Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) sorgt auch in Hausarztpraxen für ein Umdenken in Sachen "personenbezogene Daten". Diese sollen durch die neuen Regelungen besser geschützt werden. Für Arztpraxen und Firmen bedeutet dies u. a., dass sie bei Datenpannen einer erweiterten Meldepflicht nachgehen müssen, um hohe Bußgelder zu vermeiden. Hier erfahren Sie, was Arztpraxen wissen und im Ernstfall beachten sollten.

Die neue DSGVO ist zum 25. Mai 2018 in Kraft getreten und Arztpraxen müssen seitdem dafür Sorge tragen, dass der gesetzlich vorgeschriebene Schutz der Gesundheitsdaten ihrer Patienten und die Privatsphäre von Mitarbeitern entsprechend gewährleistet ist (Der Allgemeinarzt berichtete). Die neue Verordnung nimmt bei unbefugten Datenzugriffen die betroffenen Unternehmen und Praxen noch stärker in die Pflicht. Zukünftig wird nicht nur die missbräuchliche Nutzung von persönlichen Daten, sondern auch der allzu laxe Umgang mit Datenpannen stärker geahndet. Wer bei einem Datenleck den gesetzlichen Informationspflichten nicht umgehend nachkommt, riskiert hohe Bußgelder.

Meldepflicht stark ausgeweitet

Die Möglichkeiten einer Panne mit personenbezogenen Daten sind vielfältig. Dazu gehören etwa ein Datendiebstahl durch Hacker, der Verlust eines Datenträgers oder die unbefugte Verarbeitung oder Weitergabe von sensiblen Informationen. Laut bisherigem Bundesdatenschutzgesetz besteht für solche Fälle in Deutschland eine Meldepflicht. Mit der neuen DSGVO verschärft die Europäische Union die Vorgaben deutlich. Arztpraxen und Unternehmen sollten die neuen Regelungen sehr ernst nehmen und entsprechende Vorkehrungen treffen.

Datenpanne – was ist jetzt wichtig?
Eine Meldung an die Aufsichtsbehörde muss möglichst innerhalb von 72 Stunden erfolgen. Die Frist beginnt mit Bekanntwerden des Verstoßes. Entscheidend ist die pünktliche Einreichung der Meldung. Werden nach Fristablauf weitere Details bekannt, können Verantwortliche sie im Rahmen einer weiteren Meldung nachreichen. Wer bei der Erstmeldung die 72-Stunden-Frist nicht einhalten kann, muss die Verspätung hieb- und stichfest begründen. Eine bestimmte Form schreibt die DSGVO für eine Meldung zwar nicht vor, jedoch was enthalten sein muss. Dazu gehört:
  • Art der Datenpanne: Was genau ist passiert?
  • Die ungefähre Anzahl der Datensätze
  • Welcher Personenkreis ist betroffen? (Mitarbeiter oder Patienten? Wie viele Personen?)
  • Eine Beschreibung der bereits ergriffenen Maßnahmen

Um im Ernstfall Zeit zu sparen, können Arztpraxen ein eigenes Template für die Meldung erstellen. Es sollte neben den Kontaktdaten der zuständigen Datenschutzaufsichtsbehörde auch ein Raster mit allen Pflichtangaben enthalten.

Bisher war die Meldepflicht auf besonders sensible Bereiche wie etwa Gesundheits- oder Bankdaten beschränkt. Damit ist jetzt Schluss. Künftig müssen unbefugte Zugriffe auf jede Art von personenbezogenen Informationen an die zuständige Datenschutzaufsichtsbehörde gemeldet werden – somit beispielsweise auch Adressdaten oder Fotos von Mitarbeitern. Ausgenommen sind nur Vorkommnisse, bei denen voraussichtlich kein Risiko für die persönlichen Rechte der Betroffenen besteht. So etwa, wenn die Daten auf einem verlorenen USB-Stick verschlüsselt sind und Unbefugte sie nicht nutzen können.

Wer muss informiert werden?

Kommt es tatsächlich zu einer Datenpanne, muss diese möglichst innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden (welche Informationen in der Meldung enthalten sein müssen, lesen Sie im Kasten). In besonders sensiblen Fällen müssen auch die betroffenen Personen, also i. d. R. Patienten oder Mitarbeiter, informiert werden. Voraussetzung ist, dass ein hohes Risiko für ihre Rechte und Freiheiten entsteht. Die Direktinformation muss unverzüglich erfolgen, also ohne "schuldhaftes Zögern". Der Gesetzgeber räumt betroffenen Unternehmen und Praxen damit eine Bedenkzeit ein, die entsprechend den Umständen verschieden lang ausfallen kann. Der Informationsumfang entspricht in etwa der Meldung an die Aufsichtsbehörde, wobei die Form der Datenpanne in leicht verständlicher Sprache zu beschreiben ist.

Risikoabwägung

Knackpunkt im Vorfeld jeder Meldung und Direktinformation ist die Risikoabwägung. Der Risikokatalog des Erwägungsgrundes 75 der DSGVO (https://dsgvo-gesetz.de/erwaegungsgruende/nr-75) führt eine Reihe von Datenverstößen auf, die ein potenzielles Schadensrisiko beherbergen. Hierzu gehören laut Erwägungsgrund 75 neben Gesundheitsdaten auch Daten, aus denen die rassische oder ethnische Herkunft hervorgehen, genetische Daten und solche, die z. B. die Arbeitsleistung, den Aufenthaltsort oder einen Ortswechsel betreffen. Ebenso besteht ein erhöhtes Risiko, wenn Daten von Kindern erhoben werden oder wenn die Verarbeitung einer großen Menge personenbezogener Daten und einer großen Anzahl von betroffenen Personen stattfindet. Arztpraxen sollten im Zweifel mit ihrem rechtlichen Berater abklären, wie das tatsächliche Risiko zu bewerten ist. Lässt sich die Frage nicht eindeutig klären, sollten Verantwortliche ihre Melde- und Informationspflicht vorsichtshalber erfüllen. Grundsätzlich muss jede Datenpanne sorgfältig dokumentiert werden. Es muss klar nachvollziehbar sein, wie das Datenleck entstehen konnte, welche Auswirkungen es hatte, wie die Risikoprognose zustande kam und welche Maßnahmen ergriffen wurden.

Gefahr von Datenpannen reduzieren

Arztpraxen können die Gefahr von Datenpannen deutlich reduzieren, indem sie die neuen Vorgaben der DSGVO genau einhalten. Zu den vorgeschriebenen Maßnahmen zählt etwa die Bestimmung eines Datenschutzbeauftragten. Auch wenn dieser z. B. bei kleineren Einzelarztpraxen unter Umständen nicht zwingend verpflichtend ist, so kann er doch bei vielen Aufgaben eine große Hilfe und Entlastung darstellen. Auch eine Analyse des Ist- und Sollzustandes in Sachen Datensicherheit ist wichtig. So muss jede Praxis ein sogenanntes Verzeichnis über Verarbeitungstätigkeiten erstellen. Hierbei stellen sich unter anderem folgende Fragen: Sind alle Verarbeitungsprozesse mit personenbezogenen Informationen richtig erfasst und dokumentiert? Wurden Ihre Patienten im Sinne des Transparenzgebotes informiert (z. B. durch einen Aushang in der Praxis oder Informationsblätter)? Das Ergebnis ist ein systematischer Maßnahmenplan, der alle denkbaren Sicherheitslücken umfasst. Letztendlich lebt das Thema Datenschutz von der täglichen Umsetzung in der Praxis. Hilfreich sind auch regelmäßige Schulungen. Sie sensibilisieren Praxisinhaber und deren Mitarbeiter für Risiken und vermitteln ihnen Handlungssicherheit.



Autorin:

Rebekka De Conno

Rechtsanwältin und Fachanwältin für Arbeitsrecht der Kanzlei WWS Wirtz, Walter, Schmitz und Partner mbB, Mönchengladbach



Erschienen in: Der Allgemeinarzt, 2018; 40 (11) Seite 74-77