HDI.de Google Plus HDI.de Facebook HDI.de LinkedIn HDI.de Twitter pdf Vektor-Smartobjekt1 Vektor-Smartobjekt Vektor-Smartobjekt
HDI Medletter Aug 2018 DSGVO
HDI Medletter Aug 2018 DSGVO
{{storeVisualHeaderText()}}

HDI Medletter August 2018: DSGVO – der Wert der Daten im Zeitalter der Digitalisierung

Die Revolution der Digitalisierung ist nicht mehr aufzuhalten. Die digitale Vernetzung entwickelt sich nicht nur in der Industrie 4.0. Auch in kleinen und mittelständischen Unternehmen sind Sie durch die Vernetzung Ihrer Geräte, das Internet der Dinge, mit dem Thema konfrontiert. Besonders in Arztpraxen treffen wir auf vernetzte Verwaltungsstrukturen und die manuelle Patientenakte ist 2018 fast gänzlich verschwunden.

Bereits im Jahr 2016 befasste sich das Ärzteblatt mit dem Thema der Digitalisierung im Gesundheitswesen. Der Artikel warnte aber auch vor den neuen Risiken:

„Diese hohe Verfügbarkeit der Patientendaten bringt einen immensen Mehrwert und ist vor allem die Grundlage für effiziente Behandlungsentscheidungen in der unmittelbaren medizinischen Versorgung von Patienten. Allerdings birgt das gleichzeitig auch ein hohes Risiko in puncto Datenschutz und stellt hohe Anforderungen an das Berechtigungskonzept.“

(Quelle: https://www.aerzteblatt.de/archiv/182630/Digitalisierung-Sicherer-Schutz-von-Patientendaten)

Als Konsequenz aus der weltweiten digitalen Vernetzung und den Skandalen um die massenhafte Weitergabe oder auch den Verlust von Nutzer- oder Patientendaten hat sich die Europäische Union dazu entschieden, eine europäische Datenschutz-Grundverordnung zum Schutz der Daten des Einzelnen zu erlassen.

Ziel der Verordnung ist eine einheitliche Regelung des Datenschutzes, der Datensicherheit und eine Stärkung der Rechte jedes einzelnen Dateninhabers. Die Rechte des Einzelnen auf Information, auf Auskunft über die Datenübermittlung als auch das Recht auf Korrektur falscher Daten bis hin zum Recht auf Vergessen legen jedem Unternehmen neue Verpflichtungen auf.

Als Unternehmen müssen Sie sich mit den neuen Verpflichtungen genau auseinandersetzen. Die Sanktionen bei einem Datenrechtsverstoß sollen abschrecken und wurden daher drastisch erhöht. Die Geldbußen liegen je nach Schwere des Verstoßes gemäß § 83 DSGVO bei Unternehmen zwischen 2 und 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs oder zwischen 10 und 20 Millionen Euro, je nachdem welcher der Beträge höher ist. Darüber hinaus sind Schadenersatzforderungen von Betroffenen und Schmerzensgeld denkbar.


Was bedeutet die DSGVO für Sie als Ärzte?

Als erster Schritt steht fest, dass Sie nicht bei null anfangen. Datenschutz war auch schon vor dem 25.05.2018 durch das alte Bundesdatenschutzgesetz in Deutschland gut verankert. Gerade im Gesundheitswesen war das Bewusstsein über die sensiblen Daten allgegenwärtig. Nachfolgend daher eine kurze Übersicht einiger Erneuerungen, die Sie prüfen sollten:

Neu ist unter anderem, dass der Verantwortliche (z. B. der Inhaber einer Arztpraxis) eine Rechenschaftspflicht über die Einhaltung der DSGVO-Vorschriften hat. Der Verantwortliche muss prüfen, welche Verarbeitungsprozesse in seiner Praxis erfolgen. Der Begriff der Verarbeitung nach Art. 4 Abs. 2 DSGVO beinhaltet „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten“. Es ist daher sinnvoll, ein Datenschutzkonzept und Datenschutzmanagement zum Nachweis der folgenden Grundsätze zu erstellen:

Sie müssen Ihre Strukturen der bestehenden Verarbeitungsvorgänge unter Berücksichtigung der DSGVO prüfen (erfolgt meine Datenverarbeitung rechtmäßig nach Art. 6 DSGVO z. B. durch Einwilligung oder zur Vertragserfüllung etc.?).

Neu ist unter anderem, dass die Einwilligung zur Erhebung der Gesundheitsdaten ein Widerspruchsrecht beinhalten muss. Ihre Patienten müssen erkennen können, dass sie die Einwilligung jederzeit widerrufen können. Zum Zweck der späteren Nachweisbarkeit empfiehlt es sich, die Einwilligung vom Patienten unterschreiben zu lassen.

Der Patient muss zum Zeitpunkt der Datenerhebung über sein Informationsrecht aus Art. 13 DSGVO informiert werden, eine Unterschrift von jedem Patienten ist in diesem Fall nicht zwingend erforderlich. Die Kassenärztliche Vereinigung schlägt zum Beispiel einen gut lesbaren Aushang in den Arztpraxen vor.

(Quelle: http://www.kbv.de/html/datensicherheit.php)

Sollten Sie Schweigepflichtentbindungserklärungen verwenden, müssen diese mit einem Widerrufsrecht entsprechend der Einwilligung zur Datenspeicherung angepasst werden.

Die Anpassung Ihrer Internetseite gemäß der DSGVO ist vielfältig, insbesondere weisen wir auf Ihre Verpflichtung zur Information über verwendete Cookies oder ein Statistik-Tool hin. Bei einer fehlenden Information z. B. über die Verwendung von Cookies begehen Sie eventuell einen Datenschutzverstoß.

Im Anschluss muss (durch die Verarbeitung von Gesundheitsdaten) immer ein Verzeichnis aller Ihrer Datenverarbeitungsvorgänge gemäß § 30 DSGVO erstellt werden. In diesem Verzeichnis müssen alle Ihre Verarbeitungsprozesse personenbezogener Daten aufgeführt sein. Die Ärztekammer Nordrhein stellt ein „Verfahrensverzeichnis für jedermann“ unter dem nachfolgenden Link zur Verfügung: https://www.aekno.de/downloads/aekno/dguv-verfahrensverzeichnis.pdf.

Eine weitere neue Pflicht besteht für alle Praxen in Art. 37 DSGVO mit zehn oder mehr Beschäftigten in der Benennung eines qualifizierten internen oder auch externen Datenschutzbeauftragten. Bei allen Praxen, Einzel- oder Gemeinschaftspraxis kann keine pauschale Aussage getroffen werden. Im Zweifel sollten Sie sich an Ihren zuständigen Landesdatenschutzbeauftragten zur Klärung Ihrer Pflicht wenden (Landesdatenschutzbeauftragen für Niedersachsen: http://www.lfd.niedersachsen.de/startseite/).

Zu guter Letzt müssen Sie Ihre vertraglichen Verhältnisse zu Dritten prüfen, z. B. zu Laboren. Sie senden Patientenbefunde zur Prüfung ins Labor und übermitteln Daten Ihrer Kunden. Wegen dieser Datenübermittlung sind Sie verpflichtet, zu prüfen und dieses auch schriftlich zu fixieren, dass Ihr Vertragspartner die Daten auch gemäß der DSGVO behandelt.

Neben den bereits erwähnten Änderungen haben Ihre Patienten noch weitere zusätzliche Rechte. Das Auskunftsersuchen kennen Sie bereits vom alten BDSG. Neu ist, dass Ihre Patienten jetzt zusätzlich ein Recht auf Datenportabilität (mögliche Datenübermittlung an den Patienten) haben. Des Weiteren besteht ein Recht auf Vergessen (Löschung der Daten). Sie müssen für Ihre Patientendaten ein System des Sperrens und Löschens implementieren. Das Recht auf Vergessen Ihrer Patienten kann eventuell im Spannungsverhältnis zu den gesetzlichen Aufbewahrungspflichten stehen. Für eine individuelle Prüfung Ihrer Pflichten sollten Sie sich im Zweifel bei Ihrer Ärztekammer informieren. Weitere Informationen finden Sie zum Beispiel auf der Internetseite der Ärztekammer Nordrhein: https://www.aekno.de/downloads/aekno/Infoblatt-Recht-auf-Loeschung-Stand-15.05.18.pdf.

Sollte es trotz alledem zu einer Verletzung einer Ihrer Pflichten aus dem DSGVO kommen, so müssen Sie binnen 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde abgeben. Weitere Informationen zur Meldung von Datenschutzverstößen erhalten Sie auf der Internetseite „Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit“ unter https://www.bfdi.bund.de/DE/Service/Datenschutzerklaerung/datenschutzerklaerung-node.html.


Fazit

Wir können Ihnen nur einen kurzen Überblick über die neuen Verpflichtungen nach der DSGVO geben, die keine Vollständigkeit aller Ihrer individuellen Verpflichtungen beinhalten kann. Des Weiteren sollten Sie sich bewusst machen, dass die Verpflichtungen aus der DSGVO nicht nur gegenüber Ihren Patienten gelten, sondern auch zugunsten Ihrer Mitarbeiter. Daher raten wir Ihnen, sich über dieses Thema gut zu informieren. Informationen finden Sie auch bei Ihrer zuständigen Ärztekammer. Diese stellt Ihnen u. a. zahlreiche Entwürfe − z. B. Musterhinweise zur Einwilligung der Datenspeicherung – zur Verfügung.


Schadenfall

Welcher Schadenfall könnte sich aus einem DSGVO-Verstoß für Sie ergeben?

Sie haben Ihre Homepage nicht mit einem Hinweis auf die Verwendung von Cookies zum 25.05.2018 aktualisiert.

Ein interessierter neuer Patient besucht nach dem 25.05.2018 zur Information über Ihre Praxis Ihre Homepage und stellt fest, dass er durch Sie nicht über die Verwendung von Cookies unterrichtet wird. Im Anschluss meldet er sich bei Ihnen, um sich einen Termin geben zu lassen. Leider ist der neue Patient über die Dauer bis zum ersten Termin enttäuscht. Über dieses für ihn negative Erlebnis berichtet er im Bekanntenkreis. Einer seiner Bekannten kann vorbringen, dass der fehlende Hinweis doch einen Datenschutzverstoß darstelle und er ein Recht auf Schadenersatz und Schmerzensgeld habe. Kurze Zeit später meldet sich bei Ihnen der Rechtsanwalt des neuen Patienten mit einer Schadenersatzforderung, einer Schmerzensgeldforderung und Forderung seiner Anwaltskosten bei Ihnen. Was können Sie machen?

Sie melden diese Forderung Ihrer Haftpflichtversicherung. Soweit Sie einen entsprechenden Versicherungsvertrag abgeschlossen haben, prüfen wir, ob die Ansprüche berechtigt sind. Oder wehren etwaige unberechtigte Ansprüche gegen Sie ab, denn wir lassen Sie auch beim Thema Datenschutz nicht allein.

Autorin: Ass. jur. Britta Kruse, HDI Versicherung AG, Hannover


Downloads