Am 25.05.2018 ist sie in Kraft getreten: die europäische Datenschutzgrundverordnung (DSGVO). Im Grunde genommen waren viele ihrer Vorschriften auch schon im alten Bundesdatenschutzgesetz (BDSG) festgeschrieben – aber viele Einrichtungen haben die Einführung der DSGVO zum Anlass genommen, ihre Strukturen und Prozesse im Datenschutz auf Vordermann zu bringen. Andere haben dies anscheinend versäumt, wie die Berichterstattung über Datenschutz-Zwischenfälle in den letzten fast 12 Monaten zeigt.
Bußgelder: Befürchtung oder Realität?
Die am häufigsten gestellte Frage: Sind sie denn nun verhängt worden, die befürchteten hohen Bußgelder, die in der DSGVO vorgesehen sind? Anders als nach dem alten BDSG können Unternehmen immerhin mit 20 Millionen Euro oder 4% des Welt-Jahresumsatzes bestraft werden.
Antwort: Ja, hohe Bußgelder wurden verhängt, auch im Gesundheitswesen – wenn auch nicht in Millionenhöhe.
Die Seite EnforcementTracker, auf der Berichte über DSGVO-Zwischenfälle gesammelt werden, listet beispielsweise einen Zwischenfall im Jahr 2019 in Baden-Württemberg auf, bei dem Gesundheitsdaten versehentlich im Netz veröffentlicht wurden. Die verantwortliche Organisation (um welche es sich handelt, ist nicht bekannt) wurde mit einem Bußgeld von immerhin 80.000 EUR belegt. Dies ist die höchste Geldstrafe für DSGVO-Verstöße im deutschen Gesundheitswesen, die auf der Seite berichtet wird.
Falsche KIS-Profile: 400.000 EUR Bußgeld
Ein Blick über die Landesgrenzen: Noch wesentlich höher fiel das Bußgeld für ein Krankenhaus in Portugal aus, in dem falsche oder veraltete Nutzerprofile den unerlaubten Zugriff auf Patientendaten ermöglichten. Das KIS verfügte über 985 ärztliche Nutzerprofile, während das Krankenhaus tatsächlich nur 296 Ärzte beschäftigte. Hierfür wurde ein hohes Bußgeld von 400.000 EUR fällig.
Billiger hingegen kam ein Krankenhaus auf Zypern weg: Hier wurden 5.000 EUR fällig, weil der zuständige Mitarbeiter der Aufforderung eines Patienten nicht nachkam, ihm eine Kopie seiner Patientenakte auszuhändigen.
Fehlermöglichkeiten im Alltag
Die deutschen Behörden sind insgesamt sparsam mit Informationen zu Datenschutz-Zwischenfällen – datensparsam, sozusagen. So sind mehrere Verstöße bekannt, die so ohne weiteres auch im Gesundheitswesen stattfinden könnten – aus welcher Branche sie tatsächlich stammen, ist nicht bekannt. In Hamburg wurde beispielsweise ein Unternehmen mit einem Bußgeld von 20.000 EUR belegt, weil es eine Datenschutzverletzung zu spät an die Behörden und die Betroffenen gemeldet hat.
Und auch Privatpersonen müssen sich an die DSGVO halten: Eine Person aus Sachsen-Anhalt, die wiederholt Massen-Emails an 131 bis 153 Empfänger geschickt hatte, in denen alle Empfänger-Adressen im Header der E-Mail sichtbar waren (d.h. im Feld „Empfänger“ oder „CC“), musste dafür 2.000 EUR zahlen.
Von wem sind Anzeigen bei Verstoß gegen die DSGVO zu erwarten? Die Berichte im Netz zeigen, dass Patientinnen und Patienten nicht davor zurückschrecken, ihre Rechte durchzusetzen und das Krankenhaus oder den Anbieter anzuzeigen. Ähnlich wie beim ehemaligen Werbeverbot für Ärzte wird möglicherweise auch der eine oder andere Kollege eine Einrichtung anzeigen – das dürfte aber eher einen geringen Anteil ausmachen. Wichtiger sind die Aufsichtsbehörden, die auch von sich aus Verstöße verfolgen. Und schließlich die berüchtigten Abmahnanwälte, die das neue Geschäftsfeld DSGVO für sich entdeckt haben.
Datenschutzbeauftragte und Datenschutz-Folgenabschätzung
Was müssen Einrichtungen im Gesundheitswesen also beachten, um nicht selbst eine Strafe aufgebrummt zu bekommen? In kleinen ärztlichen und therapeutischen Praxen bietet es sich an, dass Praxisinhaber*in erst einmal selbst den Datenschutz unter die Lupe nimmt. Hierzu gibt es einige preiswerte und praxisnahe Ratgeber in Buchform, etwa vom Bayerischen Landesamt für Datenschutzaufsicht. Bei allen allgemeinen Ratgebern muss man jedoch im Hinterkopf behalten, dass Gesundheitsdaten von der DSGVO als besonders schutzbedürftig eingestuft werden, was besondere Schutzmaßnahmen erforderlich macht.
Einrichtungen, in denen „mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind“, müssen einen Datenschutzbeauftragten benennen. Im Klartext sind das Einrichtungen mit mindestens 10 Mitarbeitern, die am Computer mit Patientendaten arbeiten. Ob der/die Praxisinhaber*in dazugezählt wird, darüber sind Behörden und andere Experten unterschiedlicher Auffassung.
Ein Datenschutzbeauftragter (DSB) kann ein fest angestellter Mitarbeiter sein – muss es aber nicht. Externe Datenschutzbeauftragte übernehmen diese Aufgabe auf Vertragsbasis. Dies hat zwei Vorteile:
1. Der/die Praxisinhaber*in hat keine Kosten und Ausfallzeiten für Datenschutz-Schulungen zu tragen.
2. Niemand aus dem Team unterliegt dem Sonder-Kündigungsschutz, der mit der Bestellung als interne Datenschutzbeauftragte einhergeht. Internen Datenschutzbeauftragten kann nicht gekündigt werden, während sie bestellt sind (außer aus schwerwiegenden Gründen, die eine fristlose Kündigung rechtfertigen), und auch nach Ende der Bestellung als DSB besteht noch für ein Jahr Kündigungsschutz.
Eine wichtige Aufgabe des Datenschutzbeauftragten – ob intern oder extern – ist es, eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO durchzuführen. Diese dient „der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen“ (mehr dazu hier).
Eine Datenschutz-Folgenabschätzung ist allerdings nicht in jeder Arztpraxis Pflicht, auch wenn Gesundheitsdaten nach DSGVO immer besonders schützenswert sind. Vielmehr hängt es davon ab, ob bei der Verarbeitung in der jeweiligen Einrichtung zu besonderen Risiken für diese Daten kommt. Ob das der Fall ist oder nicht, wird vom internen oder externen DSB beurteilt.
Dr. Christina Czeschik steht als Datenschutzbeauftragte für Arztpraxen und MVZ im Raum Rhein-Ruhr zu Verfügung.
