Checkliste für Niedergelassene zur Umsetzung der EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung (DS-GVO), die seit dem 25. Mai 2018 nach einer zweijährigen Übergangsfrist nun rechtsgültig geworden ist, spielt besonders in der Medizin eine zentrale Rolle, da Ärztinnen und Ärzte mit besonders sensiblen Daten in ihrer täglichen Arbeit umgehen. Die Verordnung erfordert damit Nachbesserungen in Ihrem Versorgungsalltag. Wir möchten Sie dabei unterstützen, die neuen Rechtsvorgaben in Ihrem Tätigkeitsbereich umzusetzen.

Grundsätzlich sollten Sie alle Verfahren, mit denen Sie personenbezogene Daten verarbeiten, auf inhaltliche, technische, organisatorische und rechtliche Aspekte prüfen und gegebenenfalls an die neuen Regeln anpassen.

Beim Thema Datenschutz beachten Sie sicherlich schon vieles in Ihrer Praxis; einige Bestimmungen werden daher für Sie nicht grundsätzlich neu sein.

Doch darauf sollten Sie künftig achten:

1. Datenschutz ist Chefsache

Als Praxisinhaber sind Sie für die Wahrung eines datenschutzgerechten Praxisbetriebs unmittelbar verantwortlich. Deshalb ist der Aufbau eigener Kompetenzen zur Wahrung dieser Verantwortlichkeit unumgänglich.

Benennen Sie einen Datenschutzbeauftragten

Gesetzlich gefordert ist die Benennung und Meldung eines Datenschutzbeauftragten (DSB) an die entsprechende Aufsichtsbehörde, wenn bei Ihnen in der Praxis mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG neu). Der Datenschutzbeauftragte kann ein externer Dienstleister sein oder ein eigener Mitarbeiter, der entsprechende persönliche und fachliche Qualifikationen aufweist oder erwirbt. Fachliche Qualifikationen des Datenschutzbeauftragten sollten durch regelmäßige Fortbildungen auf dem Gebiet des Datenschutzes und entsprechende finanzielle und zeitliche Ressourcen gewährleistet werden. Als Praxisinhaber und Verantwortlicher können Sie selber nicht der Datenschutzbeauftragte sein. Bei einer Mitarbeiterzahl unter zehn ist die Benennung eines DSB nicht erforderlich. Es sei denn, es liegt aus anderen Gründen eine gesetzlich vorgesehene Benennungspflicht vor. Unabhängig davon ist es allerdings empfehlenswert, einen internen Ansprechpartner für datenschutzrechtliche Fragen in der Praxis zu installieren.

Schaffen Sie eine funktionierende Datenschutzorganisation in Ihrer Arztpraxis

Sie sollten effektive Arbeitsprozesse zum Datenschutz in Ihrer Praxis etablieren. Hierzu zählen beispielsweise die Überprüfung aller elektronischen/ schriftlich in Karteien erfassten Verarbeitungsvorgänge von Patientendaten, die Anpassung der technisch- organisatorischen Maßnahmen zum Datenschutz (ITSicherheit, Verschlüsselungsverfahren, die regelmäßige Überprüfung und Wartung von IT- Sicherheitsmaßnahmen etc.) sowie die Erstellung von internen Datenschutzrichtlinien. Hierzu gehören regelmäßige Schulungen und Unterweisung von Mitarbeitern, die Festlegung von Verhaltensregeln im Umgang mit Patienten bei der Erhebung, Erfassung und Aufbewahrung von personenbezogenen Daten sowie die Festlegung von Zuständigkeiten und Zugriffsbeschränkungen.

2. Der Verantwortliche stellt eine Bestandsaufnahme zusammen (IST-Analyse)

Alle Verfahren, bei denen Sie in der Praxis personenbezogene Daten verarbeiten, müssen Sie auf einen möglichen Anpassungsbedarf an die Anforderungen der DS-GVO überprüfen. Deshalb empfiehlt es sich, zunächst die in einem Verfahrensverzeichnis nach bisherigem Recht aufgeführten Verfahren und deren Rechtsgrundlagen zu identifizieren. Auch sollten Sie Datenschutzkonzepte sowie alle technischen und organisatorischen Vorkehrungen, die Sie bislang bereits zum Schutz der Patienten- oder Mitarbeiterdaten ergriffen haben, dokumentieren. Sofern Sie bereits in der Vergangenheit mit externen Dienstleistern zusammengearbeitet haben und hierbei Patienten- oder Mitarbeiterdaten betroffen waren, sollten Sie auch dies in Ihre IST-Analyse aufnehmen. Alle Ergebnisse der ISTAnalyse sollten Sie zusammenführen und kurz dokumentie- ren.

3. Maßnahmen zur Umsetzung der Vorgaben der DS-GVO (SOLL-Analyse)

Aus der Analyse zwischen den datenschutzrechtlichen Vorgaben, die Sie bereits erfüllt haben, und den künftig hinzukommenden Anforderungen lässt sich nun der konkrete Handlungsbedarf praxisbezogen feststellen. Sie können ihn anhand der folgenden Checkliste abarbeiten:

Die Checkliste

A. Erstellen Sie ein Verzeichnis von Verarbeitungsvorgängen in Ihrer Praxis

Alle Praxen, Behörden und öffentliche Stellen müssen nach Art. 30 DS-GVO ein Verzeichnis von Verarbeitungstätigkeiten erstellen. Dabei ist für jede Gruppe von Datenverarbeitungsvorgängen ein entsprechendes Formular auszufüllen. Beispiele für Verarbeitungstätigkeiten sind die Untersuchung bzw. Diagnostik, die Behandlungsdokumentation oder die Abrechnung. Gegebenenfalls kann ein bereits bestehendes Verfahrensverzeichnis als Grundlage für das Verzeichnis nach Art. 30 DS-GVO dienen. Da sich das bisherige von dem künftigen Verzeichnis wesentlich unterscheidet, ist eine unmittelbare Übernahme nicht möglich. Muster von Verzeichnissen und Informationstexte zum Ausfüllen eines Verzeichnisses von Verarbeitungsvorgängen sind im Internet abrufbar.

B. Überprüfung der Rechtsgrundlagen

Für die Verarbeitung personenbezogener Daten brauchen Sie eine Legitimationsgrundlage. Die Befugnis der Datenverarbeitung kann sich aus gesetzlichen Regelungen oder der Einwilligung des Patienten ergeben. Bei jeder Verarbeitungstätigkeit, die im oben genannten Verzeichnis aufgeführt wurde, sollten Sie prüfen, ob eine Verarbeitungsbefugnis vorliegt und das Ergebnis dokumentieren. Sofern eine gesetzliche Befugnis vorliegt, brauchen Sie keine Einwilligung einholen. In diesem Fall können gleichwohl Informationspflichten bestehen.

Bei der Erhebung besonderer Kategorien personenbezogener Daten aus Gründen der Gesundheitsvorsorge, Behandlung und Diagnostik besteht eine gesetzliche Grundlage. Hier brauchen Sie in der Regel keine Einwilligungen zur Datenverarbeitung einholen.

Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten im Bereich Gesundheitsvorsorge, Diagnostik etc. ist Artikel 9 Absatz 2 lit. h) DS-GVO in Verbindung mit Art. 6 Abs. 1 lit. b DS-GVO, § 22 Absatz 1 Nr. 1 lit. b) Bundesdatenschutzgesetz; § 630f Bürgerliches Gesetzbuch. Weitere Beispiele für die rechtliche Grundlage sind zum Beispiel im SGB V, Transfusionsgesetz (§ 11 TFG) mit Vorschriften für die Datenverarbeitung und dem Infektionsschutzgesetz, das Datenübermittlungen zur Erfüllung bestimmter Meldepflichten vorsieht (§§ 9 ff. IfSG) enthalten.

C. Eventuell ist eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO nötig

Gibt es Verarbeitungsvorgänge in der Praxis, die ein hohes Risiko für Rechte und Freiheiten der Patienten bergen (beispielsweise der häufige Einsatz telemedizinischer Anwendungen oder eine begleitende regelmäßige Gutachter- oder Forschungstätigkeit)? Sofern dies der Fall ist, müssen Sie ggf. eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchführen.

D. Umsetzung der Betroffenenrechte

Die in Art. 12. ff. DS-GVO verankerten Informationspflichten gegenüber den betroffenen Personen bilden die Basis für die Ausübung der Betroffenenrechte. Nur wenn die betroffene Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie diese Rechte auch ausüben. Die DS-GVO hat diese Informationspflichten deutlich erweitert.

Die verantwortliche Stelle muss über die Zweckbestimmung, den Empfänger der Daten und die Rechtsgrundlage der Verarbeitung informieren. Zudem sind zukünftig die Kontaktdaten des internen Datenschutzbeauftragten anzugeben. Weiterhin sind Angaben zur Speicherdauer, ein Hinweis auf Betroffenenrechte, wie Auskunftsrecht, das Recht auf Berichtigung, Löschung und Datenübertragbarkeit sowie die Widerrufbarkeit der Einwilligung gefordert. Muster hierzu gibt es im Internet.

E. Dienstleistungsbeziehungen

Überprüfen Sie bestehende Dienstleistungsbeziehungen Ihrer Praxis mit externen Personen oder Stellen sowie eventuell bereits vorliegende Verträge zur Auftragsdatenverarbeitung mit den Anforderungen aus der DS-GVO (Art. 28 und 29). Bei Bedarf müssen Sie Verträge im Sinne der Auftragsdatenverarbeitung und, sofern vorhanden, Betriebsvereinbarungen und Dienstverträge, die Regelungen zum Umgang mit personenbezogenen Daten haben, überarbeiten und anpassen. Sie sollten die neuen datenschutzrechtlichen Vorschriften enthalten und die strafrechtlichen Bestimmungen zur ärztlichen Schweigepflicht/ Geheimhaltung.

F. Technisch-organisatorische Maßnahmen/Sicherheit der Verarbeitung

Die zum Schutz der Patienten- und Mitarbeiterdaten nach der DS-GVO gebotenen technischen und organisatorischen Maßnahmen müssen Sie feststellen. Hierzu gehören nicht nur die IT, sondern auch Fragen zur Praxisgestaltung, der Einsatz von Vordrucken und die Kommunikation mit externen Personen oder Stellen.

G. Dokumentations- und Meldepflichten

Datenpannen (zum Beispiel Hackerangriffe) und Datenschutzverstöße (zum Beispiel durch Mitarbeiter) müssen Sie der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden melden. In der internen Datenschutzrichtlinie sollte festgelegt werden, wer für diese Meldepflicht verantwortlich ist. Meldungen, bei denen es sich um Verstöße gegen die ärztliche Schweigepflicht handelt und bei denen sich der Verantwortliche selbst belastet, sind zwar zu melden, unterliegen aber einem prozessualen Verwertungsverbot.

Autor:

Dr. Antje E. Gohrbandt Ärztliche Referentin der Landesärztekammer Rheinland-Pfalz