DSGVO: Praxen sind gefordert
[Abo] Zwei Jahre wurde sie verdrängt – nun wird sie Realität und muss umgesetzt werden. Ab dem 25. Mai 2018 gilt auch in Deutschland die EU Datenschutz-Grundverordnung (EU-DSGVO). Wer sich noch nicht darauf eingestellt hat, sollte dies möglichst rasch tun.
Eigentlich gilt das neue Regelwerk schon seit Mai 2016. Doch wurde eine zweijährigen Übergangsfrist zugestanden, die nun zu Ende geht. Ab dem 25. Mai 2018 sind deshalb die Vorgaben der neuen Datenschutz-Grundverordnung (VO (EU) Nr. 2016/67 9) in allen Mitgliedstaaten der Europäischen Gemeinschaft rechtsgültig und lösen damit das bisher bei uns geltende Bundesdatenschutzgesetz (BDSG) im Wesentlichen ab.
Gleichzeitig tritt ein neues, deutlich verkürztes BDSG in Kraft, das auf die DSGVO abgestimmt ist. Warum die Reform? Datenschutz war in Europa bisher unterschiedlich geregelt. In den meisten Ländern wurde die Gesetzgebung nicht den Herausforderungen gerecht, vor die sie weltweit agierende Datenkonzerne stellen, wie zum Beispiel Facebook, Googel o. a.
Um was geht es?
Kernthese der DSGVO ist, dass die personenbezogenen Daten der jeweils betroffenen Person gehören – und keinem anderen. Allein die betroffene Person kann über die Verwendung ihrer Daten bestimmen. Dazu gehören Name, Adresse, E-Mail-Adresse, Ausweisnummer oder IP-Adresse.{pborder}
Besonders schutzbedürftig
Gesundheitsdaten genießen besonderen Schutz, zählen zu den besonders sensiblen Daten und dürfen nur in Ausnahmefällen verarbeitet werden. Auch Podologen „verarbeiten“ Gesundheitsdaten wie beispielsweise Diagnosen, Medikamente und Behandlungsverläufe in ihrer Dokumentation. Diese und weitere Daten werden benötigt, um die eigentliche Tätigkeit (Kerntätigkeit) auszuüben.
Artikel 9, Absatz 3 der DSGVO beschreibt, dass personenbezogene Daten nur von Fachpersonal oder unter dessen Verantwortung verarbeitet werden dürfen. Fachpersonal sind in diesem Zusammenhang alle Mitarbeiter, die auch der Schweigepflicht unterliegen. Der Kreis sollte möglichst klein gehalten werden, Schulungen durchgeführt und diese auch dokumentiert werden. Dass zum Beispiel die Reinigungskraft Zugang zum PC und damit zu Patientendaten hat, oder Patienten Einblicke in den Terminkalender erhalten, sollte ausgeschlossen sein.
Für wen gilt die DSGVO?
Die Anforderungen der Datenschutz-Grundverordnung gelten für alle Praxen, die mittels Technik (PC u. a.) Daten verarbeiten, erheben, speichern und nutzen. Somit ist im Grunde jeder betroffen, der mit technischen Mitteln Daten verarbeitet, Daten speichert oder eine Praxissoftware anwendet. Das dürfte mittlerweile bei ziemlich allen Praxen der Fall sein.
Praxisinhaber müssen die Einhaltung des Datenschutzes nachweisen können. Dieses Datenschutzmanagement beinhalte unter anderem die Information der Patienten darüber, wie der Schutz ihrer Daten gewährleistet wird.
Die wichtigsten Fakten zur Datensicherheit sollten daher leicht verständlich und transparent in der Praxis dokumentiert werden – beispielsweise in einem Aushang. Dazu gehörten Informationen zur Dauer der Speicherung sowie zum Zweck der Verarbeitung. Darüber hinaus müsse jede Praxis nunmehr ihre eigene Datenschutzrichtlinie formulieren. Darin müssen Praxisinhaber regeln, wie sie und ihr Praxisteam die Vorgaben des Datenschutzes einhalten. Benannt werden sollten auch die Verantwortlichkeiten beispielsweise bei Datenschutzvorfällen. Außerdem sollen in der Richtlinie die Zugriffsrechte auf die Daten sowie technische und organisatorische Maßnahmen zum Schutz der Daten dargestellt werden.
Individuelle Lösungen
Was nun genau zu tun ist, muss jeder Praxisinhaber für seine Praxis selbst festlegen und umsetzen. Mittlerweile gibt es viele Mustervorlagen (s. Kasten), die aber nicht Eins-zu-Eins übernommen werden können. Jede Praxis hat ihre eigene Praxisorganisation. An diese Abläufe müssen die Formulare angepasst werden.
Der Landesbeauftragte für den Datenschutz Baden-Württemberg hat einen 10-Punkte-Plan für die Umsetzung der DSGVO entworfen. Demnach sollten Praxisinhaber folgende Punkte abarbeiten:
1.Sensibilisierung für das Thema durchführen;
2. Bestandsaufnahme machen;
3. Rechtsgrundlage prüfen;
4. Personenbezogene Daten von Kindern besonders prüfen;
5. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy-by-Design“ und „Privacy-by- Default“) umsetzen;
6. Verträge checken;
7. Datenschutzfolgenabschätzung implementieren;
8. Melde- und Konsultationspflichten organisieren;
9. Betroffenenrechte und Informationspflichten umsetzen;
10. Dokumentation organisieren.
Was geschieht, wenn nicht?
Praxen sind verpflichtet, auf Wunsch ausführlich darzulegen, welche Daten eines Patienten sie besitzen und wie mit ihnen umgegangen wird. Kann man dies nicht, besteht für den Patienten die Möglichkeit, dies der zuständigen Landesdatenschutzbehörde mitzuteilen. Diese ist verpflichtet, dem möglichen Verstoß nachzugehen.
Bei Verstößen erfolgt eine Verwarnung, dann gibt es die Rüge, dann kann als nächste Stufe die Aussetzung der Datenverarbeitung veranlasst werden.
Geldstrafen können folgen und – je nach Schwere des Verstoßes – bis zu vier Prozent des weltweiten Jahresumsatzes betragen. Somit ist bei umsatzstarken Konzernen mehr zu holen, als bei der kleinen Ein-Mann-Praxis. Leider beinhaltet die neue Verordnung eine Verbandsklagebefugnis, sodass auch Wettbewerbsvereine tätig sein sowie Kunden oder Patienten ebenfalls Ansprüche geltend machen können, wenn deren Rechte verletzt werden. Abmahnanwälte haben vermutlich diejenigen im Auge, die auf ihrer Webseite keine Datenschutzerklärung veröffentlicht haben. « tom
Anmerkung der Redaktion: In den nächsten Ausgaben werden wir detaillierter auf einzelne Aspekte der DSGVO eingehen.
Ausgabe 05-06 / 2018
Artikel als PDF herunterladen
Bilder aus dem Artikel:
