Schattenblick → INFOPOOL → MEDIZIN → GESUNDHEITSWESEN


ARTIKEL/1471: Die Europäische Datenschutzgrundverordnung (SH Ärzteblatt)


Schleswig-Holsteinisches Ärzteblatt 3/2018

Datenschutz
Die Europäische Datenschutzgrundverordnung (DSGVO)

von Carsten Heppner


Neues für den Datenschutz in der Arztpraxis: In wenigen Wochen tritt die Verordnung in Kraft - viele Arztpraxen werden betroffen sein. Ein erster Überblick aus der Rechtsabteilung.


Noch in diesem Jahr, am 25. Mai 2018 werden die DSGVO und das entsprechend überarbeitete Bundesdatenschutzgesetz (BDSG) in Kraft treten. Diese bringen Änderungen mit sich, auf die sich auch Arztpraxen einzustellen haben. Nachfolgende Ausführungen sollen erste Informationen geben und gleichzeitig für die anstehenden Aufgaben sensibilisieren. Insofern beschränken sich die nachfolgenden Ausführungen auf wichtige Kernthemen.


Benennung eines Datenschutzbeauftragten (DSB)

Es stellt sich die Frage neu, ob eine Arztpraxis einen DSB zu benennen hat. Spätestens ab dem 25.05.2018 kommt es auf die konkreten Umstände des Einzelfalls an.

Nach Artikel 37 Abs. 1 DSGVO ist bei drei Fallkonstellationen auf jeden Fall ein Datenschutzbeauftragter zu benennen:

1. Die Arztpraxis ist Teil einer öffentlichen Stelle oder einer Behörde.

2. Die Kerntätigkeit der Arztpraxis besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen (Patienten) erforderlich machen.

3. Die Kerntätigkeit der Arztpraxis besteht in der umfangreichen Verarbeitung besonders sensibler Daten gemäß Artikel 9 DSGVO (darunter fallen auch Gesundheitsdaten).

Im Regelfall trifft eine Arztpraxis die Pflicht zur Benennung eines DSB, wenn die unter 2. oder 3. genannten Voraussetzungen erfüllt sind.[1]

Hierbei kommt den Begriffen "Kerntätigkeit", "umfangreiche Verarbeitung" und "regelmäßige und systematische Überwachung" besondere Bedeutung zu. Diese Begriffe sind auslegungsbedürftig. Unter "Kerntätigkeit" soll die Haupttätigkeit eines Unternehmens zu verstehen sein, nicht aber die Verarbeitung personenbezogener Daten als Nebentätigkeit. Soweit könnte schon fraglich sein, ob zur Kerntätigkeit einer Arztpraxis neben der eigentlichen Behandlung von Patienten auch die zu Dokumentationszwecken erfolgende Speicherung von Patientendaten zu zählen ist. Aus Sicht der Landesdatenschutzbehörden sollen zur Kerntätigkeit aber auch alle Vorgänge gehören, "die einen festen Bestandteil der Haupttätigkeit darstellen. Hierzu gehören nicht die das Kerngeschäft unterstützenden Tätigkeiten wie z. B. die Verarbeitung der Beschäftigtendaten der eigenen Mitarbeiter."[2]

Vor diesem Hintergrund kann nicht ausgeschlossen werden, dass die Datenverarbeitung von Gesundheitsdaten in der Arztpraxis zur eigentlichen Kerntätigkeit hinzugerechnet wird.

Hiervon ausgehend kommt es bei der dritten Fallkonstellation weiter darauf an, ob in der Arztpraxis eine "umfangreiche" Verarbeitung von Gesundheitsdaten erfolgt. Als Auslegungshilfe zum Begriff des Umfangs wird, soweit ersichtlich, der Erwägungsgrund Nr. 91 der DSGVO herangezogen. Verschiedene Faktoren wie die Menge der verarbeiteten personenbezogenen Daten oder auch die Zahl der Patienten können dazu herangezogen werden. Allerdings sagen die Erwägungsgründe auch, wann eine "umfangreiche" Verarbeitung nicht vorliegen soll. Dies soll dann der Fall sein, wenn die Verarbeitung von Patientendaten durch einen einzelnen Arzt erfolgt.

Wir halten also an dieser Stelle fest: In der Einzelpraxis wird es i. d. R. keine Pflicht zur Benennung eines DSB geben. In einer Arztpraxis mit mehreren Berufsträgern demgegenüber aller Voraussicht nach schon. Zumindest dann, wenn man die Datenverarbeitung als festen Bestandteil der Haupttätigkeit versteht.

Darüber hinaus ergibt sich eine Pflicht zur Benennung eines DSB aus dem neu gefassten Bundesdatenschutzgesetz (BDSG-neu).

Nach § 38 Abs. 1 BDSG-neu ist von dem Praxisinhaber dann ein DSB zu benennen, soweit

1. dort in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder

2. in der Arztpraxis Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen.

Wie bisher schon entsteht die Pflicht zur Benennung eines DSB ab einer bestimmten Anzahl entsprechender Mitarbeiter. Eine Arztpraxis mit weniger als zehn Mitarbeitern hat gleichwohl einen DSB zu benennen, wenn dort Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen.


Datenschutz-Folgenabschätzung (DSFA)

Hierbei handelt es sich um ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Birgt die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten, muss der Verantwortliche (Praxisinhaber) bereits vorab eine Einschätzung der Folgen für den Schutz personenbezogener Daten durchführen. Dies ist insbesondere der Fall bei neuen Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung (Art. 35 Abs. 1 DSGVO). Die DSGVO nennt in Art. 35 Abs. 3 zudem bestimmte Fallgruppen, bei denen eine Folgenabschätzung stets durchzuführen ist. Neben der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche (hier könnte an den videoüberwachten Empfangsbereich einer Arztpraxis gedacht werden) erscheint für Arztpraxen insbesondere der Fall der "umfangreichen" Verarbeitung von Gesundheitsdaten von Relevanz. Zur Bestimmung des Umfangs gelten die oben getätigten Ausführungen. Seitens des Unabhängigen Landeszentrums für Datenschutz (ULD) wird in bestimmten Fällen auch bei einer Einzelpraxis eine DSFA anscheinend dann als erforderlich angesehen, wenn die jeweilige Patientenzahl erheblich über die Patientenzahl einer durchschnittlichen Einzelpraxis hinaus geht.[3] Allerdings bleibt noch ungeklärt, woran sich der übliche Datenumfang einer Einzelpraxis bemessen lässt bzw. wann dieser konkret überschritten sein soll. Es könnte danach anzunehmen sein, dass auch eine Gemeinschaftspraxis keine DSFA durchführen muss, wenn die Patientenzahl und/oder der Umfang gespeicherter personenbezogener Daten hinter der einer durchschnittlichen Einzelpraxis zurückbleiben.

Der Umfang der Verarbeitung von Gesundheitsdaten stellt aber nur ein mögliches Kriterium dar, aus dem sich "hohe Risiken" für die Rechte und Freiheiten der Patienten ergeben können. Diese können sich auch aus anderen Momenten wie zum Beispiel der Verarbeitung genetischer Daten ergeben.

Mit Interesse bleibt daher abzuwarten, wie sich die Datenschutzaufsichtsbehörde zum Begriff des Risikos stellen und diesen näher konkretisieren wird.


Zusammengefasst sei an dieser Stelle festgehalten:

Aller Voraussicht nach werden Einzelpraxen von der Benennung eines DSB im Regelfall absehen dürfen, soweit jedenfalls nicht mehr als zehn Mitarbeiter mit der Datenverarbeitung beschäftigt sind und der Umfang der Datenverarbeitung die Grenzen des üblichen Datenvolumens einer Einzelpraxis nicht übersteigt. Bei Gemeinschaftspraxen dürfte im Regelfall der Umfang der gemeinsam durch alle Berufsangehörigen erfolgenden Datenverarbeitung für die Bestellung eines DSB sprechen.

Nicht nur in Zweifelsfällen ist auch wegen noch bestehender Unklarheiten zum aktuellen Zeitpunkt zu empfehlen, sich ggf. an das ULD als zuständige Datenschutzbehörde zu wenden, um sich der eigenen Datenschutzkonformität zu vergewissern.

Es geht aber noch weiter. Die DSGVO sieht umfangreiche Informationspflichten[4] für den Praxisinhaber vor und ergänzt diese um ein Auskunftsrecht[5] der Patienten.

Bei den Informationspflichten wird zwischen der sogenannten "Direkterhebung" bei dem Patienten und der "Dritterhebung" beispielsweise bei einem ärztlichen Kollegen oder Familienangehörigen unterschieden. In beiden Fällen sind dem Patienten bestimmte Informationen[6] mitzuteilen bzw. zur Verfügung zu stellen, allerdings zu unterschiedlichen Zeitpunkten. Bei der Direkterhebung ist der Patient zum Zeitpunkt der Erhebung, im anderen Fall innerhalb einer angemessenen Frist[7] zu informieren. Die Informationspflicht entfällt, wenn und soweit der Patient bereits über die Informationen verfügt.

Für weitere Informationen werden derzeit die Hinweise und Empfehlungen der Bundesärztekammer zur ärztlichen Schweigepflicht, zum Datenschutz und zur Datenverarbeitung in der Arztpraxis überarbeitet. Zeitgleich befindet sich eine "Checkliste Datenschutz 2018: Was müssen Arztpraxen angesichts der neuen Vorschriften zum Datenschutz zu tun?" in Erarbeitung. Beide Unterlagen werden, sobald wir von der Fertigstellung Kenntnis erhalten haben, auf unserer Homepage abrufbar sein. Zudem finden sich auf der Internetseite des Unabhängigen Landeszentrums für Datenschutz zahlreiche Kurzpapiere der sogenannten Datenschutzkonferenz der Landesdatenschützer (DSK) zu einzelnen Bereichen, die durch die DSGVO betroffen sind. Diese finden Sie unter www.datenschutzzentrum.de, dort unter der Rubrik Themen, eingeordnet als "Datenschutz-Grundverordnung".


Anmerkungen

[1] Üblicherweise werden Arztpraxen als privatrechtliche Einrichtungen betrieben, sodass die Nr. 1 regelhaft nicht zum Tragen kommt.

[2] Siehe Kurzpapier Nr. 12 Datenschutzkonferenz

[3] Siehe Kurzpapier Nr. 12 DSK

[4] Artikel 13,14 DSGVO; hierzu näher Kurzpapier Nr. 10 DSK

[5] Artikel 15 DSGVO

[6] Aus Platzgründen wird auf die Auflistung der mitzuteilenden Informationen an dieser Stelle verzichtet; ein Katalog dieser Informationen ist jeweils in den Artikeln 13 und 14 DSGVO enthalten.

[7] Längstens innerhalb eines Monats; zu den weiteren Einzelheiten siehe Artikel 14 Abs. 3 DSGVO.


INFO

Auf der Internetseite des Unabhängigen Landeszentrums für Datenschutz (ULD) finden sich zahlreiche Kurzpapiere der Datenschutzkonferenz der Landesdatenschützer (DSK) zu einzelnen Bereichen, die durch die DSGVO betroffen sind. Diese finden Sie unter www.datenschutzzentrum.de, dort unter der Rubrik Themen, eingeordnet als "Datenschutz-Grundverordnung".

Gesamtausgabe des Schleswig-Holsteinischen Ärzteblatts 3/2018 im Internet unter:
http://www.aeksh.de/shae/2018/201803/h18034a.htm

Zur jeweils aktuellen Ausgabe des Schleswig-Holsteinischen Ärzteblatts:
www.aerzteblatt-sh.de

*

Quelle:
Schleswig-Holsteinisches Ärzteblatt
70. Jahrgang, März 2018, Seite 28 - 29
Herausgegeben von der Ärztekammer Schleswig-Holstein
mit den Mitteilungen der Kassenärztlichen Vereinigung
Schleswig-Holstein
Redaktion: Dirk Schnack (Ltg.)
Bismarckallee 8-12, 23795 Bad Segeberg
Telefon: 04551/803-272, -273, -274,
E-Mail: aerzteblatt@aeksh.de
www.aeksh.de
www.arztfindex.de
www.aerzteblatt-sh.de
 
Das Schleswig-Holsteinische Ärzteblatt erscheint 12-mal im Jahr.


veröffentlicht im Schattenblick zum 13. April 2018

Zur Tagesausgabe / Zum Seitenanfang