Sie befinden sich hier: Startseite » Mitglieder » KVS-Mitteilungen » 2018 » 06/2018 » Datenschutz

Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 muss die Datenschutz-Grundverordnung (DS-GVO) EU-weit umgesetzt werden. Die KV Sachsen, die KBV und die BÄK bieten vielfältige Unterstützung.

Wie In den KVS-Mitteilungen 04/2018 angekündigt, hat sich die KV Sachsen mit dem Sächsischen Datenschutzbeauftragten, Andreas Schurig, in Verbindung gesetzt. Von seinem Büro, das sich seit dem 25. Mai 2018 in der Devrientstraße 1 befindet, wurden einige Fragen, die sich mit den speziellen Anforderungen an Ärzte, Apotheker und Angehörige sonstiger Gesundheitsberufe befassen, beantwortet. Die Antworten beziehen sich auf Beschlüsse der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26. April 2018 und sind verkürzt wiedergegeben. Den vollständigen Brief finden Sie auf der Internetpräsenz der KV Sachsen.

Wann sind Arztpraxen zur Bestellung eines Datenschutzbeauftragten verpflichtet?

Wenn man davon ausgeht, dass in Arztpraxen in der Regel keine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO stattfindet: In diesen Fällen ist (unter Berücksichtigung von Punkt 2) dann kein Datenschutzbeauftragter zu benennen, wenn weniger als zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Wann müssen Ärzte oder Praxen eine Datenschutzfolgenabschätzung erstellen?

Eine Datenschutzfolgenabschätzung ist vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen, wenn ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist. Dies kann neben einer umfangreichen Verarbeitung (z. B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. 1 lit. c DS-GVO zu einer Benennungspflicht führt – beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen – der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als zehn Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben. Die Datenschutzbeauftragten des Bundes und der Länder konnten sich leider bislang noch nicht darauf verständigen, welche konkreten Kriterien für die unter diesem Punkt genannten herangezogen werden sollen.

Wie verhält es sich mit Ausnahmen von der ärztlichen Schweigepflicht

Auch weiterhin gibt es eine Reihe von Gesetzen, die Ausnahmen von der ärztlichen Schweigepflicht vorsehen, wobei ein erheblicher Teil dieser gesetzlichen Bestimmungen den Arzt sogar zur Meldung oder Überlassung von Patienteninformationen verpflichtet. Soweit entsprechende gesetzliche Offenbarungsbefugnisse bzw. -pflichten bestehen, ist auch weiterhin im vertragsärztlichen Bereich kein Platz für eine Einwilligung. Die Erhebung sensibler Daten auf Grundlage einer Einwilligung dürfte für öffentliche Stellen angesichts des Erwägungsgrundes 43 DSGVO auch weiterhin nur eine untergeordnete Bedeutung haben.

Wann muss die Einwilligung des Patienten eingeholt werden?

Es ist zu beachten, dass auch mit Geltung der Datenschutz-Grundverordnung zum Beispiel für die Weitergabe personenbezogener Patientendaten an ein medizinisches Labor keine individuelle Zustimmung bzw. Einwilligung der Patienten eingeholt werden muss. Die Zulässigkeit der Datenweitergabe ergibt sich aus Art. 6 Abs. 1 lit. b DS-GVO (Behandlungsvertrag) in Verbindung mit Art. 9 Abs. 2 lit. h DS-GVO (Notwendigkeit für Zwecke der medizinischen Diagnostik) sowie Art. 9 Abs. 3 DS-GVO (Verarbeitung durch medizinisches Fachpersonal im Gemeinschaftslabor). Es ist also ausreichend, wenn der behandelnde Arzt seine Patienten darüber unterrichtet. In diesem Zusammenhang rege ich allerdings an, die vom Arzt eingesetzte Patienteninformation dahingehend zu überprüfen, ob sie den inhaltlichen Anforderungen des Art. 13 DS-GVO entspricht.

Zur Umstellung auf die Datenschutz-Grundverordnung hat Ihnen die KV Sachsen diverse Informationsmaterialien bereitgestellt, die Sie für Ihre Praxis nutzen können. Das Serviceangebot umfasst neben einer Checkliste, die zusammenfasst, worauf Ärzte und Psychotherapeuten jetzt besonders achten sollten, auch Mustervorlagen für eine Patienteninformation als Praxisaushang und ein Verarbeitungsverzeichnis.

Die Kassenärztliche Bundesvereinigung KBV hat ihr umfangreiches Informationsangebot um Antworten auf aktuelle Fragen zur Datenschutz-Grundverordnung erweitert.

Die Bundesärztekammer stellt neben diversen Informationsmaterialien auch ein Dokument mit Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis zum Download zur Verfügung.

Informationen und Downloads
www.kvsachsen.de > Aktuelles und Mitglieder > Arbeiten als Arzt > Datenschutzrecht
www.kbv.de  > Service > Service für die Praxis > Datenschutz
www.baek.de  > Recht > Aktuelle rechtliche Themen > Datenschutzrecht
 
                        – Nach Informationen des Sächsischen Datenschutzbeauftragten/ÖA/pfl –
 

Schreiben des Sächsischen Datenschutzbeauftragten vom 4. Mai 2018 an die KV Sachsen

Dresden, 4. Mai 2018

Fragen zur Umsetzung der DSGVO

Sehr geehrter Herr Kaminsky,

ich nehme Bezug auf Ihre Anfrage vom 23. April 2018.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat am 26. April 2018 Folgendes beschlossen:

Datenschutzbeauftragten-Bestellpflicht nach Artikel 37 Abs. 1 lit. C Datenschutz-Grundverordnung bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs

  1. Betreibt ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs. eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen und sind dort einschließlich seiner Person in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, besteht eine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB).
  2. Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gemeinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, ist in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art 37 Abs. 1 lit. c DS-GVO auszugehen — in diesen Fällen ist unter Berücksichtigung von Punkt 3 dann kein DSB zu benennen, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.
  3. Bei Ärzten, Apothekern oder sonstigen Angehörigen eines Gesundheitsberufs, die zu mehreren in einer Berufsausübungsgemeinschaft (Praxisgemeinschaft) bzw. Gerneinschaftspraxis zusammengeschlossen sind oder die ihrerseits weitere Ärzte, Apotheker bzw. sonstige Angehörige eines Gesundheitsberufs beschäftigt haben, bei denen ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist, ist eine Datenschutzfolgenabschätzung vorgeschrieben und damit zwingend ein Datenschutzbeauftragter zu benennen. Dies kann neben einer umfangreichen Verarbeitung (z.B. große Praxisgemeinschaften), die ohnehin nach Art. 37 Abs. I lit. c DS-GVO zu einer Benennungspflicht führt, beispielsweise beim Einsatz von neuen Technologien, die ein hohes Risiko mit sich bringen, der Fall sein. Der Datenschutzbeauftragte ist damit auch dann zu benennen, wenn weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben.
  4. Der Begriff „Gesundheitsberur ist im Sinne der Aufzählung nach § 203 Abs. 1 StGB auszulegen und umfasst die in § 203 Abs. 1 Nr. I, 2, 4 und 5 StGB aufgezählten Berufsbilder. Die Datenschutzbeauftragten des Bundes und der Länder konnten sich leider bislang noch nicht darauf verständigen, welche konkreten Kriterien für die unter 3. genannten Fälle - ausnahmsweise Bestellpflicht auch bei weniger als zehn Mitarbeitern - herangezogen werden sollen.

Ich stimme Ihnen zu, dass auch weiterhin eine Reihe von Gesetzen Ausnahmen von der ärztlichen Schweigepflicht vorsehen, wobei ein erheblicher Teil dieser gesetzlichen Bestimmungen den Arzt sogar zur Meldung oder Überlassung von Patienteninformationen verpflichtet. Soweit entsprechende gesetzliche Offenbarungsbefugnisse bzw. —pflichten bestehen, ist — auch weiterhin— im vertragsärztlichen Bereich kein Platz für eine Einwilligung.

Die Erhebung sensibler Daten auf Grundlage einer Einwilligung dürfte für öffentliche Stellen angesichts des Erwägungsgrundes 43 DSGVO auch weiterhin nur eine untergeordnete Bedeutung haben.

Es ist zu beachten, dass auch mit Geltung der Datenschutz-Grundverordnung (DS-GVO) ab dem 25. Mai 2018 zum Beispiel für die Weitergabe personenbezogener Patientendaten an ein medizinisches Labor keine individuelle Zustimmung bzw. Einwilligung der Patienten eingeholt werden muss. Die Zulässigkeit der Datenweitergabe ergibt sich aus Art. 6 Abs. 1 lit. b DS-GVO (Behandlungsvertrag) in Verbindung mit Art. 9 Abs. 2 lit. h DS-GVO (Notwendigkeit für Zwecke der medizinischen Diagnostik) sowie Art. 9 Abs. 3 DS-GVO (Verarbeitung durch medizinisches Fachpersonal im Gemeinschaftslabor).

Es ist also ausreichend, wenn der behandelnde Arzt seine Patienten darüber unterrichtet. In diesem Zusammenhang rege ich allerdings an, die vom Arzt eingesetzte Patienteninformation
dahingehend zu überprüfen, ob sie den inhaltlichen Anforderungen des Art. 13 DS-GVO entspricht. Ggfs. erforderliche Ergänzungen müssten bis zum 25. Mai 2018 vorgenommen werden.
Zu den weiteren von Ihnen aufgeworfenen Fragen möchte ich Sie darauf hinweisen, dass die Bundesärztekammer umfassende Informationsmedien („Datenschutz-Check-2018" und insbesondere „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis"), die bereits mit Blick auf die künftige Europäische Datenschutzgrundverordnung aktualisiert wurden, zum Abruf anbietet, auf die ich anfragende Arztpraxen sowie sonstige Unternehmen entsprechender Gesundheitsberufe regelmäßig verweise.

In dieser Ausarbeitung wird ebenfalls anschaulich dargestellt (siehe unter 3.4.1 ff), dass im Rahmen der Behandlung die Datenverarbeitung in der Arztpraxis in den meisten Fällen durch eine gesetzliche Grundlage legitimiert werden kann und daher eine Einwilligung nicht eingeholt werden muss.

Die Informationsmedien der Bundesärztekammer geben aus meiner Sicht auch Auskunft zu den von Ihnen gestellten Fragen.

Sehr geehrter Herr Kaminsky, bitte haben Sie Verständnis dafür, dass mich der aktuell gewaltige Geschäftsanfall im Hinblick auf die anstehende DS-GVO in Verbindung damit, dass mir bislang jedwede personelle Verstärkung hierfür verwehrt worden ist, sowie des Umstands, dass meine Behörde derzeit aufgrund der vom Landtag nunmehr beschlossen Errichtung als eigenständige oberste Staatsbehörde und der damit verbundenen notwendigen

Neuorganisation dazu zwingt, mich meist auf Hinweise zu Veröffentlichungen beschränken zu müssen.

Mit freundlichen Grüßen

Im Auftrag
Kuchler
Referatsleiterin