Mit der DSGVO gehen neue Verpflichtungen für den Umgang mit Patientendaten einher.
Mit der gehen neue Ver­pflich­tun­gen für den Umgang mit Pati­en­ten­da­ten ein­her.© Mor­gan­ka | Dreamstime.com [Dream­sti­me RF]

Die Revo­lu­ti­on der Digi­ta­li­sie­rung ist nicht mehr auf­zu­hal­ten. Die digi­ta­le Ver­net­zung ent­wi­ckelt sich nicht nur in der Indus­trie 4.0. Auch in klei­nen und mit­tel­stän­di­schen Unter­neh­men sind Sie durch die Ver­net­zung Ihrer Gerä­te, das Inter­net der Din­ge, mit dem The­ma kon­fron­tiert. Beson­ders in Arzt­pra­xen tref­fen wir auf ver­netz­te Ver­wal­tungs­struk­tu­ren und die manu­el­le Pati­en­ten­ak­te ist 2018 fast gänz­lich ver­schwun­den. Bereits im Jahr 2016 befass­te sich das Ärz­te­blatt mit dem The­ma der Digi­ta­li­sie­rung im Gesund­heits­we­sen. Der Arti­kel warn­te aber auch vor den neu­en Risi­ken:

„Die­se hohe Ver­füg­bar­keit der Pati­en­ten­da­ten bringt einen immensen Mehr­wert und ist vor allem die Grund­la­ge für effi­zi­en­te Behand­lungs­ent­schei­dun­gen in der unmit­tel­ba­ren medi­zi­ni­schen Ver­sor­gung von Pati­en­ten. Aller­dings birgt das gleich­zei­tig auch ein hohes Risi­ko in punc­to Daten­schutz und stellt hohe Anfor­de­run­gen an das Berech­ti­gungs­kon­zept.“[1]

Als Kon­se­quenz aus der welt­wei­ten digi­ta­len Ver­net­zung und den Skan­da­len um die mas­sen­haf­te Wei­ter­ga­be oder auch den Ver­lust von Nut­zer- oder Pati­en­ten­da­ten hat sich die Euro­päi­sche Uni­on dazu ent­schie­den, eine euro­päi­sche Daten­schutz-Grund­ver­ord­nung zum Schutz der Daten des Ein­zel­nen zu erlas­sen. Ziel der Ver­ord­nung ist eine ein­heit­li­che Rege­lung des Daten­schut­zes, der Daten­si­cher­heit und eine Stär­kung der Rech­te jedes ein­zel­nen Daten­in­ha­bers. Die Rech­te des Ein­zel­nen auf Infor­ma­ti­on, auf Aus­kunft über die Daten­über­mitt­lung als auch das Recht auf Kor­rek­tur fal­scher Daten bis hin zum Recht auf Ver­ges­sen legen jedem Unter­neh­men neue Ver­pflich­tun­gen auf.

Auch Inha­ber von Pra­xen müs­sen sich mit den neu­en Ver­pflich­tun­gen genau aus­ein­an­der­set­zen. Die Sank­tio­nen bei einem Daten­rechts­ver­stoß sol­len abschre­cken und wur­den daher dras­tisch erhöht. Die Geld­bu­ßen lie­gen je nach Schwe­re des Ver­sto­ßes gemäß § 83 bei Unter­neh­men zwi­schen 2 und 4 Pro­zent des gesam­ten erziel­ten Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Geschäfts­jahrs oder zwi­schen 10 und 20 Mil­lio­nen Euro, je nach­dem wel­cher der Beträ­ge höher ist. Dar­über hin­aus sind Scha­den­er­satz­for­de­run­gen von Betrof­fe­nen und Schmer­zens­geld denk­bar.

Was bedeutet die DSGVO für Sie als Arzt?

Als ers­ter Schritt steht fest, dass Sie nicht bei null anfan­gen. Daten­schutz war auch schon vor dem 25.05.2018 durch das alte Bun­des­da­ten­schutz­ge­setz in Deutsch­land gut ver­an­kert. Gera­de im Gesund­heits­we­sen war das Bewusst­sein über die sen­si­blen Daten all­ge­gen­wär­tig. Nach­fol­gend daher eine kur­ze Über­sicht eini­ger Erneue­run­gen, die Sie prü­fen soll­ten: Neu ist unter ande­rem, dass der Ver­ant­wort­li­che (z. B. der Inha­ber einer Arzt­pra­xis) eine Rechen­schafts­pflicht über die Ein­hal­tung der DSGVO-Vor­schrif­ten hat. Der Ver­ant­wort­li­che muss prü­fen, wel­che Ver­ar­bei­tungs­pro­zes­se in sei­ner Pra­xis erfol­gen. Der Begriff der Ver­ar­bei­tung nach Art. 4 Abs. 2 DSGVO beinhal­tet „das Erhe­ben, das Erfas­sen, die Orga­ni­sa­ti­on, das Ord­nen, die Spei­che­rung, die Anpas­sung oder Ver­än­de­rung, das Aus­le­sen, das Abfra­gen, die Ver­wen­dung, die Offen­le­gung durch Über­mitt­lung, Ver­brei­tung oder eine ande­re Form der Bereit­stel­lung, den Abgleich oder die Ver­knüp­fung, die Ein­schrän­kung, das Löschen oder die Ver­nich­tung von Daten“. Es ist daher sinn­voll, ein Daten­schutz­kon­zept und Daten­schutz­ma­nage­ment zum Nach­weis der fol­gen­den Grund­sät­ze zu erstel­len:

Sie müs­sen Ihre Struk­tu­ren der bestehen­den Ver­ar­bei­tungs­vor­gän­ge unter Berück­sich­ti­gung der DSGVO prü­fen (erfolgt mei­ne Daten­ver­ar­bei­tung recht­mä­ßig nach Art. 6 DSGVO z. B. durch Ein­wil­li­gung oder zur Ver­trags­er­fül­lung etc.?).

  • Neu ist unter ande­rem, dass die Ein­wil­li­gung zur Erhe­bung der Gesund­heits­da­ten ein Wider­spruchs­recht beinhal­ten muss. Pati­en­ten müs­sen erken­nen kön­nen, dass sie die Ein­wil­li­gung jeder­zeit wider­ru­fen kön­nen. Zum Zweck der spä­te­ren Nach­weis­bar­keit emp­fiehlt es sich, die Ein­wil­li­gung vom Pati­en­ten unter­schrei­ben zu las­sen.
  • Der Pati­ent muss zum Zeit­punkt der Daten­er­he­bung über sein Infor­ma­ti­ons­recht aus Art. 13 DSGVO infor­miert wer­den, eine Unter­schrift von jedem Pati­en­ten ist in die­sem Fall nicht zwin­gend erfor­der­lich. Die Kas­sen­ärzt­li­che Ver­ei­ni­gung schlägt zum Bei­spiel einen gut les­ba­ren Aus­hang in den Arzt­pra­xen vor.[2]
  • Soll­ten Sie Schwei­ge­pflich­t­ent­bin­dungs­er­klä­run­gen ver­wen­den, müs­sen die­se mit einem Wider­rufs­recht ent­spre­chend der Ein­wil­li­gung zur Daten­spei­che­rung ange­passt wer­den.
  • Die Anpas­sung der Inter­net­sei­te gemäß der DSGVO ist viel­fäl­tig, ins­be­son­de­re besteht die Ver­pflich­tung zur Infor­ma­ti­on über ver­wen­de­te Coo­kies oder ein Sta­tis­tik-Tool. Bei einer feh­len­den Infor­ma­ti­on z. B. über die Ver­wen­dung von Coo­kies bege­hen Sie even­tu­ell einen Daten­schutz­ver­stoß.
  • Im Anschluss muss (durch die Ver­ar­bei­tung von Gesund­heits­da­ten) immer ein Ver­zeich­nis aller Daten­ver­ar­bei­tungs­vor­gän­ge gemäß § 30 DSGVO erstellt wer­den. In die­sem Ver­zeich­nis müs­sen alle Ihre Ver­ar­bei­tungs­pro­zes­se per­so­nen­be­zo­ge­ner Daten auf­ge­führt sein. Die Ärz­te­kam­mer Nord­rhein stellt ein „Ver­fah­rens­ver­zeich­nis für jeder­mann“ unter die­sem Link zur Ver­fü­gung.
  • Eine wei­te­re neue Pflicht besteht für alle Pra­xen in Art. 37 DSGVO mit zehn oder mehr Beschäf­tig­ten in der Benen­nung eines qua­li­fi­zier­ten inter­nen oder auch exter­nen Daten­schutz­be­auf­trag­ten. Bei allen Pra­xen, Ein­zel- oder Gemein­schafts­pra­xis, kann kei­ne pau­scha­le Aus­sa­ge getrof­fen wer­den. Im Zwei­fel soll­ten Sie sich an Ihren zustän­di­gen Lan­des­da­ten­schutz­be­auf­trag­ten zur Klä­rung Ihrer Pflicht wen­den (Bei­spiel: Lan­des­da­ten­schutz­be­auf­trag­ter für Nie­der­sach­sen).
  • Zu guter Letzt müs­sen Sie Ihre ver­trag­li­chen Ver­hält­nis­se zu Drit­ten prü­fen, z. B. zu Labo­ren. Sie sen­den Pati­en­ten­be­fun­de zur Prü­fung ins Labor und über­mit­teln Daten Ihrer Pati­en­ten. Wegen die­ser Daten­über­mitt­lung sind Sie ver­pflich­tet, zu prü­fen und die­ses auch schrift­lich zu fixie­ren, dass Ihr Ver­trags­part­ner die Daten auch gemäß der DSGVO behan­delt.

Fazit

Hier­mit ist nur ein kur­zer Über­blick über die neu­en Ver­pflich­tun­gen nach der DSGVO gege­ben, der kei­ne Voll­stän­dig­keit aller indi­vi­du­el­len Ver­pflich­tun­gen beinhal­ten kann. Des Wei­te­ren soll­ten Sie sich bewusst machen, dass die Ver­pflich­tun­gen aus der DSGVO nicht nur gegen­über den Pati­en­ten gel­ten, son­dern auch zuguns­ten der Mit­ar­bei­ter. Die ein­ge­hen­de Beschäf­ti­gung mit die­sem The­ma ist daher anzu­ra­ten. Infor­ma­tio­nen sind bei der jeweils zustän­di­gen Ärz­te­kam­mer zu fin­den. Die­se stellt zahl­rei­che Ent­wür­fe, wie zum Bei­spiel Mus­ter­hin­wei­se zur Ein­wil­li­gung der Daten­spei­che­rung zur Ver­fü­gung.

Welcher Schadenfall könnte sich aus einem DSGVO-Verstoß für Sie ergeben? – ein Beispiel aus der Praxis

Sie haben Ihre Home­page nicht mit einem Hin­weis auf die Ver­wen­dung von Coo­kies zum 25.05.2018 aktua­li­siert. Ein inter­es­sier­ter neu­er Pati­ent besucht nach dem 25.05.2018 zur Infor­ma­ti­on über Ihre Pra­xis Ihre Home­page und stellt fest, dass er durch Sie nicht über die Ver­wen­dung von Coo­kies unter­rich­tet wird. Im Anschluss mel­det er sich bei Ihnen, um sich einen Ter­min geben zu las­sen. Lei­der ist der neue Pati­ent über die Dau­er bis zum ers­ten Ter­min ent­täuscht.

Über die­ses für ihn nega­ti­ve Erleb­nis berich­tet er im Bekann­ten­kreis. Einer sei­ner Bekann­ten kann vor­brin­gen, dass der feh­len­de Hin­weis doch einen Daten­schutz­ver­stoß dar­stel­le und er ein Recht auf Scha­den­er­satz und Schmer­zens­geld habe. Kur­ze Zeit spä­ter mel­det sich bei Ihnen der Rechts­an­walt des neu­en Pati­en­ten mit einer Scha­den­er­satz­for­de­rung, einer Schmer­zens­geld­for­de­rung und For­de­rung sei­ner Anwalts­kos­ten bei Ihnen.

Was können Sie machen?

Die For­de­rung soll­te bei der Haft­pflicht­ver­si­che­rung gemel­det wer­den. Soweit ein enspre­chen­der Ver­si­che­rungs­ver­trag abge­schlos­sen ist, wird geprüft, ob die Ansprü­che berech­tigt sind. Unbe­rech­tig­te Ansprü­che kön­nen dann abge­wehrt wer­den.

[1] https://www.aerzteblatt.de/archiv/182630/Digitalisierung-Sicherer-Schutz-von-Patientendaten

[1] http://www.kbv.de/html/datensicherheit.php