Wie gestern berichtet, hat sich das Unabhängige Landeszentrum für Datenschutz (ULD) über die Anforderungen der Datenschutzgrundverordnung (DSGVO) für Heilberufler geäußert. Neben den Verlautbarungen bzgl. der Informationspflichten nach Art. 13 DSGVO gibt das ULD wertvolle Tipps und Einschätzungen zur Umsetzung der sich aus der DSGVO ergebenen Pflichten ab.

Verantwortlicher und Rechtsgrundlage

Der Verantwortliche, der Praxisbetreiber, Apotheker etc., ist für die Einhaltung der gesetzlichen Regelungen verantwortlich. Auch im medizinischen Bereich bedarf die Verarbeitung personenbezogener Daten einer Rechtsgrundlage oder einer Einwilligung. Die rechtliche Grundlage findet sich in aller Regel im Behandlungsvertrag. Nicht umfasst von dem Behandlungsvertrag sind zusätzliche Dienste wie z.B. die telefonische Erinnerung an Behandlungstermine oder Vorsorgen. Hier muss der Verantwortliche eine Einwilligung des Patienten einholen.

Datenschutzbeauftragter

Die Frage, ob eine Arztpraxis, Apotheke etc. einen Datenschutzbeauftragten bestellen muss wird vom ULD auch beantwortet. Jede Praxis unterliegt der Bestellpflicht, wenn

  1. mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind;
  2. in großem Maßstab Gesundheitsdaten verarbeitet werden;

Zu den Personen, die mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind, zählen Ärzte, Apotheker, Arzthelfer, Verwaltungskräfte etc. Kurzum alle, die normalerweise Zugriff auf personenbezogene Daten haben. Aus diesem Grund werden z.B. Reinigungskräfte nicht mitberücksichtigt. Das ULD geht bei den allermeisten Praxen von keiner Verarbeitung von Gesundheitsdaten in großem Maßstab aus. Leider gibt es hier keine genaueren Angaben, ab wann denn nun der „große Maßstab“ erreicht ist. Allerdings kann der Umkehrschluss evtl. hilfreich sein. Das ULD geht davon aus, dass Krankenhäuser, Medizinische Versorgungszentren, stationäre Pflegeeinrichtungen sowie ggf. ambulante Pflegedienste Gesundheitsdaten in großem Maßstab verarbeiten.

Datenschutz-Folgenabschätzung

Auch die Pflicht, eine Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO durchzuführen wird vom ULD für die allermeisten Arztpraxen, Apotheken etc. verneint. Nach Art. 35 DSGVO ist eine DSFA immer dann erforderlich, wenn die „Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat].“ Insbesondere ist eine DSFA bei der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten erforderlich. Dies wird vom ULD für Arztpraxen und Apotheken i.d.R. jedoch nicht angenommen.