Datenschutz in der Arztpraxis – es wird ernst

Die Datenschutz-Grundverordnung (DS-GVO) wird auch nach ihrem Inkrafttreten, am 25.05.2018, noch nicht von allen Betrieben konsequent umgesetzt. Die Folge ist, dass die ersten Bußgeldverfahren ­eingeleitet worden sind.

Deutschland geltende, novellierte Bundes­datenschutzgesetz (BDSG) sehen für Verstöße gegen das geltende Datenschutzrecht Geldbußen und Schadensersatz der betroffenen Personen vor. Beispielsweise nennt Art. 83 DS-GVO Geldbußen von bis zu 20.000.000,00 EUR.

In Deutschland droht zur Zeit einem Chatportalanbieter ein nicht unerhebliches Bußgeld. Dieses soll Passwörter im Klartext auf dem Unternehmensserver gespeichert haben, die unbekannte Dritte auf dem Backupserver gehackt und so möglicherweise Zugriff auf 1,8 Millionen Kundendaten erlangt haben. Das Gesundheitswesen ist auch schon ins Visier der Datenschützer geraten. Die Heise Medien GmbH & Co. KG berichtete am 23.10.2018 auf ihrer Homepage, dass gegen ein portugiesisches Krankenhaus ein Bußgeld in Höhe von 400.000,00 EUR verhängt worden ist, weil zu viele Personen Zugriff auf Patientendaten hatten.

Auch wenn die Datenschutzbehörden derzeit selbst an der Umsetzung der ­DS-GVO arbeiten und (noch) nicht voll funktionsfähig sein mögen, zeigt sich, dass Verstöße gegen geltende Datenschutzbestimmungen ernst genommen und bereits geahndet werden.

Was bedeutet das für niedergelassene Ärzte?

Wegen der beginnenden Tätigkeit der Datenschutzbehörden ist es nicht zu spät, den Datenschutz in der eigenen Praxis beziehungsweise in dem eigenen Medizinischen Versorgungszentrum (MVZ) auf die aktuellen Anforderungen einzustellen. Davon ist, dies sei betont, jeder niedergelassene Arzt und jedes MVZ betroffen.

Die Bestimmungen der DS-GVO und des BDSG gelten für jeden, der, wie auch Ärzte, personenbezogene Daten speichert. Dies ist sowohl dann der Fall, wenn Patientendaten händisch in eine Patientenkartei geschrieben werden, als auch dann, wenn sie in einen Computer eingegeben werden.

Die Anwendbarkeit der DS-GVO und des BDSG bedeutet für Ärzte, dass sie deren Anforderungen erfüllen müssen, um zu vermeiden, mit einem Bußgeld belegt zu werden, wenn eine Pflichtverletzung gegenüber der Datenschutzbehörde angezeigt und von dieser festgestellt wird.

Viele Ärzte, insbesondere in Gemeinschaftspraxen, sind zudem verpflichtet, einen Datenschutzbeauftragten zu bestellen. Die Voraussetzungen für diese Pflicht sind in Art. 37 Abs. 1 lit. c) DS-GVO beziehungsweise § 38 Abs. 1 BDSG geregelt.

Danach ist ein Datenschutzbeauftragter zu bestellen, wenn alternativ eine der folgenden Voraussetzungen erfüllt ist:

  • Der Arzt oder das MVZ beschäftigen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (§ 38 Abs. 1 Alt. 1 BDSG). Hierbei kommt es nicht darauf an, ob die Personen in Voll- oder Teilzeit beschäftigt sind oder, ob die Beschäftigung im Rahmen einer geringfügigen Beschäftigung erfolgt. Maßgeblich ist allein die tatsächliche Zahl der datenverarbeitenden Personen
  • Der Arzt nimmt eine Datenverarbeitung vor, die einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO unterliegt (§ 38 Abs. 1 Alt. 2 BDSG)
  • Die Kerntätigkeit des Arztes besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DS-GVO (Art. 37 Abs. 1 lit. c) DS-GVO). Gesundheitsdaten fallen unter diese Kategorie besonders schutzwürdiger Daten.

Dem Erwägungsgrund 91 zur DS-GVO ist die Einschränkung zu entnehmen, dass eine Datenverarbeitung nicht als umfangreich gelten soll, wenn sie durch einen einzelnen Arzt erfolgt. Auch wenn diese Einschränkung keine verbindliche Regelung, sondern lediglich eine Auslegungshilfe darstellt, wird sie in der datenschutzrechtlichen Praxis dahingehend verstanden, dass eine Pflicht zur Bestellung eines Datenschutz­beauftragten schon dann besteht, wenn zwei Ärzte in einer Praxis oder einem MVZ zusammen­arbeiten.

Der Datenschutzbeauftragte – was macht der?

Der Datenschutzbeauftragte, sei es ein eigener Mitarbeiter, sei es ein externer Dienstleister, unterstützt die Implementierung der datenschutzrechtlichen Bestimmungen, kontrolliert deren Einhaltung, weist Mitarbeiter in das Datenschutzrecht ein und vertritt den Arzt in datenschutzrechtlichen Belangen gegenüber dem Landes­datenschutzbeauftragten und Dritten.

Sonderkündigungsschutz für internen Datenschutzbeauftragten

In diesem Zusammenhang ist aus arbeitsrechtlicher Sicht anzumerken, dass der Bestellung eines externen Datenschutz­beauftragten nicht nur deshalb der Vorzug zu geben ist, weil er oft über weiterreichende datenschutzrechtliche Qualifikationen verfügt, sondern auch, weil ein angestellter, eigener Mitarbeiter mit der Bestellung zum Datenschutzbeauftragten Sonderkündigungsschutz genießt. Sowohl die Abberufung des angestellten, internen Mitarbeiters als Datenschutzbeauftragter als auch dessen Kündigung sind nur bei Vorliegen wichtiger Gründe möglich. Das Vertragsverhältnis mit einem externen Datenschutzbeauftragten ist in der Regel befristet, unterliegt nicht den strengen ­Regularien, die für interne Datenschutzbeauftragte gelten.

Fazit

Auch wenn in den Medien derzeit eine „Schreckensmeldung“ die andere ablöst, ist es für niedergelassene Ärzte und MVZ nicht zu spät, die Erfüllung der Voraussetzungen der DS-GVO und des BDSG anzugehen. Auch wenn die eigene Praxis nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, können Sie sich bei der Umsetzung der Datenschutzbestimmungen von einem Rechtsanwalt beraten lassen, der auf Datenschutzrecht spezialisiert ist.

Heiner Fey
Rechtsanwalt und zertifizierter Datenschutzbeauftragter (TÜV Rheinland)
dres.connect GmbH
Drosselweg 4,
53359 Rheinbach
Tel.: 02226/ 1574-13
Fax: 02226/ 1574-14
E-Mail: hfey@dres-connect.de
Internet: www.dres-connect.de