Mit der DSGVO gehen neue Verpflichtungen für den Umgang mit Patientendaten einher.
Mit der DSGVO gehen neue Verpflich­tun­gen für den Umgang mit Patien­ten­da­ten einher.Bild: © Morganka | Dreamstime.com

Die Revolu­tion der Digita­li­sie­rung ist nicht mehr aufzu­hal­ten. Die digitale Vernet­zung entwi­ckelt sich nicht nur in der Indus­trie 4.0. Auch in kleinen und mittel­stän­di­schen Unter­neh­men sind Sie durch die Vernet­zung Ihrer Geräte, das Inter­net der Dinge, mit dem Thema konfron­tiert. Beson­ders in Arztpra­xen treffen wir auf vernetzte Verwal­tungs­struk­tu­ren und die manuelle Patien­ten­akte ist 2018 fast gänzlich verschwun­den. Bereits im Jahr 2016 befasste sich das Ärzte­blatt mit dem Thema der Digita­li­sie­rung im Gesund­heits­we­sen. Der Artikel warnte aber auch vor den neuen Risiken:

„Diese hohe Verfüg­bar­keit der Patien­ten­da­ten bringt einen immensen Mehrwert und ist vor allem die Grund­lage für effizi­ente Behand­lungs­ent­schei­dun­gen in der unmit­tel­ba­ren medizi­ni­schen Versor­gung von Patien­ten. Aller­dings birgt das gleich­zei­tig auch ein hohes Risiko in puncto Daten­schutz und stellt hohe Anfor­de­run­gen an das Berech­ti­gungs­kon­zept.“[1]

Als Konse­quenz aus der weltwei­ten digita­len Vernet­zung und den Skanda­len um die massen­hafte Weiter­gabe oder auch den Verlust von Nutzer- oder Patien­ten­da­ten hat sich die Europäi­sche Union dazu entschie­den, eine europäi­sche Daten­schutz-Grund­ver­ord­nung zum Schutz der Daten des Einzel­nen zu erlas­sen. Ziel der Verord­nung ist eine einheit­li­che Regelung des Daten­schut­zes, der Daten­si­cher­heit und eine Stärkung der Rechte jedes einzel­nen Daten­in­ha­bers. Die Rechte des Einzel­nen auf Infor­ma­tion, auf Auskunft über die Daten­über­mitt­lung als auch das Recht auf Korrek­tur falscher Daten bis hin zum Recht auf Verges­sen legen jedem Unter­neh­men neue Verpflich­tun­gen auf.

Auch Inhaber von Praxen müssen sich mit den neuen Verpflich­tun­gen genau ausein­an­der­set­zen. Die Sanktio­nen bei einem Daten­rechts­ver­stoß sollen abschre­cken und wurden daher drastisch erhöht. Die Geldbu­ßen liegen je nach Schwere des Versto­ßes gemäß § 83 DSGVO bei Unter­neh­men zwischen 2 Prozent und 4 Prozent des gesam­ten erziel­ten Jahres­um­sat­zes des voran­ge­gan­ge­nen Geschäfts­jahrs oder zwischen 10 und 20 Millio­nen Euro, je nachdem welcher der Beträge höher ist. Darüber hinaus sind Schaden­er­satz­for­de­run­gen von Betrof­fe­nen und Schmer­zens­geld denkbar.

Was bedeu­tet die DSGVO für Sie als Arzt?

Als erster Schritt steht fest, dass Sie nicht bei null anfan­gen. Daten­schutz war auch schon vor dem 25.5.2018 durch das alte Bundes­da­ten­schutz­ge­setz in Deutsch­land gut veran­kert. Gerade im Gesund­heits­we­sen war das Bewusst­sein über die sensi­blen Daten allge­gen­wär­tig. Nachfol­gend daher eine kurze Übersicht einiger Erneue­run­gen, die Sie prüfen sollten: Neu ist unter anderem, dass der Verant­wort­li­che (zum Beispiel der Inhaber einer Arztpra­xis) eine Rechen­schafts­pflicht über die Einhal­tung der DSGVO-Vorschrif­ten hat. Der Verant­wort­li­che muss prüfen, welche Verar­bei­tungs­pro­zesse in seiner Praxis erfol­gen. Der Begriff der Verar­bei­tung nach Artikel 4 Absatz 2 DSGVO beinhal­tet „das Erheben, das Erfas­sen, die Organi­sa­tion, das Ordnen, die Speiche­rung, die Anpas­sung oder Verän­de­rung, das Ausle­sen, das Abfra­gen, die Verwen­dung, die Offen­le­gung durch Übermitt­lung, Verbrei­tung oder eine andere Form der Bereit­stel­lung, den Abgleich oder die Verknüp­fung, die Einschrän­kung, das Löschen oder die Vernich­tung von Daten“. Es ist daher sinnvoll, ein Daten­schutz­kon­zept und Daten­schutz­ma­nage­ment zum Nachweis der folgen­den Grund­sätze zu erstellen:

Sie müssen Ihre Struk­tu­ren der bestehen­den Verar­bei­tungs­vor­gänge unter Berück­sich­ti­gung der DSGVO prüfen (erfolgt meine Daten­ver­ar­bei­tung recht­mä­ßig nach Artikel 6 DSGVO zum Beispiel durch Einwil­li­gung oder zur Vertrags­er­fül­lung etc.?).

  • Neu ist unter anderem, dass die Einwil­li­gung zur Erhebung der Gesund­heits­da­ten ein Wider­spruchs­recht beinhal­ten muss. Patien­ten müssen erken­nen können, dass sie die Einwil­li­gung jeder­zeit wider­ru­fen können. Zum Zweck der späte­ren Nachweis­bar­keit empfiehlt es sich, die Einwil­li­gung vom Patien­ten unter­schrei­ben zu lassen.
  • Der Patient muss zum Zeitpunkt der Daten­er­he­bung über sein Infor­ma­ti­ons­recht aus Artikel 13 DSGVO infor­miert werden, eine Unter­schrift von jedem Patien­ten ist in diesem Fall nicht zwingend erfor­der­lich. Die Kassen­ärzt­li­che Verei­ni­gung schlägt zum Beispiel einen gut lesba­ren Aushang in den Arztpra­xen vor.[2]
  • Sollten Sie Schwei­ge­pflich­t­ent­bin­dungs­er­klä­run­gen verwen­den, müssen diese mit einem Wider­rufs­recht entspre­chend der Einwil­li­gung zur Daten­spei­che­rung angepasst werden.
  • Die Anpas­sung der Inter­net­seite gemäß der DSGVO ist vielfäl­tig, insbe­son­dere besteht die Verpflich­tung zur Infor­ma­tion über verwen­dete Cookies oder ein Statis­tik-Tool. Bei einer fehlen­den Infor­ma­tion zum Beispiel über die Verwen­dung von Cookies begehen Sie eventu­ell einen Datenschutzverstoß.
  • Im Anschluss muss (durch die Verar­bei­tung von Gesund­heits­da­ten) immer ein Verzeich­nis aller Daten­ver­ar­bei­tungs­vor­gänge gemäß § 30 DSGVO erstellt werden. In diesem Verzeich­nis müssen alle Ihre Verar­bei­tungs­pro­zesse perso­nen­be­zo­ge­ner Daten aufge­führt sein. Die Ärzte­kam­mer Nordrhein stellt ein „Verfah­rens­ver­zeich­nis für jeder­mann“ unter diesem Link zur Verfügung.
  • Eine weitere neue Pflicht besteht für alle Praxen in Artikel 37 DSGVO mit zehn oder mehr Beschäf­tig­ten in der Benen­nung eines quali­fi­zier­ten inter­nen oder auch exter­nen Daten­schutz­be­auf­trag­ten. Bei allen Praxen, Einzel- oder Gemein­schafts­pra­xis, kann keine pauschale Aussage getrof­fen werden. Im Zweifel sollten Sie sich an Ihren zustän­di­gen Landes­da­ten­schutz­be­auf­trag­ten zur Klärung Ihrer Pflicht wenden (Beispiel: Landes­da­ten­schutz­be­auf­trag­ter für Nieder­sach­sen).
  • Zu guter Letzt müssen Sie Ihre vertrag­li­chen Verhält­nisse zu Dritten prüfen, zum Beispiel zu Laboren. Sie senden Patien­ten­be­funde zur Prüfung ins Labor und übermit­teln Daten Ihrer Patien­ten. Wegen dieser Daten­über­mitt­lung sind Sie verpflich­tet, zu prüfen und dieses auch schrift­lich zu fixie­ren, dass Ihr Vertrags­part­ner die Daten auch gemäß der DSGVO behandelt.

Fazit

Hiermit ist nur ein kurzer Überblick über die neuen Verpflich­tun­gen nach der DSGVO gegeben, der keine Vollstän­dig­keit aller indivi­du­el­len Verpflich­tun­gen beinhal­ten kann. Des Weite­ren sollten Sie sich bewusst machen, dass die Verpflich­tun­gen aus der DSGVO nicht nur gegen­über den Patien­ten gelten, sondern auch zuguns­ten der Mitar­bei­ter. Die einge­hende Beschäf­ti­gung mit diesem Thema ist daher anzura­ten. Infor­ma­tio­nen sind bei der jeweils zustän­di­gen Ärzte­kam­mer zu finden. Diese stellt zahlrei­che Entwürfe, wie zum Beispiel Muster­hin­weise zur Einwil­li­gung der Daten­spei­che­rung zur Verfügung.

Welcher Schaden­fall könnte sich aus einem DSGVO-Verstoß für Sie ergeben? – ein Beispiel aus der Praxis

Sie haben Ihre Homepage nicht mit einem Hinweis auf die Verwen­dung von Cookies zum 25.5.2018 aktua­li­siert. Ein inter­es­sier­ter neuer Patient besucht nach dem 25.05.2018 zur Infor­ma­tion über Ihre Praxis Ihre Homepage und stellt fest, dass er durch Sie nicht über die Verwen­dung von Cookies unter­rich­tet wird. Im Anschluss meldet er sich bei Ihnen, um sich einen Termin geben zu lassen. Leider ist der neue Patient über die Dauer bis zum ersten Termin enttäuscht.

Über dieses für ihn negative Erleb­nis berich­tet er im Bekann­ten­kreis. Einer seiner Bekann­ten kann vorbrin­gen, dass der fehlende Hinweis doch einen Daten­schutz­ver­stoß darstelle und er ein Recht auf Schaden­er­satz und Schmer­zens­geld habe. Kurze Zeit später meldet sich bei Ihnen der Rechts­an­walt des neuen Patien­ten mit einer Schaden­er­satz­for­de­rung, einer Schmer­zens­geld­for­de­rung und Forde­rung seiner Anwalts­kos­ten bei Ihnen.

Was können Sie machen?

Die Forde­rung sollte bei der Haftpflicht­ver­si­che­rung gemel­det werden. Soweit ein enspre­chen­der Versi­che­rungs­ver­trag abgeschlos­sen ist, wird geprüft, ob die Ansprü­che berech­tigt sind. Unberech­tigte Ansprü­che können dann abgewehrt werden.

[1] https://www.aerzteblatt.de/archiv/182630/Digitalisierung-Sicherer-Schutz-von-Patientendaten

[1] http://www.kbv.de/html/datensicherheit.php

Quelle: Ass. jur. Britta Kruse, HDI Versi­che­rung AG, Hannover