(2.5.2018) Ab dem 25. Mai diesen Jahres gilt die Datenschutz-Grundverordnung (kurz: DSGVO). Und sie gilt auch für Ärzte. Was sollte der Arzt nun tun, um den Anforderungen der DSGVO zu entsprechen und um Bußgelder zu vermeiden? Obgleich nur noch wenig Zeit bleibt, sollten die niedergelassenen Ärzte sich nicht beunruhigen lassen. Die DSGVO verlangt nichts Unmögliches und viele Anforderungen sind durchaus sinnvoll.

Datenschutz in der Arztpraxis

Was ist eigentlich das Neue an der DSGVO?

Die DSGVO wiederholt im wesentlichen nur das, was bisher schon z.B. das Bundesdatenschutzgesetz (BDSG) grundsätzlich vorgeschrieben hat: Daten sind sicher aufzubewahren, sparsam und nur für den ursprünglich vorgesehenen Zweck zu nutzen und sie sind korrekt zu halten. Das DSGVO hat nun zwei Punkte neu geregelt: Der Verantwortliche muss die Einhaltung der Grundsätze nachweisen können („Rechenschaftspflicht“: dies geschieht zum Beispiel durch die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten nach Artikel 30 DSGVO). Und Verstöße gegen diese Grundsätze werden nun mit drakonischen Strafen geahndet. 

Bin ich als Arzt verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen und was genau ist das?

Mit diesem Verzeichnis soll sich der Arzt Gedanken machen, was so alles für Daten durch seine Praxis laufen, wie sie gespeichert werden und wer diese Daten alles in die Hand bekommt. Er soll sich auch damit auseinandersetzen, wann er die Daten wieder löscht. Schließlich soll er sich auch überlegen, wie er die Daten im Einzelnen schützen will, wenn sie z.B. durch die Hände Dritter laufen (Abrechnungsservice, Inkassodienstleister etc.). 

Man kann also sagen, ja, jeder Arzt muss ein Verzeichnis der Verarbeitungstätigkeiten erstellen. Sinnvollerweise wird der Arzt so gezwungen, sich mit den Datenströmen in und um die Praxis herum und der Sicherheit der Daten zu beschäftigen. Lücken werden sichtbar und Gegenmaßnahmen können eingeleitet werden. 

Muss ich auf der Praxiswebsite die Datenschutzerklärung überarbeiten?

Ja, die DSGVO stellt viele neue Pflichten auf, vgl. Art. 13 DSGVO. Die alten Datenschutzerklärungen entsprechen diesen Pflichten nicht mehr. So muss der Arzt den Patienten dort unter anderem hinweisen auf: sein Recht auf Auskunft übers eine Daten, sein Recht auf Berichtigung oder Löschung, oder z.B. Recht auf Einschränkung der Verarbeitung. Auch muss er ihm mitteilen, wer genau der Datenschutzbeauftragte ist, an den sich der Patient wenden kann, wenn er meint, der Arzt habe mit seinen Daten in irgendwelcher Weise Schindluder getrieben. Des weiteren muss ihm gesagt werden, welche Daten der Arzt speichert, wenn der Patient die Praxiswebsite aufsucht (z.B. über Kontaktformulare oder sog. cookies). 

Muss ich als Arzt meinen neuen Patienten eine schriftliche Einwilligungserklärung zur Datenverarbeitung vorlegen?

Grundsätzlich muss jeder, der Daten anderer Personen verarbeitet, dafür eine Einwilligung einholen. Ärzte sind aber privilegiert. Sie bedürfen keiner gesonderten Einwilligung, Artikel 6 Abs. 1 lit. c), Abs. 2 in Verbindung mit Artikel 9 Absatz 2 lit. h) DSGVO

Wann muss ich als Arzt die Daten der Patienten löschen?

Die zeitliche Untergrenze, sprich die Aufbewahrungspflicht, definiert die ärztliche Berufsordnung. Zehn Jahre muss der Arzt Behandlungsunterlagen nach Ende der Behandlung aufbewahren (z.B. § 10 Absatz 3b Berufsordnung der Landesärztekammer Baden-Württemberg). Die Aufbewahrungspflicht für Röntgenbilder und Befunde von Strahlenbehandlungen beträgt sogar 30 Jahre. Diese berufsrechtlichen Mindestzeiten überlagern die Löschpflicht der DSGVO und sind vorrangig - die DSGVO will grundsätzlich, dass Daten gelöscht werden, sobald sie nicht mehr gebraucht werden (vgl. Art. 17 Abs. 1 lit a DSGVO), sprich so bald wie möglich. Denn gelöschte Daten können weder gestohlen noch mißbraucht werden. Zehn Jahre darf der Arzt also die Daten mindestens speichern. 

Und wo liegt die Obergrenze? Artikel 17 Abs. 3 DSGVO läßt gewisse Ausnahmen von der Pflicht zur frühestmöglichen Löschung zu: bestimmte Daten müssen erst später gelöscht werden. Für den Arzt maßgeblich kann hier der Fall sein, dass der Arzt Schadensersatzansprüche von Patienten aus Arzthaftungsverfahren abwehren will. Diese können bis zu 30 Jahre drohen. Erst nach 30 Jahren ist eine Verjährung sicher eingetreten, § 199 II BGB. Des weiteren kann sich der Arzt darauf berufen, dass er die Daten nicht löschen will, weil dies dem öffentlichen Interesse der Gesundheit dient, Artikel 17 Absatz 3 lit. c DSGVO. Das ist z.B. der Fall, wenn Befunde gesichert werden, die dann - Jahrzenhnte später - herangezogen werden können, um genetisches Vergleichsmaterial wie die Histologie-Blöcke zu nutzen.

Soll ich neue Verträge zum Datenschutz z.B. mit Verrechnungsstellen oder Inklassodiensten schließen?

Ja, das sollten Sie tun, denn die DSGVO stellt in Artikel 28 DSGVO so viele neue Anforderungen in diesem Bereich auf, dass Sie dies vertraglich mit diesen Dienstleistern im Einzelnen regeln sollten. Die Verträge mit den "Auftragsverarbeitern" sollen sicher stellen, dass diese die wertvollen Patientendaten schützen und z.B. löschen, sobald sie sie nicht mehr benötigen. 

Wer ist überhaupt Auftragsverarbeiter (d.h. mit wem muss ich einen solchen Vertrag schließen)?

Eine Definition des Auftragsverarbeiters gibt die DSGVO nicht. Grob gesagt ist derjenige Auftragverarbeiter, der die sensiblen Daten der Patienten im Rahmen  seiner Verarbeitungstätigkeit zu sehen bekommt. So bekommt eine privatärztliche Abrechnungstelle u.a. die Diagnosen eines Patienten zu sehen, weiss also, dass der Patient X im Mai 2017 Durchfall hatte und sich dagegen behandeln ließ - und dies sind bereits Gesundheitsdaten. Schon der Umstand, dass Patient Y bei dem Arzt A zu einem bestimmten Zeitpunkt in Behandlung war, ist ein solcher Datzensatz, denn daraus kann man ersehen, dass der Patient wohl krank war (ist).    

Der Steuerberater des Arztes ist dagegen kein Datenverarbeiter. Angehörige der freien Berufe wie Ärzte, Anwälte und Steuerberater führen die Verarbeitung der Daten des Arztes vielmehr in eigener Verantwortung durch (DSK-Kurzpapier Nr. 13 zu § 28 DSGVO, Anlage B).    

Wer ist als Datenschutzbeauftragter für meine Praxis geeignet? Muss ich einen Externen anstellen?

Wer mehr als zehn Mitarbeiter hat (Halbtagskräfte zählen voll), bedarf in der Regel eines Datenschutzbeauftragten (DSB). Dafür kann auch ein Angestellter aus der Arztpraxis eingesetzt werden. Aber wie muss der qualifiziert sein? Die notwendige Qualifikation des DSB ergibt sich aus Artikel 37 Abs. 5 DSGVO. Das beinhaltet unter anderem eine Kenntnis des nationalen und europäischen Datenschutzrechts, Verständnis der durchgeführten Datenverarbeitungsvorgänge oder auch ein Verständnis der Informationstechnologie und Datensicherheit. Diese Kenntnisse müssen auch "nachweisbar" sein. Sinnvoll ist es daher, wenn der DSB einen Kurs besucht und einen Nachweis darüber erhalten hat. Es werden viele Kurse angeboten und es ist für den Arzt nicht einfach, hier den Überblick zu erhalten. 

Warum das alles? Ärzte sind doch ohnehin besonders zur Verschwiegenheit verpflichtet.

Ärzte wenden ein, dass sie als Berufsgeheimnisträger ohnehin schon sehr auf die Patientendaten achten und dass ihnen schon das Strafgesetzbuch bei Geheimnisverrat Strafe androht (§ 203 StGB). Aber Geheimnisverrat bestraft nur ganz bestimmte Handlungen des Arztes. Und der Arzt weiß z.B. gar nicht, was der von ihm beauftragte Inkassodienst mit den Patientendaten so treibt. Und kann er einfach mal so Röntgenbilder des Patienten per whatsapp an den Kollegen schicken?

Die DSGVO will uns dafür sensibilisieren, dass elektronische Daten flüchtig sind, dass wir sie nicht einfach so "herumliegen" oder auf externen Servern gespeichert sein lassen oder unbedacht versenden sollen. Daten sind heute eine der wichtigsten Wirtschaftsressourcen. Viele Internetdienstanbieter lassen sich fast ausschließlich mit Daten bezahlen. Datendiebe versuchen, in Datennetzwerke auch von Ärzten einzudringen und die Daten zu stehlen oder zu sperren und erpressen dann die Ärzte. In letzter Zeit haben mehrere große Datenmißbrauchsfälle die Gesetzgeber aufgeschreckt. Und Daten über den Gesundheitszustand sind - wenn sie einmal als Datensatz das Licht der Freiheit erblickt und verkauft wurden - nicht wieder einzufangen.

Die Datenschutz-Grundverordnung ist also nervtötend und zeitraubend und schießt an manchen Stellen über das Ziel hinaus - aber sie ist wichtig und ihre Einführung war überfällig.  

Rechtsanwalt und Fachanwalt für Medizinrecht Philip Christmann
Vertretung und Beratung im Medizinrecht und Arztrecht
Witzlebenstraße 3 - 14057 Berlin - Tel: (030) 536 47 749
E-mail: mail@christmann-law.de