Aus dieser europäischen Verordnung und dem nationalen Recht, wie dem dann reformierten Bundesdatenschutzgesetz, ergeben sich zu beachtende datenschutzrechtliche Regelungen auch für Ärzte. Nachfolgend ist das Wichtigste in aller Kürze zusammengefasst. Weitergehende Informationen finden Sie auf unseren Internetseiten und den Internetseiten des Landesbeauftragten für den Datenschutz Sachsen-Anhalt unter den unten angegebenen Links. Als erste Orientierung wie die DSGVO im praktischen Vollzug angewendet werden sollte, haben die Datenschutzbehörden bereits eine Reihe von Kurzpapieren veröffentlicht.

In einem ersten Schritt empfiehlt sich eine Bestandaufnahme der Prozesse, in denen personenbezogene Daten verarbeitet werden. Es ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen und zu prüfen, ob für jede einzelne Verarbeitung personenbezogener Daten eine Rechtsgrundlage vorhanden ist. Dies kann neben den im Rahmen des Arzt-Patienten-Verhältnis geltenden gesetzlichen Regelungen auch die Einwilligung der Betroffenen sein. Insbesondere für Einwilligungserklärungen verwendete Muster sollten im Hinblick auf die neuen datenschutzrechtlichen Regelungen angepasst werden, da erweiterte Informationspflichten gelten und auch Hinweise zur jederzeitigen Widerrufbarkeit der Einwilligung enthalten sein müssen. Auf den Internetseiten der Datenschutzbehörde finden sich Hinweise und Muster zum zwingend zu führenden Verzeichnis der Verarbeitungstätigkeiten. Der Beschäftigtendatenschutz darf nicht vergessen werden. Die Verarbeitung personenbezogener Daten von Kindern ist besonders zu prüfen.

Es sind die Betroffenenrechte sicherzustellen. Insbesondere sind diese in einer transparenten und leicht zugänglichen Form sowie in einfacher Sprache über die Verarbeitung ihrer Daten zu informieren. Die DSGVO sieht eine Reihe weiterer Betroffenenrechte hervor, wie das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf fristgemäße Löschung der verarbeiteten Daten, das Recht auf Einschränkung der verarbeiteten Daten, das Recht auf Datenübertragbarkeit.

Die technischen und organisatorischen Maßnahmen sollen ein dem Verarbeitungsrisiko angemessene Schutzniveau gewährleisten (Schutzbedarfsklassifizierung).

Prüfen Sie den Anpassungsbedarf von bestehenden Verträgen an die neue Rechtslage, insbesondere mit Unternehmen, die in Ihrem Auftrag personenbezogene Daten verarbeiten.

Verletzungen des Datenschutzes sind innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Verfahren und Zuständigkeit sollten vorab in der Arztpraxis geregelt werden.

Die Kontaktdaten eines bestellten Datenschutzbeauftragten sind zu veröffentlichen und der Aufsichtsbehörde ebenfalls zu melden. Wo bereits nach altem Recht ein Datenschutzbeauftragter zu bestellen war, wird dies auch weiter gelten. Ob in der Einzelarztpraxis zukünftig ein Datenschutzbeauftragter bestellt werden muss, ist derzeit nicht abschließend zu beantworten. Grundsätzlich ist dies nicht der Fall, sofern nicht in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Die Benennung eines Datenschutzbeauftragten kann dann erforderlich werden, wenn zwingend eine Datenschutzfolgenabschätzung vorzunehmen ist. Sie dient der Einhaltung der datenschutzrechtlichen Vorgaben und ist zwingend, wenn die Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände oder der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Patienten zur Folge hat (z. B. bei der umfangreichen Verarbeitung genetischer Daten. Zu den Einzelheiten gibt es ebenfalls ein Kurzpapier.

Im Hinblick auf den drastisch erhöhten Bußgeldrahmen von bis zu 20.000.000 Euro kommt der Dokumentation der vorstehend genannten Pflichten und Anforderungen eine hohe Bedeutung zu, um die Einhaltung der datenschutzrechtlichen Vorgaben bei einer Kontrolle nachzuweisen.

Der Umsetzungsprozess ist auch bei den Datenschutzbehörden noch nicht abgeschlossen. Zweifelsfragen sollten im Vorfeld direkt mit der Datenschutzbehörde besprochen werden. Im Hinblick auf die Sanktionen ist dringend zu empfehlen, sich vor dem 25.05.2018 mit den datenschutzrechtlichen Anforderungen zu befassen.

Kathleen Hoffmann

http://www.aeksa.de/www/website/PublicNavigation/arzt/arztundrecht/

https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/