Auskunftsrecht und Portabilität

Neu in der EU-DSGVO sind die Fristen geregelt, in denen Betroffene (Patienten) Auskunft über sie gespeicherten Informationen Auskunft verlangen kann. Geschieht dies, ist der Verarbeiter (Arzt) verpflichtet, innerhalb von 4 Wochen sämtliche gespeicherten Daten (also auch Behandlungsprotokolle, Röntgenbilder, Abrechnungsunterlegen etc.) dem Betroffenen gegenüber offen zu legen. Dabei müssen diese Daten so übergeben werden (Portabilität), dass sie leicht in Systeme eines anderen Dienstleisters (Arzt) übertragen lassen, also in elektronischer Form. Eine der größten Herausforderungen für Praxen wird also darin bestehen, die eigenen Datenstrukturen zu sichten, um zuverlässig und zügig Auskunft geben zu können.

Neben den klar definierten Rechten von Betroffenen auf Auskunft über die Speicherung und Verarbeitung und das Recht auf Löschung bzw. Berichtigung der gespeicherten Daten, sind leider andere Vorgaben der neuen Verordnung weniger präzise. So ist es nach bisherigem Stand nicht einmal eindeutig, unter welchen Bedingungen eine Arzt-Praxis einen Datenschutzbeauftragten benötigt.

Notwendigkeit eines Datenschutzbeauftragten

Die DSGVO sieht zwingend die Bestellung eines Datenschutzbeauftragten vor, wenn die Kerntätigkeit in der umfangreichen Verarbeitung von Daten besonderer Kategorien besteht. Zweifellos besteht eine wichtige Tätigkeit des Arztes in der Verarbeitung von Gesundheitsdaten der Patienten (Daten besonderer Kategorien), allerdings ist dies wohl nicht die Kerntätigkeit (Ausnahmen sind denkbar, z.B. bei medizinischen Studien).

Bleibt zu klären, ab wann die Verarbeitung als "umfangreich" zu gelten hat. Der einzige Hinweis zur Bewertung des Umfangs der Verarbeitung findet sich in Erwägungsgrund 91, nämlich: "Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt".

Zwar wird die Datenverarbeitung für einen einzelnen Arzt hier explizit als "nicht umfangreich" gewertet, im Umkehrschluss bedeutet die aber auch, dass in Praxen mit mehreren Ärzten ein Datenschutzbeauftragter wohl erforderlich ist. Unabhängig von der Anzahl der Ärzte in einer Praxis gilt natürlich auch die Vorgabe nach BDSGneu, wonach Unternehmen, bei denen mehr als 20 Mitarbeiter persönlicher Daten verarbeiten, immer einen Datenschutzbeauftragten benötigen.

Technisch organisatorische Maßnahmen (TOM)

Aufgrund der Schutzanforderungen für die Daten besonderer Kategorien wird ein Höchstmaß an Sicherungen gegen Datenverlust durch geeignete technisch Maßnahmen (Zutritts- und Zugangskontrolle; Verschlüsselung, etc.)  und organisatorische Maßnahmen (Arbeitsanweisungen, 4-Augen Prinzip; Stichprobenkontrollen etc.) erwartet.