Wie gestern berichtet, hat sich das Unabhängige Landeszentrum für Datenschutz (ULD) über die Anforderungen der Datenschutzgrundverordnung (DSGVO) für Heilberufler geäußert. Neben den Verlautbarungen bzgl. der Informationspflichten nach Art. 13 DSGVO gibt das ULD wertvolle Tipps und Einschätzungen zur Umsetzung der sich aus der DSGVO ergebenen Pflichten ab.
Verantwortlicher und Rechtsgrundlage
Der Verantwortliche, der Praxisbetreiber, Apotheker etc., ist für die Einhaltung der gesetzlichen Regelungen verantwortlich. Auch im medizinischen Bereich bedarf die Verarbeitung personenbezogener Daten einer Rechtsgrundlage oder einer Einwilligung. Die rechtliche Grundlage findet sich in aller Regel im Behandlungsvertrag. Nicht umfasst von dem Behandlungsvertrag sind zusätzliche Dienste wie z.B. die telefonische Erinnerung an Behandlungstermine oder Vorsorgen. Hier muss der Verantwortliche eine Einwilligung des Patienten einholen.
Datenschutzbeauftragter
Die Frage, ob eine Arztpraxis, Apotheke etc. einen Datenschutzbeauftragten bestellen muss wird vom ULD auch beantwortet. Jede Praxis unterliegt der Bestellpflicht, wenn
- mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind;
- in großem Maßstab Gesundheitsdaten verarbeitet werden;
Zu den Personen, die mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind, zählen Ärzte, Apotheker, Arzthelfer, Verwaltungskräfte etc. Kurzum alle, die normalerweise Zugriff auf personenbezogene Daten haben. Aus diesem Grund werden z.B. Reinigungskräfte nicht mitberücksichtigt. Das ULD geht bei den allermeisten Praxen von keiner Verarbeitung von Gesundheitsdaten in großem Maßstab aus. Leider gibt es hier keine genaueren Angaben, ab wann denn nun der „große Maßstab“ erreicht ist. Allerdings kann der Umkehrschluss evtl. hilfreich sein. Das ULD geht davon aus, dass Krankenhäuser, Medizinische Versorgungszentren, stationäre Pflegeeinrichtungen sowie ggf. ambulante Pflegedienste Gesundheitsdaten in großem Maßstab verarbeiten.
Datenschutz-Folgenabschätzung
Auch die Pflicht, eine Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO durchzuführen wird vom ULD für die allermeisten Arztpraxen, Apotheken etc. verneint. Nach Art. 35 DSGVO ist eine DSFA immer dann erforderlich, wenn die „Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat].“ Insbesondere ist eine DSFA bei der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten erforderlich. Dies wird vom ULD für Arztpraxen und Apotheken i.d.R. jedoch nicht angenommen.
19. April 2018 @ 13:52
Da hat sich das BayLDA ungewöhnlich klar zu geäußert.
https://www.lda.bayern.de/media/muster_5_arztpraxis.pdf
Viele Grüße
IG eDSB
18. April 2018 @ 10:47
Guten Tag,
wie verhält es sich bei Gemeinschaftspraxen, die z.B. weniger als 10 Personen mit der DV betraut haben? Brauchen diese auch unter 10 Personen einen DSB?
22. April 2018 @ 9:44
Nach dem Gesetz nicht, jedoch ist es ratsam das insbesondere in Gemeinschaftspraxen jemand intern verantwortlich ist, sich um die Belange kümmert und die anderen Mitarbeiter regelmäßig aufklärt sowie die Art der Datenverarbeitung aller Systeme (Praxisverwaltungssysteme, Laborsysteme, …) im Auge behält und ein eigenes Verfahrensverzechnis schreibt.