DSGVO – und nun?

Datenschutz für Dermatologen Die Datenschutzgrundverordnung (DSGVO) ist nun auch in Deutschland geltendes Recht. Felix Schiffner, Rechtsanwalt und Fachanwalt für Medizinrecht, München, erläutert wesentliche Punkte für Dermatologen.

Die Verordnung wartet mit zahlreichen Regelungen auf, deren Sinn und Zweck sich für den ärztlichen Praxisbetrieb auf den ersten Blick oftmals nicht erschließen mag. Problem der gesamten Verordnung ist, dass sie eigentlich die großen Datensammler wie Google und Facebook ins Visier nehmen und reglementieren wollte, weniger die kleinen und mittelständischen Betriebe. Doch eben auch für diese gilt die DSGVO und somit auch für jede Arztpraxis. Gerade im Gesundheitswesen ist der DSGVO besondere Aufmerksamkeit zu schenken, da alltäglich mit einer besonders schützenswerten Kategorie von Daten hantiert wird – den Gesundheitsdaten.
Grund genug, sich mit den einzelnen Regelungen und den Auswirkungen auf die eigene Praxis zu befassen. Die Verordnung stellt Anforderungen auf, die umgehend zahlreiche Fragen aufwerfen: Über was muss ich den Patienten informieren? Brauche ich einen Datenschutzbeauftragten? Ist meine Homepage rechtssicher? Welche alltäglichen Abläufe sind zu ändern? Muss der Patient in jede Datenübertragung einwilligen? Was passiert, wenn ich etwas übersehen habe?
Zu Letzterem sei vorausgeschickt, dass die Verordnung kein bloßer Papiertiger ist, sondern auch drakonische Sanktionen und Bußgelder bereithält, sodass eine gründliche Prüfung lohnend ist.


Erste Schritte


Ärztekammern und Kassenärztliche Vereinigungen mehrerer Bundesländer haben umfangreiche Broschüren herausgegeben, die einen guten Überblick über die vorzunehmenden ersten Schritte und Sofortmaßnahmen geben. Insbesondere die Kassenärztliche Bundesvereinigung gibt durch ihr Informationsmaterial eine klare Linie vor. Das Augenmerk ist dabei auf diejenigen Maßnahmen zu richten, die in der Außendarstellung für jeden erkennbar sind.
Dazu gehört zuvorderst die Überprüfung, ob die Datenschutzerklärung auf der eigenen Praxishomepage den wesentlichen Anforderungen entspricht oder ob Nachbesserungsbedarf besteht. Die Datenschutzerklärung muss die Homepagebesucher über all diejenigen Datenverarbeitungsprozesse aufklären, die automatisiert erfolgen (z. B. sog. Serverlogs). Teilweise ist die bloße Aufklärung aber nicht ausreichend, sondern zusätzlich die Einwilligung des Homepagebesuchers erforderlich (z. B. Cookies). Parallel ist zu klären, ob die Praxis einen Datenschutzbeauftragten bestellen muss. Dies ist der Fall, wenn in der Praxis zehn oder mehr Personen regelmäßig mit der Datenverarbeitung befasst sind – kurz: Ab der zehnten Person ist ein Datenschutzbeauftragter verpflichtend zu bestellen. Dabei sind auch der Praxisinhaber bzw. sämtliche Partner einer Gemeinschaftspraxis mitzuzählen. Ein zu bestellender Datenschutzbeauftragter ist der zuständigen Landesbehörde für Datenschutz zu melden.
Nicht weniger wichtig ist die Information der Patienten innerhalb der Praxisräumlichkeiten mittels der sogenannten Patienteninformation. Mit dieser Information – deren Inhalt sich nach Art. 13 DSGVO bestimmt – muss der Patient informiert werden, welche Daten zu welchem Zweck erhoben werden, wie lange diese gespeichert werden und welche Rechte dem Patienten bezüglich seiner Daten zustehen. Es bietet sich an, diese Patienteninformation im Anmeldebereich der Praxis auszulegen, eine Unterzeichnung durch den Patienten ist nicht erforderlich.


Neue Strukturen und Abläufe?


Neben den vorgenannten Aufklärungspflichten bei der Datenerhebung müssen auch tägliche Prozesse der Datenübertragung und Datenweitergabe hinterfragt werden. Die häufigsten Datenübertragungen werden dabei der fachliche Austausch mit nachbehandelnden oder mitbehandelnden Ärzten des Patienten sein, ferner die Übersendung von Untersuchungsmaterialien des Patienten an externe Labore.
In Art. 9 der DSGVO wird das generelle Verbot aufgestellt, Gesundheitsdaten zu verarbeiten. Unter Verarbeitung ist jegliche Form der Datennutzung zu verstehen, mithin die Speicherung, Auswertung und eben auch die Weiterleitung. Somit ist eigentlich jegliche Handlung in Bezug auf Patientendaten ein eigener Verarbeitungsvorgang. Vom Verbot der Verarbeitung bestehen jedoch zwei wesentliche Ausnahmen: Eine Verarbeitung von Patientendaten ist einerseits mit ausdrücklicher Einwilligung des Patienten möglich, andererseits gemäß Art. 9 Abs. 2 lit. h) DSGVO zum Zwecke der Gesundheitsvorsorge und medizinischen Diagnostik.

(Foto: privat)
(Foto: privat)

Kontakt


Felix Schiffner
Rechtsanwalt und Fachanwalt für Medizinrecht
Sozietät Hartmannsgruber Gemke Argyrakis & Partner
August-Exter-Straße 4, 81245 München
Tel. 089 – 82 99 560

Wann braucht es also eine Einwilligung?


Ein fachlicher Austausch mit anderen Ärzten ist, unter Beachtung der ärztlichen Schweigepflicht, immer dann möglich, wenn das Einverständnis des Patienten oder dessen mutmaßliches Einverständnis vorliegt. Dient der fachliche Austausch damit der Therapie oder Diagnostik, ist keine Einwilligung erforderlich. Auch zur Übersendung von Untersuchungsmaterialien an ein externes Labor muss sich der Arzt keine Einwilligung des Patienten erteilen lassen. Vielmehr ist es in der Rechtsprechung anerkannt, dass der Arzt lediglich in Vertretung des Patienten die Proben an das Labor weiterreicht, der Patient aber der eigentliche Auftraggeber des Labors ist.


So selbstverständlich wie unzulässig


Trotz der DSGVO können bestehende Praxisabläufe also aufrechterhalten werden. Gleichwohl müssen die Befugnisse bei jedem einzelnen Datenübertragungsprozess neu hinterfragt werden. In der dermatologischen Praxis werden Patienten der Praxis häufig im angeschlossenen Kosmetikinstitut weiterbehandelt.
Wird eine delegierte ärztliche Leistung im Institut erbracht, werden auch die entsprechenden Patientendaten an das Institut übertragen. Eine Praxisstruktur mit diesem Automatismus ist so selbstverständlich wie unzulässig. Für die Übertragung wird nämlich zwingend eine ausdrückliche Einwilligung des Patienten benötigt. Gerade wegen der im ärztlichen Berufsrecht geforderten strikten Trennung von Praxis und Institut gilt es, die Trennung auch bezüglich der Datenerhebung penibel zu beachten. Problematisch ist schon der Fall, dass ein Patient im Institut anruft, um einen Termin für eine ärztliche Folgebehandlung zu vereinbaren.
Soweit auch in der Vergangenheit häufig die Einwilligung des Patienten erforderlich war, ist heute neu, dass der Patient im Zusammenhang mit der Einwilligung auch zugleich über sein Widerrufsrecht, dass er zu jedem Zeitpunkt ausüben darf, hingewiesen werden muss, vgl. Art. 7 Abs. 3 DSGVO.


Verwarnungen statt Geldstrafen


Damit die neuen datenschutzrechtlichen Regelungen nicht leer laufen, hat es der Verordnungsgeber nicht versäumt, einen ganzen Katalog von Geldstrafen und Sanktionen im Falle eines Verstoßes in die DSGVO mit aufzunehmen. So sieht Art. 83 Abs. 5 DSGVO Geldbußen in Höhe von bis zu 20 Millionen Euro vor, bei Unternehmen 4 % des gesamten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Schon aus diesen Größenordnungen wird deutlich, dass die DSGVO sicherlich nicht die Sanktionierung geringfügiger Verstöße beim Betrieb einer Einzelpraxis oder Gemeinschaftspraxis im Blick hatte. Gleichwohl sind die Sanktionen in der DSGVO enthalten, wobei diese natürlich unter Berücksichtigung der Schwere des Verstoßes im Einzelfall zu mindern sind.
Tatsächlich zeigt sich bereits, dass es zumindest in der Anfangsphase nicht zu Sanktionsexzessen kommen wird. Der Bundesinnenminister Seehofer kündigte selbst an, dass in der Anfangsphase „verhältnismäßige Sanktionen mit Augenmaß“ verhängt werden sollen. Aus seiner Sicht bestehen Zweifel daran, „ob kleinere oder mittelständische Betriebe, die nicht die Möglichkeit haben, sich ausreichend juristisch beraten zu lassen, gleichermaßen gut und schnell konform mit der Grundverordnung“ werden.
In der Konsequenz sollen „gerade in der Anfangsphase Verwarnungen und Hinweise natürlich unter Berücksichtigung der Umstände und Auswirkungen der Verstöße ausreichend sein, um die Rechtskonformität herzustellen“. Bislang scheitert ein stärkerer Durchgriff auf Grundlage der DSGVO schon allein an personellem Mangel in den jeweiligen Landesdatenschutzbehörden. Wie sich die zuständigen Landesbehörden künftig verhalten werden, wird sich erst im Laufe des kommenden Jahres ausprägen. Dies heißt aber nicht, dass es für Praxisinhaber nun genügt, sich zurückzulehnen, vielmehr verschafft es die erforderliche Zeit – soweit noch nicht geschehen – die Vorgaben der Datenschutzgrundverordnung grundlegend umzusetzen. Denn immerhin bewegt sich der alltägliche Praxisbetrieb im Spektrum der besonders schützenswerten Daten – der Gesundheitsdaten – wo ein Verstoß sicherlich schwerer wiegt als bei bloßen Adressdaten in einem Handwerksbetrieb. |

Aktuelle Ausgabe

 

Hier finden Sie frühere Ausgaben von DERMAforum