Lüdecke & Fritzsch Rechtsanwälte | Datenschutz in der Arztpraxis - Ein Überblick zu den Anforderungen durch EU-DSGVO und dem BDSG-neu
Datenschutz, Arztpraxis, Gesundheitsdaten, Datenschutzbeauftragter
9833
post-template-default,single,single-post,postid-9833,single-format-standard,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-4.1.2,vc_responsive

Blog

Datenschutz in der Arztpraxis

  |   Allgemein   |   No comment

Ein Überblick zu den Anforderungen durch EU-DSGVO und dem BDSG-neu

Vielleicht haben Sie bereits davon gehört – ab dem 25.05.2018 treten in Deutschland neue gesetzliche Regelungen zum Thema Datenschutz in Kraft. Handlungsbedarf trifft dabei insbesondere Unternehmen und Freiberufler, welche im Gesundheitswesen tätig sind.

Die Ausgangslage

Bislang war das Datenschutzrecht in Deutschland vorwiegend im Bundesdatenschutzgesetz geregelt. Auf Betreiben der EU wurden jedoch neue Gesetzlichkeiten, mit deutlich umfangreicheren Anforderungen und deutlich verschärften Sanktionen, ins Leben gerufen. Diese finden sich zukünftig in der „Datenschutz-Grundverordnung“, kurz EU-DSGVO (oder schlicht DSGVO) und dem neuen „Allgemeinen Bundesdatenschutzgesetz“, kurz BDSG-neu. Beide Gesetze treten zum 25.05.2018 in Kraft. Ab diesem Datum ist jederzeit damit zu rechnen, durch die Aufsichtsbehörden für Datenschutz auf die Umsetzung und Einhaltung der Vorgaben dieser Gesetze überprüft zu werden.

Was bedeutet dies nun für Inhaber von Arztpraxen?

Zur Tätigkeit in Arztpraxen gehört zwangsläufig die Verarbeitung sog. „besonderer Kategorien“ personenbezogener Daten, nämlich Gesundheitsdaten. In Art. 4 Nr. 15 DSGVO sind diese definiert als

„personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.

Diese Daten stellt der Gesetzgeber unter besonderen Schutz. Auch in einer Veröffentlichung der AOK war hierzu kürzlich zu lesen:

„Nirgendwo ist der sorgfältige Umgang mit persönlichen Daten so wichtig und sensibel wie im Gesundheits- und Sozialbereich. Dies zeigt sich auch in der Fülle an gesetzlichen Spezialvorschriften.“.

Die gesetzlichen Regelungen haben zur Folge, dass in Arztpraxen in besonderem Maße auf die Einhaltung der Vorgaben des neuen Datenschutzrechts geachtet werden muss. Der Praxisinhaber trägt dafür die Verantwortung. Ihn treffen die Sanktionen im Falle festgestellter Verstöße.

Was ist zu tun?

Zunächst sollte festgestellt werden, ob ein Handlungsbedarf besteht und wenn ja (wovon leider auszugehen ist) in welchem Umfang. Unsere bisherige Erfahrung hat gezeigt, dass dem Thema Datenschutz in vielen Praxen noch zu wenig Aufmerksamkeit geschenkt wird. Dies liegt in der Regel aber nicht am fehlenden Willen sondern vielmehr an fehlender Information und Aufklärung. Oft sind die gesetzlichen Anforderungen schlicht nicht bekannt.

Sie können jetzt sogleich die Probe aufs Exempel machen. Eine zwingende Maßnahme, welche die DSGVO Inhabern von Arztpraxen auferlegt, ist die Erstellung und Führung eines sog. „Verzeichnisses von Verarbeitungstätigkeiten“ (im bisherigen Gesetz „Verfahrensverzeichnis“ genannt). Die Notwendigkeit ergibt sich dabei aus Art. 30 Abs. 1 und 5 DSGVO, welcher jede Stelle, bei der Gesundheitsdaten verarbeitet werden, zur Führung eines solchen Verzeichnisses verpflichtet.

Fragen Sie sich also selbst: Sind Ihnen die Begriffe „Verzeichnis von Verarbeitungstätigkeiten“ oder „Verfahrensverzeichnis“ bekannt und führen Sie in Ihrer Praxis bereits ein solches? Wenn ja, ist dies ein gutes Zeichen. Wenn nicht, dann besteht bereits deswegen dringender Handlungsbedarf. Sollten Sie das Verzeichnis bereits führen, überlegen Sie weiter:

  • Haben Sie ein Datenschutzkonzept/Datenschutzrichtlinie ausgearbeitet?
  • Haben Sie ein Datensicherungskonzept?
  • Haben Sie technische und organisatorische Maßnahmen (TOM) zum Schutz der bei Ihnen verarbeiteten Daten und zum Schutz Ihrer IT getroffen?
  • Haben Sie Regelungen zum Verhalten bei Datenpannen getroffen?
  • Haben Sie Regelungen zum Umgang mit Betroffenenrechten getroffen?
  • Haben Sie Regelungen zur Nutzung der Umternehmens-IT für private Zwecke getroffen?
  • Sind Ihre Mitarbeiter ausreichend zum Thema Datenschutz sensibilisiert worden?

Sollten Ihnen diese Punkte nichts sagen oder Sie sich unsicher sein, so besteht sehr wahrscheinlich ebenfalls Handlungsbedarf.

In der Regel benötigen Arztpraxen zudem einen Datenschutzbeauftragten. Dies ist wiederum dem Umstand geschuldet, dass Gesundheitsdaten verarbeitet werden. Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist im Gesetz nicht für alle Fälle klar geregelt. Sie besteht jedoch zweifelsfrei, wenn in der Praxis mehr als neun Mitarbeiter beschäftigt sind, welche mit der Verarbeitung personenbezogener Gesundheitsdaten Umgang haben. Für Praxen mit weniger Beschäftigten lässt sich aus der DSGVO und deren Erwägungsgründen herauslesen, dass nur solche Praxen, die aus einem einzelnen Arzt (und seinen weniger als neun Beschäftigten) bestehen, wohl nicht zwingend einen Datenschutzbeauftragten benötigen. Dennoch legt das Gesetz auch diesen Praxen die Bestellung eines Datenschutzbeauftragten nahe. In § 22 BDSG-neu heisst es hierzu, dass bei der Verarbeitung von personenbezogenen Gesundheitsdaten angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen sind. Nach § 22 Abs. 2 Nr. 4 BDSG kann dazu insbesondere die Benennung einer oder eines Datenschutzbeauftragten gehören. Dies ist als klare Empfehlung des Gesetzgebers zu verstehen.

In Anbetracht der hohen Bußgelder, welche beim Verstoß gegen Datenschutznormen zu erwarten sind, sollte im Zweifelsfall eher zur Bestellung eines Datenschutzbeuftragten tendiert werden.

Was, wenn die Vorgaben zum 25.05.2018 nicht umgesetzt worden sind?

Hier ist zunächst festzuhalten, dass die mit der EU-DSGVO und dem neuen BDSG kommenden Regelungen nicht gänzlich neu sind. Viele der Anforderungen sind dem Grunde nach auch bereits in den bislang geltenden Gesetzen vorhanden. Allein die Kontrollen durch die Aufsichtsbehörden waren bislang eher nachlässig. Es steht jedoch dringend zu befürchten, dass sich dies nun ändert. Die EU will ein einheitliches Datenschutzniveau in allen Mitgliedsstaaten erreichen. Gemessen wird dies an dem Staat mit dem höchsten Datenschutzniveau. Alle Aufsichtsbehörden sind demnach gehalten, stärker als bislang auf die Umsetzung und Einhaltung der gesetzlichen Vorgaben zu achten und diese zu überwachen.

Die EU-DSGVO sieht in Art. 83 für Verstöße im Bereich besonderer Datenkategorien (wozu Gesundheitsdaten zählen) Bußgelder von bis zu 20.000.000 Euro vor. Auch wenn diese Maximalhöhe natürlich nur in Extremfällen und nur bei großen Unternehmen oder Kliniken denkbar ist, zeigt der hohe Bußgeldrahmen dennoch, dass die Sanktionierung prinzipiell empfindlich ausfallen soll. Auch im unteren Bußgeldrahmen angesiedelte Bußgelder können daher bereits sehr unangenehme und ggf. existenzbedrohende Höhen aufweisen.

Fazit

Der 25.05.2018 scheint zwar noch entfernt zu liegen. Dem ist aber leider nicht so. Die vom Gesetzgeber vorgesehene Umsetzungsfrist für die neuen Anforderungen betrug zum 25.05.2018 zwei Jahre. Wer diese zwei Jahre nicht genutzt hat, braucht mit Nachsichtigkeit seitens der Behörden wohl kaum zu rechnen. Bedenken Sie zudem, dass auch die Umsetzung aller Vorgaben ein gewisses Maß an Zeit benötigt.

Im Ergebnis kann Inhabern von Arztpraxen daher nur dringend geraten werden, sich zeitnah im Hinblick auf die kommenden Anforderungen zu informieren und für deren Umzusetzung zu sorgen.

Für den Bereich Datenschutz im Gesundheitswesen bieten wir Ihnen eine kostenlose Ersteinschätzung.

Mehr dazu

„Das Thema Datenschutz ist aktueller als je zuvor. Die Datenschutzgrundverordnung und das neue BDSG stehen in den Startlöchern. Regelmäßige Skandalmeldungen halten das Thema zudem in der Öffentlichkeit präsent. Ein unachtsamer Umgang mit Daten zieht für Unternehmen und Freiberufler mitunter finanzielle oder gar existenzgefährdende Konsequenzen nach sich. Mit uns gehen Sie sicher, dass Sie alle gesetzlichen Vorgaben einhalten. Im Falle von Verstößen gegen Vorschriften des Datenschutzrechts stehen wir auch zur Verteidigung als starker Partner an Ihrer Seite.“

_Fragen kostet nichts.

Rufen Sie uns gern jederzeit an.

Gebührenfreie Anwaltshotline: 0800 10 10 366

Weitere Tätigkeitsgebiete

  • MarkenMarken
  • UrheberUrheber
  • DatenschutzDatenschutz
  • GewerbeGewerbe
  • ITIT
  • StrafStraf
  • VerkehrVerkehr
Zurück zur Übersicht

AUTHOR - RA Lüdecke

No Comments

Post A Comment