Praxis & Recht

Mehr Bürokratie für Arztpraxen 

© Dean Mitchell / istock.com

Die EU-Datenschutzgrundverordnung ist auch ein Thema für Ärzte. Denn ganz klar, Patientendaten sind besonders sensible Daten. Jetzt gilt es, sich rechtzeitig auf die ab dem 25. Mai geltenden Vorschriften einzurichten. Bestehende Prozesse sollten überprüft, Schwachstellen behoben und Dokumentationen aktualisiert werden. 


Text: Eugenie Ankowitsch

Bisher regelte jeder Staat den Datenschutz durch nationale Gesetzgebungen. Das führte zu erheblichen Unterschieden in der Datenschutzgesetzgebung der einzelnen EU-Staaten. Um einheitliche und dem Internetzeitalter angemessene Datenschutzstandards einzuführen, wurde die EU-Datenschutzgrundverordnung verabschiedet, die ab 25. Mai 2018 gilt. Auch für Praxen niedergelassener Ärzte ergibt sich daraus eine ganze Reihe von Änderungen. 

Mit der fortschreitenden Digitalisierung und Vernetzung im Gesundheitswesen sind Ärzte und andere Gesundheitsdienstleister zunehmend gefordert, sich mit Fragen des Datenschutzes und der Datensicherheit zu befassen. Neue Gesetze, wie das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz, das zum Januar 2016 in Kraft getretene E-Health-Gesetz und aktuell die EU-Datenschutzgrundverordnung (EU-DSGVO), haben Auswirkungen auf den medizinischen Bereich. 

Die Verordnung löst die bislang geltende EU-Datenschutzrichtlinie aus dem Jahr 1995 ab, die noch aus den Anfangsjahren des Internets stammt. Damals existierten Konzerne wie Google oder Facebook noch gar nicht und auch Cloud Computing, Big Data und mobile Apps lagen außerhalb der Vorstellungskraft der meisten Menschen. Nun sollen EU-weit einheitliche Datenschutzstandards gelten, die den Anforderungen des digitalen Wandels Rechnung tragen und den Schutz des Bürgers, seiner Privatsphäre und seiner persönlichen Daten vor Missbrauch gewährleisten. 

„Ärzte sind auch heute schon verpflichtet, umfangreiche Datenschutzmaßnahmen zu ergreifen.“

Im Rahmen der EU-DSGVO werden einige Neuerungen auf die Arztpraxen zukommen. Denn ist man krank und in Behandlung, werden Daten an unterschiedlichsten Stellen erhoben, aufbewahrt, gespeichert und an Dritte übermittelt. Durch besondere Regelungen in Art. 9 der EU-DSGVO soll europaweit sichergestellt werden, dass nicht die falschen Personen oder Stellen an sensible Patientendaten gelangen.

Vor allem im Gesundheitsbereich habe man aber den Mitgliedstaaten erlaubt, eigene Regeln zu verabschieden, betont Rechtsanwalt Jan Mönikes von der Berliner Dependance der Sozietät Schalast & Partner. Er berät Ärzte, Unternehmen und Behörden in Fragen des Datenschutzes sowie dem Recht und der Regulierung des Internets. Von dieser Möglichkeit hat der deutsche Gesetzgeber tatsächlich mit § 22 der neuen Fassung des Datenschutzgesetzes (BDSG-neu) Gebrauch gemacht. Das BDSG-neu wird parallel zur europäischen Verordnung Ende Mai in Kraft treten. Dort wird präzisiert, was Gesundheitsdienstleister zukünftig als „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen“ haben.

Transparenz und Datenportabilität

In den neuen Vorschriften erhält unter anderem die Information des Patienten über die Nutzung seiner Daten mehr Bedeutung. Diese sollte beweisbar dokumentiert werden. Verbessert werden soll so die Transparenz für die Betroffenen. So müsse die Rechtsgrundlage für die Verarbeitung der Daten klar sein und angegeben werden, wie lange diese gespeichert werden, erläutert Mönikes. Zudem gebe es ganz neue Rechte und Pflichten zu beachten: etwa das Recht auf Vergessenwerden sowie weitgehende Auskunftsrechte, außerdem die Verpflichtung bei Datenpannen, innerhalb von 72 Stunden den Betroffenen und die Aufsichtsbehörde zu informieren. 

Auch das vorgesehene Recht auf Datenportierung betreffe nicht etwa nur Social-Media-Plattformen, sondern auch das Gesundheitswesen. „Spätestens wenn Patienten den Arzt wechseln wollen, kann es relevant werden“, meint der Datenschutzexperte. Das Recht des Einzelnen auf Datenübertragbarkeit kann aus seiner Sicht unter Umständen Einfluss darauf haben, welche technischen Systeme in der Praxis zu nutzen sind.

Auch wenn es sich kompliziert anhöre, sollten Praxisinhaber nicht in Panik verfallen, so Mönikes. Er rät Arztpraxen jedoch eindringlich, sich jetzt noch rechtzeitig auf das Gesetz vorzubereiten und nicht den Kopf in den Sand zu stecken in der Hoffnung, dass es schon nicht so schlimm werde. Die Ärzte, so der Datenschutzexperte, sollten umgehend die bestehenden Prozesse überprüfen, Schwachstellen zeitnah beseitigen und sicherstellen, dass es eine vorzeigbare aktuelle Dokumentation gibt. Bestehende Verfahrensverzeichnisse sollten auf Vollständigkeit kontrolliert und das IT-Sicherheitskonzept aktualisiert oder – falls noch nicht vorhanden – eines entwickelt werden.

IT-Sicherheitskonzept aktualisieren

Entsprechend des im § 22 BDSG-neu enthaltenen Pflichtenkataloges sind Patientendaten durch den Zugriff von Unbefugten zu schützen. Dies fange, so Mönikes, bei physischem Zugang an, beispielsweise bei abgeschlossenen Türen zu Server-Räumen und verschlossenen Aktenschränken. Des Weiteren muss festgelegt und dokumentiert werden, wer wann unter welchen Umständen auf welche EDV-Daten zugreifen darf. 

Eine übliche Maßnahme ist laut Mönikes die Vergabe von Benutzernamen und wechselnden Kennwörtern. Durch Verschlüsselung und Einrichtung von Zugriffsberechtigungen kann der Praxisinhaber sicherstellen, dass die Datenverarbeitungssysteme nur von autorisierten Mitarbeitern genutzt werden. Bei Verlassen des Rechners sollte innerhalb kürzester Zeit der Bildschirmschoner mit Passwortschutz aktiv werden. 

Es muss außerdem nachträglich, beispielsweise durch Protokollierung, festgestellt werden können, ob und von wem personenbezogene Daten in die EDV eingegeben, verändert oder entfernt wurden. Aufsichtsbehörden könnten jederzeit eine Prüfung der Datenschutzkonzepte und -verfahren durchführen, so Mönikes. Zwar seien die Untersuchungsbefugnisse der Aufsichtsbehörden durch den deutschen Gesetzgeber begrenzt worden, um das Patientengeheimnis gegenüber Behörden besser zu schützen, jedoch bedeute das keinen Freibrief für die Ärzte, warnt der Datenschutzexperte.

Kritisch sieht der Jurist den bürokratischen Aufwand, der aus umfangreichen Dokumentations- und Auskunftspflichten resultiert. „Ärzte sind auch heute schon verpflichtet, umfangreiche Datenschutzmaßnahmen zu ergreifen“, erläutert Mönikes. „Künftig reicht es allerdings nicht, einfach zu behaupten, man habe ein Konzept und befolge es auch.“ Auf Anfrage müssten sowohl das Verfahrensverzeichnis als auch ein auf dem aktuellen Stand befindliches „Handbuch“, in dem die Konzepte, ergriffenen Maßnahmen und mitgeltenden Unterlagen dokumentiert wurden, vorgelegt werden können.

Viele Ärzte werden, so die Vermutung des Datenschutzexperten, dabei auf die Dienstleistungen externer Softwareanbieter angewiesen sein. „Sie können Ärzten helfen, den benötigten Nachweis zu erbringen, dass die Datenverarbeitung den Anforderungen des Datenschutzes entspricht“, so Mönikes. Das kann geschehen, indem die Anbieter ihre Prozesse einem Audit oder einer Zertifizierung unterziehen. Klare Regelungen für solche Zertifikate würden jedoch noch ausstehen, sodass der Arzt bis dahin selbst gefordert bleibt. 

Wenn eine Arztpraxis mithilfe von EDV personenbezogene Daten verarbeitet, braucht sie ab der zehnten Person, die Zugang zum Computer hat, einen Datenschutzbeauftragten.

AV-Verträge prüfen und anpassen

Ermöglicht ein Arzt Mitarbeitern oder Dienstleistern Einsicht in personenbezogene Daten der Arztpraxis, hat er das Patientengeheimnis zu gewährleisten. Gegenüber externen Dienstleistern hat er durch entsprechende Verträge zudem die Verantwortlichkeit für die Einhaltung des Datenschutzes sicherzustellen, betont der Jurist. Zwar entsprächen die Anforderungen der Europäischen Datenschutzgrundverordnung weitestgehend dem jetzigen deutschen Recht, jedoch gebe es Abweichungen, die zu beachten seien. 

Neben begrifflichen Änderungen würden die Anforderungen an die geeigneten technischen und organisatorischen Maßnahmen erhöht sowie die Ansprüche an die Unterstützung des Auftraggebers durch den Auftragnehmer geändert und spezifiziert. Bei der Auftragsdatenverarbeitung müssten Auftraggeber und -nehmer künftig gleichermaßen Sorgfaltspflichten beachten.

Auch beim Thema Vertraulichkeit sei eine eindeutige Vertragsgestaltung nötig. „Sofern der Anbieter nicht selber dem Berufsgeheimnis unterliegt, muss der Praxisinhaber diesen vertraglich ausdrücklich dazu verpflichten, sich daran zu halten“, so Mönikes. „Tut er das nicht, kann der Arzt allein deswegen wegen Verletzung des Berufsgeheimnisses bestraft werden.“ 

Der Datenschutzexperte weist außerdem darauf hin, dass die Regelungen nicht nur für zukünftige Vertragsabschlüsse, sondern ebenso für alle schon vorhandenen und noch laufenden Verträge gelten. Deshalb sollten Arztpraxen jetzt auch die Verträge, die sie mit ihren Dienstleistern abgeschlossen haben, auf ihre Konformität mit den Anforderungen des neuen Rechts überprüfen und falls erforderlich anpassen. Denn Ärzte fungierten als Verantwortliche und müssten sich daher im Klaren sein, dass sie bei Nicht-Einhaltung der datenschutzrechtlichen Standards selbst haftbar gemacht werden können. 

Und das kann teuer werden. Sind unter dem derzeit geltenden Bundesdatenschutzgesetz Bußgelder von bis zu 300.000 Euro möglich, sieht die europäische Datenschutzverordnung Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens vor. Zudem steht den Aufsichtsbehörden laut Mönikes eine ganze Reihe von weiteren Sanktionsmöglichkeiten zur Verfügung, die faktisch zur Einstellung des Praxisbetriebes führen könnten.

Auch bei weniger als zehn Mitarbeitern kann es notwendig sein, einen Datenschutzbeauftragten einzusetzen.  © demaerre / istock.com

Datenschutzbeauftragter notwendig?

Ein weiteres wichtiges Thema für Arztpraxen ist die Benennung eines Datenschutzbeauftragten. Praxisinhaber sollten prüfen, ob sie demnächst verpflichtet sind, einen solchen zu benennen, auch wenn es bisher nicht der Fall war. Grundsätzlich gilt auch nach dem 25. Mai: Wenn eine Arztpraxis mithilfe von EDV personenbezogene Daten verarbeitet, braucht sie ab der zehnten Person, die Zugang zum Computer hat, einen Datenschutzbeauftragten. Hinzugezählt werden auch Teilzeitkräfte. 

Nach der neuen Verordnung muss ein Datenschutzbeauftragter aber auch bei weniger Mitarbeitern benannt werden, sobald eine Datenverarbeitung vorliegt, die eine sog. „Datenschutz-Folgeabschätzung“ nötig machen würde. Bei welchem Typ von Arztpraxis das der Fall sein könnte, sei allerdings noch nicht klar. Doch auch kleine Arztpraxen ohne eine Pflicht zur Benennung eines Datenschutzbeauftragten müssten die für sie nach der EU-DSGVO bestehenden Pflichten erfüllen, betont Mönikes.

Der Datenschutzbeauftragte kann sowohl ein Mitarbeiter der Arztpraxis als auch ein externer Beauftragter sein. Der Praxisinhaber selbst scheidet dagegen regelmäßig aus. Die EU-DSGVO bestimmt ansonsten lediglich, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit zur Erfüllung der Aufgaben benannt wird.

Soweit der Arzt bestimmte Prozesse gemeinsam mit einem Dienstleister verantworte, beispielsweise die Rechnungsstellung durch eine privatärztliche Verrechnungsstelle erfolge, könne der Datenschutz für diese Verfahren auch durch den Datenschutzbeauftragten der jeweiligen PVS für den Arzt mit erledigt werden, betont Mönikes. Das Konzept des „Joint Control“ könne den Ärzten hier eine spürbare Entlastung bringen.

Gesundheitswesen leicht skandalisierbar

Zwar sei anzunehmen, dass die Ärzteschaft nicht ganz oben auf der Prioritätenliste der Datenschutzbehörden steht. Zudem seien die Aufsichtsbehörden bei ihrer Nachkontrolle gegenüber Ärzten beschränkt worden. Doch das Gesundheitswesen sei ein leicht skandalisierbarer Bereich mit einer hohen persönlichen Betroffenheit vieler Menschen, gibt Mönikes zu bedenken. Auch unberechtigte Vorwürfe oder kleinere Vergehen könnten unter Umständen hohe Aufmerksamkeit bekommen, warnt der Experte. 

Ein weiteres seiner Auffassung nach denkbares Szenario ist, dass die lokalen Datenschutzbehörden ihre „neu gewonnene Befugnis“ dazu nutzen könnten, einige Fragestellungen eher an denjenigen auszutesten, die vor Ort erreichbar sind, als an Facebook & Co. „Die Riesen sind nur schwer zu greifen, auch weil sie große Rechtsabteilungen unterhalten, die schnell verdeutlichen können, wo die rechtlichen Grenzen sind.“ 

Ohnehin habe die europäische Datenschutzgrundverordnung in erster Linie internationale Konzerne wie Facebook oder Google in den Blick nehmen wollen, sodass viele der recht hohen und bürokratischen Anforderungen sich an den Möglichkeiten dieser großen Unternehmen orientierten. „Ein Arzt muss zwar nicht alles davon erfüllen“, sagt Mönikes. „Dennoch dürfte er selbst weder Kapazitäten noch das Know-how haben, alle Vorschriften immer angemessen umzusetzen.“ Deshalb sei es aus seiner Sicht nun noch sinnvoller als in der Vergangenheit, bestimmte Bereiche der Datenverarbeitung durch passende vertragliche Vereinbarungen auszulagern und fortan von seriösen Partnern erledigen zu lassen.

Wir verwenden auf dieser Seite Cookies. Wenn Sie auf OK klicken oder weiter diese Seite nutzen, sind Sie mit der Nutzung von Cookies einverstanden. Mehr Informationen und Möglichkeit zur Deaktivierung.