Herr Prof. Ehlers, Sie sind Jurist und Mediziner. Können Sie nachvollziehen, warum einige Ärzte ganz schön genervt sind von den neuen Datenschutzvorschriften?
Prof. Ehlers: Natürlich kann ich das. Vor allem, da Ärzte sehr sensibel mit Patientendaten umgehen. Der Schweigepflichtparagraf § 203 Strafgesetzbuch ist ja bereits eine valide juristische Basis für den Datenschutz in der ärztlichen Tätigkeit. Und der Hypokratische Eid verdeutlicht sehr gut das Wissen darum, dass die Arzt-Patienten-Beziehung nur funktionieren kann, wenn sie von Vertrauen getragen ist.

Die DSGVO zielt eigentlich auf die großen Konzerne. Mit Blick auf deren Tätigkeit sollen die Rechte der Bürger gestärkt werden. Das bringt aber auch für die Niedergelassenen zusätzliche technische und organisatorische Herausforderungen mit sich. Die meisten sind mit den weitergehenden Anforderungen noch nicht vertraut und fürchten die beachtlichen Strafen. Das macht un­sicher. Tatsächlich sind auch noch viele Begriffe in der DSGVO sehr unbestimmt – selbst für Experten.

Trotzdem ist es klug, die neue Verordnung als eine Chance zu betrachten: Sie sollte als sinnvoller Ansatz gelten, liebgewonnene und eingeschliffene Gewohnheiten unter dem Gesichtspunkt der neuen Sensibilität, die durch die digitale Entwicklung ausgelöst wurde, zu überprüfen.

Aber müssen Ärzte die Verordnung nicht fürchten? Bei Nichtbeachtung drohen Konsequenzen aus mehreren Richtungen.
Prof. Ehlers: Ich rate: Ruhe bewahren und einen Schritt nach dem anderen machen. Es werden dem Arzt nicht schon morgen drakonische Strafen drohen. Auch bezüglich Abmahnungen ist keine Panik angesagt. Aus dem Raum Bremen wurden zwar Vorkommnisse gemeldet, aber die sind weit von einer Abmahnwelle entfernt.

Die Datenschutzaufsichtsbehörden selbst haben erst mal „Gutwilligkeit“ signalisiert und wollen offensichtlich die Möglichkeit, sehr individuell auf Datenschutzverstöße zu reagieren, nutzen. Sie lassen erkennen, dass bei sichtbaren Bemühungen des Arztes mit Augenmaß geahndet werden soll.

Nicht vergessen darf man allerdings, dass die DSGVO auch von Wettbewerbern oder verprellten Mitarbeitern oder Patienten eingesetzt werden kann, um dem Arzt zu schaden. Bisher sind mir keine konkreten Fälle bekannt. Wir haben aber davon munkeln hören. Auch deswegen, um sich unangreifbar zu machen, ist eine kontinuierliche Auseinandersetzung mit der DSGVO erforderlich. Das ist im Sinne des Datenschutzes gut so.

Wie sollten sich Ärzte jetzt verhalten?
Prof. Ehlers: Wichtig ist, dass der Arzt jetzt kurzfristig die Dinge in Ordnung bringt, die offensichtlich, also „von außen sichtbar“, sind. Dazu gehören das Impressum und die Datenschutzerklärung auf der Homepage. Denn hier können Fehler systematisch gesucht werden – Stichwort Abmahnung. Leicht zugängliche Fehler können ferner in den Einwilligungserklärungen und Aushängen der Praxis stecken.

Etwas anspruchsvoller ist der nächste Schritt, nämlich die Praxis technisch und organisatorisch darauf hin zu durchleuchten, wo eine Datenverarbeitung stattfindet und wie die Qualität der Abläufe ist, also Arbeitsprozesse und IT-Systeme. Wie ist die Datenweitergabe ans Labor geregelt? Auf welcher Vertragsgrundlage gehen Daten an die private Verrechnungsstelle? Welche weiteren Kontaktstellen nach außen bestehen – findet vielleicht irgendwo eine Auftragsdatenverarbeitung statt, die mir gar nicht bewusst ist? Wird etwa ein Newsletter verschickt, über den eine Agentur unzulässiger Weise verfolgen kann, welche Beiträge vom User gelesen werden?

Und dann muss auch ein Blick auf den Wartebereich und die Rezeption geworfen werden, ob dort der Datenschutz gewährleistet wird.

Viele Ärzte fühlen sich alleine gelassen mit der Herausforderung.
Prof. Ehlers: Ein Arzt kann sich mit der DSGVO ins Kämmerchen setzen und seine Praxisabläufe überprüfen. Das muss man aber wollen, sage ich mal. Die KBV, die KVen und Kammern haben gute Informationsmaterialien dazu herausgegeben; die Verbände können jedoch nur allgemeine Hilfestellung leisten. Eine Rechtsberatung gehört nicht zu ihren satzungsgemäßen Aufgaben.

Das heißt: Die kurzfristigen und eher standardisierten Maßnahmen lassen sich gut mithilfe der Verbände meistern. Wenn es aber tiefer in die Materie geht, dorthin, wo die Arbeitsabläufe in jeder Praxis anders aussehen, wird es schwierig. Zudem werden sich sicherlich noch Detailprobleme auftun, von denen wir jetzt nicht mal wissen, dass es sie gibt. Spätestens an dem Punkt kann ein externer Dienstleister weiterhelfen. Hierfür gibt es verschiedene Anbieter – beispielsweise unsere Firma Health Data Protect.

Sie raten also zu einem externen Datenschutzbeauftragten? Der ist aber doch teuer.
Prof. Ehlers: Die juristische Diskussion, ob nicht sogar jede Arztpraxis einen Datenschutzbeauftragten haben muss, da mit besonders sensiblen Daten gearbeitet wird, ist noch nicht abgeschlossen. Ich gehe aber von der momentan favorisierten Regelung aus, dass Praxen mit mehr als neun mit Datenverarbeitung beschäftigten Mitarbeitern einen Datenschutzbeauftragten haben müssen.

Problematisch bei einem internen Datenschützer ist, dass er fortgebildet werden muss und unter speziellen Kündigungsschutz sowie eingeschränkter Weisungsbefugnis steht. Das scheuen einige Arbeitgeber verständlicherweise. Außerdem ist es nicht immer leicht, eine geeignete Person für diese Aufgabe zu finden.

Bei einem externen Datenschützer spielt natürlich der finanzielle Aufwand eine große Rolle. Manchmal kommt es schon beim ersten Assessment zu Kosten von über 4000 Euro. Dabei verfügen aktuell noch nicht mal alle Datenschutzbeauftragten über ausreichende DSGVO-Erfahrungen! Eventuell kann ein elektronisches Assessment helfen, diese Kosten niedrig zu halten.

So viel zu Aufwand und Kosten. Und wo finden sich die Chancen?
Prof. Ehlers: Wie ich anfangs sagte: Die DSGVO ist wirkungsvoll bei der Sensibilisierung für den Datenschutz. Und wenn ich mir die digitale Entwicklung anschaue, scheint ein schützendes Regelwerk nötig zu sein, um Missbrauch zu verhindern.

Worin außerdem eine Chance liegt? Nun: Der lästige Aufwand, den eine Praxis betreiben muss, um die Anforderungen an den Datenschutz zu erfüllen, kann auch ein förderlicher Bestandteil des Praxismanagements sein. Je besser die Strukturen durchleuchtet sind, desto reibungsfreier laufen die Prozesse, desto weniger individuelle „Bastellösungen“ müssen gefunden werden und desto weniger Störungen treten auf.

Und wenn der Arzt anlässlich der Verordnung seine Verträge mit dem Steuerberater, dem IT-Unternehmen und sonstigen Dienstleistern auf die Notwendigkeit einer Auftragsdatenverarbeitung überprüft – warum dabei nicht das gesamte Vertragsmanagement überdenken beziehungsweise einführen? Die meisten Praxen – besonders, wenn sie schnell gewachsen sind – haben keinen strukturierten Überblick über ihre Verträge und deren Aktualität. Das kann eine Praxis irgendwann einmal viel Geld kosten. So gesehen kann jede Minute, die sich ein Praxisinhaber mit seinen Abläufen beschäftigt, sehr sinnvoll sein.

Eines Tages werden sich die Vorgaben der Verordnung auch als Selbstverständlichkeit in den Praxis­alltag eingefügt haben, so wie die Hygienevorschriften oder das Qualitätsmanagement.