Neues Datenschutzrecht ab 25. Mai 2018 Die Datenschutz-Grundverordnung betrifft auch das Abfallmanagement von Praxen und Krankenhäusern

Um praxisnahe Handlungshilfen zur Umsetzung der DSGVO-Anforderungen bemühen sich die Bundesärztekammer und die Kassenärztliche Bundesvereinigung: Die Dachorganisationen stellen online einen kostenfreien den „Datenschutz-Check 2018“ zur Verfügung, der die wesentlichen Konsequenzen des Gesetzes für Arztpraxen zusammenfasst und vertiefende Anlaufstellen benennt. Daneben aktualisierten die Spitzenorganisationen ihre „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“, die ebenfalls online heruntergeladen werden können. Für Zahnärzte und Zahnkliniken stellt die Bundeszahnärztekammer das Merkblatt „Das neue Datenschutzrecht“ bereit. Ansprechpartner bei Fragen zur Datenschutz-Grundverordnung sind die jeweiligen Landesdatenschutzbeauftragten der Bundesländer.

Bereits im Mai 2017 hat Abfallmanager Medizin die wesentlichen Neuerungen der Datenschutz-Grundverordnung zusammengefasst und die Konsequenzen für Krankenhäuser gemeinsam mit Experte Dr. Johannes Watterott, Abfall- und Umweltbeauftragter der Kliniken Essen-Mitte, erörtert. Artikel und Interview lesen Sie hier.

Erste Schritte zur Umsetzung der DSGVO

Wer sein Datenschutzkonzept noch nicht angepasst hat, sollte spätestens jetzt aktiv werden. Die wichtigsten zehn Aufgaben, um Ihre Praxis oder Klinik DSGVO-konform aufzustellen, finden Sie hier (Download als PDF). Verantwortlich für die Umsetzung der Datenschutz-Grundverordnung ist immer die Geschäftsführung der medizinischen Einrichtung.

Es wird empfohlen, zuallererst die öffentlich zugänglichen datenschutzrelevanten Vorgänge an die neue Rechtsgrundlage anzupassen. Dazu zählen beispielsweise die Websites von medizinischen Einrichtungen. Hintergrund: Diese Bereiche sind neben den Aufsichtsbehörden auch für die Konkurrenz sichtbar, die bei Fehlern zu wettbewerbsrechtlichen Abmahnungen greifen könnten.

In jedem Fall müssen außerdem Verträge mit Auftragsverarbeitern wie Entsorgungsunternehmen angepasst werden. Mit Blick auf die gemeinsame Haftung bei Datenpannen können sich Kliniken und Praxen damit nicht zuletzt absichern, dass ihre Dienstleister nach geltendem Datenschutzrecht arbeiten.

Verträge zur Auftragsverarbeitung erneuern

Die Deutsche Krankenhausgesellschaft (DKG) beschreibt die Datenschutz-Grundverordnung als „sehr abstrakt gefasst“. Sie enthalte „wenige konkrete Vorgaben für deutsche Krankenhausträger“, so dass noch im Juli 2017 „wenige konkrete Aussagen über Konsequenzen und auch kaum konkrete Umsetzungsvorgaben gemacht werden“ konnten. Verhältnismäßig klar hingegen sind die neuen Regelungen zur Auftragsverarbeitung, weshalb diese nachfolgend genauer betrachtet werden.

Zunächst definiert die DSGVO „Verarbeitung“ als jeden Vorgang im Zusammenhang mit personenbezogenen Daten – vom Erheben und Erfassen, über das Ordnen und Speichern, das Verändern und Verwenden bis hin zum Löschen und Vernichten. Wann immer eine Verarbeitung durch einen externen Dienstleister (Auftragsverarbeiter) im Auftrag eines Krankenhauses oder einer Arztpraxis erfolgt (für die Verarbeitung Verantwortlicher), muss es als Grundlage einen Vertrag oder ein anderes Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten geben (Art. 28 Abs. 3 DSGVO).

Bei medizinischen Einrichtungen wird der so genannte AV-Vertrag damit in allen Bereichen, in denen externe Dienstleister mit personenbezogenen Daten umgehen, obligatorisch. Das kann die Wartung von IT-Anlagen betreffen, aber auch EDV-Dienstleister (z.B. Anbieter von Praxissoftware), Cloud-Dienste, Steuerbüros, Druckereien, Callcenter oder Entsorger von Patientenakten, Röntgenfilmen und Datenträgern.

Mit der Datenschutz-Grundverordnung sind die bisherigen Regelungen zur Datenverarbeitung im Auftrag – bisher als Auftragsdatenverarbeitung bezeichnet und in §9 und § 11 BDSG sowie Anlage zu § 9 Satz 1 geregelt – passé. Ab 25. Mai gilt für die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen wie bereits erwähnt Artikel 28 DSGVO „Auftragsverarbeitung“ und ergänzend der Erwägungsgrund 81. Bestehende Verträge müssen demgemäß angepasst, neue nach den Regelungen geschlossen werden.

Musterverträge bieten Hilfestellung

Gemeinsam mit anderen Verbänden aus dem Gesundheitswesen hat die Deutsche Krankenhausgesellschaft einen Muster-Auftragsverarbeitungs-Vertrag erarbeitet. Dieser enthält neben Erläuterungen ein Vertragsmuster mit Kommentierungen, erhebt aber keinen Anspruch auf Vollständigkeit. Für Krankenhäuser, die beispielsweise mit ihrem Röntgenfilmentsorger bereits einen Vertrag zur Auftragsdatenverarbeitung geschlossen haben, stellt die DKG Empfehlungen bereit, wie solche Altverträge an die DSGVO angepasst werden sollten.

Die Bundesärztekammer und die Kassenärztliche Bundesvereinigung empfehlen ferner die Praxishilfen der Gesellschaft für Datenschutz und Datensicherheit (GDD).

Diese Musterverträge geben Kliniken erste Orientierung zur Anwendung der neuen Rechtsgrundlage. Wer sie nutzen möchte, sollte sie vor Einsatz durch einen Rechtsanwalt prüfen lassen – oder die betroffenen Dienstleister direkt nach einem geprüften Vertrag fragen. Seriöse und zertifizierte Unternehmen weisen darauf rechtzeitig hin und legen medizinischen Einrichtungen DSGVO-konforme Verträge vor.

Bestandteile von AV-Verträgen

Der Auftragsverarbeitungsvertrag ist grundsätzlich schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 10). Artikel 28 Abs. 3 DSGVO legt fest, welche Punkte der Vertrag regelt:

• Gegenstand und Dauer der Verarbeitung,
• Art und Zweck der Verarbeitung,
• Art der personenbezogenen Daten, Kategorien betroffener Personen und Pflichten und Rechte des Verantwortlichen,
• Weisungsrecht des Verantwortlichen,
• Vertraulichkeitsverpflichtung oder gesetzliche Verschwiegenheitspflicht der zur Verarbeitung der personenbezogenen Daten befugten Personen,
• geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten,
• Sicherheit der Verarbeitung nach Artikel 32 DSGVO (u. a. nachprüfbar hinreichende Garantien und Zertifikate),
• Bedingungen für weitere Auftragsverarbeiter,
• Unterstützung des Verantwortlichen (z. B. Krankenhauses) durch den Auftragsverarbeiter bei seiner Pflichterfüllung (Kapitel III, Artikel 32-36),
• Löschung oder Rückgabe aller personenbezogener Daten nach Abschluss der Verarbeitungsleistungen,
• Nachweise des Auftragsverarbeiters zur Einhaltung der Datenschutzpflichten sowie Ermöglichung von Überprüfungen
• Informationspflichten des Auftragsverarbeiters, falls eine Weisung des Auftraggebers gegen die Datenschutzbestimmungen verstößt

Weitere Neuerungen im Kontext der Auftragsverarbeitung

• Die Auftragsdatenverarbeitung darf auch auch außerhalb der EU stattfinden (Art. 3 DSGVO).
• Sowohl Kliniken und Arztpraxen als auch deren Auftragsverarbeiter müssen ihre Verarbeitungstätigkeiten künftig schriftlich bzw. elektronisch dokumentieren (Art. 30 Abs. 2 DSGVO) und der Aufsichtsbehörde auf Nachfrage bereitstellen.
• Auftraggeber und Auftragsverarbeiter sind gemeinsam für die Verarbeitung personenbezogener Daten verantwortlich (Art. 26 DSGVO).
• Sowohl die medizinische Einrichtung (Auftraggeber) als auch der Entsorger (Auftragsverarbeiter) kann bei Verstößen haftbar gemacht werden (Art. 82 DSGVO).

Zertifizierung nach DSGVO

Durch die gemeinsame Haftung von Verantwortlichen und Auftragsverarbeitern müssen Krankenhäuser und Praxen die sichere Datenvernichtung prüfen und dokumentieren. Die datenschutzkonforme Arbeitsweise belegen in erster Linie entsprechende Zertifizierungen des Auftragsverarbeiters. Da es gegenwärtig noch keine Stelle gibt, die für die Zertifizierung nach EU-DSGVO zuständig ist, sollten medizinische Einrichtungen auf höchste Sicherheit setzen und die derzeit besten Qualitätsstandards einfordern. Bei der Akten- und Röntgenfilmvernichtung bietet die DIN 66399 Orientierung und Zertifizierungen entsprechende Sicherheit.

Speicherbegrenzung für personenbezogene Daten

Art. 5 Abs. 1 DSGVO schreibt eine Speicherbegrenzung für personenbezogene Daten vor. So müssen personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Das bedeutet in der Praxis u. a., dass Patientenakten, Röntgenfilme und Datenträger nach Ablauf der gesetzlichen Aufbewahrungsfrist umgehend durch ein Entsorgungsunternehmen datenschutzkonform vernichtet werden müssen, da die Zweckmäßigkeit der Datenspeicherung nicht mehr gegeben ist. Ein längere Speicherung ist nach Datenschutz-Grundverordnung nur in Ausnahmefällen, z. B. für statistische Zwecke oder Forschungen, zugelassen.

DSGVO gilt auch für Tierarztpraxen

Das neue Datenschutzrecht gilt auch für Tierarztpraxen und Tierkliniken: Nach Art. 4 Abs. 1 DSGVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen“. Das Deutsche Tierärzteblatt, die Zeitschrift der Bundestierärztekammer, klärt auf: „Nicht nur die Verarbeitung von Daten des Tierhalters, sondern auch die Verarbeitung personenbezogener Daten des Tieres ist zumindest dann eine Verarbeitung personenbezogener Daten, wenn die das Tier betreffenden Informationen einen Rückschluss auf natürliche Personen zulassen. Beispielsweise lassen sich aus Informationen zur Zucht eines Tieres Rückschlüsse auf den Inhaber des Zuchtbetriebes stellen. Auch lassen Tiernamen einen Rückschluss auf den den Tierhalter zu.“

Strenge Kontrollen und hohe Sanktionen bei Verstößen

Die Kassenärztliche Bundesvereinigung informiert, dass die Einhaltung des neuen Datenschutzrechts durch die Landesdatenschutzbeauftragten als zuständige Aufsichtsbehörde stichprobenartig kontrolliert wird. Diese haben sich auf die neue Situation eingestellt und ihre Mitarbeiteranzahl entsprechend aufgestockt. Ab 25. Mai 2018 müssen alle medizinischen Einrichtungen mit behördlichen Kontrollen rechnen. Wahrscheinlicher sind aber die bereits angesprochenen Abmahnungen durch Wettbewerber, Betroffene sowie Interessen- bzw. Verbraucherschutzverbände.

Verstöße gegen die Datenschutz-Grundverordnung können für Krankenhäuser und Arztpraxen nicht nur Schadenersatzforderungen von Betroffenen bedeuten, sondern auch hohe Geldbußen von bis zu 20 Millionen Euro oder in Höhe von bis zu vier Prozent des gesamten Jahresumsatzes des vorangegangen Geschäftsjahres (Art. 83 DSGVO). Die Geldbußen müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Unter Umständen kann bei Datenpannen sogar eine Freiheitsstrafe drohen (§ 42 BDSG-neu).