Praxen müssen mit Kontrollen durch die Datenschutzbehörde rechnen

Die Einhaltung des Datenschutzes ist heute eine wesentliche Anforderung für den Betrieb einer Gesundheitseinrichtung. Denn gerade im medizinischen Bereich werden sensible und schützenswerte personenbezogene Daten verarbeitet.

Welche Nachweise zum Datenschutz sind dafür erforderlich?

Seit Inkrafttreten der DSGVO müssen Arztpraxen die Datenschutzvorgaben nicht nur wahren, sondern deren Einhaltung insbesondere vor der Datenschutzbehörde auch nachweisen können. In diesem Zusammenhang haben Datenschutzbehörden die Möglichkeit, Kontrollen durchzuführen. Wird bei der Überprüfung des Praxisdatenschutzmanagements festgestellt, dass der Datenschutz nicht in ausreichendem Maße eingehalten wird, ist mit erheblichen Sanktionen zu rechnen.

Grundsätzlich können Kontrollen anlasslos und anlassbezogen erfolgen. Beschwerden von Betroffenen, z.B. von Mitarbeitern oder Patienten sowie eine gemeldete Datenpanne dienen oft als Anlass. Anlasslose Kontrollen hingegen erfolgen meist in Form einer allgemeinen, Querschnittsprüfung zum Umsetzungsstand der DSGVO. Dadurch können u.a. allgemeine Handlungsbedarfe erkannt werden und gezielte Orientierungs-Leitfäden von den Behörden zur Verfügung gestellt werden. Das Bayerische Landesamt für Datenschutzaufsicht führt seit Oktober 2018 stichprobenartige Datenschutzkontrollen in Arztpraxen durch. Diese konzentrieren sich auf die Problematik der Verschlüsselungstrojaner und überprüfen, welche Schutzmaßnahmen vor Verschlüsselungstrojanern getroffen werden. Die Ärzte werden dabei mittels eines Fragebogens zum Umgang und zur Prävention von Angriffen mittels Verschlüsselungstrojaner kontrolliert.

Es ist nicht auszuschließen, dass weitere Kontrollen dieser Art auch durch andere Datenschutzbehörden stattfinden werden. Datenschutzbehörden haben dabei nicht nur die Möglichkeit, Kontrollen mittels Fragebögen vorzunehmen, sondern können grundsätzlich auch Vor-Ort-Kontrollen durchführen.

Welche Dokumentationen sind zur Erfüllung einer Informations- und Nachweispflicht erforderlich?

Um im Falle einer Prüfung der Datenschutzbehörde Sanktionen zu vermeiden und um schnell auf alle relevanten Dokumente zurückgreifen zu können, sollte das Praxisdatenschutzmanagement mindestens folgende Dokumentationen beinhalten:

• Führen eines schriftlichen oder elektronischen Verarbeitungsverzeichnisses
  In diesem sind alle Vorgänge zu erfassen, bei denen personenbezogene Daten verarbeitet werden. Hierunter fällt das Erheben, Abfragen, Ordnen, Speichern, Anpassen, Ändern, Auslesen, Weiterleiten, Löschen und Vernichten von Daten. Die Dokumentationspflicht beginnt dabei bereits beim ersten Kontakt des Patienten mit der Praxis (z.B. am Telefon oder am Empfang). Es sollte daher im Rahmen einer Arztpraxis mindestens jeweils ein Verarbeitungsverzeichnis für die Mitarbeiter- sowie Patientendatendaten vorhanden sein.
  Inhaltlich erfasst werden muss insbesondere der Zweck der Verarbeitung (z.B. ärztliche Dokumentation), die betroffene Personengruppen (z.B. Patienten, Beschäftigte), die Datenkategorien (z.B. Gesundheitsdaten, Personaldaten), die Empfängergruppen, gegenüber denen die personenbezogenen Daten offengelegt werden (z.B. Krankenkassen, Kassenärztliche Vereinigungen) und die Fristen für die Löschung (z.B. zehn Jahre).
• Eine Aufstellung der technisch-organisatorischen Maßnahmen, aus der hervorgeht, welche Maßnahmen die Praxis zum Schutz personenbezogener Daten ergreift (z.B.: Zugriffsberechtigungen auf die Daten, Passwortschutz, Verschlüsselung, Umgang mit Internet und E-Mails etc.)
• Gegebenenfalls der Nachweis, dass eine erforderliche Datenfolgeabschätzung vorgenommen worden ist, also eine Abschätzung der Folgen von Verarbeitungsvorgängen für den Schutz personenbezogener Daten. Dieser bedarf es jedoch nur, wenn aufgrund des Umfangs und des Zwecks der Datenverarbeitung ein hohes Datenschutzrisiko besteht. Als Faustregel wird derzeit davon ausgegangen, dass eine solche die Datenschutzfolgenabschätzung auslösende umfangreiche Datenverarbeitung erst bei Gemeinschaftspraxen und MVZ vorliegt, in denen mehr als vier Ärzte tätig sind.
• Weiterhin empfiehlt es sich auch, die Einhaltung der notwendigen Informationspflichten gegenüber dem Patienten stets in aktualisierter Form zu dokumentieren.
• Sofern externe Dienstleister auf Patienten- oder Mitarbeiterdaten zugreifen können, ist auch der Abschluss eines Vertrages zur Auftragsverarbeitung nachzuweisen (z.B. bei der Nutzung von Cloud-Systemen, Wartung der medizinischen Geräte durch Dritte, Anbieter von Praxisverwaltungssoftware, Praxishomepage-Hoster)
• Hinsichtlich der Einwilligungserklärungen z.B. bei der Weitergabe von Patientendaten. müssen Arztpraxen vorweisen können, dass Sie die erforderliche Anpassung an die DSGVO vorgenommen haben und der Patient insoweit darin darauf hingewiesen wird, dass sein Einverständnis freiwillig ist und jederzeit widerrufen werden kann.
• Auch ist darauf zu achten, dass der Internetauftritt der Praxis eine Datenschutzerklärung beinhaltet. Insbesondere, da Terminerinnerungen per SMS oder Patienten-Newsletter zunehmend zum Serviceangebot gehören.
• Letztlich kann auch der Nachweis der Bestellung eines Datenschutzbeauftragten notwendig sein. Dies ist der Fall, wenn in der Praxis mehr als 20 Personen die Daten regelmäßig verarbeiten oder eine Datenfolgeabschätzung vorgenommen werden muss. Aufgabe des Datenschutzbeauftragten ist es, die Einhaltung des Datenschutzes und der Datensicherheit in der Praxis zu kontrollieren und geeignete Maßnahmen festzulegen.

Folgen einer unzureichenden Dokumentation

Kann der Verantwortliche die Einhaltung der Datenschutzpflichten nicht nachweisen, geht dies als Verletzung der Nachweispflicht zu seinen Lasten, d.h. nach Art. 82 Abs. 3 DSGVO kann er sich nicht von einer Haftung befreien. Art. 82 Abs. 3 DSGVO lautet: "Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung (...) befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist."