Datenschutz im Gesundheitswesen

Insbesondere durch die am 25.05.2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) hat das Thema Datenschutz eine neue Eigendynamik entwickelt. Für den Gesundheitssektor bringt die neue DSGVO und das in diesem Zusammenhang neu verabschiedete Bundesdatenschutzgesetz (BDSG neu)   neue Herausforderungen mit sich. Um die erforderlichen Maßnahmen zu treffen, die rechtliche Risiken aus dem Weg räumen, sollten Ärzte respektive Arztpraxen, Medizinische Versorgungszentren und Krankenhäuser auf die Sachkunde von Datenschutzexperten zurückgreifen. Es gilt, in diesem Zusammenhang bereits einige wesentliche Aspekte rund um das Thema Datenschutz in Arztpraxen in den Fokus zu nehmen:

  1. Erforderlichkeit eines Datenschutzbeauftragten

Die Erforderlichkeit für die Benennung eines eigenen Datenschutzbeauftragten ergibt sich entweder (a) aus der Beschäftigtenzahl, (b) aus der Erforderlichkeit einer Datenschutz-Folgenabschätzung oder (c) der Kerntätigkeit des Berufsträgers respektive Arztes.

a) Gemäß § 38 Abs. 1 BDSG neu ist durch den oder die verantwortlichen Ärzte ein Datenschutzbeauftragter zu benennen, soweit   in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hierbei kommt es nicht darauf an, ob die Personen in Vollzeit-oder Teilzeitbeschäftigung sind, oder ob die Beschäftigung im Rahmen einer geringfügigen Beschäftigung ausgestaltet ist. Maßgeblich ist ausschließlich die Zahl der Personen.

b) Gemäß § 38 Abs. 1 BDSG neu ist ebenfalls ein Datenschutzbeauftragter zu benennen, wenn der oder die verantwortlichen Ärzte eine Datenverarbeitung vornehmen, die einer Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO unterliegen.

c) Gemäß Art. 37 Abs. 1 lit. c) DSGVO ist durch den oder die verantwortlichen Ärzte auf jeden Fall ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit des Arztes in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO besteht. Unter diese besondere Kategorie von Daten fallen insbesondere die Gesundheitsdaten.

  1. Anforderungen an die Person des Datenschutzbeauftragten und Einsetzung

Das Amt des Datenschutzbeauftragten steht grundsätzlich sowohl Mitarbeitern der Arztpraxis, des Medizinischen Versorgungszentrums oder des Krankenhauses als auch Externen offen. Bei der Wahl eines externen Datenschutzbeauftragten muss aus strafrechtlicher Sicht insbesondere die Verpflichtung zur Geheimhaltung festgeschrieben werden. (Gefahr der Verletzung von Privatgeheimnissen, § 203 Abs. 4 S. 2 Nr. 1 StGB). Dabei gilt es zu beachten, dass interne, angestellte Datenschutzbeauftragte einen besonderen Schutz gegen ihre Abberufung und einen besonderen Kündigungsschutz (§ 38 Abs. 2 BDSG-neu) haben, weshalb eine einseitige Abberufung oder eine Beendigung des Arbeitsverhältnisses mittels Kündigung durch den Arbeitgeber nur unter sehr engen Voraussetzungen zulässig sind und die Wahl regelmäßig auf externe Datenschutzbeauftragte fällt.

Gemäß Art. 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeiten der in Art. 39 DSGVO genannten Aufgaben. Der Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 24./25. November 2010), gab einen Leitfaden für das spezifische Anforderungsprofil nach der alten Rechtslage (vgl. hierzu: https://www.lda.bayern.de/media/dk_mindestanforderungen_dsb.pdf). Dieser Beschluss gibt auch im Hinblick auf die neue Rechtslage eine Tendenz vor, inwieweit das Anforderungsprofil ausgestaltet seien muss.

Zusammenfassend gilt bezüglich der Fachkunde:

  • Kenntnis der einschlägigen Rechtsgrundlagen des Datenschutzes (DSGVO, BDSG neu, bereichsspezifische Vorschriften)
  • Kenntnis im BGB, StGB oder auch im Betriebsverfassungsgesetz usw.
  • Kenntnis innerhalb der für den Gesundheitssektor einschlägigen Rechtsgrundlagen Kenntnis im Bereich IT und innerhalb der verwendeten EDV-Systeme

Wichtig ist, dass der Datenschutzbeauftragte weisungsfrei ist. Um Interessenkollisionen entgegenzutreten, ist es erforderlich, dass nicht der oder die verantwortlichen Ärzte respektive Berufsträger das Amt des Datenschutzbeauftragten ausfüllen.

Im Hinblick auf die Berufsträger gilt, dem Datenschutzbeauftragten hinreichende arbeitszeitliche Freiheiten zur Erfüllung der Aufgaben zu gewähren. Zudem müssen die erforderlichen Ressourcen zur Erfüllung der Aufgaben zur Verfügung gestellt werden.

Vorschriften hinsichtlich der Form der Ernennung, oder der Befristung des Amtes des Datenschutzbeauftragten bestehen nicht.

  1. Tätigkeitsprofil des Datenschutzbeauftragten

Die Arbeit des Datenschutzbeauftragten umfasst die Kontrolle der Einhaltung der datenschutzrechtlichen Bestimmungen, die ordnungsgemäße Verwendung der innerhalb der Arztpraxis verwandten Datenverarbeitungsprogramme und die Einweisung der Personen, die mit Datenverarbeitung in Verbindung kommen, hinsichtlich der Rechte und Pflichten bezüglich des Datenschutzes.

  1. Zusammenfassung

Die Umsetzung insbesondere der DSGVO und des BDSG neu in Arztpraxen, Medizinischen Versorgungszentren und Krankenhäusern bringt Herausforderungen mit sich. Diese können im Rahmen einer eingehenden Prüfung bewältigt werden und individuelle Lösungen, angepasst an die spezifischen Umstände der medizinischen Einrichtung im Einzelfall, gestaltet werden. Hierdurch wird ein effizienter Ablauf innerhalb der Einrichtung weiterhin gewährleistet.