Heilberufe und die DS-GVO

Seit dem 25.05.2018 ist nun die DS-GVO wirksam und in allen EU-Mitgliedsstaaten unmittelbar anzuwenden. Sie enthält diverse Öffnungsklauseln, die den Mitgliedstaaten in engem Umfang konkretisierende nationale Regelungen gestatten. In Deutschland trat zeitgleich mit dem Wirksamwerden der DS-GVO ein überarbeitetes Bundesdatenschutzgesetz in Kraft, das den durch die Öffnungsklauseln vorgegebenen Gestaltungsspielraum umsetzt. Auch für Heilberufler finden sich dort Vorschriften und Konkretisierungen. Das Unabhängige Landeszentrum für Datenschutz (ULD), die Aufsichtsbehörde von Schleswig-Holstein,  hat dazu einen Leitfaden verfasst. Die wichtigsten Aspekte sollen hier zusammengefasst werden.

Verantwortlicher nach der DS-GVO

Gem. Art. 4 Nr. 7 DS-GVO gilt die Person, Behörde oder Einrichtung als Verantwortlicher, die Zweck und Mittel der Verarbeitung personenbezogener Daten bestimmt. Bei Heilberuflern ist Verantwortlicher damit der Betreiber / die Betreiberin der Praxis, Apotheke oder vergleichbaren Einrichtung. Ihnen obliegen nach der DS-GVO und dem BDSG umfassende Dokumentations- und Informationspflichten. Diese Vorgaben sollen im Weiteren kurz erläutert werden.

Rechtsgrundlage: Vertrag oder Einwilligung

Die Verarbeitung personenbezogener Daten ist laut DS-GVO nur bei ausdrücklicher Rechtsgrundlage zulässig. In Arztpraxen ist diese Grundlage meist ein Vertrag zwischen Arzt und Patient, wie etwa ein Behandlungsvertrag gem. § 630a BGB. Daten, die zur ordnungsgemäßen Begründung, Durchführung und/oder Beendigung des Vertrags benötigt werden, dürfen zu diesem Zweck verarbeitet werden. Darunter fallen beispielsweise Name, Adresse, Anschrift und die Versichertennummer sowie die Krankengeschichte.

Datenverarbeitungsvorgänge, die über die bloße Vertragserfüllung hinausgehen, bedürfen dagegen einer Einwilligung der betroffenen Person.
Tipp: Auch wenn die DS-GVO keine Form für die Einwilligung vorschreibt, wird der Behandelnde regelmäßig eine Einwilligung in Schriftform oder Textform vom Betroffenen erbitten. Schließlich obliegt ihm die Beweislast für die ordnungsgemäß erteilte Einwilligung des Betroffenen. Am besten eignet sich also ein unterschriebenes Formular.

Eine Einwilligung ist ebenfalls bei der Datenweitergabe von Privatpatienten an PVS und private Verrechnungstellen oder bei der Bonitätsprüfung potentieller Privatpatienten erforderlich.

Insgesamt muss die Einwilligung des Patienten freiwillig und auf der Basis ausreichender und verständlicher Informationen beruhen, um wirksam zu sein.

Informationspflichten gem. Art. 13  und 14 DS-GVO

Ziel der Informationspflicht der DS-GVO ist es, die Verarbeitung von personenbezogenen Daten möglichst transparent und verständlich zu machen. Deshalb müssen dem Patienten insbesondere folgende Informationen weitergegeben werden:

  • Kontaktdaten des nach Art. 4 Nr. 7 DS-GVO Verantwortlichen
  • Zweck der Datenerhebung
  • Zugriffsberechtigte auf die personenbezogenen Daten
  • Speicherdauer der Daten
  • Rechte der betroffenen Person (Auskunftsrecht, Recht auf Löschung, Datenübertragbarkeit, Beschwerderecht bei der Datenschutzbehörde)
  • Widerruflichkeit der Einwilligung

Werden die Daten bei einem Dritten erhoben, kommt gemäß Art. 14 DS-GVO hinzu:

  • Um welche Datenkategorie es sich handelt und
  • aus welcher Datenquelle sie entnommen wurden.

Wichtig: Die Informationsleistung muss in engem zeitlichen Zusammenhang zur Datenerhebung liegen.

Tipp: Durch bei der Patientenaufnahme ausliegende Flyer kann dieser Informationspflicht nachgekommen werden, wenn es einen Verweis auf eine Stelle mit ausführlichen Informationen gibt.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO)

Gem. Art. 30 DS-GVO ist der Verantwortliche verpflichtet, ein Verzeichnis aller Verarbeitungsvorgänge zu führen. Das alte Verfahrensverzeichnis wird hierdurch abgelöst.

Wichtig: Auch teil-automatisierte und gänzlich manuelle Vorgänge müssen in das Verzeichnis aufgenommen werden. Eine Veröffentlichungspflicht ist hingegen nicht mehr vorgesehen.

Nähere Informationen zum Verzeichnis von Verarbeitungstätigkeiten finden sich in einer Veröffentlichung der Datenschutzkonferenz, Kurzpapier Nr. 1.

Tipp: Hier finden Sie ein Muster, wie die Beschreibung einer Verarbeitungstätigkeit aussehen sollte.

Betrieblicher Datenschutzbeauftragter – ein Muss?

Gem. § 38 Abs. 1 S. 1 BDSG muss zumindest dann ein Datenschutzbeauftragter in einer nichtöffentlichen Stelle benannt werden, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Im Bereich der Heilberufe fällt darunter medizinisches Hilfspersonal, wie Arzthelfer/innen. Bei der Frage nach der Bestellung eines Datenschutzbeauftragten ist also auf die Größe der Arztpraxis abzustellen. Handelt es sich um eine öffentliche Stelle muss gem. Art. 37 Abs. 1a DS-GVO und  § 5 Abs. 1 BDSG immer ein Datenschutzbeauftragter benannte werden.

Die Pflicht zur Benennung eines Datenschutzbeauftragten besteht außerdem auch dann, wenn die Verarbeitung von personenbezogenen Daten im Mittelpunkt der Tätigkeit des Verantwortlichen steht. Das ist beispielsweise in Krankenhäusern oder Pflegeeinrichtungen der Fall. Bei Arztpraxen und Apotheken muss regelmäßig eine Einzelfallentscheidung getroffen werden, wie umfangreich die Datenverarbeitung sich gestaltet. Aber auch wenn sich gegen einen Datenschutzbeauftragten entschieden wird, hat der Verantwortliche zu dokumentieren, welche Daten er von wie vielen Personen verarbeitet (Art. 5 Abs. 2 DS-GVO). Eine freiwillige Benennung eines Datenschutzbeauftragten bleibt natürlich auch weiterhin möglich.

Muss ein Datenschutzbeauftragter benannt werden, so kann dies jemand aus dem eigenen Personal oder auch ein Externer sein. Entscheidend ist, dass er die notwendige Fachkenntnis besitzt. Hierzu werden regelmäßig Fortbildungen angeboten. Anschließend muss der Datenschutzbeauftragte öffentlich bekannt gegeben und der zuständigen Aufsichtsbehörde mitgeteilt werden. Weitere Informationen sind auch im Kurzpapier Nr. 12 zu finden.

Die Notwendigkeit einer Datenschutz-Folgeabschätzung

Birgt ein Datenverarbeitungsverfahren besonders hohe Risiken für die Rechte der Betroffenen, wird gem. Art 35 Abs. 1 DS-GVO eine sogenannte „Datenschutz-Folgeabschätzung“ verlangt. Ziel ist dabei, die möglichen Gefahren, die durch das spezifische Verfahren oder sensible personenbezogene Daten entstehen, frühzeitig zu identifizieren und Lösungsansätze aufzustellen, wodurch die Risiken minimiert werden.

Das bayrische Landesamt für Datenschutzaufsicht (LDA) sieht bei Arztpraxen grundsätzlich keine Pflicht zur Durchführung einer Datenschutz-Folgeabschätzung. Selbst wenn es sich um Gesundheitsdaten handele, sei nicht automatisch ein erhöhtes Risiko bei der Datenverarbeitung anzunehmen.

Bei dieser Ansicht ist aber Vorsicht geboten. Ein erhöhtes Risiko ist gem. Art. 35 Abs. 3b iVm Art. 9 Abs. 1 DS-GVO insbesondere dann anzunehmen, wenn sensible Daten umfangreich, regelmäßig und systematisch verarbeitet werden. Die genaue Auslegung dieser Begriffe wird sich mit der Zeit noch herauskristallisieren. Eine pauschale Abgrenzung, ab wann eine Datenschutz-Folgeabschätzung notwendig wird, ist auf Grund der Neuheit der Regelung noch nicht möglich.

Weitere Informationen hierzu und zur Durchführung einer Datenschutz-Folgeabschätzung sind im Kurzpapier Nr. 5 zu finden.

Allgemeine Pflichten

Neben den besonderen Bestimmungen für Heilberufler müssen aber auch die allgemeinen Pflichten berücksichtigt werden. Dazu gehören insbesondere die Grundsätze der Datenminimierung, der Integrität und Vertraulichkeit, Löschungspflichten (in Arztpraxen regelmäßig 10 Jahre), Auskunftspflichten (siehe hierfür Kurzpapier Nr. 6) und die Rechenschaftspflicht.

Als Orientierungshilfe hat das ULD einen Selbstcheck für Arztpraxen herausgegeben und die Bundesärztekammer hat ein Merkblatt für Arztpraxen veröffentlicht.

 

Haben Sie noch Fragen zum Datenschutz? Hier finden Sie unsere Ansprechpartner.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.