Übersicht dieser Ausgabe    Alle Paracelsus Magazine

aus dem Paracelsus Magazin: Ausgabe 4/2022

Datenschutzgrundverordnung Update

DSGVO – Was ist seit dem 25.05.2018 geschehen?

Seit dem 25.05.2018 gilt die Datenschutzgrundverordnung (DSGVO). Die entsprechenden Regelungen wurden auf EU-Ebene beschlossen, sodass in der EU überall dieselben Bestimmungen gelten. Damit können mehr Kontrollen zum Datenschutz stattfinden und Verstöße gegen datenschutzrechtliche Regelungen teurer werden.

Immer noch haben viel zu wenige Praxen die DSGVO umgesetzt, obwohl diese verbindlich ist. Auch wer Probleme mit der Implementierung hat oder irritiert ist, wird nicht davon befreit.

2018 ging man von vielen Abmahnungen aus, die ausgesprochen werden könnten – de facto waren es nur wenige. Stattdessen haben die Landesdatenschutzbeauftragten als Aufsichtsbehörde enorm viel zu tun bekommen, weil die Anzahl der Beschwerden stetig zugenommen hat, nicht zuletzt im Rahmen der Corona-Pandemie. Somit sollten auch Heilpraktiker unbedingt darauf achten, die Regeln umzusetzen, zumal sie mit hochsensiblen Gesundheitsdaten arbeiten, die eines besonderen Schutzes bedürfen.

Auf was muss ich achten?

Jede Praxis braucht ein individuelles Verzeichnis von Verarbeitungstätigkeiten und eine Liste der technischen und organisatorischen Maß- nahmen. Zudem muss jede Praxis Patienten, Kunden, Mitarbeiter und Bewerber über die datenschutzrechtlichen Regelungen aufklären, und man sollte sich diese Aufklärung aus Nachweisgründen schriftlich bestätigen lassen. Sofern externe Verarbeiter von Daten, z.B. freie Mitarbeiter, beauftragt werden, muss ein Auftragsverarbeitungsvertrag geschlossen werden. Zudem muss die Internetpräsenz abgesichert werden. Alle Mitarbeiter sind verpflichtet, sich an die Datenschutzregeln zu halten. In manchen Praxen muss ein betrieblicher Datenschutzbeauftragter bestellt werden.

Benötige ich einen betrieblichen Datenschutzbeauftragten?

Nach den Regeln der DSGVO benötigt jede Praxis, in der nicht nur ein Therapeut alleine
tätig ist, einen betrieblichen Datenschutzbeauftragten. Die zuständigen Behörden haben allerdings bereits im Frühjahr 2018 mitgeteilt, dass sie keinen kleinen Betrieb deshalb bestrafen wollen, weil dieser keinen hat. Es wurde trotzdem ausdrücklich darauf hingewiesen, dass dennoch sämtliche Datenschutzregeln unbedingt einzuhalten sind und man sich bei Unsicherheiten fachkundige Hilfe beschaffen soll.

Kontrollen der Aufsichtsbehörden können jederzeit durchgeführt werden. Dann wird erwartet, dass das Datenschutzkonzept schriftlich vorliegt.

Praxen, in denen nicht mehr als 9 Mitarbeiter Daten verarbeiten, benötigen im Regelfall keinen betrieblichen Datenschutzbeauftragten. Eine Einmalberatung durch einen Fachkundigen ist jedoch zu empfehlen.

Kann ich mich selbst um den Datenschutz kümmern?

Viele Akteure im Gesundheitswesen wollen gerne auch rechtlich komplexe Vorgänge selbst in die Hand nehmen, wobei hier stets eine Kosten-Nutzen-Rechnung aufgestellt werden muss. Wenn in der Praxis nicht mehr als 9 Personen Daten verarbeiten, ist es grundsätzlich gestattet, sich selbst um den Datenschutz zu kümmern. Hier muss allerdings in jedem Einzelfall geprüft werden, ob die Datenverarbeitung mit einer entsprechenden Erlaubnis erfolgt. Außerdem müssen sämtliche Unterlagen, v.a. die Datenschutzdokumentation, korrekt erstellt werden. Viele Laien scheitern daran oder benötigen weit mehr als 100 Stunden Arbeit. Allgemeine Vorlagen sind hier selten nützlich und passen im Regelfall nicht. Letztlich muss jede Praxis für sich berechnen, ob es nicht günstiger ist, einen externen Berater zumindest für den Anfang hinzuzuziehen und sich ansonsten den Hauptaufgaben der Praxis zu widmen. Gibt es zusätzliches Personal, dann sollte unbedingt eine Schulung durchgeführt werden.

Es muss allen bewusst sein, dass man Ansprüchen von vielen Seiten gerecht werden muss. So kann zum einen der Landesdatenschutzbeauftragte Kontrollen vornehmen.

Den Landesdatenschutzbeauftragten kann man sich als „Datenschutzpolizei“ vorstellen. Üblicherweise wird er erst tätig, wenn es zu Beschwerden kommt, die im gesamten Bundesgebiet leider immer häufiger werden. Sollte eine Beschwerde bei den Landesdatenschutzbeauftragten eingehen, muss dieser der Beschwerde nachgehen und kann im Falle begründeter Verstöße erhebliche Bußgelder festlegen.

Darüber hinaus können nach DSGVO auch Patienten und Kunden Zahlungsansprüche gegen die Praxis stellen, sofern die Verarbeitung ihrer Daten nicht korrekt erfolgt. Somit können auch jene, die über etwas Hintergrundwissen verfügen und Fehler bei der Datenverarbeitung feststellen, nicht unerhebliche Forderungen geltend machen.

Wettbewerbsvereine dürfen den Datenschutz ebenso kontrollieren und für Abmahnungen Geldforderungen stellen. Es darf in diesem Zusammenhang nicht vergessen werden, dass selbst Mitbewerber untereinander den Datenschutz überprüfen und sich bei Verstößen gegenseitig abmahnen dürfen.

Für Heilprakikerpraxen, die vielleicht auch noch Heilmittel abgeben und über Kassenzulassung in einem Bereich verfügen, sollte klar sein, dass auch die Gesetzlichen Krankenversicherungen Datenschutzkontrollen vornehmen können – und dies tatsächlich tun.

Bei Verstößen drohen Strafen bis zu 50000 Euro. All diese Kontrollmöglichkeiten sollten Motivation genug sein, sich dem Thema Datenschutz anzunehmen.

Was kann die Praxis akut tun?

Als Akutmaßnahmen bieten sich folgende Empfehlungen an:

Patienten- und Kundendaten sollten niemals offen herumliegen, Papierunterlagen immer abschließbar verstaut werden, sofern diese nicht benötigt werden.

Auf allen Computern muss ein Passwort eingerichtet werden, ohne dessen Eingabe ein Zugriff nicht möglich ist.

Unbefugte Personen dürfen keinen Zugriff auf Terminkalender, Monitore, Telefaxe oder andere Geräte haben, mit denen Daten verarbeitet werden.

Es muss eine individuelle Datenschutzinformation eingeführt werden, die wirklich auf die Praxis passt. Dabei sind alle individuellen Aspekte zu berücksichtigen.

Bei allen Patienten, die man nicht direkt an der Stimme am Telefon erkennt, muss eine Anruferverifikation durchgeführt werden, wobei zumindest Vorname und Geburtsdatum abgefragt werden. Damit kann sichergestellt werden, dass unberechtigte Dritte nicht ohne Weiteres Informationen erhalten.

Sofern man mit Dritten über Patienten oder Kunden einen Austausch vornehmen will, bedarf es einer Schweigepflichtentbindung. Eine solche Erklärung sollte standardisiert von jedem Patienten im Rahmen eines Behandlungsvertrags eingeholt werden, soweit dies sinnvoll ist.

Darüber hinaus sollten Mitarbeiter, auch die in der Administration, umfassend geschult werden, weil Verstöße dem Praxisinhaber finanziell angelastet werden.

Bei diesen Empfehlungen handelt es sich nur um Akutmaßnahmen. Sie stellen lediglich einen Bruchteil der Bestimmungen dar, die umzusetzen sind.

Fazit zum aktuellen Rechtsstand

Es liegt in der Verantwortung des Praxisinhabers, dass vertrauliche Daten auch derart behandelt werden. Datenschutz ist allerdings in jedem Betrieb eine Teamleistung, auch die Mitglieder können finanziell zur Verantwortung gezogen werden. Gerade deshalb ist es so wichtig, diese hinreichend zu schulen, um für alle Beteiligten größtmögliche Sicherheit zu ermöglichen. Nur wenn alle Mitarbeiter sich an die geltenden Regelungen der DSGVO halten, können diese eingehalten werden.

Auch wenn der 25.05.2018 schon 4 Jahre zurückliegt: Sollte es in der Praxis zu keinerlei Beschwerden oder Sanktionen gekommen sein, obwohl es bis dato vielleicht mit der vollständigen Umsetzung der DSGVO gehapert hat, sollte jetzt unbedingt gehandelt werden, bevor unangenehme Folgen entstehen. Während der Pandemie haben die datenschutzrechtlichen Beschwerden bei den Aufsichtsbehörden enorm zugenommen, und in diesem Zusammenhang geht ein nicht unerheblicher Anteil der Beschwerden auf das Konto von Patienten therapeutischer Einrichtungen.

Über den Grund der Zunahme der Beschwerden darf kontrovers diskutiert werden. Dies kann zum einen die allgemeine Unzufriedenheit in der Bevölkerung sein, die durch die Corona-Pandemie entstanden ist. Denkbar ist zum anderen eine höhere Sensibilität der Menschen im Bereich Datenschutz, was letztlich alle Praxen zum Handeln zwingt, zumal die Einhaltung datenschutzrechtlicher Regelungen ohnehin eine Selbstverständlichkeit im Gesundheitswesen sein sollte.

Man sollte berücksichtigen, dass wir in einem digitalen Zeitalter leben. Eine Digitalisierung führt jedoch auch zu größeren Gefahren im Hinblick auf datenschutzrechtliche Pannen. Wenn man den Anschluss nicht verlieren will, muss man alles Notwendige auf den Weg bringen, statt später hinterherzulaufen. Letztlich sichert die Einhaltung des Datenschutzes der Praxis auf Dauer das Vertrauen der Patienten und Kunden – und damit dem Praxisinhaber seine wirtschaftliche Existenz.

Benjamin Alt
Rechtsanwalt mit eigener Kanzlei „Alt und Partner“ mit Spezialisierung auf den Gesundheitsmarkt, Justiziar, Lehrbeauftragter und Dozent an Universitäten, Autor
Mail@RechtsanwaltAlt.de

Der VUH informiert
Gerade aufgrund des zunehmenden Beratungsbedarfs im Datenschutzrecht erfolgte unlängst eine neue Kooperationsvereinbarung mit der Rechtsanwaltskanzlei „Alt und Partner“, die im Datenschutzforum des Mitgliederbereichs diesbezügliche Fragen ab Juli 2022 beantworten wird.

Foto: © Bernulius / adobe.stock.com

zurück zur Übersicht dieser Ausgabe
Paracelsus SchulenWir beraten Sie gerne
Hier geht's zur Paracelsus Schule Ihrer Wahl.
Menü