Die DSGVO gilt seit Mai 2018 in der gesamten Europäischen Union. Ihre Vorgaben gelten gegenüber gewerblichen Unternehmern und Angehörigen der freien Berufe, wie Ärzten und Rechtsanwälten gleichermaßen und ohne Rücksicht auf die Größe einer Praxis.
Max Kirschhöfer, Rechtsanwalt, Thümmel, Schütze & Partner, Frankfurt/M.
Datenverarbeitung unter der DSGVO
Seit Mai 2018 gilt die DSGVO unmittelbar in der gesamten Europäischen Union. Unter dem Anwendungsbereich der DSGVO dürfen personenbezogene Daten des Betroffenen, also desjenigen, dessen personenbezogene Daten verarbeitet werden, nur verarbeitet werden, wenn hierfür eine Rechtsgrundlage vorliegt, welche sich in aller Regel unmittelbar aus der DSGVO selbst ergibt (Art. 5, 6 und 9 DSGVO).
BERATUNGSTIPPS
Coaching des Datenschutzbeauftragten im Gesundheits- und Dentalbereich.
Datenschutzberatung im Gesundheits- und Dentalbereich.
Von einer Verarbeitung personenbezogener Daten spricht man immer dann, wenn solche personenbezogene Daten erfasst, gespeichert oder an Dritte weitergegeben werden (Art. 4 DSGVO). Dies gilt nicht nur für eine elektronische Datenverarbeitung, sondern auch, wenn die Daten etwa in einer physischen Akte abgelegt werden, solange dies einer gewissen Systematik folgt.
Für den Gesundheitssektor heißt dies, dass die Vorschriften der DSGVO in der Regel bereits bei der telefonischen Terminvereinbarung, jedenfalls aber bei der Aufnahme des Patienten in der Praxis anzuwenden sind und auch vor der Weitergabe der Patientenakte an einen anderen Arzt geprüft werden muss, ob hierfür eine Rechtsgrundlage vorliegt und sich in den „Datenschutzhinweisen“ ein entsprechender Hinweis auf die Datenweitergabe findet (Art. 13, 14 DSGVO).
Gesundheitsdaten
Bei Gesundheitsdaten handelt es sich um besonders sensible Daten, weswegen die DSGVO diese in deren Art. 9 einem besonders strengen Schutz unterwirft und deren Verarbeitung nur ausnahmsweise zulässig ist. Eine berufsständische Ausnahme von diesen besonders hohen Anforderung ist der DSGVO fremd.
INHOUSETIPP
Datenschutz Inhouse-Schulungen für Mitarbeiter im Gesundheits- und Dentalbereich.
Es ist daher aus dogmatischer Sicht wenig verwunderlich, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einer von ihr verfassten Stellungnahme aus November 2019 mit Nachdruck darauf hingewiesen hat, dass auch bei der medizinischen Behandlung die Sicherheit von Patientendaten flächendeckend und unabhängig von der Größe der Gesundheitseinrichtung gewährleistet werden muss. Die Stellungnahme mit ihrem eindeutigen Hinweis darauf, dass die DSGVO auch im Gesundheitssektor flächendeckend und ungeachtet der Größe der Einrichtung gilt, ist als dringender Hinweis darauf zu verstehen, dass die nationalen Behörden zunehmend davon auszugehen scheinen, dass die Vorschriften der DSGVO im Gesundheitssektor flächendeckend nicht korrekt umgesetzt werden, was hohe Bußgelder nach sich ziehen kann.
Diese Sichtweise belegt auch der bereits Anfang des Jahres 2019 verbreitete Hinweis, wonach die nationalen Aufsichtsbehörden allein in der räumlichen Gestaltung des Empfangsbereichs einer Arztpraxis ein „Datenschutzrisiko“ sehen und die Praxis monierten, dass die Behandlung von einer Quittierung des Empfangs der Datenschutzhinweise abhängig gemacht wurde (siehe sogleich).
Informationspflichten gegenüber den Betroffenen
Die DSGVO verpflichtet den datenschutzrechtlich Verantwortlichen dazu, dass dieser dem Betroffenen grundsätzlich zu Beginn des Datenverarbeitungsprozesses bestimmte Informationen erteilt (Datenschutzhinweise). Neben dem Namen des Verantwortlichen und anderer Formalia ist in diesen Datenschutzhinweisen in aller Regel auch festzuhalten, wenn beabsichtigt ist, die personenbezogenen Daten an Dritte, wie etwa einen anderen Arzt, eine andere Gesundheitseinrichtung oder eine Abrechnungsstelle, weiterzugeben.
Ein Dorn im Auge der Aufsicht scheint dabei die vielfach zu beobachtende Praxis zu sein, sich den Empfang der „Datenschutzhinweise“ quittieren zu lassen; vereinzelt sogar die Behandlung des Patienten von einer Empfangsbescheinigung abhängig zu machen. Dies wohl deshalb, weil die DSGVO eine Verpflichtung zur Unterzeichnung eines Empfangsbekenntnisses nicht vorsieht. Es obliegt somit dem jeweils Verantwortlichen, einen Prozess zu schaffen, der es im Streitfalle ermöglich, den Nachweis über die Erteilung der Datenschutzhinweise zu führen.
Die teilweise zu beobachtende Praxis, wonach der Patient vor der Behandlung die Datenschutzhinweise eine darin enthaltene „Einwilligung“ in die Weitergabe seiner Patientendaten, etwa an eine Abrechnungsstelle, unterschreiben musste, ihm andernfalls die Behandlung verweigert werden würde, ist nicht nur standesrechtlich und mit Blick auf den hippokratischen Eid bedenklich, sondern kann auch zur Unwirksamkeit der Einwilligung führen. Denn eine datenschutzrechtliche Einwilligung setzt voraus, dass diese freiwillig abgegeben wurde.
Technisch-organisatorische Maßnahmen
Bestandteil der DSGVO ist auch die Implementierung technisch-organisatorischer Maßnahmen. Hierzu gehört es u. a. für die Sicherheit der personenbezogenen Daten Sorge zu tragen. Dies erklärt es auch, dass von Seiten der Behörden bisweilen der Empfangsbereich einer Arztpraxis als Datenschutzrisiko gewertet und die offenbar teilweise mangelnde IT-Sicherheit moniert wird. Denn der beiläufige Blick eines Patienten auf oder gar in die Akte eines anderen Patienten stellt ebenso einen Verstoß gegen die DSGVO dar, wie die am Telefon gegenüber einem namentlich genannten Patienten getätigte Äußerung, dessen Gesundheitswerte seien gut oder schlecht, wenn diese Äußerung von Dritten gehört wird, was im Übrigen auch für die Mitteilung des Gesundheitszustandes des Patienten gegenüber besorgten Angehörigen gilt.
PRAXISTIPPS
- Die DSGVO ist mit ihren knapp eineinhalb Jahren Geltungsdauer ein verhältnismäßig junger Rechtsakt. Es verwundert daher nicht, wenn Aufsichtsbehörden auf ihren Websites oder im Rahmen von Stellungnahmen auf Bedenken hinweisen, die sie in alltäglichen Situationen, wie etwa einem Arztbesuch, ausgemacht haben.
- Solche über die Kanäle der Aufsicht geäußerten Hinweise und Bedenken sollten allerdings nicht nur ernst, sondern auch zum Anlass genommen werden, die eigenen Datenschutzkonzepte einer kritischen Überprüfung zu unterziehen und diese erforderlichenfalls auf die eigenen individuellen Bedürfnisse anzupassen.
Beitragsnummer: 5133