Die Revolution der Digitalisierung ist nicht mehr aufzuhalten. Die digitale Vernetzung entwickelt sich nicht nur in der Industrie 4.0. Auch in kleinen und mittelständischen Unternehmen sind Sie durch die Vernetzung Ihrer Geräte, das Internet der Dinge, mit dem Thema konfrontiert. Besonders in Arztpraxen treffen wir auf vernetzte Verwaltungsstrukturen und die manuelle Patientenakte ist 2018 fast gänzlich verschwunden. Bereits im Jahr 2016 befasste sich das Ärzteblatt mit dem Thema der Digitalisierung im Gesundheitswesen. Der Artikel warnte aber auch vor den neuen Risiken:
„Diese hohe Verfügbarkeit der Patientendaten bringt einen immensen Mehrwert und ist vor allem die Grundlage für effiziente Behandlungsentscheidungen in der unmittelbaren medizinischen Versorgung von Patienten. Allerdings birgt das gleichzeitig auch ein hohes Risiko in puncto Datenschutz und stellt hohe Anforderungen an das Berechtigungskonzept.“[1]
Als Konsequenz aus der weltweiten digitalen Vernetzung und den Skandalen um die massenhafte Weitergabe oder auch den Verlust von Nutzer- oder Patientendaten hat sich die Europäische Union dazu entschieden, eine europäische Datenschutz-Grundverordnung zum Schutz der Daten des Einzelnen zu erlassen. Ziel der Verordnung ist eine einheitliche Regelung des Datenschutzes, der Datensicherheit und eine Stärkung der Rechte jedes einzelnen Dateninhabers. Die Rechte des Einzelnen auf Information, auf Auskunft über die Datenübermittlung als auch das Recht auf Korrektur falscher Daten bis hin zum Recht auf Vergessen legen jedem Unternehmen neue Verpflichtungen auf.
Auch Inhaber von Praxen müssen sich mit den neuen Verpflichtungen genau auseinandersetzen. Die Sanktionen bei einem Datenrechtsverstoß sollen abschrecken und wurden daher drastisch erhöht. Die Geldbußen liegen je nach Schwere des Verstoßes gemäß § 83 DSGVO bei Unternehmen zwischen 2 Prozent und 4 Prozent des gesamten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs oder zwischen 10 und 20 Millionen Euro, je nachdem welcher der Beträge höher ist. Darüber hinaus sind Schadensersatzforderungen von Betroffenen und Schmerzensgeld denkbar.
Was bedeutet die DSGVO für Sie als Arzt?
Als erster Schritt steht fest, dass Sie nicht bei null anfangen. Datenschutz war auch schon vor dem 25.5.2018 durch das alte Bundesdatenschutzgesetz in Deutschland gut verankert. Gerade im Gesundheitswesen war das Bewusstsein über die sensiblen Daten allgegenwärtig. Nachfolgend daher eine kurze Übersicht einiger Erneuerungen, die Sie prüfen sollten: Neu ist unter anderem, dass der Verantwortliche (zum Beispiel der Inhaber einer Arztpraxis) eine Rechenschaftspflicht über die Einhaltung der DSGVO-Vorschriften hat. Der Verantwortliche muss prüfen, welche Verarbeitungsprozesse in seiner Praxis erfolgen. Der Begriff der Verarbeitung nach Artikel 4 Absatz 2 DSGVO beinhaltet „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten“. Es ist daher sinnvoll, ein Datenschutzkonzept und Datenschutzmanagement zum Nachweis der folgenden Grundsätze zu erstellen:
Sie müssen Ihre Strukturen der bestehenden Verarbeitungsvorgänge unter Berücksichtigung der DSGVO prüfen (erfolgt meine Datenverarbeitung rechtmäßig nach Artikel 6 DSGVO zum Beispiel durch Einwilligung oder zur Vertragserfüllung etc.?).
- Neu ist unter anderem, dass die Einwilligung zur Erhebung der Gesundheitsdaten ein Widerspruchsrecht beinhalten muss. Patienten müssen erkennen können, dass sie die Einwilligung jederzeit widerrufen können. Zum Zweck der späteren Nachweisbarkeit empfiehlt es sich, die Einwilligung vom Patienten unterschreiben zu lassen.
- Der Patient muss zum Zeitpunkt der Datenerhebung über sein Informationsrecht aus Artikel 13 DSGVO informiert werden, eine Unterschrift von jedem Patienten ist in diesem Fall nicht zwingend erforderlich. Die Kassenärztliche Vereinigung schlägt zum Beispiel einen gut lesbaren Aushang in den Arztpraxen vor.[2]
- Sollten Sie Schweigepflichtentbindungserklärungen verwenden, müssen diese mit einem Widerrufsrecht entsprechend der Einwilligung zur Datenspeicherung angepasst werden.
- Die Anpassung der Internetseite gemäß der DSGVO ist vielfältig, insbesondere besteht die Verpflichtung zur Information über verwendete Cookies oder ein Statistik-Tool. Bei einer fehlenden Information zum Beispiel über die Verwendung von Cookies begehen Sie eventuell einen Datenschutzverstoß.
- Im Anschluss muss (durch die Verarbeitung von Gesundheitsdaten) immer ein Verzeichnis aller Datenverarbeitungsvorgänge gemäß § 30 DSGVO erstellt werden. In diesem Verzeichnis müssen alle Ihre Verarbeitungsprozesse personenbezogener Daten aufgeführt sein. Die Ärztekammer Nordrhein stellt ein „Verfahrensverzeichnis für jedermann“ zur Verfügung.
- Eine weitere neue Pflicht besteht für alle Praxen in Artikel 37 DSGVO mit zehn oder mehr Beschäftigten in der Benennung eines qualifizierten internen oder auch externen Datenschutzbeauftragten. Bei allen Praxen, Einzel- oder Gemeinschaftspraxis, kann keine pauschale Aussage getroffen werden. Im Zweifel sollten Sie sich an Ihren zuständigen Landesdatenschutzbeauftragten zur Klärung Ihrer Pflicht wenden (Beispiel: Landesdatenschutzbeauftragter für Niedersachsen).
- Zu guter Letzt müssen Sie Ihre vertraglichen Verhältnisse zu Dritten prüfen, zum Beispiel zu Laboren. Sie senden Patientenbefunde zur Prüfung ins Labor und übermitteln Daten Ihrer Patienten. Wegen dieser Datenübermittlung sind Sie verpflichtet, zu prüfen und dieses auch schriftlich zu fixieren, dass Ihr Vertragspartner die Daten auch gemäß der DSGVO behandelt.
Fazit
Hiermit ist nur ein kurzer Überblick über die neuen Verpflichtungen nach der DSGVO gegeben, der keine Vollständigkeit aller individuellen Verpflichtungen beinhalten kann. Des Weiteren sollten Sie sich bewusst machen, dass die Verpflichtungen aus der DSGVO nicht nur gegenüber den Patienten gelten, sondern auch zugunsten der Mitarbeiter. Die eingehende Beschäftigung mit diesem Thema ist daher anzuraten. Informationen sind bei der jeweils zuständigen Ärztekammer zu finden. Diese stellt zahlreiche Entwürfe, wie zum Beispiel Musterhinweise zur Einwilligung der Datenspeicherung zur Verfügung.
Welcher Schadenfall könnte sich aus einem DSGVO-Verstoß für Sie ergeben? – ein Beispiel aus der Praxis
Sie haben Ihre Homepage nicht mit einem Hinweis auf die Verwendung von Cookies zum 25.5.2018 aktualisiert. Ein interessierter neuer Patient besucht nach dem 25.05.2018 zur Information über Ihre Praxis Ihre Homepage und stellt fest, dass er durch Sie nicht über die Verwendung von Cookies unterrichtet wird. Im Anschluss meldet er sich bei Ihnen, um sich einen Termin geben zu lassen. Leider ist der neue Patient über die Dauer bis zum ersten Termin enttäuscht.
Über dieses für ihn negative Erlebnis berichtet er im Bekanntenkreis. Einer seiner Bekannten kann vorbringen, dass der fehlende Hinweis doch einen Datenschutzverstoß darstelle und er ein Recht auf Schadensersatz und Schmerzensgeld habe. Kurze Zeit später meldet sich bei Ihnen der Rechtsanwalt des neuen Patienten mit einer Schadensersatzforderung, einer Schmerzensgeldforderung und Forderung seiner Anwaltskosten bei Ihnen.
Was können Sie machen?
Die Forderung sollte bei der Haftpflichtversicherung gemeldet werden. Soweit ein ensprechender Versicherungsvertrag abgeschlossen ist, wird geprüft, ob die Ansprüche berechtigt sind. Unberechtigte Ansprüche können dann abgewehrt werden.
Quellen:
- https://www.aerzteblatt.de/archiv/182630/Digitalisierung-Sicherer-Schutz-von-Patientendaten
- http://www.kbv.de/html/datensicherheit.php
Quelle: Ass. jur. Britta Kruse, HDI Versicherung AG, Hannover