgleich oder eine Auswertung von Daten durchgeführt werden kann.
Wertvolle Informationen liefert hierzu auch das Kurzpapier Nr. 12 der DSK (Datenschutzkonferenz).
Wie sieht die Stellungnahme im Bundesdatenschutzgesetz in der neuen Fassung aus? Zieht man das BDSG n. F. zu Rate, wird in §38 eine Zahl genannt. Wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen (patientenbezogenen) Daten beschäftigt sind, muss ein Datenschutzbeauftragter bestellt werden.
In diese Berechnung zählen alle „Köpfe“ einer Praxis, sprich alle, die mit der automatisierten Verarbeitung betraut sind. Das schließt den Praxisinhaber mit ein, Voll- und Teilzeitkräfte, freie Mitarbeiter, Praktikanten und Auszubildende, die automatisiert personenbezogene Daten verarbeiten.
Mitarbeiter die ständig/dauerhaft mit einer automatisierten Verarbeitung zu tun haben, sind sicherlich diejenigen, die z. B. am Empfang einer Praxis tätig sind, die zusammen mit dem Arzt im Sprechzimmer sind, um zeitnah Diagnosen und Therapiemaßnahmen in der elektronischen Patientenakte zu dokumentieren, oder Mitarbeiter die mit der Abrechnung innerhalb der Praxis beschäftigt sind.
Da der Wandel für der händisch geführten Akte hin zur digitalen Variante immer weiter voranschreitet, gibt es kaum noch Ausnahmen, wo eine nicht-automatisierte Verarbeitung stattfindet. Nur Mitarbeiter, die absolut keinen Zugang zu Datenverarbeitungssystemen haben, brauchen nicht berücksichtigt werden, wenn es um die Bestellpflicht für einen Datenschutzbeauftragten geht.
Das Kurzpapier Nr. 12 der DSK erklärt unter Punkt 2, dass bei Ärzten, die sich in einer Praxisgemeinschaft oder Gemeinschaftspraxis befinden, in der Regel ebenfalls nicht von einer umfangreichen Verarbeitung von Daten im Sinne von Art. 37 Abs. 1 c DSGVO auszugehen ist. Sollten weniger als 20 Personen mit der automatisierten Verarbeitung beschäftigt sein, braucht auch in solchen Praxen kein Datenschutzbeauftragter (DSB) benannt zu werden.
Trotzdem gilt für Praxen, unabhängig der Größe, auch bei einer geringeren Anzahl von Beschäftigten, die ständig mit der automatisierten Verarbeitung von Gesundheitsdaten beschäftigt sind, die Pflicht zur Bestellung eines Datenschutzbeauftragten – wenn eine Pflicht zur Erstellung von Datenschutzfolgenabschätzungen nach Art. 35 DSGVO besteht, weil durch die Verarbeitung von einem hohen Risiko für die Rechte und Freiheiten der Betroffenen auszugehen ist.
Detailliert wird auf diesen Bereich später, in der Rubrik Dokumentation eingegangen. Tatsache ist, dass zum momentanen Zeitpunkt, viele der Prozesse einer Arztpraxis sicher noch keiner Datenschutzfolgenabschätzung bedürfen. Doch insbesondere der Einsatz neuer Technologien, wie z. B. der Bereich Tele-Medizin, bringt auch die Notwendigkeit zur Erstellung einer Datenschutzfolgenabschätzung mit sich – und somit auch die Pflicht zur Bestellung eines DSB.
Zusammengefasst bleibt als Antwort eigentlich nur: Es gibt keine allgemeingültige und abschließende Antwort auf die Frage, ab wie vielen Beschäftigten ein DSB benannt werden muss. Es bedarf einer genauen Betrachtung der jeweiligen Praxis.
Fakt ist aber, selbst wenn eine Praxis nicht von rechts wegen zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, mag es sich dennoch empfehlen, darüber nachzudenken.
Denn die Vorschriften rund um den Datenschutz müssen eingehalten und gewährleistet werden. Dabei ist es unerheblich ob es nun einen „offiziellen Kümmerer“ gibt (also einen DSB) oder ob der Praxisinhaber selbst dafür sorgen wird, indem er ein Datenschutzmanagement aufstellt.
Nicht wenige Praxen entscheiden deshalb, einen Datenschutzbeauftragten zu bestellen. Zwar bleibt der Verantwortliche trotzdem der Praxisinhaber oder Geschäftsführer. Aber die nötige Beratung und Unterstützung kommt durch einen Berater. Ob man sich für eine interne Lösung oder den externen DSB entscheidet kann und sollte jede Arztpraxis für sich abwägen und entscheiden.
Ziel einer eigenen Bestellung ist schließlich, dass der Arzt wieder mehr Zeit für seinen Auftrag hat – die medizinische Versorgung von Patienten.
Zwei Begriffe, die ähnlich klingen, aber dennoch verschiedene Bedeutungen haben. Das Ziel im Datenschutz, ist der Schutz von personenbezogenen oder patientenbezogenen Daten. Es geht immer um den Schutz der Privatsphäre außerdem die Auswirkung auf Rechte und Freiheiten einer natürlichen Person. Deshalb wird schon im Vorfeld genau abgewogen, ob Daten überhaupt erhoben und verarbeitet werden dürfen.
Der Begriff Datensicherheit oder IT-Sicherheit ist da deutlich weiter gefasst. Zwar geht es auch hier um den Schutz von Daten – aber anders als beim Datenschutz ist es hier unerheblich ob es sich um personenbezogene Daten oder z. B. Konstruktionsdaten hält.
Datensicherheit soll, wie der Name bereits zum Ausdruck bringt, sicherstellen dass alle Daten eines Unternehmens ausreichend geschützt sind. Elementare Ziele der IT-Sicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schnittstelle zwischen dem Datenschutz von personenbezogenen Daten, und der Datensicherheit sind die sogenannten technischen-organisatorischen Maßnahmen. (Art. 32 DSGVO).
Jeder Verantwortliche – und vor allem jeder Verantwortliche im Bereich einer Arztpraxis – hat geeignete Maßnahmen zu treffen, um die Verarbeitung der Daten sicherzustellen. Dabei spielen folgende Überlegungen eine Rolle:
Ziel dieser Überlegungen und Abwägungen ist immer, ein dem Risiko angemessenes Schutzniveau für personenbezogene oder patientenbezogene Daten zu gewährleisten.
Ziel der technischen-organisatorischen Maßnahmen (kurz TOMs) ist ein dem Risiko angemessenes Schutzniveau zu erreichen. Um das sicherzustellen gibt es eine Menge von Möglichkeiten, die je nach Branche, Unternehmensgröße oder sonstiger spezifischer Unterschiede einer Einrichtung natürlich variieren.
Doch der Grundgedanke ist immer derselbe: es geht, um den Schutz der Daten – insbesondere der personenbezogenen und im Speziellen der patientenbezogenen Daten eines Betroffenen. Somit erfordert eine risikoorientierte Herangehensweise an eine Verarbeitung eine umfassende Transparenz.
Art. 32 DSGVO liefert wichtige Grundsätze, die für den Datenschutz relevant sind. Einige davon sind für die eigentliche technische Verarbeitung wichtig (technische Maßnahmen) – wie z. B. eine Verschlüsselung von Daten oder Datenträgern, die Benutzung von Firewalls. Selbst die Bereitstellung eines Notstromaggregates fällt unter die Rubrik „technische Maßnahme“.
Geht es um das „O“ in den TOM´s – also die organisatorischen Maßnahmen – so wird hier im nichttechnischen Bereich Vorsorge getroffen. Beispielsweise durch regelmäßige Schulung und Sensibilisierung der Mitarbeiter, durch Vergabe von Zugriffsberechtigungen auf bestimmte Daten, usw…
Welche Eckpunkte nennt die DSGVO konkret:
Das klingt alles sehr theoretisch. Darum ist es wertvoll, dass das BDSG n. F. im §64 den Bereich ebenfalls aufgreift. Doch insbesondere §64 Abs. 3 liefert die Oberbegriffe, auf die es wirklich ankommt.
Soweit zu einem groben Überblick, der wichtigsten Eckpunkte für technische-organisatorische Maßnahmen.
Wichtig ist, alle Maßnahmen, die gemäß §64 BDSG n. F. erforderlich sind, unbedingt schriftlich festzuhalten. Dokumentation und regelmäßige Evaluation sind essenziell.
Auf den alltäglichen Ablauf innerhalb einer Arztpraxis, muss man zugegebenermaßen sagen, dass nur zu schnell viele der oben genannten Schritte im ersten Moment als nicht realisierbar abgetan werden.
Doch gerade im Gesundheitswesen, und noch spezieller in einer Arztpraxis, ist es umso wichtiger sich zu überlegen, wie die patientenbezogenen Daten, die besonders schützenswert sind, vor dem unberechtigten Zugriff, einer versehentlichen Veränderung oder einem Verlust geschützt werden können.
Darum ist es unabdingbar, entsprechende Maßnahmen zu entwickeln und deren Wirksamkeit regelmäßig zu prüfen. Am besten wird dazu ein fester Prozess etabliert, der regelmäßig alles unter die Lupe nimmt – quasi von der Maßnahme bis zur Durchführung.
Nun wurde in dieser Rubrik schon mehrfach darauf hingewiesen, dass personenbezogene Daten unter Umständen besonders schützenswert sind, und zwar dann, wenn es sich um Datenkategorien handelt, wie Art. 9 DSGVO beschrieben wird.
Nichtsdestoweniger gilt der Schutz der personenbezogenen Daten nicht nur für Patienten einer Arztpraxis, sondern selbstverständlich auch für alle Mitarbeiterinnen und Mitarbeiter.
Mitarbeiter- und Personaldaten, die im Rahmen des Beschäftigtenverhältnisses erhoben werden, unterliegen dem Datenschutz nach DSGVO und BDSG n. F. Denn selbstverständlich hat auch der Mitarbeiter Rechte und Freiheiten, die durch eine Datenpanne in Gefahr sein könnten. Und genau, wie beim Patienten, gibt es auch beim Personal Stammdaten (Name, Adresse, Telefonnummer) und besondere Kategorien von Daten (Gesundheitsdaten, Gewerkschaftszugehörigkeit, Biometrische Daten, …).
Die Datenschutzgrundverordnung hat das Ziel, den Schutz von personenbezogenen Daten gewährleisten. Deshalb sind Unternehmen, aber auch alle Einrichtung aus dem Bereich der Gesundheit verpflichtet, verantwortungsvoll mit diesen Daten umzugehen – unabhängig davon, ob es sich um Mitarbeiter oder Patienten handelt.
Vor allem geht es inzwischen nicht mehr nur darum, dass sich eine Arztpraxis selbst schützt. Vielmehr müssen dem jeweiligen Betroffenen gegenüber, eine Reihe von Rechten gewahrt und gewährt werden.
Um welche Rechte geht es?
Die DSGVO erläutert ab Art. 15 die verschiedenen Ansprüche, die eine betroffene Person oder in unserem Fall ein Patient gegenüber einer Arztpraxis haben kann.
Und selbstverständlich gehört auf das Recht auf Information grundlegend dazu. Art. 13 und 14 DSGVO unterscheiden hierbei zwischen der Informationspflicht, die ein Verantwortlicher hat, wenn er die Daten entweder direkt beim Betroffenen oder beim Patienten erhoben hat (Art. 13 DSGVO), oder wenn Daten durch einen Dritten übermittelt wurden (Art. 14 DSGVO).
Der häufigste Grund für die Informationspflicht nach Art. 14 DSGVO ergibt sich dann, wenn die Daten von einem anderen Verantwortlichen (also einer anderen Praxis) kommen, wie z. B. im Fall einer Überweisung zur Mit- oder Weiterbehandlung eines Patienten. Warum, muss hier „informiert“ werden? Im Vordergrund steht immer die Transparenz der Verarbeitung, die gemäß Art. 12 DSGVO gegenüber einem Betroffenen zu wahren ist.
Im Detail werden die Betroffenenrechte in einem separaten Artikel behandelt.
Und noch ein kurzer Gedankenansatz, an der Stelle: Welcher Arzt kennt das nicht, dass beispielsweise ein Patient, der an Demenz erkrankt ist, selbst nicht mehr adäquat Antwort geben kann. Somit frägt man Familienangehörige oder Betreuer nach Auffälligkeiten und Besonderheiten der letzten Zeit. Häufig sind es gerade Angaben zum Gesundheitszustand, die von „Dritten“ abgefragt (sprich erhoben) und dokumentiert (also gespeichert) werden.
Und schon wird deutlich, dass die Informationspflicht eines Verantwortlichen in diesem Fall gar nicht so einfach ist. Er müsste nämlich strenggenommen hier seiner Informationspflicht nach Art. 14 DSGVO nachkommen – und den Demenzkranken darüber informieren, von wem er Auskünfte über ihn eingeholt hat.
Das Recht auf Information gehört zu den elementaren Betroffenenrechten eines Jeden – unabhängig davon, ob er jung oder alt, gesund oder krank, allein entscheidungsberechtigt oder unter Betreuung steht. Genauso, wie auch alle anderen Rechte, die dem Betroffenen zustehen.
Ein Betroffener kann jederzeit eine Anfrage an seinen behandelnden Arzt richten. Und der Umgang mit solchen Anfragen ist gesetzlich geregelt. Es gilt unbedingt die festgesetzten Reaktionszeiten zu berücksichtigen.
Möchte ein Betroffener beispielsweise Auskunft, welche Daten von ihm erhoben und verarbeitet sind, dann muss ihm die Antwort in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Die Übermittlung erfolgt schriftlich – ob in Papierform oder elektronisch, ist hierbei unerheblich.
Entscheidend ist, die Identität der Person, die die Anfrage stellt, zweifelsfrei zu klären. (Art. 12 DSGVO Abs. 1)
Als Frist über die Übermittlung der Antwort ist in Art. 12 Abs. 3 DSGVO festgelegt, dass innerhalb eines Monats nach Eingang des Antrags die gewünschten Informationen zur Verfügung gestellt werden müssen. Unter bestimmten Voraussetzungen gibt es eine Fristverlängerung. Wobei dies nicht die Regel sein sollte. Hilfreich ist auch ein Blick in das DSK-Kurzpapier Nr. 6 zum Thema Auskunftsrecht der betroffenen Person, Art. 15 DSGVO (zu finden auf www.datenschutzkonferenz-online.de)
Ein Beispiel soll zeigen, wie verschieden das Recht auf Auskunft aussehen kann, beispielsweise in Bezug auf die Patienten-/Krankenakte.
Darf der Betroffene Einsicht in seine Patientendaten verlangen?
Die Frage wird grundsätzlich mit „ja“ beantwortet. Die Einsicht in SEINE Patientendokumentation ist eine Form des allgemeinen Rechts auf Auskunft (Art. 15 DSGVO).
Obendrein ergibt sich dieses Recht auch aus dem zivilrechtlichen Einsichtsrecht nach §630 g BGB. Damit steht es dem Patienten zu, sowohl Einsicht in seine Patientenakte zu verlangen als auch Auskunft über sämtliche ihn betreffenden Dokumentationen in Verbindung mit der über ihn geführten Krankenakte zu verlangen. Aus §630 g BGB ergibt sich der Umstand, dass der Patient dieses Recht sogar gegenüber der Praxis einklagen kann.
Eine Verweigerung oder Ablehnung ist umfassend zu begründen und aussagekräftig zu dokumentieren. Dieses Erfordernis gilt sowohl für Auskunftsersuchen nach Art. 15 DSGVO, als auch für das zivilrechtliche Einsichtsrecht nach §630 g BGB.
Eine ergänzende Überlegung: Darf ein vom Gericht bestellter Betreuer Auskunft und Einsicht in einen Patientenakt verlangen?
Entscheidend ist, ob für den Patienten ein Betreuer nach §1896 BGB bestellt wurde und es zum Aufgabenbereich des rechtlichen Betreuers gehört, sich um den Bereich Gesundheitssorge (§1901 BGB) zu kümmern. Wenn beide Kriterien positiv beantwortet werden, so steht diesem Betreuer ein umfassendes Recht auf Akteneinsicht zu.
Wie sieht es mit der Auskunft gegenüber gesetzlichen Krankenkassen aus? Inwieweit darf Einsicht in Krankenakten verlangt werden?
Die gesetzlichen Krankenkassen haben unterschiedliche Aufgaben. Eine davon ist, die Leistungspflicht gegenüber Versicherten zu prüfen, unter Umständen auch unter Einbeziehung des Medizinischen Dienstes der Krankenversicherung (MDK).
Klar ist, dass die Krankenkassen Auskunft über die Erbringung von Versicherungsleistungen, sowie die Verordnung oder Abgabe von Leistungen erhalten müssen. §294 SGB V benennt diese Pflicht der Leistungserbringer gegenüber den gesetzlichen Krankenkassen. Und §295 SGB V greift die Auskunftspflicht von Vertragsärzten gegenüber Krankenkassen ebenfalls auf.
Neben konkreten Auskünften in Sachen Leistungserbringung kann eine Krankenkasse unter Umständen auch weitergehende Auskünfte verlangen. In Bayern beispielsweise haben sich KVB und die Spitzenverbände der Krankenkassen auf einen separaten Vordruck geeinigt, mit dem Krankenkassen bei Vertragsärzten Auskünfte über Patienten einholen dürfen (z. B. Pläne für die Wiedereingliederung, Anfragen zum Fortbestand einer Arbeitsunfähigkeit oder auch ein Bericht eines behandelnden Arztes). Nachzulesen in §36 BMV-Ä.
Wichtig ist, dass Auskünfte nicht für eigene Zwecke, sondern für die Erfüllung ihrer festgeschriebenen Aufgaben benötigt werden.
Nähere Hinweise liefert die Broschüre „Anfragen von Krankenkassen“, die von der KVB online bereitgestellt wird.
Und ein Blick noch auf den Medizinischen Dienst der Krankenversicherung (MDK).
Er soll sicherstellen, dass Leistungen von Kranken- und Pflegeversicherung sämtlichen Versicherten gleichermaßen zugutekommen. Um das zu überprüfen, benötigt der MDK zwangsläufig viele Informationen, zu denen zwangsläufig personenbezogene und somit auch patientenbezogene Daten gehören.
Vertragsärzte sind gesetzlich zur Auskunft gegenüber dem MDK verpflichtet, sofern im Vorfeld die gesetzliche Krankenversicherung eine gutachtliche Stellungnahme oder auch Prüfung durch den MDK angestoßen hat. Die Übermittlung oder Auskunft ist somit im Einzelfall erforderlich, damit der MDK seinem Auftrag nachkommen kann. Wichtig ist nur, dass der MDK gegenüber dem entsprechenden Arzt den Zweck des Gutachtens/der Stellungnahme preisgibt. Dabei sind von der Auskunftspflicht eines Arztes gegenüber dem MDK aber nur die Angaben zum Patienten betroffen, die für eine Prüfung und Beurteilung eines konkret definierten Zwecks erforderlich sind.
Fazit daraus – obwohl in allen genannten Fällen Einsicht, bzw. Auskunft gewünscht ist, muss immer sorgsam überprüft werden, wer hinter der Anfrage steht. Je nachdem muss dann entsprechend vorgegangen werden.
Dieser Abschnitt soll grundsätzlich dafür sensibilisieren, dass es in der Praxis nicht immer einfach ist, die Rechte der Betroffenen zu wahren, und dass z. B. Auskunft nicht gleich Auskunft ist.
Grundsätzlich gilt aber: Die Wahrung der Betroffenenrechte hat einen hohen Stellenwert. Vielleicht sogar noch höher als gegenüber Unternehmen der freien Wirtschaft. Denn gerade dann, wenn ein Patient vielleicht mit der Behandlung oder dem Verlauf einer Behandlung unzufrieden ist, könnte er die Chance nutzen, um seine Rechte gegenüber der Praxis auszuschöpfen. Sich im Voraus mit den Betroffenenrechten zu befassen und entsprechende Maßnahmen zu etablieren, um auf eine Betroffenenanfrage zu reagieren, ist von wesentlicher Bedeutung. Und das nicht nur in Sachen Datenschutz, sondern grundlegend, wenn es um das Vertrauensverhältnis zwischen Arzt und Patient geht.
Für eine optimale Erfüllung des Behandlungsvertrags ist mit Sicherheit Vertrauen zwischen Arzt und Patient wichtig. Dieses Vertrauensverhältnis soll durch mehrere Säulen gefestigt werden. Da steht natürlich die ärztliche Schweigepflicht im Vordergrund. Diese findet ihren Ursprung im „Hippokratischen Eid“. Heute ist die ärztliche Schweigepflicht durch die Berufsordnung für Ärzte als Berufspflicht festgeschrieben. In direkter Verbindung zur Schweigepflicht steht deshalb das Patientengeheimnis (§203 StGB), das alle Informationen umfasst, die mit der ärztlichen Behandlung in Verbindung stehen. Dieser Paragraf macht deutlich, dass es bestimmten Berufsgruppen nicht erlaubt ist, anvertraute Geheimnisse unbefugt an Dritte weiterzugeben. Und deshalb sanktioniert §203 Strafgesetzbuch auch Verstöße gegen die Verschwiegenheitspflicht von Ärzten. Und sogar eine unterlassene Verpflichtung von Dienstleistern auf Verschwiegenheit, kann für den Arzt eine Straftat nach §203 Abs. 4 StGB darstellen. Daneben enthält auch die MBO-Ä enthält Regelungen zum Patientengeheimnis.
Der Schutz von Patientendaten, der sich aus dem Patientengeheimnis – also aus dem Strafrecht §203 StGB – ergibt, erstreckt sich auf diejenigen Informationen, die ein Arzt in Ausübung seiner Tätigkeit erhält (nicht als Privatperson). Dennoch sind die Übergänge zum Schutz der Gesundheitsdaten (nach DSGVO) fließend. Der größte Unterschied ist sicherlich, dass Gesundheitsdaten grundsätzlich als besonders schützenswert gelten, auch wenn sie nicht von einem Berufsgeheimnisträger – also einem Arzt – erhoben werden. Fazit: der Begriff des Patientengeheimnisses aus dem Strafrecht ist deutlich enger gefasst als der Begriff der Gesundheitsdaten der DSGVO.
Das erklärt auch die unterschiedliche Herangehensweise zwischen dem Strafrecht und der DSGVO, wenn es um Patientendaten geht, die geschützt werden sollen.
Denn die ärztliche Schweigepflicht für patientenbezogene Daten ist eben nicht ausdrücklich in der DSGVO geregelt. Vielmehr bestehen Vorgaben zum Schutz personenbezogener Daten aus der DSGVO unabhängig zu den rechtlichen Erfordernissen aus StGB und BGB.
In der DSGVO ist in erster Linie immer der Verantwortliche, also der Praxisinhaber oder der Geschäftsführer (z. B. bei einer MVZ-GmbH) verantwortlich für den Datenschutz. Über die Mitarbeiter-/Arbeitnehmerhaftung haften schlussendlich aber auch die einzelnen Angestellten.
Bei der Schweigepflicht ist es anders. Hier ist in erster Linie immer die handelnde Person, z. B. der Arzt an sich verantwortlich, nicht die Praxis an sich. Träger des berufsrechtlichen Patientengeheimnisses muss zwingend eine natürliche Person sein.
Bei einer Arztpraxis mit nur einem Arzt, wird natürlich der Verantwortliche für den Datenschutz und der Träger des Patientengeheimnisses ein und dieselbe Person sein. Bei Gemeinschaftspraxen oder Praxisgemeinschaften unterscheidet sich die Verantwortlichkeit für Datenschutz und den Trägern des Patientengeheimnisses.
Nach den Vorgaben der DSGVO machen sich Ärzte oder medizinische Fachangestellte, die unbefugt Daten über Patienten weitergeben, ohne auf DSGVO und StGB zu achten, strafbar. Außerdem kann dadurch obendrein auch einen Datenschutzverstoß ausgelöst werden. Dafür ist zwar offiziell der Verantwortliche haftbar – doch über die Arbeitnehmerhaftung ist selbstverständlich der Mitarbeiter in der Pflicht und Verantwortung. Und schlussendlich kann eine Verletzung der Schweigepflicht arbeitsrechtliche Konsequenzen oder sogar Geld- oder Freiheitsstrafe bedeuten. Und für eine Arztpraxis kann ein Vorfall in Sachen Datenschutz unter Umständen einen massiven Imageverlust mit sich bringen.
Daten von Patienten, unabhängig davon ob es sich um „normale“ personenbezogene Daten handelt (wie Name, Adresse) oder ob die besonderen Kategorien von Daten nach Art. 9 DSGVO (Gesundheitsdaten) betroffen sind, dürfen nur unter bestimmten Voraussetzungen weitergegeben werden. Nämlich dann, wenn
eine Einwilligung/Einverständniserklärung des Betroffenen vorliegt, oder
von einem mutmaßlichen Einverständnis ausgegangen wird, wie im Fall von Gefahr für Leib und Leben bei einem medizinischen Notfall
oder ein gesetzliches Erfordernis dafür gegeben ist.
Und nun mal ein Blick auf die Schweigepflicht unter Berücksichtigung von Art. 13 und 14 DSGVO. Der Betroffene muss informiert werden, wenn Daten direkt von ihm oder über Dritte erhoben werden. Ein Betroffener muss darüber in Kenntnis gesetzt werden, wer Empfänger der verarbeiteten Daten sein wird. Eine unbedachte Weitergabe von Daten sollte also unbedingt vermieden werden – denn wie ließe sich diese triftig gegenüber dem Betroffenen argumentieren?
Um in Sachen Schweigepflicht als Arbeitgeber Vorsorge zu treffen, lohnt es sich für jede Arztpraxis, in Arbeitsanweisungen explizit noch einmal auf die Schweigepflicht hinzuweisen.
Außerdem ist es notwendig, mit allen beschäftigten Mitarbeiterinnen und Mitarbeitern (wozu auch Auszubildende, Teilzeitkräfte, geringfügig Beschäftigte, freie Mitarbeiter, … zählen) eine „Verpflichtung zur Einhaltung datenschutzrechtlicher Anforderungen nach Datenschutz-Grundverordnung (DS-GVO) und zur Wahrung Vertraulichkeit“ abzuschließen. In vielen Arbeitsverträgen ist zwar schon von einer Verschwiegenheitspflicht die Rede.
Expliziter geregelt ist die Verpflichtung auf die Wahrung der Vertraulichkeit jedoch in einer extra Vereinbarung.
Die Notwendigkeit einer aussagekräftigen Dokumentation ist heute alles andere als umstritten, sondern gängige Praxis.
Wirft man einen Blick in die (Muster-)Berufsordnung für Ärzte, ist die Pflicht zur Dokumentation fester Bestandteil dieses Regelwerkes. Unter §10 MBO-Ä heißt es, dass die in Ausübung des Berufes festgestellten Erkenntnisse und auch die getroffenen Maßnahmen entsprechend zu dokumentieren sind. Diese sollte nicht ausschließlich dafür geführt werden, dass Ärzte sie als „Gedankenstütze“ nutzen. Vielmehr soll eine aussagekräftige Dokumentation dem Interesse der Patienten dienen.
Somit gehört das Dokumentieren im Rahmen von Anamnese, Diagnostik und Therapie zur Sorgfaltspflicht von Ärzten. Und es gehört als Nebenpflicht zur Erfüllung des Behandlungsvertrages mit zu einer adäquaten Patientenversorgung.
Ergänzt wird die Dokumentationspflicht außerdem im Bürgerlichen Gesetzbuch (§630 f BGB), dem Sozialgesetzbuch (SGB XI) und sowie durch Urteile verschiedener Gerichte (Oberlandesgericht München, Amtsgericht Bremen). Es gilt ebenfalls das Prinzip, dass Maßnahmen, die nicht dokumentiert wurden, als nicht durchgeführt gewertet werden.
Beziehungsweise lässt eine Lücke in der Dokumentation darauf schließen, dass unter Umständen eine notwendige Behandlung unterlassen wurde, oder es zu einem Behandlungsfehler kam.
Fazit: Dokumentation läuft heute oftmals unter dem Motto „Je mehr, desto besser“. Denn bevor es Ärger gibt, weil nicht alles dokumentiert wurde, schreibt man lieber etwas mehr auf.
Wie sieht das aber die DSGVO? Die Antwort fällt im Prinzip kurz und knapp aus. Schon zu den Grundsätzen der Datenverarbeitung nach DSGVO gehört das Prinzip der Datensparsamkeit und Speicherbegrenzung. (Art. 5 Abs. 1 DSGVO). Hier wird verlangt, dass so wenig Daten wie möglich erhoben werden und diese auch nur so lange aufbewahrt werden, wie nötig.
Und, es bedarf immer einem festgelegten Zweck, überhaupt Daten zu verarbeiten.
Hier wird deutlich, dass es unter Umständen eine echte Herausforderung ist, den rechtlichen Anforderungen gerecht zu werden. Auf der einen Seite lückenlose Dokumentation, insbesondere auch zur eigenen Absicherung, auf der anderen Seite Datensparsamkeit.
Ein ständiger Spagat zwischen der Pflicht zur Dokumentation und der Beurteilung, wie viel wirklich nötig und gerechtfertigt ist.
Was genau meint also Datensparsamkeit oder Datenminimierung? Der „Verantwortliche“ einer Arztpraxis ist dafür zuständig, zu regeln, dass so wenig wie möglich personen- oder patientenbezogene Daten verarbeitet werden. Dazu braucht es grundlegend eine datensparende Organisation des normalen Praxisbetriebes.
Es muss sichergestellt werden, dass nur Daten erhoben, gesammelt und gespeichert werden, die für die adäquate Beratung, Behandlung und Therapie notwendig sind – sowie genug, um nachweisen zu können, dass Leistungen ausreichend erbracht wurden.
Personenbezogene Daten, einschließlich Gesundheitsdaten, müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Dieser Grundsatz im Datenschutz schlägt sich schlussendlich in der Gestaltung der Technik (privacy by design), sowie der Gestaltung datenschutzfreundlicher Voreinstellungen (privacy by default) für die Nutzer innerhalb einer Praxis wider.
Es stellt sich also grundsätzlich die Frage, ob man die Daten „braucht“, um den Behandlungsvertrag zu erfüllen, einer gesetzlichen Verpflichtung nachzukommen, oder zum Schutz lebenswichtiger Interessen des Betroffenen?
Falls keine der oben genannten Bedingungen zutrifft, muss überlegt werden, ob und wie man dem Betroffenen begreiflich machen kann, dass man zusätzlich personenbezogene Daten von ihm erhebt, so dass er seine Einwilligung dazu gibt?!
Ärzte sollen ihren Auftrag erfüllen, und sich um das Wohl und die Gesundheit von Patienten kümmern – aber keine Datenkrake sein.
Für Daten, die tatsächlich erforderlich sind, muss der Zweck der damit verbundenen Datenverarbeitung genau beschrieben und klar definiert sein. Gibt es keine Rechtsgrundlage, oder ist der Zweck der Verarbeitung nicht mehr gegeben – so dürfen personen- oder patientenbezogene Daten nicht mehr verarbeitet werden.
Und gibt es keine gesetzliche Pflicht zur Aufbewahrung, so sind solche Daten zu löschen.
Sinn und Zweck ist immer ein sparsamer Umgang mit personenbezogenen Daten – umso leichter ist es, diese anvertrauten Daten zu schützen.
Was die Löschfristen angeht, so ist insbesondere auch im medizinischen Bereich darauf zu achten, dass es teilweise längere gesetzliche Fristen zur Aufbewahrung gibt. Die „normalen“ Krankenakte, die ein Arzt zu führen hat, ist nach Abschluss der Behandlung für 10 Jahre aufzubewahren (§630 f BGB). Für manche spezielle Behandlungs- und Therapiemöglichkeiten, wie z.B. eine Strahlenbehandlung oder im Bereich von Transfusionsmedizin, so gelten zum Teil längere Aufbewahrungsfristen für solche Patientenakten.
Somit muss jede Praxis für sich überprüfen, welche gesetzlichen Aufbewahrungsfristen für sie in Frage kommen und ob es unter Umständen auch Ausnahmen gibt.
Neben vielen Unternehmen aus der Wirtschaft, wird auch im sozialen und medizinischen Bereich Präsenz in Internet und sozialen Medien immer wichtiger.
Im Jahr 2015 verfügte bereits knapp die Hälfte der Praxen in Deutschland über eine Internetpräsenz. Die Zahl ist zwischenzeitlich sicher deutlich höher. Das hat mit Sicherheit Vorteile, allein schon was Bekanntheit und zum Teil das Marketing angeht. Doch trotz allem ist Vorsicht geboten.
Denn ein Online-Auftritt im Netz, oder die Nutzung sozialer Medien bringt noch zusätzliche Herausforderungen in puncto Datenschutz mit sich.
Im Detail auf alle relevanten Punkte einzugehen, würde den Rahmen an dieser Stelle definitiv sprengen. Zumal gerade der Bereich Webauftritt, social-media und Co. einem ständigen Wandel und permanenten Neuerung unterworfen sind.
Deshalb hier nur die wichtigsten Eckdaten. Details sind in eigenen Artikeln, bzw. bei unseren Fachleuten für IT-Sicherheit zu erfragen.
Überblick über die wichtigsten To-Do´s für den „online“-Einsatz:
Insbesondere in der Datenschutzerklärung auf der Homepage, muss der Besucher umfangreich aufgeklärt werden, ob und welche Daten von ihm verarbeitet werden. Und zugleich müssen in diesem Zug auch die Informationen nach Art. 13 DSGVO geliefert werden. Eine allgemein gültige Datenschutzerklärung, die für alle Arztpraxen gleichermaßen gültig ist, gibt es leider nicht, da die Gestaltung jeder Homepage individuell ist, und somit auch die Informationen innerhalb der Datenschutzerklärung individuell ausgearbeitet werden müssen. Muster gibt es allerdings durchaus, zum Teil über die jeweiligen Aufsichtsbehörden, oder über den kassenärztlichen Bundesverband (KBV), sowie die kassenärztlichen Vereinigungen (KVB).
Je nachdem wie die Homepage einer Arztpraxis gestaltet ist, müssen natürlich auch Regelungen und Vorgaben anderer Gesetze berücksichtigt werden, wie das Telemediengesetz (TMG), das Heilmittelwerbegesetz (HWG), um nur einmal zwei zu nennen.
Neben der datenschutzkonformen Gestaltung einer Homepage, bringen aber auch neue Medien viele Herausforderungen mit sich.
Der Einsatz von Diensten, wie beispielsweise WhatsApp, heute oftmals gängige Praxis, um kurz und schnell Informationen auszutauschen. Eine tolle Möglichkeit. Aber auch sehr gefährlich. Denn wenn man überlegt, wer z. B. hinter WhatsApp steckt, dann weiß man, dass es durchaus ausländische Dienstleister gibt, die dem Wort Daten-„Schutz“ nicht unbedingt den richtigen Stellenwert beimessen.
Interessante Überlegungen liefert das „Whitepaper“ der Konferenz der unabhängigen Datenaufsichtsbehörden des Bundes und der Länder vom 07.11.2019.
Gerade weil im medizinischen Bereich häufig sensible, besondere Kategorien von Daten (Art. 9 DSGVO) verarbeitet werden, sollte man eine Nutzung von Diensten wie WhatsApp sehr kritisch überdenken. Zumal es Alternativen gibt, die den Anforderungen der DSGVO eher gerecht werden.
Fazit: Ein Online-Auftritt oder die Nutzung von Onlinediensten ist selbstverständlich möglich – aber mit Aufwand verbunden. Gerade, um in Sachen Datenschutz immer aktuell zu sein, hilft es nicht, jeden neuen Trend sofort mitzumachen, sondern gründlich abzuwägen, welche Risken der Einsatz unter Umständen für die Rechte und Freiheiten Betroffener haben mag, vor allem, falls es doch einmal zu einer Datenpanne kommt.
Vieles läuft heute in der Arztpraxis durchaus anders ab als früher. Digitalisierung hält auch hier mehr und mehr Einzug. Vielleicht noch nicht in jeder kleinen Praxis, wobei die Betonung sicher auf „noch“ nicht liegt.
Der Bereich „Telemedizin“ gewinnt in unserer Zeit immer mehr an Bedeutung und es geht eigentlich nicht mehr ohne. Denn zu diesem Oberbegriff zählen inzwischen viele kleine Bausteine, die aus dem Praxisalltag künftig nicht mehr wegzudenken sind.
Was schließt Telemedizin alles ein? Und wie sieht es in Sachen Datenschutz aus?
Nun die Bundesärztekammer definiert den Begriff Telemedizin so, dass er ein Sammelbegriff für verschiedenartige ärztliche Verordnungskonzepte ist, die als Gemeinsamkeit den prinzipiellen Ansatz aufweisen, dass medizinische Leistungen der Gesundheitsvorsorge der Bevölkerung in den Bereichen Diagnostik, Therapie und Rehabilitation sowie auch bei der ärztlichen Entscheidungsberatung über räumliche Entfernung oder auch zeitlichen Versatz hinweg erbracht werden. Dies erfolgt unter Nutzung von Informations- und Kommunikationstechnologien.
Heißt im Klartext, dass verschiedene neue Medien eingesetzt werden, um die ärztliche Versorgung und Therapie eines Patienten sicherzustellen. Ziel dieses neuen Wegs in der Medizin ist, die Abläufe innerhalb einer Praxis zu vereinfachen, zu strukturieren, zu optimieren und wo möglich zu beschleunigen.
Deshalb wurden in den letzten Jahren und Monaten verschiedenste Bereiche digitalisiert, so dass es jetzt Folgendes gibt:
Um die Patientenversorgung zur optimieren, kommen ständig neue Möglichkeiten hinzu, unter Umständen lebenswichtig für den Patienten und wertvolles Instrument für den behandelnden Arzt.
Greifen wir nur mal ein Beispiel heraus – den Bereich Remote-Monitoring, wo regelmäßig automatisch und ohne weiteres Zutun des Patienten vorher festgelegte Daten aus einem ICD- oder CRT-System an den Arzt übertragen werden. Neben „systemrelevanten Daten“ wie z. B. dem Batteriestatus eines Implantates werden auch zahlreiche klinische Daten (wie Herzfrequenzen, Informationen zur atrialen Arrhythmielast, u. s. w.) übertragen. Diese Fernüberwachung stellt keine dauerhafte und kontinuierliche Überwachung des Patienten dar, sondern die gewonnenen Informationen dienen dazu, im Falle markanter Auffälligkeiten den betroffenen Patienten gezielt einzubestellen, um im Bereich Diagnostik oder Therapie entsprechende Maßnahmen einzuleiten.
Ziel ist hierbei, eine optimale Versorgung und frühzeitige Erkennung eventueller Aggregat- und Elektrodenfehlfunktionen zu erreichen.
Durch den Einsatz von Telemonitoring ist heute eine frühzeitige Erkennung relevanter, teils auch lebensbedrohlicher Veränderungen wie paroxysmalem Vorhofflimmern oder ventrikulären Arrhythmien möglich, in Folge derer eine beschleunigte klinische Therapieentscheidung getroffen werden kann.
Trotz aller Begeisterung für technische Lösungen im Gesundheitswesen, bringen neue Technologien auch neue Herausforderungen mit sich, sowohl auf der rechtlichen Seite als auch in der Praxis.
Das Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health-Gesetz), das im Jahr 2015 erlassen wurde, gibt Verantwortlichen im Gesundheitswesen einen konkreten Fahrplan mit auf den Weg, wenn es um den Aufbau der notwendigen Telematikinfrastruktur geht, sowie die damit in Verbindung stehende Einführung entsprechender medizinischer Anwendungen.
Gemäß dem Bundesgesundheitsministerium ist das Ziel dieses neuen Gesetzes, die Chancen der Digitalisierung im Bereich der medizinischen Versorgung zu nutzen – um medizinische Anwendungen zur Optimierung der Betreuung, Behandlung und Therapie für Patienten schneller zu etablieren.
Und trotz aller technischer Möglichkeiten, muss der Schutz personenbezogener Daten oberste Priorität haben, insbesondere sensible Gesundheitsdaten von Patienten, die nach der DSGVO unter die besonderen Kategorien von Daten (Art. 9 DSGVO) fallen, haben erhöhten Schutzbedarf.
Für den Schutz der Daten, egal ob analog oder digital verarbeitet, ist der Verantwortliche einer Praxis zuständig. Es liegt in der Zuständigkeit des jeweiligen Verantwortlichen, vor beziehungsweise mit Einführung neuer Technologien geeignete Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau für die erhobenen Daten zu gewährleisten.
Insbesondere durch eine Anpassung der technischen-organisatorischen Maßnahmen, ein aussagekräftiges Verzeichnis der Verarbeitungstätigkeiten und ein sauberes Vertragsmanagement mit allen involvierten Dienstleistern werden die richtigen Rahmenbedingungen geschaffen, Telemedizin und Datenschutz ordentlich zu vereinbaren. Regelmäßige Evaluierung aller relevanten Komponenten ist essenziell.
Welche rechtlichen Grundlagen gibt es, zur Verwendung von Telemedizin?
Aus datenschutzrechtlicher Sicht bedarf es immer einer rechtlichen Grundlage, um überhaupt Daten natürlicher Personen verarbeiten zu dürfen. Die Befugnis zur Verarbeitung im Bereich Telemedizin, also z. B. für eine Videokonferenz zwischen Arzt und Patient, oder im Rahmen des Telemonitoring zur Überwachung und Übermittlung von Daten bei implantierten IDC- oder CRT-Systemen, kommt aus dem Behandlungsvertrag.
Nach Art. 9 Abs. 2 h DSGVO ist die Verarbeitung von Gesundheitsdaten auch zulässig, wenn sie für medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheitsbereich, sowie aufgrund eines Vertrags mit dem Angehörigen eines Gesundheitsberufes erforderlich ist.
Selbstverständlich greifen auch kompletten Bereich der Telemedizin die gesetzlichen Vorgaben zum Sozialdatenschutz nach SGB (beispielsweise §291 a SGB V).
Für bestimmte Formen der Datenverarbeitung im Bereich der Telemedizin können jedoch gesetzliche Vorgaben und Vertragserfüllung nicht als Befugnis herangezogen werden. Hier kommt die Einwilligung des Betroffenen ins Spiel. (Art. 4 Abs. 11 DSGVO, Art. 6 Abs. 1 a DSGVO, sowie Art. 9 Abs. 2 a DSGVO).
Telemedizin wird in Zukunft noch mehr an Bedeutung gewinnen. Gerade, was den Bereich der ePA und das Vorantreiben der elektronischen Gesundheitskarte für Versicherte angeht. Denn für eine optimale Versorgung des Patienten ist es wichtig, dass der behandelnde Arzt über alle relevanten Informationen verfügt.
Doch gerade durch die Sensibilität der patientenbezogenen Daten stellt sich für viele Arztpraxen die Herausforderung, sich in puncto Infrastruktur aber auch im Bereich von Prozessabläufen zum Teil völlig neu aufzustellen. So ist der Arzt nunmehr nicht nur der Ansprechpartner für seinen Patienten, sondern auch innerhalb der Praxis Verantwortlicher im Bereich Datenschutz und IT-Sicherheit. Deswegen braucht es klare Strukturen, eindeutige Regelungen für alle Beteiligten, Transparenz und oftmals auch externe Unterstützung – z. B. durch einen externen Datenschutzbeauftragten, oder einen IT-Sicherheitsbeauftragten.
Denn ohne Telemedizin wird es vermutlich künftig eher schwierig sein, eine Arztpraxis zu betreiben.
Im Rahmen der ärztlichen Versorgung gibt es zahlreiche Schnittstellen, an denen eine Übermittlung von personenbezogenen Daten stattfindet. Die Weitergabe bestimmter Daten im Bereich Gesundheit ist gesetzlich fixiert. Das bedeutet, selbst wenn der Patient nicht ausdrücklich zustimmt, können Daten aufgrund einer gesetzlichen Verpflichtung weitergegeben werden. Ungeachtet dessen gelten auch bei der gesetzlichen Verpflichtung die Betroffenenrechte, sprich Informations- und Hinweispflichten nach Art. 13, 14 und 15 DSGVO.
Hier ein kurzer Überblick:
Neben gesetzlichen Grundlagen für die Übermittlung personenbezogener Daten, gibt es auch die Übermittlung von Daten, für die eine Entbindung von der ärztlichen Schweigepflicht notwendig ist. Und nach der DSGVO muss jede Praxis die erfolgte Einwilligung nach nachweisen können.
Welche Bereiche sind von der Einholung einer Einwilligung betroffen?
Auszugsweise sind folgende Vorgänge zu nennen:
Im Alltag einer Arztpraxis gibt es unzählige Schnittstellen, an denen personenbezogene Daten verarbeitet werden. Deshalb gilt es gründlich zu untersuchen, an welcher Stelle welche Daten an wen übermittelt werden und auf Basis welcher Rechtsgrundlage. Nur so ist nicht nur eine adäquate Patientenversorgung, sondern auch datenschutzkonformes Arbeiten möglich.
Datenschutzverstöße dürfen nicht einfach unter den Tisch gekehrt und bagatellisiert werden. Insbesondere seit Einführung der DSGVO gibt es für bestimmte Vorfälle sogar eine Meldepflicht gegenüber den Aufsichtsbehörden und teils sogar gegenüber Betroffenen. Sinn und Zweck ist, die Rechte und Freiheiten der Betroffenen besser zu schützen und dem Grundsatz der Transparenz besser nachzukommen.
Die Praxis zeigt, dass Mitarbeiter vielfach mit dem Begriff Datenschutzverstoß oder Datenpanne nichts anfangen können.
Per Definition liest man aus der DSGVO heraus Folgendes: Die Verletzung des Schutzes personenbezogener Daten kann unbeabsichtigt oder unrechtmäßig erfolgen. Sie kann Vernichtung, Verlust oder auch Veränderung von personenbezogenen Daten zur Folge haben. Es kann sein, dass es zu einem technisch oder einem physischen Zwischenfall gekommen ist.
Die DSGVO regelt in Art. 33 Abs. 1 klar, dass es im Fall einer Datenschutzverletzung unverzüglich zu einer Prüfung des Vorgangs kommen muss. Unter Umständen muss darüber hinaus innerhalb von 72 Stunden nach Bekanntwerden der Verletzung eine Meldung an die zuständige Aufsichtsbehörde erfolgen.
Wichtig ist, immer daran zu denken, dass die genannten 72 Stunden ab dem Bekanntwerden gezählt werden. Das heißt – unabhängig davon, welche Uhrzeit, welcher Wochentag, welcher Feiertag – ab Bekanntwerden sind 72 Stunden Zeit, eine aussagekräftige Meldung an die Aufsichtsbehörde zu senden. Sollte dies nicht möglich sein, ist in Ausnahmefällen der Meldung eine Begründung für die Verzögerung beizufügen. Aber Achtung – es sollte nicht im Voraus damit kalkuliert werden, eine verspätete Meldung abzugeben. Besser eine unverzügliche und inhaltlich vielleicht noch nicht vollständige Meldung abgeben als eine vollständige, aber verspätete Erklärung. Deshalb sieht die DSGVO vor, Informationen schrittweise zur Verfügung zu stellen, falls es nicht möglich ist alle geforderten Auskünfte zeitgleich bereit zu stellen. (Art. 33 Abs. 4 DSGVO).
Je höher das Risiko für die Rechte und Freiheiten Betroffener ist, desto zügiger sollte vorgegangen werden. Zum einen, um eine eventuelle Meldung an die Aufsichtsbehörde zu übermitteln, zeitgleich aber auch um dafür zu sorgen, dass dem Vorgang, der die Datenschutzverletzung ausgelöst hat, Einhalt geboten wird.
Wann muss eine Meldung erfolgen? Art. 33 Abs. 1 DSGVO sieht eine einzige Ausnahme vor, aufgrund derer keine Meldung an die Aufsichtsbehörde erfolgen muss. Und zwar ausnahmslos nur dann, wenn die Datenschutzverletzung nicht zu einem Risiko für die Rechte und Freiheiten von Betroffenen geführt haben kann. Dabei gilt es neben der aktuellen Entwicklung eine Prognose für die Zukunft zu erstellen – denn unter Umständen könnte der Verlust, oder die Veränderung von Daten künftig negative Folgen für einen Betroffenen haben. In diesem Fall müsste ebenfalls eine Meldung erfolgen.
Liegt ein Verstoß vor, der KEINE Meldepflicht gegenüber der Aufsichtsbehörde nach sich zieht, so gibt es dennoch die Pflicht des Verantwortlichen, den Vorfall ordentlich zu dokumentieren. (Art. 33 Abs. 5 DSGVO)
Diese Dokumentation kann von einer Aufsichtsbehörde im Fall einer Überprüfung ebenfalls eingesehen werden.
In die Dokumentation gehört eine genaue Beschreibung des Vorfalls, sprich alle Fakten, die die Verletzung näher beschreiben, die Art und der Umfang der betroffenen personenbezogenen Daten sowie die Anzahl der vermeintlich betroffenen Personen. Darüber hinaus sollte der Verantwortliche eine Risikoeinschätzung erfassen und beschreiben, welche Maßnahmen ergriffen wurden, um den Vorfall zu beenden. Und es lohnt sich, Maßnahmen aufzunehmen, die künftig verhindern sollen, dass es erneut zu einer Datenschutzverletzung kommt.
Für den Fall, dass mit einem hohen Risiko für die Rechte und Freiheiten von Betroffenen zu rechnen ist, muss – wie bereits erwähnt – eine Meldung an die Aufsichtsbehörde erfolgen. Wie so oft, wird zur Schriftform geraten.
Die DSGVO regelt die Anforderungen, die eine Meldung erfüllen muss:
Ein Vergleich zeigt, dass es durchaus sinnvoll ist, die rechtlichen Vorgaben, die für eine Meldung an die Aufsichtsbehörde gelten, bereits bei der Dokumentation nicht meldepflichtiger Vorfälle anzuwenden. So ist gewährleistet, dass alle Vorfälle sauber und nachvollziehbar dokumentiert sind.
Unter bestimmten Voraussetzungen muss neben der Aufsichtsbehörde auch der Betroffene informiert werden, dass es zu einer Datenschutzverletzung gekommen ist. Das ist der Fall, wenn der Wahrscheinlichkeit nach, ein hohes Risiko für persönliche Rechte und Freiheiten des Betroffenen besteht. Warum ist das wichtig? Die Person oder die Personengruppe, deren Daten von der Panne betroffen sind, soll die Möglichkeit haben, geeignete Schutzmaßnahmen zu treffen. Dafür erhält der Geschädigte ebenfalls eine Beschreibung des Vorfalls. (Art. 34 DSGVO)
Die Pflicht zur Unterrichtung Betroffener entfällt dann, wenn der Verantwortliche unverzüglich technische-organisatorische Maßnahmen getroffen hat, die direkten Einfluss auf die von der Verletzung betroffenen Daten hatten. Wenn darüber hinaus das Risiko aller Wahrscheinlichkeit nach nicht mehr besteht. Oder wenn die Benachrichtigung mit einem unverhältnismäßig hohen Aufwand verbunden wäre. An deren Stelle sollte dann z. B. eine öffentliche Bekanntmachung treten.
Wenn Sie nicht sicher sind, ob Ihre Arztpraxis alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!