EU-Grundverordnung: Datenschutz als Praxis-Schreck
Es ist der 25. Mai 2018, früher Morgen, Ihre MFA hat gerade die Tür aufgeschlossen – da wird diese auch schon mit Vehemenz aufgestoßen. Herein fliegt ein Mann mit stapelweise Listen und gezücktem Stift, aus seiner Jackentasche lugt ein Bußgeldformular. Er beginnt um Ihre Anmeldung herum zu schnüffeln, leise vor sich hin murmelnd: „Oh-oh, das gefällt mir aber gar nicht“ – und hat schon das erste Vergehen gefunden: Da liegt ein Rezept zur Unterschrift, offen einsehbar für jeden über 1,98 Körpergröße, der sich über den Tresen lehnt. „Ok, das macht 3000 Euro. Und wo ist denn eigentlich ihr Datenschutzbeauftragter? Oh, Sie haben keinen? Ja, da muss ich Ihnen ein Bußgeld von 20 Millionen Euro verpassen, da kann man leider nichts machen!“
Völlig übertrieben, denken Sie jetzt. Stimmt. Und bisher hat sich ja auch niemand spürbar um die Durchsetzung von Datenschutzgesetzen gekümmert, denken Sie weiter, schwer vorstellbar, dass sich das ändert. Das stimmt so nicht.
Für eine realitätsnahe, aber angstfreie Annäherung an das Thema, hier die Entmythologisierung von exemplarisch fünf Datenschutz-Angstmachern:
Richtig ist:Wer umfangreich personenbezogene Daten im Gesundheitsbereich verarbeitet, muss in Zukunft im Rahmen einer Datenschutzfolgeabschätzung die Risiken für die betroffenen Personen erkennen und die Folgen für diese abschätzen (Art. 35 EU-DSGVO). Es ist zu dokumentieren, welche Verarbeitungsvorgänge in der Praxis welche Risiken mit sich bringen und welche Maßnahmen zur Eindämmung der Risiken und zum Schutz der Daten nötig sind. Das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) sieht die Notwendigkeit für die Datenschutzfolgeabschätzung nur, wenn der Umfang der Verarbeitung von Gesundheitsdaten weit über das hinausgeht, was in einer üblichen Arztpraxis anzutreffen ist. Nicht zu erwarten ist: Dass diese Anforderung eine „übliche Arztpraxis“ lahmlegen könnte, weil sie nur mit höchstem Aufwand zu erfüllen ist, oder dass Datenschutzbeauftragte Praxen schließen, weil das Anmeldeprozedere zum Beispiel aus baulichen Gründen Risiken birgt. Betroffen werden von dieser Anforderung eher Krankenhäuser, MVZ und Pflegeeinrichtungen sein bzw. Stellen, die mit besonders sensiblen Daten umgehen wie etwa genetischen Daten.
Richtig ist: Auch die neue Gesetzeslage verlangt wie bereits heute unter bestimmten Umständen einen Datenschutzbeauftragten (DSB; Artikel 37−39 DSGVO). Wer einen DSB haben muss, aber nicht hat, dem drohte bisher ein Bußgeld von ein paar Tausend Euro. Nach dem neuen Gesetz wird mit Sanktionen von bis zu 50 000 Euro gerechnet. Nicht zu erwarten ist: Dass die Datenschutzaufsichtsbehörden ab Mai 2018 eine Praxis beim ersten Verstoß gegen diese Vorschrift mit Bußgeldern in Millionenhöhe in den Ruin treiben. Betroffen sind nach der Auslegung des ULD von den „üblichen Arztpraxen“ in der Regel auch nur solche, bei denen mindestens zehn Mitarbeiter mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder Einrichtungen, in denen besonders sensible Daten wie zum Beispiel genetische Daten verarbeitet werden.
Richtig ist: Ab dem 25. Mai gilt das Prinzip der „Informierten Einwilligung“: Die ausdrückliche Einwilligung muss sich auf eine bestimmte Datenverarbeitung beziehen, sie muss ersichtlich werden lassen, wer die Daten in welchem Umfang wofür verarbeiten darf, sie muss in klarer und einfacher Sprache erfolgen, sie muss widerrufbar sein und freiwillig erfolgen (Art. 7 EU-DSGVO). Nicht zu erwarten ist: Dass alle Patienten mehrere bzw. dauernd neue Einwilligungen zu unterschreiben haben und sich in den Praxen unzählige Kartons mit den entsprechenden Dokumenten stapeln. Denn die Datenverarbeitung, die sich aus der „normalen“ Gesundheitsversorgung ergibt, ist durch einen Paragrafen gedeckt (Art. 9 Abs. 2 lit. h EU-DSGVO) und benötigt deswegen keine zusätzliche Unterschrift. Neue Einwilligungen sind jedoch z.B. bei Anwendungsbeobachtungen und bei Übermittlung der Daten an die Privatärztliche Verrechnungsstelle erforderlich.
Richtig ist: In Art. 20 EU-DSGVO wird das Recht auf Datenübertragbarkeit festgeklopft. Der Patient soll also seine Daten bei einem Dienst exportieren können und bei einem vergleichbaren importieren. Die Praxis muss in diesem Fall die entsprechende Schnittstelle dafür einrichten. Nicht zu erwarten ist: Dass die entsprechenden Schnittstellen tatsächlich von so vielen Ärzten und so umgehend benötigt werden, wie der große Nachhall des Themas es suggerieren könnte. Der Anspruch besteht nur, wenn die Datenverarbeitung auf Grundlage eines Vertrages oder einer Einwilligung erfolgt (Art. 20 Abs. 1 lit. a EU-DSGVO), erkärt Syndikusrechtsanwalt Andreas Wolf und nennt als Beispiele die Verwendung von Apps oder Anwendungsbeobachtungen. Bei der „normalen“ Heilbehandlung auf Grundlage von Art. 9 Abs. 2 lit.h EU-DSGVO wird die Datenportabilität dagegen nicht relevant sein.
Richtig ist: Nach der neuen EU-DSGVO können Bußgelder in Höhe von bis zu 20 Millionen € oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4 und 5). Nicht zu erwarten ist: Dass Datenschutzbehörden Bußgelder als alleiniges Mittel zur Verfolgung ihrer Ziele einsetzen. Bei der Festlegung der Bußgeld-Obergrenze hatte man weltweite Unternehmen wie Google, Amazon und Co. im Auge, nicht die Hausarztpraxis aus der Lüneburger Heide. Und bis jetzt signalisieren die Behörden eindeutig, dass sie auf Kooperation und Beratung setzen. So zählen zu den Kriterien, anhand derer die Höhe der Geldbuße festgesetzt wird, der Verantwortungsgrad des Arztes und die von ihm bereits getroffenen Maßnahmen genauso wie etwaige frühere Verstöße und die Zusammenarbeit mit der Aufsichtsbehörde.