Neues für den Datenschutz in der Arztpraxis: Hier finden Sie aktuelle Informationen und einen ersten Überblick aus der Rechtsabteilung.

Am 25. Mai 2018 ist die DSGVO und das entsprechend überarbeitete Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Diese bringen Änderungen mit sich, auf die sich auch Arztpraxen einzustellen haben. Nachfolgende Ausführungen sollen erste Informationen geben und gleichzeitig  für die anstehenden Aufgaben sensibilisieren. Insofern beschränken sich die nachfolgenden Ausführungen auf wichtige Kernthemen.

Die wichtigsten Aspekte für Arztpraxen

Benennung eines Datenschutzbeauftragten (DSB)

Es stellt sich die Frage neu, ob eine Arztpraxis einen DSB zu benennen hat. Spätestens ab dem 25.05.2018 kommt es auf die konkreten Umstände des Einzelfalls an.

Nach Artikel 37 Abs. 1 DSGVO ist bei drei Fallkonstellationen auf jeden Fall ein Datenschutzbeauftragter zu benennen:

  1. Die Arztpraxis ist Teil einer öffentlichen Stelle oder einer Behörde.
  2. Die Kerntätigkeit der Arztpraxis besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen (Patienten) erforderlich machen.
  3. Die Kerntätigkeit der Arztpraxis besteht in der umfangreichen Verarbeitung besonders sensibler Daten gemäß Artikel 9 DSGVO (darunter fallen auch Gesundheitsdaten).

Im Regelfall trifft eine Arztpraxis die Pflicht zur Benennung eines DSB, wenn die unter 2. oder 3. genannten Voraussetzungen erfüllt sind1.
Hierbei kommt den Begriffen „Kerntätigkeit“, „umfangreiche Verarbeitung“ und „regelmäßige und systematische Überwachung“ besondere Bedeutung zu. Diese Begriffe sind auslegungsbedürftig.
Unter „Kerntätigkeit“ soll die Haupttätigkeit eines Unternehmens zu verstehen sein, nicht aber die Verarbeitung personenbezogener Daten als Nebentätigkeit. Soweit könnte schon fraglich sein, ob zur Kerntätigkeit einer Arztpraxis neben der eigentlichen Behandlung von Patienten auch die zu Dokumentationszwecken erfolgende Speicherung von Patientendaten zu zählen ist. Aus Sicht der Landesdatenschutzbehörden sollen zur Kerntätigkeit aber auch alle Vorgänge gehören, „die einen festen Bestandteil der Haupttätigkeit darstellen. Hierzu gehören nicht die das Kerngeschäft unterstützenden Tätigkeiten wie z. B. die Verarbeitung der Beschäftigtendaten der eigenen Mitarbeiter.“2
Vor diesem Hintergrund kann nicht ausgeschlossen werden, dass die Datenverarbeitung von Gesundheitsdaten in der Arztpraxis zur eigentlichen Kerntätigkeit hinzugerechnet wird.
Hiervon ausgehend kommt es bei der dritten Fallkonstellation weiter darauf an, ob in der Arztpraxis eine „umfangreiche“ Verarbeitung von Gesundheitsdaten erfolgt. Als Auslegungshilfe zum Begriff des Umfangs wird, soweit ersichtlich, der Erwägungsgrund Nr. 91 der DSGVO herangezogen. Verschiedene Faktoren wie die Menge der verarbeiteten personenbezogenen Daten oder auch die Zahl der Patienten können dazu herangezogen werden. Allerdings sagen die Erwägungsgründe auch, wann eine „umfangreiche“ Verarbeitung nicht vorliegen soll. Dies soll dann der Fall sein, wenn die Verarbeitung von Patientendaten durch einen einzelnen Arzt erfolgt.
Wir halten also an dieser Stelle fest: In der Einzelpraxis wird es i. d. R. keine Pflicht zur Benennung eines DSB geben. In einer Arztpraxis mit mehreren Berufsträgern demgegenüber aller Voraussicht nach schon. Zumindest dann, wenn man die Datenverarbeitung als festen Bestandteil der Haupttätigkeit versteht.
Darüber hinaus ergibt sich eine Pflicht zur Benennung eines DSB aus dem neu gefassten Bundesdatenschutzgesetz (BDSG-neu).
Nach § 38 Abs. 1 BDSG-neu ist von dem Praxisinhaber dann ein DSB zu benennen, soweit

  1. dort in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  2. in der Arztpraxis Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung  nach Artikel 35 DSGVO unterliegen.

Wie bisher schon entsteht die Pflicht zur Benennung eines DSB ab einer bestimmten Anzahl entsprechender Mitarbeiter. Eine Arztpraxis mit weniger als zehn Mitarbeitern hat gleichwohl einen DSB zu benennen, wenn dort Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen.

1 Üblicherweise werden Arztpraxen als privatrechtliche Einrichtungen betrieben, sodass die Nr. 1 regelhaft nicht zum Tragen kommt.
2 Siehe Kurzpapier Nr. 12 Datenschutzkonferenz

Datenschutz-Folgenabschätzung (DSFA)

Hierbei handelt es sich um ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Birgt die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten, muss der Verantwortliche (Praxisinhaber) bereits vorab eine Einschätzung der Folgen für den Schutz personenbezogener Daten durchführen. Dies ist insbesondere der Fall bei neuen Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung (Art. 35 Abs. 1 DSGVO). Die DSGVO nennt in Art. 35 Abs. 3 zudem bestimmte Fallgruppen, bei denen eine Folgenabschätzung stets durchzuführen ist. Neben der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche (hier könnte an den videoüberwachten Empfangsbereich einer Arztpraxis gedacht werden) erscheint für Arztpraxen insbesondere der Fall der „umfangreichen“ Verarbeitung von Gesundheitsdaten von Relevanz. Zur Bestimmung des Umfangs gelten die oben getätigten Ausführungen. Seitens des Unabhängigen Landeszentrums für Datenschutz (ULD) wird in bestimmten Fällen auch bei einer Einzelpraxis eine DSFA anscheinend dann als erforderlich angesehen, wenn die jeweilige Patientenzahl erheblich über die Patientenzahl einer durchschnittlichen Einzelpraxis hinaus geht3. Allerdings bleibt noch ungeklärt, woran sich der übliche Datenumfang einer Einzelpraxis bemessen lässt bzw. wann dieser konkret überschritten sein soll. Es könnte danach anzunehmen sein, dass auch eine Gemeinschaftspraxis keine DSFA durchführen muss, wenn die Patientenzahl und/oder der Umfang gespeicherter personenbezogener Daten hinter der einer durchschnittlichen Einzelpraxis zurückbleiben.
Der Umfang der Verarbeitung von Gesundheitsdaten stellt aber nur ein mögliches Kriterium dar, aus dem sich „hohe Risiken“ für die Rechte und Freiheiten der Patienten ergeben können. Diese können sich auch aus anderen Momenten  wie zum Beispiel der Verarbeitung genetischer Daten ergeben.
Mit Interesse bleibt daher abzuwarten, wie sich die Datenschutzaufsichtsbehörde zum Begriff des Risikos stellen und diesen näher konkretisieren wird.

3 Siehe Kurzpapier Nr. 12 DSK

Informationspflichten

Die DSGVO sieht umfangreiche Informationspflichten4 für den Praxisinhaber vor und ergänzt diese um ein Auskunftsrecht5 der Patienten.
Bei den Informationspflichten wird zwischen der sogenannten „Direkterhebung“ bei dem Patienten und der „Dritterhebung“ beispielsweise bei einem ärztlichen Kollegen oder Familienangehörigen unterschieden. In beiden Fällen sind dem Patienten bestimmte Informationen6 mitzuteilen bzw. zur Verfügung zu stellen, allerdings zu unterschiedlichen Zeitpunkten. Bei der Direkterhebung ist der Patient zum Zeitpunkt der Erhebung, im anderen Fall innerhalb einer angemessenen Frist7 zu informieren. Die Informationspflicht entfällt, wenn und soweit der Patient bereits über die Informationen verfügt.
Zu den Informationspflichten nach Art. 13 DSGVO siehe auch hier.

4 Artikel 13,14 DSGVO; hierzu näher Kurzpapier Nr. 10 DSK
5 Artikel 15 DSGVO
6 Ein Katalog dieser Informationen ist jeweils in den Artikeln 13 und 14 DSGVO enthalten.
7 Längstens innerhalb eines Monats; zu den weiteren Einzelheiten siehe Artikel 14 Abs. 3 DSGVO
.


Beachten Sie hierzu die Mitteilung der Datenschutzbehörden vom 26. April 2018.


 

Zusammengefasst ist festzuhalten:

Aller Voraussicht nach werden Einzelpraxen von der Benennung eines DSB im Regelfall absehen dürfen, soweit jedenfalls nicht mehr als zehn Mitarbeiter mit der Datenverarbeitung beschäftigt sind und der Umfang der Datenverarbeitung die Grenzen des üblichen Datenvolumens einer Einzelpraxis nicht übersteigt.
Bei größeren Gemeinschaftspraxen dürfte im Regelfall der Umfang der gemeinsam durch alle Berufsangehörigen erfolgenden Datenverarbeitung für die Bestellung eines DSB sprechen, zumal wenn dort zehn oder mehr Beschäftigte Daten verarbeiten.
Insbesondere bei kleineren Gemeinschaftspraxen (gemessen an der Zahl aller dort tätiger Personen) bestehen indes noch Unklarheiten.
Die Datenverarbeitung in einer Gemeinschaftspraxis zweier Ärzte mit vier Medizinischen Fachangestellten könnte ggf. als nicht umfangreich bewertet werden, so dass eine Pflicht zur Bestellung eines Datenschutzbeauftragten nicht, zumindest nicht regelhaft ausgelöst wird.
Näheren Aufschluss hierzu wird eine seitens der Landesdatenschutzbehörden angekündigte, aber noch nicht in der Welt befindliche Black/White-Liste geben, anhand derer bestimmte Einzelfälle zugeordnet werden können.
Vorläufig verbleibt also der Rat:  Nicht nur in Zweifelsfällen ist auch wegen noch bestehender Unklarheiten zum aktuellen Zeitpunkt zu empfehlen, sich ggf. an das ULD (Unabhängiges Landeszentrum für Datenschutz) als zuständige Datenschutzbehörde zu wenden, um sich der eigenen Datenschutzkonformität zu vergewissern.

Weitere Informationen