So setzen Arztpraxen die DSGVO um (Teil 2)

Vor allem die Informationspflichten haben zu großer Unsicherheit geführt. Wie muss eine Praxis informieren und über was?

Informationspflichten umsetzen

Die Inhalte der Informationspflichten ergeben sich aus Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO). Sinnvoll ist ein Formular, das vollumfänglich die Informationspflichten erfüllt.

Ob ein Aushang in den Praxisräumen allein ausreichend ist, beurteilen die Aufsichtsbehörden der Bundesländer unterschiedlich. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) sieht dies als genügend an. In Schleswig-Holstein können Ärzte allein mit einem Aushang ihre Informationspflichten jedoch nicht erfüllen.

Empfehlenswert ist deshalb eine Aushändigung an Patienten oder Mitarbeiter. Musterinformationsblätter finden Sie z.B. im Ratgeber „QM in der Zahnarztpraxis – Datenschutz nach DSGVO“.

Wer ganz sicher gehen will, dass er korrekt dokumentiert, nimmt entweder Vermerke in die Akte des Patienten bzw. in die Personalakte des Mitarbeiters auf oder heftet eine Kopie des ausgehändigten Blatts ab.

WICHTIG: Es ist übrigens nicht nötig, diese Infoblätter unterschreiben zu lassen. Es handelt sich um Datenschutzhinweise, nicht um eine Einwilligung!

Hat die Praxis eine Website, ist eine korrekte Datenschutzerklärung, die alles umfasst, was beim Besuch der Website mit den Daten des Nutzers passiert, sehr wichtig (siehe dazu im Einzelnen Bauer, Heft 06/28, S. 6).

Besonderes Augenmerk müssen Ärzte auf eine mögliche Datenübertragung in Drittstaaten haben. Das kann schneller gehen, als man glaubt. Wer beispielsweise einen Cloud-Anbieter mit Sitz außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) oder Google Analytics nutzt, ist davon betroffen.

Wer keine oder eine unzureichende Datenschutzerklärung auf seiner Homepage hat, setzt sich dem Risiko aus, dass es zu einem Bußgeldverfahren kommt. Eventuell sind auch Abmahnungen möglich. Doch das ist umstritten (siehe http://ogy.de/abmahnung-datenschutzerklaerung).

Müssen Arztpraxen einen DSB bestellen?

Ob Arztpraxen einen Datenschutzbeauftragten (DSB) bestellen müssen, ist anhand von vier Kriterien zu beurteilen.

Mindestens zehn Personen?

Für die meisten Arztpraxen wird die relevante Vorschrift § 38 des neuen Bundesdatenschutzgesetzes (BDSG) sein. Danach müssen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sein.

Bei der Anzahl der Personen zählt jede Person, d.h. der Verantwortliche (Arzt) und alle Mitarbeiter, unabhängig davon, ob sie in Teilzeit oder Vollzeit arbeiten, Auszubildende und freie Mitarbeiter.

Allerdings gehören Personen, die lediglich mit Papier-Karteikarten arbeiten oder Papierformulare ausfüllen, wie z.B. Pflegekräfte, nicht dazu. Denn das Merkmal „automatisierte Verarbeitung“ ist nicht erfüllt.

Ständig?

Außerdem müssen diese Personen „ständig“ mit der Verarbeitung beschäftigt sein. Dazu ist nicht erforderlich, dass sie sich ausschließlich mit der Datenverarbeitung beschäftigen.

In jedem Fall sind damit Arzthelferinnen, die Termine vergeben, Patientendaten verwalten und Abrechnungsdaten bearbeiten, als „ständig“ mit der Verarbeitung Beschäftigte anzusehen.

Dagegen sind Mitarbeiter, die überwiegend handwerkliche Tätigkeiten ausführen, z.B. angestellte Zahntechniker in einer Zahnarztpraxis, nicht mitzuzählen.

Hohes Risiko?

Ist die Datenverarbeitung mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden, z.B. bei der Verwendung neuer Technologien, so ist zum einen eine Datenschutz-Folgenabschätzung nötig.

Zum anderen ist zwingend ein DSB zu benennen. Für die meisten Arztpraxen in Deutschland wird dieses Kriterium nicht zutreffen.

Umfangreich?

Nach der Entschließung der Datenschutzkonferenz vom 26. April 2018 ist bei Arztpraxen in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten als Kerntätigkeit nach Art. 37 DSGVO auszugehen.

Dies gilt auch für die meisten Fälle von Praxisgemeinschaften, in denen Ärzte Räume gemeinsam nutzen, und Gemeinschaftspraxen (die neue Bezeichnung lautet „Berufsausübungsgemeinschaft“), in denen alle Ärzte Behandler der Patienten sein können.

Verzeichnis der Verarbeitungstätigkeiten strukturiert führen

Arztpraxen verarbeiten in der Regel besondere Kategorien von Daten gemäß Art. 9 DSGVO, nämlich Gesundheitsdaten. Damit sind sie verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Die erforderlichen Inhalte gibt Art. 30 DSGVO vor.

Um das Verzeichnis erstellen zu können, ist es wichtig, zunächst eine Inventur über alle Datenverarbeitungsvorgänge in der Praxis durchzuführen:

• Wer verarbeitet welche Daten zu welchen Zwecken?
• An wen bzw. wohin werden die Daten weitergegeben?

Danach lassen sich die Verarbeitungsvorgänge unter Oberbegriffen nach ihrem Verarbeitungszweck beschreiben, etwa Behandlungsdokumentation, Terminvergabe, Abrechnung, Personalverwaltung oder Aktenvernichtung.

Ein Muster für Arztpraxen – ebenso wie für andere kleine Unternehmen – findet sich unter www.lda.bayern.de/de/kleine-unternehmen.html.

Daten löschen!

Auch Arztpraxen müssen Daten löschen, wenn sie die Informationen für ihren ursprünglichen Zweck nicht mehr benötigen (Art. 17 DSGVO).

Ärzte müssen jedoch vielfältige gesetzliche Aufbewahrungspflichten beachten, die einer Löschung entgegenstehen. Behandlungsdokumentationen sind z.B. zehn Jahre nach Abschluss der Behandlung aufzubewahren, steuerliche Aufbewahrungspflichten bringen ähnlich lange Fristen mit sich oder auch die Röntgenverordnung (30 Jahre).

Darüber hinaus kann das Interesse des Arztes, bestimmte Daten weiter zu speichern, das Interesse an der Löschung überwiegen. Das gilt etwa bei Medikamentenunverträglichkeiten des Patienten.

Bei der Löschung von Daten bzw. der Vernichtung von Patientenakten in Papierform ist darauf zu achten, dass sich diese Daten nicht wiederherstellen lassen bzw. ein Aktenvernichter der entsprechenden Sicherheitsklasse vorhanden ist. Beauftragt die Praxis einen externen Dienstleister mit der Vernichtung, ist ein Auftragsverarbeitungsvertrag nötig.

Datenschutz-Folgenabschätzung

Für die meisten Arztpraxen ist nach Einschätzung der Datenschutzbehörden keine Folgenabschätzung durchzuführen. Das gilt aber nur, wenn sie keine „neuen Technologien“ einsetzen.

Zu den neuen Technologien zählt mit Sicherheit die Telemedizin. Aber auch Gesundheits-Apps oder die Speicherung von Patientendaten in der Cloud können davon umfasst sein.

Bei gemeinsamer Berufsausübung besonders aufpassen

Arbeiten mehrere Ärzte in einer Praxisgemeinschaft zusammen, nutzen sie meist gemeinsam die Praxisräume und eventuell auch die EDV-Systeme.

Hierbei ist jede teilnehmende Arztpraxis rechtlich selbstständig und muss deshalb jeweils als Verantwortlicher für den Datenschutz sorgen.

Im Hinblick auf große Gemeinschaftspraxen bzw. Berufsausübungsgemeinschaften verlangen die Datenschutzbehörden auch ohne „neue Technologien“ eine Datenschutz-Folgenabschätzung.

Unklar ist, ab welcher Anzahl von Ärzten eine Berufsausübungsgemeinschaft als „groß“ gilt. In Zweifelsfällen empfiehlt es sich, bei der zuständigen Datenschutzbehörde unter Schilderung des Einzelfalls nachzufragen.

Im Gegensatz zur Praxisgemeinschaft schließt ein Patient bei einer Berufsausübungsgemeinschaft mit allen Ärzten einen Behandlungsvertrag, nicht nur mit einem.

Alle Ärzte sind Verantwortliche und müssen entsprechend Art. 26 DSGVO ihre Rechte und Pflichten untereinander in einem Vertrag regeln (Joint Controllership, siehe Gailus, Heft 06/18, S. 4).

Andrea Gailus