Interview mit Dr. Bernd Schütze, Leiter der Arbeitsgruppe "Datenschutz und IT-Sicherheit im Gesundheitswesen" der deutschen Gesellschaft für Medizinische Informatik und Senior Experte Medical Data Security der Telekom.
esanum: Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DS-GVO). Was verändert sich für Patienten?
Schütze: Für Patienten ändert sich wenig. Weiterhin bestimmt grundsätzlich der Patient selbst über die Verwendung seiner Daten. Patienten erhalten zum Teil auch neue Rechte wie das Recht auf Datenübertragbarkeit nach Artikel 20 DS-GVO. Danach ist erlaubt, seine Daten von einer Arztpraxis "A" zu einer anderen Institution, zum Beispiel Krankenhaus, Facharztpraxis oder auch Facebook, elektronisch übertragen zu lassen. Wie bisher müssen Patienten bei Datenpannen informiert werden.
esanum: In welcher Weise sind Ärzte gefordert, dafür zu sorgen, dass Patienten ihre Rechte als Nutzer wahrnehmen können?
Schütze: Jeder "Verantwortliche", also der Praxisinhaber oder ein Krankenhausvorstand, muss über die geltenden Rechte wie das neue Recht auf Datenübertragung, Einsichtsrechte und das Recht auf Datenlöschung informieren. Dies erfordert, dass die Betroffenenrechte auch tatsächlich umgesetzt werden können. Es dürfen daher nur solche Systeme eingesetzt werden, die diese Rechte abbilden. Ob der Patient oder die Patientin die Rechte wahrnimmt, bleibt jedem selbst überlassen. Für Patienten ist ein Merkblatt hilfreich, auf dem auch ein Ansprechpartner für Rückfragen benannt ist.
esanum: Was gibt es bei der elektronischen Datenverarbeitung und Übermittlung zu beachten?
Schütze: Grundsätzlich darf eine Verarbeitung nur erfolgen, wenn ein sogenannter Erlaubnistatbestand vorhanden ist. Im Bereich der Patientenbehandlung ist dies in der Regel der Behandlungsvertrag, im Bereich der medizinischen Forschung nahezu immer die Einwilligungserklärung.
Weiterhin muss gemäß Artikel 32 DS-GVO die "Sicherheit der Verarbeitung" gewährleistet werden. Das heißt, die Vorgaben zur IT-Sicherheit eingehalten müssen eingehalten werden. Dies gilt insbesondere wenn die EDV-Geräte in irgendeiner Weise mit dem Internet verbunden sind. In Deutschland wird hier häufig auf den Grundschutz-Katalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verwiesen, aber natürlich existieren auch unabhängig vom BSI Empfehlungen, zum Beispiel die EN ISO 27799, welche Hinweise zur Abbildung einer angemessen IT-Sicherheit speziell im Gesundheitswesen enthält.
esanum: Ab welcher Größe müssen Arztpraxen einen Datenschutzbeauftragten bestellen?
Schütze: Hier sind zwei Anforderungen zu beachten. Artikel 37 (1c) DS-GVO fordert, dass ein Datenschutzbeauftragter bestellt werden muss, wenn eine "umfangreiche" Verarbeitung von Gesundheitsdaten stattfindet. Aber was ist "umfangreich"? Der Erwägungsrund 91 zur DS-GVO führt aus, dass die Verarbeitung personenbezogener Patientendaten nicht als umfangreich gilt, wenn deren Verarbeitung durch einen einzelnen Arzt erfolgt. Aber ob eine Praxis mit drei oder vier Ärzten als umfangreich anzusehen ist, kann wohl nur im Einzelfall entschieden werden.
§38 des ab 25. Mai 2018 geltenden Bundesdatenschutzgesetzes verlangt, dass ein Datenschutzbeauftragter bestellt werden muss, wenn "in der Regel mindestens zehn Personen" mit der automatisierten Verarbeitung von Patientendaten beschäftigt werden. Das heißt, eine Praxis mit mehr als neun Personen wird wohl einen Datenschutzbeauftragten bestellen müssen. Diese Regelung existiert aber auch schon heute.
esanum: Welche weiteren Pflichten kommen auf Arztpraxen zu?
Schütze: Viele Pflichten ähneln den bestehenden Pflichten. Für eine Praxis, die heute schon allen datenschutzrechtlichen Anforderungen genügt, ändern sich lediglich Details. Zum Beispiel gehört zu den Informationspflichten dann auch die Angabe, wie lange Patientendaten gespeichert werden. Wie bisher muss für die Wartung von IT-Systemen oder den Einsatz externer Schreibbüros ein Auftragsverarbeitungsvertrag geschlossen werden, der künftig den Anforderungen von Artikel 28 DS-GVO genügen muss.
Neu ist die Pflicht zur Datenschutz-Folgenabschätzung. Die Praxen, die auf Grund der umfangreichen Verarbeitung einen Datenschutzbeauftragten bestellen müssen, trifft in der Regel auch die Pflicht zur Datenschutz-Folgenabschätzung. Auch beinhaltet die DS-GVO einen Schadensersatz für erlittenen immateriellen Schaden; bisher kannten wir in Deutschland nur den Ersatz materiell vorhandener Schäden wie zum Beispiel den Verlust eines Arbeitsplatzes.
esanum: Was passiert bei Verstößen?
Schütze: Die Bußgelder werden drastisch erhöht. Ab dem 25. Mai 2018 sind bis zu 20 Millionen Euro oder, wenn höher, vier Prozent des Vorjahresumsatzes möglich. Ich rechne nicht damit, dass eine Aufsichtsbehörde direkt mit diesen Summen arbeitet, aber wenn bewusst und vorsätzlich gegen die rechtlichen Regelungen verstoßen wird, dann wird das Bußgeld sicherlich in einer Höhe verhangen werden, welche sehr schmerzhaft ist.
Weitere Beiträge rund um Rechtsfragen, Abrechnungsmanagement, GOÄ, IGeL, Patienten aus dem Ausland, Allergiediagnostik oder Erstattung finden Sie im esanum Praxis-Tipps Blog.