Datenschutz als Praxis-Schreck

Es ist der 25. Mai 2018, Ihre Sprechstundenhilfe hat gerade die Tür aufgeschlossen – da wird diese auch schon mit Vehemenz aufgestoßen. Herein fliegt ein Mann mit einem Stapel Listen und gezücktem Stift, aus seiner Jackentasche lugt ein Bußgeldformular. Er beginnt um Ihre Anmeldung herum zu schnüffeln, leise vor sich hin murmelnd: „Oh-oh, das gefällt mir gar nicht“ – und hat schon das erste Vergehen gefunden: Da liegt ein Rezept offen einsehbar für jeden über 1,98 Körpergröße, der sich über den Tresen lehnt. „Ok, das macht 3000 Euro. Und wo ist eigentlich Ihr Datenschutzbeauftragter? Oh, Sie haben keinen? Da muss ich Ihnen ein Bußgeld von 20 Millionen Euro verpassen, da kann man leider nichts machen!“ Völlig übertrieben, denken Sie jetzt. Stimmt. Und bisher hat sich ja auch niemand spürbar um die Durchsetzung von Datenschutzgesetzen gekümmert, denken Sie weiter, schwer vorstellbar, dass sich das ändert. Das stimmt so nicht. Für eine erste realitätsnahe, aber angstfreie Annäherung an das Thema, hier die Entmythologisierung von exemplarisch fünf Datenschutz- Angstmachern:

1 Angstmacher „Datenschutzfolgeabschätzung“

Richtig ist: Wer umfangreich personenbezogene Daten im Gesundheitsbereich verarbeitet, muss in Zukunft im Rahmen einer Datenschutzfolgeabschätzung die Risiken für die betroffenen Personen erkennen und die Folgen für diese abschätzen (Art. 35 EU-DSGVO). Es ist zu dokumentieren, welche Verarbeitungsvorgänge in der Praxis welche Risiken mit sich bringen und welche Maßnahmen zur Eindämmung der Risiken und zum Schutz der Daten nötig sind. Zu den Risikofeldern in einer Arztpraxis zählt Andreas Wolf, Rechtsreferent und Datenschutzbeauftragter der Landesärztekammer Hessen, etwa die Datenübermittlung an Dritte. Man erwarte dazu bald genauere Angaben von den Aufsichtsbehörden. „Einer Datenschutzfolgeabschätzung sollte meiner Einschätzung nach zunächst die Erhebung, welche Daten verarbeitet werden – bei Ärzten in der Regel sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO – vorgelagert sein, ebenso wie die Erstellung eines Datenschutzprofils“, ergänzt Philipp Schrader von der Wiener Rechtsanwaltskanzlei Spitzauer & Partner.

Nicht zu erwarten ist: Dass diese Anforderung eine Praxis lahmlegt, weil sie nur mit höchstem Aufwand zu erfüllen ist, oder dass Datenschutzbeauftragte Praxen schließen, weil die Anmeldung baulich nicht zu 100 % den Anforderungen entspricht. Wichtig ist, dass sich der Praxisinhaber mit der Thematik auseinandersetzt und entsprechende technische und organisatorische Maßnahmen trifft. Datenschutzbeauftragte wie Wolf vergleichen den Arbeitsaufwand, den ein installiertes Datenschutzsystem verursacht, mit dem eines QM-System. Den Weg zu einem funktionierenden System sollte man jedoch nicht unterschätzen.

2 Angstmacher „Datenschutzbeauftragter“

Richtig ist: Die neue Gesetzeslage verlangt unter bestimmten Umständen einen Datenschutzbeauftragten (DSB; Artikel 37−39 EU-DSGVO). Ohne hier genauer darauf eingehen zu können: Die Wahrscheinlichkeit, dass das auf Ihre Praxis zutrifft, ist groß! Wer einen DSB haben muss, aber nicht hat, dem drohte bisher ein Bußgeld von ein paar Tausend Euro. Nach dem neuen Gesetz wird mit Sanktionen von bis zu 50.000 Euro gerechnet.

Nicht zu erwarten ist: Dass die Datenschutzbehörden ab Mai 2018 eine Praxis beim ersten Verstoß gegen diese Vorschrift mit Bußgeldern in den Ruin treiben. Anwalt Schrader betont, dass es auch die Möglichkeit einer Verwarnung durch die Behörde gibt.

3 Angstmacher „Patienteneinwilligung“

Richtig ist: Ab 25. Mai gilt das Prinzip der „Informierten Einwilligung“: Die ausdrückliche Einwilligung muss sich auf eine bestimmte Datenverarbeitung beziehen, sie muss ersichtlich werden lassen, wer die Daten in welchem Umfang wofür verarbeiten darf, sie muss in klarer und einfacher Sprache erfolgen, sie muss widerrufbar sein und freiwillig erfolgen (Art. 7 EU-DSGVO).

Nicht zu erwarten ist: Dass alle Patienten dauernd Einwilligungen unterschreiben müssen und sich in den Praxen Kartons mit entsprechenden Dokumenten stapeln. Denn die Datenverarbeitung, die sich aus der „normalen“ Gesundheitsversorgung ergibt, ist durch einen Paragraphen gedeckt (Art. 9 Abs. 2 lit. h EU-DSGVO) und benötigt keine zusätzliche Unterschrift.

4 Angstmacher „Datenübertragbarkeit“

Richtig ist: In Art. 20 EU-DSGVO wird das Recht auf Datenübertragbarkeit festgeklopft. Der Patient soll also seine Daten bei einem Dienst exportieren können und importieren. Die Praxis muss in diesem Fall die entsprechende Schnittstelle dafür einrichten.

Nicht zu erwarten ist: Dass die entsprechenden Schnittstellen tatsächlich von so vielen Ärzten und so umgehend benötigt werden, wie der große Nachhall des Themas es suggerieren könnte. Der Anspruch besteht nur, wenn die Datenverarbeitung auf Grundlage eines Vertrages oder einer Einwilligung erfolgt (Art. 20 Abs. 1 lit. a EU-DSGVO), erkärt Syndikusrechtsanwalt Wolf und nennt als Beispiele die Verwendung von Apps. Bei der „normalen“ Heilbehandlung auf Grundlage von Art. 9 Abs. 2 lit. h EU-DSGVO wird die Datenportabilität dagegen nicht relevant sein. Schrader verweist darauf, dass in Österreich die Sondersituation mit E-Card und ELGA zu beachten ist.

5 Angstmacher „Sanktionen“

Richtig ist: Nach der neuen EU-DSGVO können Bußgelder von bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4 und 5).

Nicht zu erwarten ist: Dass Datenschutzbehörden Bußgelder als alleiniges Mittel zur Verfolgung ihrer Ziele einsetzen. Bei der Festlegung der Obergrenze hatte man globale Konzerne wie Google oder Amazon im Auge, nicht die Hausarztpraxis aus dem Waldviertel. „Ich erwarte nicht, dass die Behörde zu Beginn streng sanktioniert, zumindest nicht bei geringen Verstößen“, beruhigt Schrader. Zu den Kriterien, anhand derer die Höhe der Geldbuße festgesetzt wird, zählen der Verantwortungsgrad des Arztes und die von ihm bereits getroffenen Maßnahmen genauso wie etwaige frühere Verstöße und die Zusammenarbeit mit der Aufsichtsbehörde.

Tipps zum Thema finden Sie auch auf: www.aekwien.at/datenschutzgrundverordnung