Möglicherweise sind auch Sie, liebe Leserinnen und Leser, genauso wie ich Mitglied in einem Sportverein. Oder in einem Orchester, im Alpenverein oder im Trägerverein einer Kindertagesstätte oder… Vielleicht arbeiten Sie auch als Ehrenamtliche/r aktiv in einem Verein mit. Und vielleicht haben Sie den selben Artikel in der Welt gelesen wie ich: Die ab Ende Mai geltende neue EU-Datenschutz-Verordnung, auch unter dem Kürzel DSGVO (Datenschutz-Grundverordnung) bekannt, gilt für Aktiengesellschaften genauso wie für kleine Vereine, für Großunternehmen wie für den allein tätigen Freiberufler.
Oder anders gesagt: für alle öffentlichen wie auch nicht öffentlichen Stellen, die Informationen über eine identifizierbare natürliche Person verarbeiten. Man könnte auch sagen: für alle, die nicht nur im Privaten für Privatzwecke Daten verarbeiten, also zum Beispiel die Telefonnummer der besten Freundin im Handy speichern. Und das bringt durchaus praktische Probleme mit sich.
Da wir uns bei Serapion weniger mit Vereinsarbeit, sondern mit Gesundheitsthemen beschäftigen, stellt sich für mich die Frage:
Welche Auswirkungen hat die DSGVO auf das Gesundheitswesen?
Aber der Reihe nach. Um ansatzweise zu beleuchten, was sich hinter der DSGVO verbirgt, reicht ein Blogbeitrag sicherlich nicht aus.
Ich versuche daher einmal, relevante Aspekte zu benennen, bevor ich mir dann die Auswirkungen auf das Gesundheitswesen näher ansehe. Weitere Informationen zur DSGVO gibt es zum Beispiel beim Bundesministerium des Inneren, in einer Übersicht des Branchenverbandes BITKOM oder auch bei Wikipedia.
DSGVO – wann ist es soweit?
Die DSGVO tritt am 25. Mai 2018 in Kraft – also übernächste Woche Freitag – und es wird keine Übergangsfristen geben.
Aber… wir haben doch in Deutschland mit dem Bundesdatenschutzgesetz (kurz BDSG) bereits ein Datenschutzgesetz, warum nun also die DSGVO?
Ganz entscheidend ist, dass mit der DSGVO europaweit ein einheitlicher, verbindlicher Rechtsrahmen für die Verarbeitung von personenbezogenen Daten geschaffen und verpflichtend eingeführt wird. Da der Datenaustausch im Netz sich in Zeiten der Digitalisierung nicht an Ländergrenzen hält, ist das ein sinnvoller erster Schritt in Richtung eines einheitlichen Datenschutzes für alle Menschen.
Die DSGVO bezieht sich dabei nur auf personenbezogene Daten. Alle Daten, die nicht personenbezogen sind – dazu zählen z.B. Daten über Unternehmen oder auch einwandfrei anonymisierte Daten – fallen nicht unter die Regelungen der DSGVO.
Was sind personenbezogene Daten?
Das regelt Art. 4 DSGVO. Kurz gesagt: Alle Informationen, die sich auf eine „identifizierte oder identifizierbare natürliche Person“ beziehen. Personenbezogene Daten können also auch Angaben sein, die gar nicht einem bestimmten Personennamen zugeordnet sind. Es genügt, wenn man mit vertretbarem Aufwand den zugehörigen Namen herausfinden könnte – etwa durch Angabe einer Adresse, eines Geburtsdatums, oder von Merkmalen, die nur eine kleine Personengruppe aufweist: Etwa: „Frauen über 50, die im Postleitzahlenbereich 45127 bei der letzten Bundestagswahl die Tierschutzallianz gewählt haben“.
Ein neues BDSG
Diese Anwendbarkeit nur für personenbezogene Daten galt schon für das alte Bundesdatenschutzgesetz (BDSG), das noch bis zum 24.05.2018 (gemeinsam mit den Landesdatenschutzgesetzen) den Umgang mit unseren Daten regelt.
Übrigens: Zeitgleich mit der DSGVO tritt ein BDSG in neuer Fassung in Kraft, das auf nationaler Ebene die DSGVO konkretisiert und modifiziert. Denn die DSGVO enthält an einigen Stellen sogenannte „Öffnungsklauseln“, die es den Mitgliedstaaten ermöglichen, in gewissen Grenzen eigene nationale Regelungen zu erlassen. Und hier ist dann das (neue) BDSG mit seinen für Deutschland geltenden Regelungen ergänzend relevant.
Einige Eckpunkte und Neuerungen der DSGVO
Und was sind nun die wichtigsten Änderungen durch die neue EU-Richtlinie, auch im Vergleich zum bisher bereits in Deutschland geltenden alten Bundesdatenschutzgesetz (BDSG)?
Neben einigen neuen Begriffsdefinitionen (zum Beispiel „biometrische“ oder „genetische“ Daten) werden die Anforderungen an die informierte (!) freiwillige Einwilligung zur Verarbeitung personenbezogener Daten erhöht. Wobei dem Thema „Information“ besondere Bedeutung zukommt – der Inhalt der Einwilligungserklärung muss dem Einwilligendem klar und verständlich transportiert werden. Außerdem darf sich die Einwilligungserklärung nur auf klar definierte Zwecke beziehen. Eine Einwilligung wie „Ich bin damit einverstanden, dass die XY GmbH meine personenbezogenen Daten speichert und verarbeitet“ ist daher ungültig. Sie muss lauten: „Ich bin damit einverstanden, dass die XY GmbH meine personenbezogenen Daten speichert, um mir monatlich einen auf meine Interessen zugeschnittenen Newsletter zum Thema Nahrungsergänzungsmittel zu schicken“. Denn nur hier wird klar: Wenn die XY GmbH eines Tages keinen Newsletter mehr anbietet, oder wenn der Geschäftsbereich Nahrungsergänzungsmittel eingestellt wird, dann besteht kein Grund mehr, die Daten weiter zu speichern, und sie müssen gelöscht werden. (Siehe dazu auch weiter unten: Das Recht auf Vergessenwerden.)
Relevant im Bereich Einwilligung ist ebenso, dass der Verantwortliche (also zum Beispiel die Firma, der Arzt…) nachweisen kann, dass eine betroffene Person tatsächlich auf informierter Grundlage in die Verarbeitung ihrer Daten eingewilligt hat. Die Nachweispflicht liegt hier bei der datenverarbeitenden Stelle. Zwar ist die Schriftform nicht zwingend vorgeschrieben, ist aber empfehlenswert, um einen Nachweis in der Hand zu haben.
Informations- und Auskunftspflichten laut DSGVO
Informations- und Auskunftspflichten werden um zusätzliche Angaben erweitert, wie zum Beispiel Informationen zur Rechtsgrundlage und Angaben, auf die die Datenverarbeitung gestützt ist oder beispielsweise auch Angaben zur Dauer der Speicherung. Alle Informationen sollen dabei in einfacher, leicht verständlicher Alltagssprache und ohne Fachchinesisch erfolgen – damit der Betroffene sie unabhängig von Alter und Vorbildung versteht (das gilt übrigens, wie oben bereits erwähnt, genauso für die Einwilligungserklärung). Bei Kindern und Jugendlichen bis 16 Jahre müssen die Eltern die Einwilligung abgeben – für das eine oder andere soziale Medium sicher eine interessante Herausforderung.
(Ab wann ist eine Einverständniserklärung nicht mehr einfach verständlich? Dies wird, wie so viele bisher unklare Details der DSGVO, sicher in Zukunft noch die Gerichte beschäftigen.)
Recht auf Vergessenwerden und Meldepflichten in der DSGVO
Die Pflicht zur Löschung von Daten, also das „Recht auf Vergessenwerden“ – es heißt im Gesetz wirklich genauso – und das Widerspruchsrecht werden erweitert. Praktisch gesagt: Man kann seine Einwilligung in die Verarbeitung der eigenen Daten jederzeit und ohne Angabe von Gründen zurückziehen. Nur dann, wenn derjenige, der die Daten speichert, eigene Rechtspflichten damit erfüllen muss, kann ein Betroffener die Datenlöschung unter Umständen nicht durchsetzen – wenn etwa eine Arztpraxis damit ihre Dokumentationspflichten erfüllen muss.
Lockerer als das bisherige BDSG zeigt sich die DSGVO allerdings bei der Meldepflicht bei Datenpannen: Solche sollen zwar innerhalb von 72 h an die Aufsichtsbehörden gemeldet werden, aber nur, wenn die Datenpanne voraussichtlich „zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt„. Allerdings: Wer die Meldung verschlunzt oder anderweitig nicht gut mit den Aufsichtsbehörden zusammenarbeitet, der muss unter Umständen mit einer höheren Geldbuße rechnen als jemand, der sein Möglichstes tut, um die Situation wieder in Ordnung zu bringen (siehe unten).
Auch die Pflichten, die Firmen als Auftragsdatenverarbeiter für andere Stellen haben, werden sich ändern: im Auftragsverhältnis gelten eigene Dokumentationspflichten und gegebenenfalls eine direkte Haftung dem Betroffenen gegenüber. Und zu guter Letzt: bei Verstößen werden zukünftig drastisch höhere Geldbußen fällig werden.
Was das genau bedeuten kann? Das kommt auf die Art der Datenschutzverletzung und die genauen Umstände an. Bemessungskriterien sind nach Artikel 83 DSGVO beispielsweise Art, Schwere und Dauer des Verstosses, Vorsätzlichkeit oder Fahrlässigkeit, Zusammenarbeit mit der Aufsichtsbehörde und Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind. Es gilt: Bußgelder müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Möglich sind aber Geldbußen von bis zu 20 Millionen EUR oder bei einem global tätigen Unternehmen von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (bisher nach BDSG: maximal 300.000 EUR). Und dann gibt es neben einem Bußgeld weiterhin Haftung und Recht auf Schadensersatz nach Artikel 82 DSGVO.
Puh – mir wird immer klarer: das Thema DSGVO sollte nicht vernachlässigt werden.
Mein Hausarzt und die DSGVO
Da die DSGVO für das gesamte Gesundheitswesen extrem komplex ist, recherchiere ich „nur“, was das denn für meine Hausarztpraxis bedeuten könnte.
In meiner Hausarztpraxis sind nicht mehr als zehn Mitarbeiter ständig beschäftigt, daher musste bisher kein Datenschutzbeauftragter benannt werden. Nach der DSGVO hängt das in Zukunft aber nicht mehr von der reinen Anzahl der Mitarbeiter ab – bei der Verarbeitung von Gesundheitsdaten und anderen besonders sensiblen Daten kommt es vielmehr darauf an, ob diese in der Arztpraxis „in erheblichem Umfang“ verarbeitet werden. Wann das der Fall ist, darüber können sich Juristen trefflich streiten – und tun das auch. Aber kurz gesagt: In einer Einzelpraxis (nur eine Ärztin oder ein Arzt) muss wahrscheinlich kein Datenschutzbeauftragter benannt werden, bei mehr Ärztinnen oder Ärzten dagegen schon, unabhängig von der Anzahl der sonstigen Mitarbeiter.
Natürlich bestehen Informations- und Auskunftspflichten, denen mein Arzt nachkommen muss und die zum Beispiel durch Flyer oder Aushänge in der Praxis gelöst werden können. Hat er eine Webseite, so braucht er auch dort eine Datenschutzerklärung (bisher allerdings auch).
Viele ältere Menschen werden bei meinem Hausarzt behandelt. Das stellt sicher nochmal andere Anforderungen an die Art und die inhaltliche Vermittlung der Informationen zum Datenschutz, da alle Patientinnen und Patienten diese Informationen verstehen müssen.
Ich überlege weiter: Muss ich wohl separat eine Einwilligung geben/unterschreiben oder reicht es als Einwilligung zur Datenspeicherung aus, dass ich meine Chipkarte abgebe? Hier weiß die DSGVO Rat: In Artikel 9 wird festgelegt, dass die Verarbeitung von Gesundheitsdaten auf Basis einer Einwilligung oder zur Erfüllung medizinischer Zwecke erfolgen darf. Eine der beiden Voraussetzungen genügt also.
Mein Hausarzt hat weiterhin die Pflicht, seine Patientendatenbestände besonders zu sichern, da Gesundheitsdaten laut DSGVO (gemeinsam mit einigen anderen Klassen von Daten, etwa Angaben über Religion und sexuelle Orientierung) als besonders sensibel und schützenswert gelten. Die Weitergabe von Patientendaten über unverschlüsselte Kanäle wie etwa E-Mail, oder an/über die Server von Unternehmen, die außerhalb der EU sitzen und sich unter Umständen nicht an die DSGVO halten müssen, ist damit in Zukunft noch mehr als bisher als absolut leichtsinnig anzusehen.
Außerdem sollte ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden. Wer – was – wann – wie – auf welcher Grundlage – und wozu? Die Dokumentationspflichten, die sich aus dem DSGVO ergeben, sind umfassend. Denn als Betroffener – also in dem Fall ich als Patientin – kann ich verlangen, dass mein Arzt mir die Dokumentation nachweist.
Sollte es bei der Verarbeitung personenbezogener Daten – warum auch immer – zu Sicherheitsvorfällen, zum Beispiel durch Hacking (da gab es doch mal Probleme bei einigen Krankenhäusern…?) oder Fehlversendung eines Arztbriefes, kommen, muss mein Arzt seiner gesetzlichen Meldepflicht nachgekommen und mich als Patient in Kenntnis setzen. Allerdings nur, wenn der Vorfall zu einem hohen Risiko für meine „Rechte und Freiheiten“ führt. Wobei ich mich da direkt frage: Wer definiert das? Ist es Ansichtssache?
Es gibt also noch viel zu tun für die Gerichte.
Fazit
Was halte ich als Patientin nun von diesen Informationen zur DSGVO?
Kommt jetzt noch mehr Papierkram auf mich zu? Noch mehr Formulare, die ich unterschreiben muss. Noch mehr Informationsbroschüren, deren Erhalt ich quittieren soll. Mehr Bürokratie beim Arztbesuch also. Was gleichzeitig auch bedeuten kann, dass für medizinische Aspekte weniger Zeit bleibt. Also für Belange, die mir (noch) wichtiger wären als Patient.
Es ist nun mal so: der Tag hat nur 24 Stunden und die Woche nur sieben Tage. Sicherlich halte ich Datenschutz für extrem wichtig, gerade im sensiblen Bereich der Gesundheitsdaten. Aber ich will auch ehrlich sein: ich habe meinem Arzt auch bisher zugetraut, verantwortungsbewusst und korrekt mit meinen Gesundheitsdaten umzugehen. So viel Vertrauen ist schon da. Zum Bürokratiemonstrum für kleinere Unternehmen oder auch Praxen sollte sich die DSGVO nicht entwickeln.
Ach… Was waren das noch Zeiten, als die Dokumentation beim Arzt ausschließlich handschriftlich auf Karteikarten erfolgte – ja, ich oute mich: Ich bin schon so alt, dass sich diese computerlosen Zeiten noch kenne.
Die Umsetzung sehe ich als große Herausforderung, die aus anderen Bereichen Zeit abziehen wird – und die bestenfalls von kompetenten Fachleuten im Vorfeld begleitet wird! Denn neues Personal wird für diese Tätigkeiten nicht eingestellt werden. Was sicherlich auch damit zusammenhängt, dass die Umsetzung der DSGVO für den Arzt natürlich nicht separat honoriert werden wird. Neben der Schulung und der Verpflichtung des Personals auf Einhaltung der Vorgaben des DSGVO ist eine entsprechende technische Unterstützung, die wesentliche Aspekte automatisiert abdecken kann, und deren Implementierung absolut notwendig und sehr sinnvoll. Im Rahmen der Digitalisierung dürften hier auch Potenziale liegen. Es wird also spannend (bleiben).
Aber ich komme noch einmal zurück auf das „Recht des Vergessenswerdens“, geregelt in Art. 17 der DSGVO: wie sieht das denn dann mit meinen Gesundheitsdaten aus? Muss ich am Ende befürchten, dass Diagnosen und Behandlungsabläufe, die älter als zehn Jahre zurückliegen, gelöscht werden? Können oder sogar müssen? Obwohl ich das vielleicht gar nicht will (ohne vorher gefragt zu werden)?
Ich sehe schon: Bei meinem nächsten Arztbesuch könnten noch andere Themen als rein medizinische auf mich zukommen. Ich werde mich nach dem 25. Mai 2018 also einfach mal überraschen lassen, ob sich irgendetwas bei meinem Arzt verändert hat… Gefühlt und/oder tatsächlich.
Und zum Schluss
Abschließend noch etwas „Fachfremdes“: Auf der Website www.datenschutz-praxis.de habe ich bei meinen Recherchen einen Bericht über einen etwas kuriosen Fall gefunden, der unter anderem auch aufzeigt, wie sich BDSG und DSGVO unterscheiden. Diesen möchte ich Ihnen, liebe Leserinnen und Leser, nicht vorenthalten – er zeigt, wie die DSGVO auch einfach besser wirken kann als das alte BDSG. Viel Spaß beim Lesen!
Be the first to comment