Am 25. Mai 2018 ist es also so weit: Die EU-DSGVO tritt in Kraft. Doch für viele Ärzte bilden die zahlreichen Paragraphen noch immer einen einzigen Dschungel aus "Do’s and Dont’s", über die man begleitet von Verunsicherungen über mögliche Bußgelder leicht den Überblick verliert. Wir haben noch einmal die wichtigsten Fakten zusammengetragen – für diejenigen, die das Thema bislang eher stiefmütterlich behandelt haben, und für die "Fortgeschrittenen", die ihre bisherigen Unternehmungen noch einmal überprüfen wollen.

Zunächst zwei gute Nachrichten: 1. Die neue Datenschutzverordnung wurde geschaffen, um sog. personenbezogene Daten zu schützen, und nicht, um Praxen oder Unternehmen zu schaden oder gar in den Ruin zu treiben. Um Sie also gedanklich wieder auf den richtigen Weg zu bringen, falls Sie mittlerweile in Panik geraten sind: Sie müssen sich zwar mit dem Thema Datenschutz auseinandersetzen und Ihre Praxis daran anpassen, Sie müssen aber nicht um die Existenz Ihrer Praxis bangen und nicht jede Praxis muss das Rad neu erfinden, wenn es an die Umsetzung geht. Denn – und damit kommen wir zur zweiten guten Nachricht – Sie sind nicht allein und bekommen von vielen Seiten Unterstützung und Informationen (siehe z. B. Infobox).

Wozu das alles?

Bislang hatten alle EU-Mitgliedstaaten ihre eigenen gesetzlichen Datenschutzregelungen, die mehr oder weniger streng ausgelegt waren. Das deutsche Bundesdatenschutzgesetz (BDSG), welches in diesem Zuge auch erneuert wurde, war im Vergleich zu vielen anderen Ländern bereits recht weit fortgeschritten und so standen seine bisherigen Regeln zumindest im Grundgedanken sogar Pate für die neue DSGVO [1]. Daher erfüllen viele Unternehmen und Praxen datenschutzrechtlich bereits jetzt einen hohen Standard. Mit der EU-DSGVO soll der Datenschutz nun einheitlich für alle EU-Staaten geregelt werden. In Anlehnung an den Grundsatz der informationellen Selbstbestimmung hat ab dem 25. Mai 2018 jeder EU-Bürger das Recht, selbst über seine personenbezogenen Daten zu bestimmen.

Für Arztpraxen bedeutet das genauso wie für Unternehmen, dass alle Prozesse hinsichtlich der EU-DSGVO geprüft und ggf. angepasst werden müssen. Ziel ist es, für alle betreffenden Prozesse nachweisen zu können, dass die Datenschutzregeln eingehalten werden. Dies wirkt sich natürlich insbesondere auf die IT-Struktur aus.

Was passiert, wenn man gegen die neue Verordnung verstößt? In der Tat können Bußgelder drohen, die sich im Vergleich zu der bisherigen Rechtslage deutlich erhöht haben. Sie können bei schweren Verstößen nun bis zu 4 % des gesamten Jahresumsatzes oder bis zu 20 Millionen Euro betragen. Ob es sich um einen leichten oder schweren Verstoß handelt, hängt u. a. von der Art der Daten ab, hier findet inhaltlich eine Gewichtung statt, wie im Folgenden beschrieben.

Personenbezogene und besonders geschützte Daten

Unter "personenbezogene Daten", die ab Mai einem gesetzlich festgelegten Schutz unterstehen, fallen zunächst Angaben wie Name, Adresse, Telefonnummer und Geburtsdatum, aber auch Hobbys, Beruf oder Bankverbindungen. Von diesen Daten heben sich sensible, sog. "besonders geschützte Daten" ab, welche u. a. Informationen zu Religion, Sexualleben, politischer Meinung, finanzieller Situation und eben auch gesundheitsbezogene Daten umfassen [2]. Somit haben auch Sie als Arzt mit besonders schützenswerten Daten zu tun. Werden diese sensiblen Daten missbraucht, erhöht sich auch das fällige Bußgeld deutlich.

Aber nicht nur die Patientendaten sind von den Neuregelungen betroffen. Sind Sie Praxisinhaber? Dann geht es auch um die Personaldaten Ihrer Mitarbeiter, die dem gesetzlichen Schutz unterliegen. Dementsprechend sind von den anstehenden Maßnahmen auch alle Praxissysteme betroffen, die Personaldaten verwalten.

Benötigt Ihre Praxis einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter ist laut Gesetz dann erforderlich, wenn mindestens 10 Personen in der Praxis ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind und/oder wenn die umfangreiche Verarbeitung besonders schützenswerter Daten den Kern der Tätigkeit bildet [3]. Da hierunter auch Patienten- und Gesundheitsdaten fallen, betrifft diese Regelung fast alle Praxen. Ausgenommen sind Einzelarztpraxen, da hier davon ausgegangen wird, dass deren Datenverarbeitung nicht als umfangreich gilt [4]. Der Datenschutz muss aber natürlich auch hier gewähreistet sein. Ein Datenschutzbeauftragter muss auch dann benannt werden, wenn – unabhängig von der Zahl der Mitarbeiter – eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Eine DSFA ist vorzunehmen, wenn ein voraussichtlich hohes Risiko mit der Verarbeitung von Daten verbunden ist. Dies wird laut KBV aber nur selten der Fall sein, z. B. wenn große Mengen an personenbezogenen Daten verarbeitet oder die Praxisräume systematisch videoüberwacht werden.

Informiert in den Mai
Übersichtliche Informationen und Anleitungen zur Umsetzung der EU-DSGVO bieten die Seiten der KBV. Hier findet man auch eine Checkliste für die Umsetzung der Vorgaben sowie Mustervorlagen für die Patienteninformation und das Verzeichnis von Verarbeitungstätigkeiten. Ebenso werden hier verschiedene konkrete Maßnahmen für einen internen Datenschutzplan aufgezeigt: www.kbv.de/html/datensicherheit.php

Die Landesbeauftragten für Datenschutz haben Kurzpapiere zu den einzelnen Themenbereichen erstellt. Eine kurze, aber präzise Auflistung der wichtigsten "To dos" speziell für Arztpraxen findet man z. B. hier: www.lda.bayern.de/de/kleine-unternehmen.html

Nehmen Sie außerdem die Informations- und Schulungsveranstaltungen Ihrer KV, Ärztekammer oder Landesbeauftragten für Datenschutz wahr.

Zugriff auf die EU-DSGVO erhalten Sie hier: eur-lex.europa.eu/eli/reg/2016/679/oj

Bei dem Datenschutzbeauftragten kann es sich um einen extern Beauftragten oder einen entsprechend geschulten internen Mitarbeiter handeln, es darf jedoch nicht der Praxisinhaber selbst sein. Der Datenschutzbeauftragte kontrolliert die Einhaltung des Datenschutzes und berät das Praxisteam. Er ist auch Ansprechpartner für die Aufsichtsbehörde.

Die Maßnahmen, die nach der EU-DSGVO in den Arztpraxen getroffen werden müssen, können im Wesentlichen in drei Gebiete eingeteilt werden:

1. Internes Datenschutzmanagement

Dies ist wohl der Bereich, in dem die umfangreichsten Maßnahmen ergriffen werden müssen. Zunächst sollte jede Praxis prüfen, ob sie, wie oben beschrieben, einen Datenschutzbeauftragten benötigt. Dieser kann bei den folgenden Aufgaben eine große Hilfe und Entlastung darstellen.

Dann geht es an die Bestandsaufnahme: Alle Praxisstrukturen, die personenbezogene Daten betreffen, müssen nun geprüft, dokumentiert und einer Risikobewertung unterzogen werden. Erfüllen alle betreffenden Systeme inkl. Verträge, Einwilligungserklärungen, Arbeitsanweisungen etc. die Anforderungen der DSGVO? Legen Sie eine Aufstellung aller Vorkehrungen und technisch-organisatorischen Maßnahmen (sog. TOMs) an, die die Praxis zur Sicherung des Datenschutzes ergreift. Diese Aufstellung dient als interne Datenschutzrichtlinie, die bei einer Kontrolle vorgelegt werden kann. Hierzu können z. B. die Verschlüsselung von Patientendaten, Vorkehrungen zur Diskretion am Tresen und die sichere Aufbewahrung von Akten gehören. Auch eine Verschwiegenheitserklärung für Mitarbeiter ist ein wichtiger Punkt. Zudem sind natürlich alle Maßnahmen von Bedeutung, die im IT-Bereich zur Datensicherung und zum Datenschutz getroffen werden müssen (Firewall, Virenscanner, eArztbrief statt Fax usw.).

Darüber hinaus muss ein Verzeichnis über Verarbeitungstätigkeiten erstellt werden [5]. Kann dieses bei einer Prüfung durch die Aufsichtsbehörde nicht vorgelegt werden, drohen Geldstrafen. Das Verzeichnis muss konkrete, in der DSGVO festgelegte Informationen zu allen Systemen enthalten, die personenbezogene Daten verarbeiten, wie z. B. das Praxisverwaltungssystem. Hier muss das Rad aber nicht neu erfunden werden, die KBV und die Landesämter für Datenschutz halten ein Musterformular bereit, teilweise mit hilfreichen Ausfüllbeispielen (s. Infobox).

Vergessen Sie außerdem Ihre Internet-Präsenz nicht! Ist Ihre Homepage oder Facebook-Seite rechtskonform? Auch hier muss eine Datenschutzerklärung zu finden sein, die bestimmte Informationen zur Datennutzung enthält (auch hier hält die KBV konkrete Hinweise zu den Inhalten vor, s. Infobox).

2. Datenschutz des Patienten

Praxen sind nun verpflichtet, spätestens zum Zeitpunkt der Datenerfassung ihre Patienten darüber aufzuklären, was mit ihren Daten passiert und zu welchem Zweck sie erfasst werden [6]. Das bedeutet zwar nicht, dass jeder Patient bereits am Telefon bei der Terminvereinbarung aufgeklärt werden muss, jedoch sollten ein gut sichtbarer Aushang und/oder Informationsblätter in der Praxis ausliegen. Eine Einwilligungserklärung der Patienten muss für die Datenverarbeitung, die im Rahmen der routinemäßigen Behandlung erfolgt, nicht eingeholt werden – dies ist mit dem regulären Behandlungsvertrag abgegolten [7, 8]. Sie muss nur in besonderen Fällen vorliegen, z. B. bei der Einbeziehung einer privatärztlichen Verrechnungsstelle. Bereits bestehende Einwilligungserklärungen müssen um einen Hinweis zur Widerrufbarkeit ergänzt werden [9].

3. Externes Datenschutzmanagement

Ein letzter sehr wichtiger Punkt ist der Umgang mit allen externen Dienstleistern, die Zugriff auf die in der Praxis erfassten personenbezogenen Daten haben. Dies betrifft z. B. die Wartung der Praxis-EDV, die Aktenvernichtung, die Nutzung eines Cloud-Systems oder eines Online-Terminvergabe-Anbieters. Mit diesen Dienstleistern muss ab dem 25. Mai ein Vertrag zur Auftragsverarbeitung vorliegen, aus dem u. a. Zweck, Dauer und Beschreibung der Leistung hervorgeht [10]. Der Auftragnehmer, also der Dienstleister, verpflichtet sich hierdurch zur Einhaltung des Datenschutzes. Darüber hinaus können Sie sich von Ihrem Dienstleister ein Zertifikat vorlegen lassen, mit dem er die technischen und organisatorischen Maßnahmen zum Datenschutz nachweisen kann.


Literatur:
1. Bleich H, Heidrich J, c’t magazin für computer technik 2018, 5: 100–102
2. Art. 4 EU-DSGVO
3. Art. 37 EU-DSGVO
4. Müller T, Keller A, Grundlagen des Datenschutzes: Ein Datenschutzbeauftragter in der Arztpraxis (https://www.ecovis.com/medizin/datenschutzbeauftragter-in-der-arztpraxis/)
5. Art. 30 EU-DSGVO
6. Art. 12-14 EU-DSGVO
7. Art. 9 EU-DSGVO
8. Kuhlmann C, Westfälisches Ärzteblatt 2018, 3: 12–16
9. Art. 7 EU-DSGVO
10. Art. 28 EU-DSGVO


Autorin:
Yvonne Schönfelder