Datenschutz für Ärzte
Am 28.05.2018 endet die 2-jährige Übergangsregelung für die EU-DSGVO. Damit werden die Vorgaben aus dieser Verordnung für alle Behörden und Unternehmen in Europa verbindlich. Gerade die Vertreter der medizinischen Berufe sind davon besonders betroffen, weil die von Ärzten erhobenen und verarbeiteten Daten(sog. Daten besonderer Kategorien) einen besonders hohes Schutzbedürfnis haben.
Weil wir wissen, wie schwierig die rechtssichere Umsetzung dieser Vorgaben ist, bieten wir für Ärzte und Gemeinschaftspraxen unser Know-How im Rahmen der Bestellung zum Externen Datenschutzbeauftragten zu attraktiven Preisen an.
Anforderungen für Ärzte und Praxen aus der Datenschutz-Verordnung
Auskunftsrecht und Portabilität
Neu in der EU-DSGVO sind die Fristen geregelt, in denen Betroffene (Patienten) Auskunft über alle über sie gespeicherten Informationen Auskunft verlangen kann. Geschieht dies, ist der Verarbeiter (Arzt) verpflichtet, innerhalb von 4 Wochen sämtliche gespeicherten Daten (also auch Behandlungsprotokolle, Röntgenbilder, Abrechnungsunterlegen etc.) dem Betroffenen gegenüber offen zu legen. Dabei müssen diese Daten so übergeben werden (Portabilität), dass sie leicht in Systeme eines anderen Dienstleisters (Arzt) übertragen lassen, also in elektronischer Form. Eine der größten Herausforderungen für Praxen wird also darin bestehen, die eigenen Datenstrukturen zu sichten, um zuverlässig und zügig Auskunft geben zu können.
Neben den klar definierten Rechten von Privatpersonen auf Auskunft über die Speicherung und Verarbeitung bzw. das Recht auf vollständigen Löschung der gespeicherten Daten, sind leider andere Vorgaben der neuen Verordnung weniger präzise. So ist es nach bisherigem Stand nicht einmal eindeutig, unter welchen Bedingungen eine Arzt-Praxis einen Datenschutzbeauftragten benötigt.
Notwendigkeit eines Datenschutzbeauftragten
Die DSGVO sieht zwingend die Bestellung eines Datenschutzbeauftragten vor, wenn die Kerntätigkeit in der umfangreichen Verarbeitung von Daten besonderer Kategorien besteht. Zweifellos besteht eine wichtige Tätigkeit des Arztes in der Verarbeitung von Gesundheitsdaten der Patienten (Daten besonderer Kategorien), allerdings ist dies wohl nicht die Kerntätigkeit (Ausnahmen sind denkbar, z.B. bei medizinischen Studien).
Bleibt zu klären, ab wann die Verarbeitung als "umfangreich" zu gelten hat. Der einzige Hinweis zur Bewertung des Umfangs der Verarbeitung findet sich in Erwägungsgrund 91, nämlich: "Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt".
Zwar wird die Datenverarbeitung für einen einzelnen Arzt hier explizit als "nicht umfangreich" gewertet, im Umkehrschluss bedeutet die aber auch, dass in Praxen mit mehreren Ärzten ein Datenschutzbeauftragter wohl erforderlich ist. Unabhängig von der Anzahl der Ärzte in einer Praxis gilt natürlich auch die Vorgabe nach BDSG, wonach Unternehmen, bei denen mehr als 9 Mitarbeiter persönlicher Daten verarbeiten, immer einen Datenschutzbeauftragten benötigen.
Technisch organisatorische Maßnahmen (TOM)
Aufgrund der Schutzanforderungen für die Daten besonderer Kategorien wird ein Höchstmaß an Sicherungen gegen Datenverlust durch geeignete technisch Maßnahmen (Zutritts- und Zugangskontrolle; Verschlüsselung, Protokollierung etc.) und organisatorische Maßnahmen (Arbeitsanweisungen, 4-Augen Prinzip; Stichprobenkontrollen etc.) erwartet. Es wird eine besondere Herausforderung werden, diese in den täglichen Praxis-Alltag zu integrieren.
