Tanja Altmaier
Datenschutzbeauftragte
Das Erheben von Daten über Patienten, beginnt meist schon vor dem ersten persönlichen Gespräch zwischen Arzt und Patient.
Eine Reihe von Daten wird bereits bei der Terminvereinbarung erhoben, und das unabhängig davon, ob die Termine online vereinbart werden, oder altbewährt per Telefon. Die wenigsten Informationen, die hier abgefragt werden, sind der volle Name sowie das Geburtsdatum, eine Telefonnummer und meist die Art der Krankenversicherung (gesetzlich oder privat). Zum Teil erfolgt aber auch bereits hier eine Erhebung von ersten Gesundheitsdaten, wie beispielsweise durch die Abfrage von Diagnosen, Beschwerden und dergleichen.
Für die Rechtmäßigkeit einer jeden Verarbeitung bedarf es immer einem festgelegten Zweck, also z. B. einen Vertrag. Der Behandlungsvertrag, der die Basis für das Arzt-Patienten-Verhältnis ist, muss nicht in schriftlicher Form vorliegen, sondern kommt mündlich beziehungsweise durch schlüssiges Handeln zu Stande (näher definiert sind die Eckdaten zum Behandlungsvertrag in den § 630 ff BGB). Die bloße Terminvereinbarung kann im Prinzip als konkludenter Abschluss dieses Vertrages gewertet werden.
Aus datenschutzrechtlicher Sicht könnte man die erste Abfrage bei der Terminvereinbarung und das Sammeln der ersten Informationen in einem Anamnesebogen entweder als „vorvertragliche Maßnahme“ sehen oder bereits als Bestandteil der notwendigen Dokumentation, die für die Erfüllung des Vertrages erforderlich ist. (Art. 6 Abs. 1 b DSGVO)
Denn schlussendlich werden Anmelde-, Anamnese- oder Aufnahmebögen selbstverständlich Teil der Dokumentation, sowie der Behandlungsvertrag zwischen Arzt und Patient zu Stande kommt. Und, um die vertragliche Verpflichtung zu erfüllen, dürfen personenbezogene Daten verarbeitet werden (Art. 6 Abs. 1 b DSGVO und Art. 9 Abs. 2 h DSGVO).
Doch gilt bereits bei der Erhebung der Daten – also schon mit dem Erstkontakt – zu beachten, dass über die Verarbeitung informiert werden muss. Wie genau eine Hinweis- oder Informationspflicht auszusehen hat, dazu im weiteren Verlauf mehr.
Kommt kein Behandlungsvertrag zustande, weil beispielsweise der Termin wieder abgesagt wird, so entfällt die Rechtsgrundlage, die ein Aufbewahren und Speichern der abgefragten personenbezogenen Daten rechtfertigen würde. Somit sind im Vorfeld erhobene Daten unverzüglich zu löschen, da die Rechtsgrundlage der Verarbeitung entfällt.
Spätestens ein Jahr nach Erhebung personenbezogener Daten – ohne dass daraus ein Behandlungsvertrag geworden ist – sind patientenbezogene Daten zu löschen. Denn ohne „Rechtmäßigkeit“ (Art. 6 DSGVO) keine Verarbeitung.
Darf im Rahmen der Anamnese einfach „alles“ abgefragt werden?
Die Hauptpflicht, aus dem Behandlungsvertrag besteht darin, dass der Arzt dem Patienten adäquate Behandlung nach neuesten medizinischen Standards zukommen lässt. Das Wohl und die Gesundheit des Patienten stehen dabei im Vordergrund und Ziel ist eine Verbesserung beziehungsweise Erhaltung des Gesundheitszustandes des Betroffenen. Deshalb wird entsprechende Diagnostik betrieben, sowie bei vorliegender Indikation auch passende Therapiemaßnahmen eingeleitet.
Dafür dürfen personenbezogenen Daten abgefragt werden, die für die vertragliche Erfüllung der im Behandlungsvertrag vereinbarten Leistungen notwendig sind. (Art. 6 Abs. 1 b DSGVO und Art. 9 Abs. 2 h DSGVO). Deshalb variiert die Abfrage natürlich – je nachdem, um welche medizinische Fachrichtung es sich handelt. Ein Facharzt für Allgemeinmedizin frägt zum Teil sicher andere Daten in puncto Gesundheitszustand ab als beispielsweise ein Facharzt für Hautkrankheiten, oder ein Facharzt für diagnostische Radiologie.
Neben den Rahmenbedingungen der DSGVO gilt es das Sozialgesetzbuch im Blick zu behalten. Denn teilweise ist eine Verarbeitung von Sozialdaten auch dort gesetzlich vorgeschrieben und geregelt (SGB V und XI).
Soweit zur Theorie. Doch ein kurzer Blick in den Alltag einer Praxis zeigt, dass es durchaus eine Gradwanderung ist, einerseits die Pflicht zur Dokumentation, und andererseits die Erfüllung rechtlicher Vorgaben (wie z. B. Datensparsamkeit nach DSGVO) zu gewährleisten.
So ist die ärztliche Dokumentationspflicht durch verschiedenste rechtliche Vorgaben geregelt. Im Zivilrecht greifen die Paragraphen des sogenannten Patientenrechtegesetzes, das als Teil des BGB in §630 ff. BGB zu finden ist. Darüber hinaus ergibt sich aus dem Bundesmantelvertrag-Ärzte (BMV-Ä) eine Pflicht zur Dokumentation (§57 Abs. 1 BMV-Ä). Und selbstverständlich fixiert auch die Berufsordnung der Ärztekammer die Pflicht über gemachte Feststellungen, sowie getroffene Maßnahmen aussagekräftig zu dokumentieren.
Doch was sagt die DSGVO? Ein Blick in den Patientenakt zeigt häufig, dass aus datenschutzrechtlicher Sicht Daten enthalten sind, die nicht unbedingt erforderlich sind, um den Behandlungsvertrag adäquat zu erfüllen.
Neben den Informationen, die im Anamnesebogen oder im Erstgespräch erhoben wurden, wächst die patientenbezogene Dokumentation kontinuierlich. Schließlich ist sie der Nachweis von geplanten und von durchgeführten Maßnahmen einen Patienten betreffend.
In so einer Dokumentation sind eine Unmenge an personenbezogenen Daten enthalten, von den allgemeinen bis zu den besonders schützenswerten, und zum Teil auch Informationen zur Patientengeschichte, familiäre Vorerkrankungen etc.
Sofern diese notwendig sind, um die passende Diagnostik zu betreiben und entsprechende Therapiemaßnahmen einzuleiten, ist die Rechtmäßigkeit der Verarbeitung gegeben.
Und das kann recht viel werden im Lauf einer Behandlung. Denn neben Anamnese und Diagnostik kommen Untersuchungsergebnisse, Befunde weiterbehandelnder Arztkollegen, ärztliche Verordnungen, Einwilligungen und Aufklärungen zu bestimmten Therapiemaßnahmen, etc. in den Patientenakt. Früher fand sich die komplette Dokumentation meist in Form einer Karteikarte, die dicker und dicker wurde. Heute ist die Krankenakte meist digital verfügbar. Doch mit zunehmender Digitalisierung gehen auch besondere Sicherungs- und Schutzmaßnahmen einher. Dazu aber später mehr.
Für das Führen einer Patientenakte besteht Informationspflicht dem Betroffenen gegenüber. Welche relevanten Punkte darin enthalten sein müssen, darauf geht das nächste Unterthema ein.
Die DSGVO unterscheidet grundsätzlich nicht, wer personenbezogene Daten erhebt. Vielmehr heißt es in Art. 13 DSGVO: „Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:“
Sobald Daten von natürlichen Personen verarbeitet werden, sind diese darüber zu informieren. Dabei ist es unerheblich, ob es sich um Patienten, Angehörige oder Mitarbeiter handelt.
Bleiben wir im Praxisalltag, so soll der Patient also unverzüglich mit beziehungsweise bei Erhebung der Daten über die Verarbeitung aufgeklärt und informiert werden.
Worüber wird er informiert? Art. 13 Abs. 1 erläutert in den Buchstaben a bis f die erforderlichen Informationen, die eine Hinweispflicht enthalten soll:
Diese Informationen sollten in einer einfachen Sprache und transparent dargestellt werden, so dass der Betroffene versteht, was mit seinen Daten passiert, und wer diese Daten unter Umständen erhält.
Warum braucht es diese Hinweispflichten? Wie bereits behandelt, hat jede Person, deren personenbezogene Daten verarbeitet werden Rechte. Die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) kann derjenige aber nur wahrnehmen, wenn ihm vorher in einfacher Sprache erklärt wurde, welche Daten überhaupt verarbeitet werden oder welche Daten vielleicht an Dienstleister weitergegeben werden. Hinweispflichten nach Art. 13 und 14 DSGVO sind also die Basis sämtlicher Betroffenenrechte, die ein Patient gegenüber seinem Arzt hat.
Die Informationen sollen der jeweiligen Person bei der Erhebung ausgehändigt werden, oder als Anlage zu einem Vertrag (Behandlungsvertrag) übermittelt werden. Unter Umständen kann man darauf verzichten, wenn die Hinweispflichten in elektronischer Form zur Verfügung stehen und der Betroffene dort die Möglichkeit hat, sich zu informieren.
Die Pflicht zur Information entfällt, wenn ein Betroffener diese bereits zu einem früheren Zeitpunkt erhalten hat, und somit davon auszugehen ist, dass ihm die Fakten bekannt sind.
Eine Besonderheit entsteht, wenn die Erhebung von Daten nicht direkt, sondern in Form einer Dritterhebung erfolgt. Wann könnte das der Fall sein? Dieser Fall tritt zum Beispiel dann ein, wenn die Daten durch einen überweisenden Arzt übermittelt werden. Die Hinweis- oder Informationspflicht erfolgt nun auf Basis von Art. 14 DSGVO. Grundlegend sind zwar dieselben Informationen an den Betroffenen weiterzugeben, wie in der Hinweispflicht nach Art. 13 DSGVO, jedoch wird in der Informationspflicht nach Art. 14 explizit darauf Bezug genommen, dass die Daten nicht beim Betroffenen, sondern bei Dritten erhoben wurden. Anders als bei der Direkterhebung, bei der die Informationspflicht mit der Erhebung zu erfolgen hat, gibt es bei der Dritterhebung die Frist von einem Monat nach Erlangen (Art. 14 Abs. 3 DSGVO).
Gibt es Ausnahmen bei der Informationspflicht in Verbindung mit indirekter Datenerhebung? Dazu lohnt sich ein Blick in Art. 14 Abs. 5 DSGVO. Und auch das Bundesdatenschutzgesetz greift in einigen Paragrafen Ausnahmen auf (§29 BDSG, §32 BDSG, §33 BDSG).
Interessante Quelle zum Nachlesen in puncto Informationspflichten bei Dritt- und Direkterhebung ist auch das DSK-Kurzpapier Nr. 10 der Datenschutzkonferenz.
Nun ist schon ein paar Mal der Begriff „Einwilligung des Betroffenen“ als rechtliche Grundlage für die Verarbeitung personenbezogener Daten verwendet worden. Doch was steckt dahinter, und wie sollte eine solche Einwilligung aussehen. Dazu jetzt mehr.
Begriffsbestimmung und rechtliche Bedeutung:
Die DSGVO liefert in Art. 4 Abs. 11 eine Begriffserklärung, wenn es dort heißt: „Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung, mit der die Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“
Klingt kompliziert – lässt sich aber einfach erklären:
Wenn für eine Verarbeitung keine andere Rechtsgrundlage, wie z. B. ein Vertrag, im speziellen ein Behandlungsvertrag vorliegt, oder auch das lebenswichtige Interesse der betroffenen Person, so muss der Patient gefragt und ausreichend informiert werden, ob er damit einverstanden ist, dass seine Daten verarbeitet werden – ob er in eine weitere Verarbeitung seiner Daten einwilligt.
Der Verantwortliche – also der Praxisinhaber, die Geschäftsführung einer MVZ-GmbH, etc. – steht diesbezüglich in der Beweispflicht (Art. 7 Abs. 1 DSGVO).
Zwar würde es theoretisch ausreichen, eine mündliche Zustimmung zu bekommen. Doch die Schwierigkeit am mündlichen Einverständnis ist die Beweislast. Wie kann ein Verantwortlicher eine mündlich gegebene Einwilligung beweisen? Unabhängig davon, ob gegenüber einer Aufsichtsbehörde, oder schlussendlich sogar gegenüber dem Betroffenen selbst (falls er sich nicht mehr daran erinnern könnte).
Außerdem gibt es neben der Beweislast für die Rechtmäßigkeit auch noch die Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 DSGVO, wo die Rechtmäßigkeit der Datenverarbeitung geregelt ist.
Wie sollte eine Einwilligung formal aussehen?
Grundsätzlich gibt es in der DSGVO keine formelle Anforderung, wie eine Einwilligung erteilt werden sollte. Es wird freigestellt in welcher Form eine solche Erklärung gegeben werden kann. Möglich wäre somit mündlich, schriftlich oder auch elektronisch. Unter Berücksichtigung der Beweis- und Rechenschaftspflicht eines Verantwortlichen, empfiehlt sich aber auf jeden Fall die Textform.
Was die DSGVO in Art. 7 jedoch klar regelt, sind die folgenden Fakten:
Der Verantwortlich hat sicherzustellen, dass der Betroffene, in vorliegenden Fall der Patient, über Umstände und mögliche Folgen seiner Einwilligung ausreichend informiert ist und in der Folge ausdrücklich und freiwillig seine Zustimmung erteilen kann.
Dafür braucht die Einwilligung zwingend eine Zweckbindung. Entweder auf einen oder mehrere Zwecke, die allerdings explizit genannt sein müssen.
Eine „General-Einwilligung“ für sämtliche Verarbeitungszwecke gibt es grundsätzlich nicht.
Einzige Ausnahme, was die Zweckbindung angeht, sind Einwilligungen, die im Rahmen von Forschungsprojekten gegeben werden. Denn oftmals ergibt sich in diesem Bereich die Schwierigkeit, dass im Vorfeld noch nicht schlüssig dargestellt werden kann, für welche Zwecke genau die erhobenen Daten verwendet werden. Hier besteht unter bestimmten Voraussetzungen die Möglichkeit zum Einsatz einer „breiten Einwilligung“, eines sogenannten „broad consent“. Diese Möglichkeit greift dann, wenn zwar der Rahmenbau des Forschungsvorhabens absehbar ist, aber bis zum Zeitpunkt der Datenerhebung deren Zweck noch nicht völlig definiert werden kann, und somit eine explizite Zweckbindung nicht möglich ist. (siehe auch ErwGr. 33 Satz 1 zur DSGVO). Da es sich aber um einen Sonderfall handelt, der für die alltägliche Praxis kaum Relevanz hat, wird an dieser Stelle nicht detaillierter darauf eingegangen. Interessant zum Nachlesen wäre allerdings der Beschluss der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, die sich im April 2019 zu Erwägungsgrund 33 der DSGVO geäußert haben.
Zurück zum eigentlichen Thema und nun der Frage wie eine inhaltliche Gestaltung von schriftlichen Einwilligungen aussehen sollte?
Nun, hierzu lohnt es sich, Art. 4 Abs. 11 DSGVO nachzulesen. Bei der Begriffsdefinition zur Einwilligung steht, dass die betroffene Person in informierter Weise eine Willensbekundung abgeben soll.
Dazu muss der Betroffene wissen:
Nur so, kann bewusst und informiert der Verarbeitung zugestimmt werden. Das wird auch in ErwGr. 42 deutlich zum Ausdruck gebracht.
Eine wesentliche Forderung der DSGVO liegt zum Schluss darin, dass die betroffene Person ihre Zustimmung durch eine eindeutige bestätigende Handlung kundtut.
Bedeutet also, dass bei einer elektronischen Einwilligung keine Vorbelegung von Auswahlkästchen bestehen darf. Ein Opt-out-Modell ist grundsätzlich nicht zulässig.
Genauso darf eine Einwilligung nicht direkter Vertragsbestandteil sein, wo mit der Unterschrift auf dem Vertrag auch gleich die Einwilligung akzeptiert ist.
Und auch Stillschweigen oder bereits vorbelegte Kästchen auf einem Formblatt, auf dem dann nur noch unterschrieben wird, um einer Datenverarbeitung zuzustimmen, sind rechtlich nicht korrekt.
Das heißt für die praktische Umsetzung: Die betroffene Person muss bewusst und selbst auswählen oder ankreuzen, ob und welchem speziellen Verarbeitungszweck sie zustimmt.
Wie lässt sich das im Praxisalltag realisieren?
Um also hilfreiche und nützliche Informationen erheben und verarbeiten zu dürfen, die über die Rechtmäßigkeit, aus der vertraglichen Verpflichtung hinaus gehen, bedarf es der Einholung von Einwilligungen.
Dabei kommt darauf an, den Zweck der Datenerhebung – z. B. die Frage nach dem Beruf – konkret zu benennen. Warum ist es von Wert, wenn eine Arztpraxis Kenntnis über zusätzliche Daten erhält? Inwiefern können die zusätzlich erhobenen personenbezogenen Daten nützlich sein, um eine individuelle Versorgung des Patienten sicherzustellen?
Kann man gegenüber einem Betroffenen oder auch gegenüber einer Aufsichtsbehörde ausreichend und sachlich fundiert argumentieren, warum erweiterte personenbezogene Daten konkret erhoben werden mussten?
Und aufgepasst – handelt es sich bei der geplanten Verarbeitung personenbezogener Daten explizit um Gesundheitsdaten (nach Art. 9 DSGVO), so muss aus der Einwilligung, die der betroffenen Person vorgelegt wird, klar hervorgehen, dass es sich um Gesundheitsdaten handelt, die sensibel und besonders schützenswert sind.
Vorsicht auch, bei der Verarbeitung von Daten Dritter geboten. Wie sieht es z. B. mit den Kontaktdaten von Angehörigen oder Bezugspersonen aus?
Wie schon beschrieben, ist die Verarbeitung personenbezogener Daten erlaubt, wenn die Erfüllung des Behandlungsvertrages damit in Verbindung steht. Dieser Zusammenhang besteht jedoch ausschließlich im Verhältnis zwischen den Vertragspartnern. Das ist einerseits der Arzt und andererseits die betroffene Person.
Das hat zur Folge, dass Kontaktdaten oder sonstige Informationen über Dritte (z. B. erwachsene Kinder) nicht automatisch und ohne deren Einwilligung verarbeitet werden dürfen.
Einzige Ausnahme ist, eine Benennung von Personen, die im Notfall verständigt werden sollen. Hier können freiwillig eine oder mehrere Personen benannt werden. Dies rechtfertigt die Verarbeitung, weil sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 2 f DSGVO) erforderlich ist.
Einwilligungen sind ein wichtiges Rechtsinstrument, um die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu belegen. Doch bergen Einwilligungen einige Risiken:
Darum sind Einwilligungen mit Bedacht einzusetzen.
Im Verlauf dieser Artikelserie wurde schon mehrfach darauf angesprochen, dass betroffene Personen – somit auch Patienten – über die Verarbeitung ihrer personenbezogenen Daten ausreichend und transparent informiert werden müssen. Obendrein gibt es Verarbeitungsvorgänge, die einer ausdrücklichen Einwilligung der betroffenen Person bedürfen.
Das führt im Alltag immer wieder zu deutlichen Herausforderungen. Und zwar dann, wenn eine Person sich selbst nicht mehr entsprechend äußern kann. Eine Vorerkrankung wie Demenz, ein traumatisches Ereignis wie der Sturz aus dem Bett mit Kopfverletzung, ein Apoplex der eben nicht nur eine Hemiparese zurücklässt – diese und viele weitere Erkrankungen oder Ereignisse können dazu führen, dass sich ein Patient plötzlich nicht mehr adäquat äußern kann.
Dennoch hat jede Person Rechte und Freiheiten, die es zu schützen gilt. Und eine Erkrankung, Behinderung oder die Folge eines traumatischen Ereignisses ändern daran nichts.
Nur gilt es bestimmte Fakten im Blick zu behalten.
Kann sich ein Patient, selbst nicht mehr oder nicht mehr ausreichend um seine Angelegenheiten kümmern, so wird oftmals eine Betreuung angeordnet. Die Betreuung soll das Defizit der jeweiligen Person ausgleichen, die sich nicht mehr vollumfänglich um die eigenen Belange kümmern kann.
Hier soll jedoch im Verlauf sicher nicht auf die Abläufe in Verbindung mit der Bestellung einer Betreuung eingegangen werden. Vielmehr geht es darum, auf die Bedeutung datenschutzkonformer Verarbeitung von personenbezogenen Daten im Fall einer gerichtlich bestellten Betreuung einzugehen.
Grundsätzlich gilt zu berücksichtigen, in welchem Umfang eine Betreuung angeordnet wurde. Eine gerichtliche angeordnete Betreuung kann selbstverständlich vollumfänglich sein, oder auf bestimmte Bereiche beschränkt, erteilt werden, z. B. rein auf die Vermögenssorge beschränkt. Wodurch sich keinerlei Auswirkung auf die Rechtswirksamkeit von Erklärungen der betreffenden Person in Gesundheitsangelegenheiten ergeben würde.
Unterteilung gibt es auch für die Bereiche Aufenthaltsbestimmung, Beaufsichtigung, die Entgegennahme, das Öffnen und Anhalten der Post des Betreuten, Beendigung lebenserhaltender Maßnahmen, u. s. w. Das Betreuungsgericht entscheidet im Einzelfall, für welche Bereiche eine Betreuung notwendig ist.
Das macht eines klar – genaues Lesen ist notwendig, will man rechtlich korrekt und datenschutzkonform arbeiten.
Auf die Grundsätze der DSGVO bezogen, ergibt sich unter Umständen bei einer Betreuung die Schwierigkeit, dass Betroffene selbst nicht mehr in der Lage sind, die Tragweite und Bedeutung von Verarbeitungstätigkeiten zu verstehen. Man kann solchen Personen selbstverständlich die Information zukommen lassen, wer der Verantwortliche ist, und erklären, welchen Zweck die Verarbeitung erfüllen würde – doch ist das rechtlich und ethisch korrekt?
Vermutlich eher nicht. Aber darf ein Betreuer einer bestimmten Verarbeitung von personenbezogenen Daten zustimmen? Darf ein Betreuer eine Einwilligung nach den Grundsätzen der DSGVO für den Betreuten geben?
Das Amtsgericht Giessen hat in seinem Beschluss vom 16. Juli 2018 interessante Hinweise diesbezüglich gegeben. Falls eine zu betreuende Person nicht mehr im Stande ist, einem Verantwortlichen, oder einem rechtlichen Betreuer gegenüber eine Einwilligung nach DSGVO zu erteilen, so kann unter diesen Umständen ein Betreuer die Einwilligung als gesetzlicher Vertreter des Betroffenen abgeben.
Ist der Betroffene aber noch einwilligungsfähig, so kann dieser unter Umständen eine Einwilligung verweigern.
Somit gilt es im Einzelfall abzuwägen und differenziert zu beurteilen, ob und inwieweit eine Einwilligung durch einen Betroffenen rechtlich wirksam ist.
Zu beachten ist auch, dass es durchaus Unterschiede gibt, ob eine Betreuung durch einen Berufsbetreuer erfolgt, oder im privaten/familiären Rahmen auf Basis einer ehrenamtlichen Betreuung.
Der Betreuer ist quasi DER Datenverarbeiter einer betroffenen Person, da er in seiner Hauptaufgabe beinahe ausschließlich Daten des Betreuten erhebt, verarbeitet, speichert und unter Umständen an Dritte (Pflege- und Krankenkasse, Pflegeeinrichtungen, etc.) weitergibt.
Nach Art. 6 Abs. 1 c DSGVO ist die Verarbeitung von personenbezogenen Daten durch einen rechtlichen Betreuer zulässig, da sie auf Basis der Betreuerbestellung zur Erfüllung der damit in Verbindung stehenden rechtlichen Verpflichtung erfolgt. Hierbei gilt es auch §1901 BGB zu berücksichtigen, der den Umfang und die Pflichten eines Betreuers näher definiert.
Werden darüber hinaus Daten erhoben, die zum Beispiel notwendig sind, um Anträge zu bearbeiten, wie z. B. Behördenangelegenheiten, die zum gerichtlich bestellten Aufgabenkreis gehören, greift nach Art. 6 Abs. 1 f DSGVO das berechtigte Interesse. Dieses Interesse muss für die Datenverarbeitung immer erforderlich sein. Eine reine Zweckmäßigkeit reicht nicht aus.
Somit bleibt als Fazit: Um im Praxisalltag die rechtliche Betreuung datenschutzkonform korrekt zu beachten, gilt es grundsätzlich den Einzelfall genau unter die Lupe zu nehmen und eine Interessenabwägung auf den Fall bezogen durchzuführen.
Wer sich mit der DSGVO befasst, stellt fest, dass der Grundsatz der Transparenz der Verarbeitung eine der wesentlichen Säulen im Datenschutz darstellt. Transparenz fängt aber nicht erst dann an, wenn ein Betroffener seine Rechte wahrnehmen möchte. Vielmehr bedarf es bereits im Voraus einer „sauberen“ Organisation innerhalb der Praxis. Zuerst einmal muss der Arzt selbst einen Überblick über die Datenverarbeitungen haben, die unter seiner Verantwortlichkeit durchgeführt werden. Hierbei hilft das Verzeichnis der Verarbeitungstätigkeiten.
Dieses Verzeichnis der Verarbeitungstätigkeiten, kurz VVT, ist neben den TOM´s ein weiterer elementarer Bestandteil der Dokumentation im Datenschutz. Art. 30 DSGVO liefert die wichtigsten Eckdaten zum Verzeichnis der Verarbeitungstätigkeiten. Und aus ErwGr. 82 der DSGVO wird deutlich, welchem Zweck es dienen soll – Zielsetzung sollte sein, Rechenschaft gegenüber der Aufsichtsbehörde ablegen zu können.
Somit wird auch deutlich, dass das „Dokument – Verzeichnis der Verarbeitungstätigkeiten“ nicht dafür gedacht ist, an jeden Patienten ausgehändigt zu werden. Stattdessen soll eine Aufsichtsbehörde dadurch Einblick in den Alltag einer Praxis erhalten und sich einen Eindruck über die Vorgänge in Verbindung mit der Verarbeitung personenbezogener Daten verschaffen. Deshalb hat eine Aufsichtsbehörde das Recht, Einsicht zu verlangen. Und der Verantwortliche verpflichtet sich auf Anfrage das „Dokument“ zur Verfügung zu stellen (Art. 30 Abs. 4 DSGVO).
Zwar zeigt Art. 30 Abs. 5 DSGVO, dass die Pflicht zum Führen eines solchen Verzeichnisses eigentlich nicht für Unternehmen gilt, die weniger als 250 Mitarbeiter beschäftigen. Doch es gibt wiederum Ausnahmen, so zum Beispiel, wenn die Verarbeitung Risiken für die Rechte und Freiheiten betroffener Personen birgt, oder eine Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) erfolgt.
Und da in einer Arztpraxis, egal wie groß, die Verarbeitung der besonderen Kategorien von Daten eine Rolle spielt, sollte jede Praxis ein vollständiges Verzeichnis der Verarbeitungstätigkeiten führen.
Die DSGVO fordert ein Verzeichnis ALLER Verarbeitungstätigkeiten. Dabei sollen insbesondere die Prozesse und Abläufe in einem Unternehmen dokumentiert werden, die personenbezogene Daten verarbeiten. Dabei legt Art. 30 Abs. 1 klar fest, was Mindestanforderungen an die Inhalte dieser Dokumente sind.
Die detaillierte Beschreibung in Art. 30 Abs. 1 DSGVO legt nahe, was Abs. 3 fixiert, nämlich dass das Verzeichnis der Verarbeitungstätigkeiten schriftlich zu führen ist. Dies kann in elektronischer Form erfolgen. Muss aber jederzeit greifbar und verfügbar sein. Und im Fall einer Prüfung durch die Aufsichtsbehörde gehört das VVT mit Sicherheit zu den Dokumenten, in die als Erstes Einsicht verlangt wird.
Primär sollen Prozesse dokumentiert werden, in denen eine Verarbeitung personenbezogener Daten stattfindet. Dennoch geht unsere Empfehlung dahin, alle Prozesse und Abläufe im Unternehmen, beziehungsweise innerhalb einer Arztpraxis, in dieses Verzeichnis aufzunehmen.
So erhält man einerseits einen guten Überblick über sämtliche Abläufe, unabhängig davon ob diese permanent oder nur sporadisch durchgeführt werden. In Verbindung damit mag es auch leichter fallen, eine Risikoanalyse innerhalb der Einrichtung durchzuführen. Schließlich gilt es zu bedenken, dass ein dem Risiko angemessenes Schutzniveau gewährleistet werden muss. Auch eine Beantwortung von Betroffenenanfragen fällt leichter, wenn es ein sauber geführtes Verzeichnis der Verarbeitungstätigkeiten gibt.
Und sollte es zu einer Verletzung im Datenschutz kommen, ist das Verzeichnis eine gute Hilfe bei der Beurteilung des eventuellen Risikos für die Rechte und Freiheiten von Betroffenen. Denn hier ist klar definiert, in welchem Prozess welche Personengruppen und welche Datenkategorien verarbeitet werden.
Außerdem stößt man bei der Dokumentation vielleicht auf den einen oder anderen Prozess, der nicht mehr zeitgemäß oder sogar überflüssig geworden ist.
Das Verzeichnis der Verarbeitungstätigkeiten ist zwar zu Beginn mit einem gewissen Maß an Aufwand und Bürokratie verbunden. Doch wird es regelmäßig überprüft und aktuell gehalten, so bringt es aus unternehmerischer Sicht durchaus Vorteile für den Verantwortlichen. Eine sauber geführte Dokumentation ist wiederum eine Erleichterung, wenn es zum Beispiel um Begriffe wie Qualitätsmanagement oder bestimmte Zertifizierungen gehen mag.
Interessant zum Nachlesen ist mit Sicherheit das DSK-Kurzpapier Nr. 1 – Verzeichnis der Verarbeitungstätigkeiten.
Wie schon die vorangegangenen Unterthemen zeigen, ist Datenschutz eng mit Dokumentation verbunden. Es gibt eine Reihe elementarer Dokumente, die Datenschutz gewährleisten sollen. Oftmals sind sie das Erste, was sich eine Aufsichtsbehörde im Fall einer Prüfung vorlegen lässt.
Nun wird noch auf einige weitere Dokumente eingegangen, die essenziell sind, um den Datenschutz zu etablieren.
Ein Datenschutzkonzept/eine Datenschutzrichtlinie ist wichtig für die Organisation des Datenschutzes in jeder Arztpraxis. Mitarbeiterinnen und Mitarbeiter haben auf diese Weise einen allgemeinen Leitfaden zum Verhalten im Umgang mit personenbezogenen Daten. Eine direkte Pflicht dazu gibt es in der DSGVO nicht. Jedoch lässt sie sich indirekt aus dem Gesetz herauslesen. (Detaillierte Informationen zum Datenschutzkonzept >>>)
Alle diese Eckdaten lassen sich in einem Datenschutzkonzept gut zusammenfassen. Ergänzend dazu können durch die Datenschutzrichtlinie auch Datenschutzziele konkret definieren. Beispiele für solche Schutzziele können sein:
Damit ein Datenschutzkonzept für Mitarbeiter als Leitlinie gelten kann, empfiehlt es sich, den Geltungsbereich, Begriffsdefinitionen, den Datenschutzbeauftragten, einen Überblick über die TOM´s, die Rechte Betroffener und einen Hinweis auf den Umgang mit Datenpannen, aufzunehmen.
Eine IT-Sicherheitsrichtlinie ist wichtig für den Schutz von personenbezogenen Daten. Mitarbeiterinnen und Mitarbeiter benötigen verbindliche Vorgaben für die Nutzung von IT-Equipment. Diese Vorgaben sollen die personenbezogenen Daten, die innerhalb der Praxis erhoben und verarbeitet werden, schützen.
In einem solchen Konzept werden Regeln definiert, die von allen an der Verarbeitung personenbezogener Daten Beteiligten umzusetzen sind. Dabei ist unerheblich, ob es sich um die eigentlichen Administratoren oder um „normale“ Mitarbeiter hält. Selbst Dienstleister sind nicht ausgenommen. Denn, wie vorher erwähnt, gilt es bei der Auswahl von Dienstleistern darauf zu achten, dass auch deren Datenschutzniveau dem Risiko angemessen ist.
Die IT-Richtlinie sollte festlegen, wie die zur Verfügung gestellte Hard- und Software zu verwenden ist (also z. B. muss festgelegt werden, ob es eine private Nutzung des Internets am PC im Stationszimmer geben darf, oder die Verwendung der beruflichen Email-Adresse auch für private Zwecke).
Die Arbeitsplatzgestaltung fällt ebenfalls mit in den Wirkungsbereich der IT-Richtlinie. Eine Regelung zum Gebrauch des Passwortes kann entweder direkt hier, oder separat in einer Kennwortrichtlinie, fixiert werden.
Empfehlenswert auch, ein Hinweis, was zu tun ist, wenn ein Sicherheitsvorfall bemerkt wird.
Ein IT-Konzept geht noch mehr ins Detail. Greift es doch Bereiche auf, wie z. B. die Infrastruktur/Räumlichkeiten einer Einrichtung, genutzte Server, mobile Geräte, Netzwerkpläne sowie zusätzlich die technisch-organisatorischen Maßnahmen.
Klar ist, je größer eine Arztpraxis ist, je mehr Mitarbeiter, je umfangreicher die genutzte IT ist, desto ausführlicher und stichhaltiger muss eine IT-Richtlinie ausfallen. Unter Umständen empfiehlt sich die Erstellung eines IT-Notfallkonzeptes.
Und da die IT-Sicherheit dem stetigen Wandel unterworfen isst, muss eine solche Richtlinie oder ein entsprechendes Konzept permanent im Auge behalten werden, um das Schutzniveau unter Berücksichtigung des Stands der Technik weiterhin gewährleisten zu können.
Fazit: Muss so viel Dokumentation sein?
Klare Antwort: Zwar ist Dokumentation nervig und lästig – aber gerade im Bereich Datenschutz auch elementar, um der Verpflichtung als Verantwortlicher im Sinne der Datenschutzgrundverordnung nachzukommen.
Grundsätzlich unterliegen alle Ärzte der ärztlichen Schweigepflicht, die darauf baut, das Vertrauensverhältnis, das zwischen Arzt und Patient bestehen sollte, zu schützen. In Verbindung damit taucht immer wieder §203 StGB auf, wo die Verletzung des Patientengeheimnisses gesetzlich geregelt und Verstöße unter Strafe gestellt werden.
In Zeiten, wo Digitalisierung immer weiter voranschreitet, ist es aber kaum noch möglich, Patientendaten ausschließlich innerhalb der Praxis zu halten, so dass nur der/die Berufsgeheimnisträger (Ärzte) und berufsmäßig tätige Gehilfen (medizinische Fachangestellte), darauf Zugriff haben (§203 Abs. 3 Satz 1 StGB).
Dessen ist sich auch der Gesetzgeber bewusst und hat deshalb im Jahr 2017 die Möglichkeit geschaffen, dass Ärzte zur Unterstützung ihrer beruflichen Tätigkeit auch gegenüber Personen offenlegen, die entsprechend mitwirken. (§203 Abs. 3 Satz 2 StGB)
Der hier geprägte Begriff „sonstige mitwirkende Person“ ist von elementarer Bedeutung, wenn es um den Einsatz externer Hilfspersonen also auch Dienstleister geht. Warum ist das notwendig? In jeder Arztpraxis gibt es eine Vielzahl relevanter Verträge, ohne die ein reibungsloser und rechtlich korrekter Ablauf nicht möglich ist. Eine externe Verarbeitung von personenbezogenen Daten, besonders patientenbezogener Daten außerhalb der Praxis, in der sie erhoben wurden, ist zulässig – jedoch an strenge rechtliche Vorgaben geknüpft, die es zwingend zu beachten gilt. Relevante Rechtsgrundlagen sind in diesem Bereich eben §203 Abs. 3 Satz 2 StGB, sowie auch Art. 28 DSGVO).
Allen voran spielt ein Begriff eine wesentliche Rolle – der sogenannte Auftragsverarbeiter. Laut Art. 4 Abs. 8 DSGVO ist damit eine natürliche oder juristische Person, eine Behörde oder Einrichtung gemeint, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Nicht zu verwechseln ist aber der Begriff Auftragsverarbeiter mit dem Begriff „Dritter“.
Welche Rolle spielt ein Auftragsverarbeiter? Es gibt Verarbeitungstätigkeiten, die ein Verantwortlicher nicht selbst ausführt, sondern an jemand andere weitergibt. Sei es, weil er selbst vielleicht nicht die technischen Möglichkeiten hat, weil der Aufwand im Verhältnis zu groß wäre, etc. In einem solchen Fall kann „der Verantwortliche“ einer Praxis einen Auftragsverarbeiter hinzuziehen, um auf Weisung personenbezogene Daten verarbeiten zu lassen. Gängige Beispiele hierfür sind z. B. externe Personalabrechnung, IT-Systembetreuungen, Web-Hosting, Support für Multifunktionsgeräte, oder auch eine externe Abrechnungsstelle, um nur einmal einige zu nennen.
Als Merksatz, der eine Auftragsverarbeitung definiert, gilt folgender Grundsatz: Basis für eine Auftragsverarbeitung (AV) ist stets die Weisungsgebundenheit des Auftragnehmers (Auftragsverarbeiters) gegenüber dem Auftraggeber.
Nach Art. 29 DSGVO ist derjenige weisungsgebunden, der bei der Durchführung seiner Tätigkeit keinen eigenen Entscheidungsspielraum hat.
Ein Beispiel zur Verdeutlichung: die externe Personalabrechnung hat keinen Entscheidungsspielraum wem, wieviel Lohn ausbezahlt werden soll, beziehungsweise die externe Abrechnungsstelle keinen Einfluss auf den Gebührensatz des Arztes oder die Höhe des Honorars, das der Patient zu zahlen hat. Ein solcher Dienstleister fungiert im Prinzip als „verlängerter Arm“ des Verantwortlichen.
Geht es um die Einbeziehung von Auftragsverarbeitern in einen Prozess oder eine Verarbeitungstätigkeit, so muss eine betroffene Person zwar im Rahmen der Hinweispflicht nach Art. 13 und 14 DSGVO informiert werden, dass die Daten an Dienstleister weitergegeben werden. Jedoch ist keine ausdrückliche Einwilligung des Betroffenen erforderlich.
Das hat den einfachen Grund, dass es in der Pflicht des Verantwortlichen der Arztpraxis liegt, den Dienstleister/Auftragsverarbeiter sorgsam auszuwählen. Gemäß Art. 28 Abs. 1 DSGVO hat der Verantwortlich bei der Auswahl von Dienstleistern, die in seinem Auftrag personenbezogene Daten verarbeiten, darauf zu achten, dass diese gleichfalls ein hinreichendes, dem Risiko angemessenes Datenschutzniveau gewährleisten können. Dafür benötigt auch der Dienstleister geeignete technische-organisatorische Maßnahmen.
Wenn also eine Arztpraxis oder eine MVZ-GmbH beispielsweise einen IT-Dienstleister oder eine dezentrale Verrechnungsstelle beauftragt, tätig zu werden, muss im Vorfeld durch den Verantwortlichen überprüft werden, ob diese Dienstleister angemessene Datenschutzmaßnahmen getroffen haben. Darüber hinaus ist es notwendig, in regelmäßigen Abständen zu kontrollieren, ob die Maßnahmen nach wie vor gültig und dem Stand der Technik angepasst sind.
Interessant zum Nachlesen – das DSK-Kurzpapier Nr. 13 zur Auftragsverarbeitung.
Da Ärzte als Berufsgeheimnisträger der ärztlichen Schweigepflicht unterliegen, müssen sie sich zur eigenen Absicherung stets vergewissern, dass an der Datenverarbeitung mitwirkende Personen zur Geheimhaltung verpflichtet sind. Deshalb empfiehlt es sich, auch die Verträge zur Auftragsverarbeitung mit einem entsprechenden Passus zu versehen, um extern beauftragte Personen zur besonderen Geheimhaltung zu verpflichten (siehe §203 Abs. 4 StGB).
Manchmal gibt es aber auch den Fall, dass es nicht nur einen Verantwortlichen gibt, der Weisungen gibt, sondern dass mehrere Stellen gemeinsam über Zwecke und Mittel einer Verarbeitung entscheiden. Dann spricht man von „Gemeinsamer Verantwortlichkeit“ nach Art. 26 DSGVO.
Für Einrichtungen im Bereich Gesundheitswesen/Arztpraxis wird diese Vertragsart eher selten zum Tragen kommen. Am ehesten durch die Zusammenarbeit mit Personaldienstleistern. Gerade im Bereich von MVZ oder Praxisgemeinschaften könnte unter Umständen eine gemeinsame Verantwortlichkeit dann entstehen, wenn es eine gemeinsame Datenverwaltung gibt, z. B. alle Fachrichtungen eines MVZ auf dieselben Stammdaten zugreifen. Wichtig für eine „Gemeinsame Verantwortlichkeit“ ist auf jeden Fall, dass diese schriftlich und in transparenter Form festlegt, wer welche Verpflichtung zu erfüllen hat, insbesondere auch, wenn es um die Rechte und Freiheiten betroffener Personen geht, wer welchen Informationspflichten nachkommt, u. s. w. (Joint-Controller-Agreement, Vertrag zur gemeinsamen Verantwortlichkeit)
Hilfreich kann es sein, vor der Beurteilung, ob es sich um eine Auftragsverarbeitung oder um eine Gemeinsame Verantwortlichkeit handelt, einen Blick in das DSK-Kurzpapier Nr. 16 zu werfen.
Zum Schluss noch ein Blick auf die sogenannten Geheimhaltungsvereinbarungen, oder Verpflichtungen zur Vertraulichkeit.
Grundsätzlich sollten alle Mitarbeiter einer Arztpraxis auf die Vertraulichkeit (DSGVO) und selbstverständlich auf die Wahrung von Berufsgeheimnissen (StGB) verpflichtet werden. Das schließt Auszubildende, Praktikanten, Teilzeitkräfte und geringfügig Beschäftigte mit ein. Normalerweise sollte diese Verpflichtung in den Arbeitsvertrag mit aufgenommen, oder in einer separaten Anlage geregelt sein.
Seit Einführung der DSGVO ist es jedoch ratsam, in Verbindung mit der Schulung und Sensibilisierung der Mitarbeiter auf den Datenschutz, die Verpflichtung auf die Vertraulichkeit, zu erneuern.
Neben Mitarbeitern haben oftmals auch Dienstleister Einsicht in personenbezogene Daten, obwohl sie diese nicht erheben bzw. verarbeiten.
Ein Beispiel mag das verdeutlichen: Häufig werden inzwischen Reinigungsfirmen engagiert, um die Praxisräume säubern zu lassen. Das hat zur Folge, dass die Reinigungsfachkraft, die regelmäßig kommt, um die Sprech- und Behandlungszimmer, das Arztzimmer, den Empfangsbereich, etc. zu säubern, Einblick in Unterlagen mit personenbezogenen Daten enthält. Vielleicht liegen noch Unterlagen des letzten Patienten auf dem Tisch, oder ein Gutachten, etc.
Die Reinigungsfirma ist mit Sicherheit nicht in eine Datenverarbeitung involviert, schließlich besteht deren Kerntätigkeit darin, Raumkosmetik zu betreiben. Dennoch erhält sie unter Umständen Einblick in personenbezogene Daten, oder sogar in besondere Kategorien von Daten.
Aufgrund dieser Einsicht ist es erforderlich mit Dienstleistern entsprechende Vereinbarungen (auf Basis StGB aber auch DSGVO) zu schließen, um sicher zu stellen, dass mit der erlangten Erkenntnis keine Nachteile für den Betroffenen entstehen.
Datenschutzfolgenabschätzung (kurz DSFA) – diesen Begriff kennt man seit Einführung der DSGVO. Doch schon früher gab es ein ähnliches Prozedere, die sogenannte „Vorabkontrolle“ (§4 BDSG a. F.). Hier ging es darum, Verarbeitungen die Risiken für die Rechte und Freiheiten von Betroffenen aufweisen, vor Beginn der Verarbeitung einer genauen Prüfung zu unterziehen.
Welchen Zweck verfolgt nun die Datenschutzfolgenabschätzung nach Art. 35 DSGVO?
Aufschlussreich ist in Verbindung damit das Kurzpapier Nr. 5 der DSK -Datenschutzkonferenz.
Eine Datenschutzfolgenabschätzung nach DSGVO kommt immer dann zum Einsatz, wenn eine rechtmäßige Verarbeitung von personenbezogenen Daten ein voraussichtlich hohes Risiko für die Rechte und Freiheiten Betroffener birgt. Sprich, es gilt auf den einzelnen und konkreten Verarbeitungsvorgang hin abzuwägen, wie hoch das jeweilige Risiko eingeschätzt wird. Dabei gilt es zu berücksichtigen, mit welchen Medien bzw. Technologien, in welcher Art und welchem Umfang, sowie zu welchem Zweck eine Verarbeitungstätigkeit durchgeführt wird. Vor allem, wenn bei einer geplanten Verarbeitung Gesundheitsdaten im Spiel sind.
Neben der Einschätzung der Höhe des Risikos wird in der DSFA auch Wert auf Abhilfemaßnahmen gelegt, mithilfe derer der Schutz personenbezogener Daten wieder sichergestellt werden kann.
Was können Risiken für die Rechte und Freiheiten Betroffener sein? Ein Blick in die Erwägungsgründe zur DSGVO gibt Aufschluss. ErwGr 75 DSGVO besagt, dass Verarbeitungen einen physischen, materiellen oder immateriellen Schaden für einen Betroffenen nach sich ziehen können. Davon ist insbesondere dann die Rede, wenn die Verarbeitung zu Diskriminierung, Identitätsdiebstahl oder -betrug, finanziellem Verlust, Rufschädigung oder Verlust der Vertraulichkeit führt.
Auf Grundlage des risikobasierten Ansatzes der DSGVO liegt es in der Aufgabe des Verantwortlichen einer Arztpraxis, bestehende und künftige Verarbeitungstätigkeiten genau unter die Lupe zu nehmen. Besteht durch die Verarbeitung ein Risiko für Rechte und Freiheiten von Patienten? Welche Risiken könnte es für personenbezogene Daten von Mitarbeitern der Praxis geben?
Art. 35 Abs. 2 a – c DSGVO führt einige Beispiele für Datenverarbeitungen an, die immer risikobehaftet sind, und somit in der Folge die Durchführung einer DSFA erforderlich machen. Dazu zählen unter anderem Profiling, die Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) in umfangreicher Weise oder auch eine Videoüberwachung.
Was bedeutet das für eine Arztpraxis? Nun, auch hier gibt es keine allgemeingültige und abschließende Antwort. Denn ob eine Datenschutzfolgenabschätzung gemacht werden muss, hängt von verschiedenen Faktoren ab. Zwar liest sich z. B. aus dem bereits angeführten ErwGr. 91 zur DSGVO, dass von der Pflicht zur Erstellung einer DSFA ein einzelner Arzt ausgenommen ist, da hier nicht von einer umfangreichen Verarbeitung ausgegangen wird.
Andererseits heißt es in einer Übersicht des Landesbeauftragen für den Datenschutz in Niedersachsen, dass eine Datenschutzfolgenabschätzung auch durchzuführen ist, wenn Telemedizin eingesetzt wird. Als Beispiel steht hier die Hausarztpraxis, die über ein Onlineportal die Möglichkeit zum Patient-Arzt-Gespräch bietet.
Es gilt also, sich sämtliche Vorgänge innerhalb einer Praxis genau anzusehen, um differenziert zu beurteilen, wie es um das Risiko einer Datenverarbeitung bestellt ist, und welche Folgen für die Rechte und Freiheiten einer Person dadurch entstehen könnten.
Unter Umständen kann es sogar sein, dass eine bloße DSFA nicht ausreicht, bevor ein Prozess innerhalb in der Praxis für die Praxis etabliert wird. Art. 36 DSGVO geht darauf ein, dass eine Konsultation der Aufsichtsbehörde notwendig sein kann, wenn bereits die Datenschutzfolgenabschätzung ergibt, dass eine Verarbeitung ein hohes Risiko zur Folge hätte, sofern keine Maßnahmen zur Eindämmung getroffen werden.
Die Aufsichtsbehörde kann dem Verantwortlichen dann innerhalb eines Zeitraums von bis zu 8 Wochen eine entsprechende schriftliche Empfehlung zum geplanten Prozess an die Hand geben.
Fakt ist jedoch, dass eine DSFA nicht nur ein einmaliger Vorgang sein darf. Werden z. B. neue Technologien eingeführt (insbesondere im Bereich Telemedizin), so könnte sich daraus ein geändertes, zusätzliches Risiko ergeben. Deswegen sind die Datenschutzfolgenabschätzungen regelmäßig auf Vollständigkeit und Aktualität zu prüfen und gegebenenfalls anzupassen. Es wird empfohlen, auch hier einen fortlaufenden Prozess zu etablieren, der nach getreu dem PDCA-Zyklus sämtliche relevanten Verarbeitungsvorgänge überprüft und anpasst.
Und selbstredend sollte eine Datenschutzfolgenabschätzung – genauso wie das Verzeichnis der Verarbeitungstätigkeiten – in schriftlicher Form vorliegen. Denn schließlich hat der Verantwortliche im Datenschutz nach Art. 5 DSGVO eine umfassende Dokumentations- und Rechenschaftspflicht, um die Einhaltung der Vorgaben nachzuweisen.
Wenn Sie nicht sicher sind, ob Ihre Arztpraxis alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!
Wenn Sie nicht sicher sind, ob Ihre Arztpraxis alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!