Die Datenschutzanforderungen in Deutschland und in ganz Europa sind seit Inkrafttreten der DSGVO im Mai 2018 sehr hoch. Für Ärzte und Mitarbeiter in Arztpraxen, Gesundheitszentren und Krankenhäusern gelten sogar noch strengere Vorgaben für die Erhebung, Speicherung und Verarbeitung von Patientendaten gemäß Art. 9 Abs. 1 DSGVO i.V.m § 22 Abs. 1 Nr. 1 lit. b) BDSG.

Die hohe Bedeutung besonderer Schutzmaßnahmen bei Gesundheitsdaten wurde erst kürzlich in dem Urteil des EuGH zu dem Thema „Umgang mit Patientendaten als besonders sensible Daten“ (Urteil vom 1. August 2022, Az.: C 184/20) deutlich. Hier wurde klar, der Gesundheitssektor ist gefordert, ein besonderes, rechtskonformes Datenschutzkonzept zu erarbeiten und umzusetzen. Die üblichen Datenverarbeitungen sind in der Regel nicht ausreichend!

Was generell beachtet werden muss

Datenerhebung
Grundsätzlich ist es bei Patientendaten nur erlaubt, die Daten zu erheben, die für die spezifische Diagnostik und Behandlung notwendig sind. Dabei muss der Patient von Anfang an über die Erhebung, -verarbeitung und -speicherung seiner Daten informiert sein.

Datenweitergabe
Keinesfalls dürfen Patientendaten ohne gesonderte Prüfung weitergereicht werden: weder an Angehörige oder andere Ärzte noch an Versicherungen. Hier gilt: ohne Einwilligungserklärung keine Datenübermittlung – an niemanden!

Datenspeicherung
Die Datenspeicherung von Patientendaten erfordert, dass sie so gesichert werden, dass ein Einblick von Unbefugten ausgeschlossen ist. Als Unbefugter gilt jeder, der den Patienten nicht selbst betreut oder aber nicht für die Verarbeitung dieser Daten eingesetzt wurde. Und auch wenn jemand den Patienten betreut, darf dieser nicht sämtliche Daten vom Patienten erhalten, sondern nur diese, die für die spezifische Betreuung, für die die Person eingesetzt wurde, notwendig sind. Das gilt zum einen für die klassische handische Patientenakte, aber natürlich auch für die digitalen Informationen über die einzelnen Patienten.

Umgang mit Daten in Arztpraxis und Krankenhaus
Bereits mit Eintritt in die Praxis, Anmeldung am Empfang muss alles dafür getan werden, dass die datenschutzrechtlichen Vorgaben eingehalten werden. Das beginnt mit der Einwilligungserklärung nach Art. 13 DSGVO für die Erhebung, Speicherung und Verarbeitung der Daten. Diese muss dem Patienten ausgehändigt und dann unterschrieben werden – dies kann analog oder digital vorgenommen werden. Vor einer mündlichen Zustimmung ist aus Beweiszwecken abzuraten.
Ist die Einwilligungserklärung eingeholt, werden zumeist die ersten Daten vom Patienten eingeholt. Dabei ist das Einhalten der strengen datenschutzrechtlichen Voraussetzungen für sensible Daten für die Mitarbeitenden oftmals kein leichtes Unterfangen. Kein anderer darf Gesundheitsdaten des Patienten am Empfang „mithören“, weder vor Ort, noch über das Telefon, weder durch Schilderung des Patienten selbst, noch durch das Mithören von Gesprächen von Ärzten und oder Mitarbeiter. Schließlich muss das Praxispersonal dafür sorgen, dass der Empfang dauerhaft beaufsichtigt wird oder die Daten entsprechend weggeschlossen sind.
Hierbei ist der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 c) DSGVO zu beachten, es dürfen grundsätzlich nur solche Daten eingeholt werden, die wirklich für die entsprechende Behandlung erforderlich ist.

Schließlich sollte das Person entsprechend geschult sein, grundsätzlich zu überprüfen, ob man beim Austausch von Informationen auch tatsächlich mit dem Patienten selbst in Kontakt ist. Per Email oder am Telefon besteht das Problem der Verifizierung. Dennoch muss sichergestellt werden, dass Patientendaten niemals an Nichtberechtigte weitergegeben werden.

Besonderheit Krankenkasse:
Die Krankenkasse erhält die Daten gewöhnlich nicht vom Patienten, sondern von den Ärzten. Sie speichern eine Vielzahl von unterschiedlichen Daten ihrer Versicherten, dazu gehören Krankheitsdiagnosen und Abrechnungsbelege von verschiedenen Behandlungen – alles zu dem Zweck, die medizinische Versorgung sicherzustellen. Damit ist die Speicherung und Erhebung der Daten durch die Krankenkasse nach § 284 SGB V zulässig.
Jedoch gilt natürlich auch hier, dass nur diese Daten erhoben und gespeichert werden dürfen, die wirklich zur Gewährleistung der medizinischen Versorgung notwendig sind und,  dass die Daten dann nach § 84 Abs. 2 S. 2 SGB X gelöscht werden müssen, sobald sie nicht mehr  erforderlich sind.

Datenschutzkonforme Homepage
Wichtig ist, dass jeder Arzt, jedes Gesundheitszentrum eine individuelle, den gesetzlichen Erfordernissen angepasste Datenschutzerklärung veröffentlicht. Dabei muss diese in präziser, transparenter, verständlicher und leicht zugänglicher Form gefasst sein.
Inhalt der Datenschutzerklärung sollten sein, dass jeder Besucher der Arztpraxis über alle Vorgänge aufzuklären ist,  bei denen dessen personenbezogenen Daten verarbeitet werden. Zudem  muss jede Datenschutzerklärung den Namen und Kontaktdaten (Anschrift, E-Mail) des Homepageinhabers, des „Verantwortlichen” enthalten. Schließlich sollten, soweit vorhanden, Angaben über den Datenschutzbeauftragten gemacht werden, hierzu gehört Anschrift, Adresse, Telefonnummer. (In Gemeinschaftspraxen ab 20 Mitarbeitern – unabhängig von der Stundenanzahl  - ist dieser grundsätzlich erforderlich)
Wenn die Praxis in sozialen Medien auftritt, müssen auch hierüber spezielle Angaben in der Erklärung gemacht werden. Zudem muss auf Webformulare und Cookies hingewiesen werden.

Schließlich gehörten zur Datenschutzerklärung noch die Angaben zum Zweck, der Tatsache, ob eine gesetzliche oder vertragliche Speicherung vorgeschrieben ist und der Rechtsgrundlage für die Datenverarbeitung erfolgen. Zudem sind nach Art. 13 Abs 2 DSGVO noch folgende Angaben unerläßlich: Die Dauer der Speicherung der personenbezogenen Daten, das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und das Wiederrufsrecht, das Beschwerderecht bei der Aufsichtsbehörde, das Bestehen einer automatisierten Entscheidungsfindung.
Im Übrigen sollte auf der Homepage und Ihrem Content auf den sozialen Netzwerken auch das Verbot berufswidriger Werbung – § 27 Abs. 3 MBO-Ä beachtet werden, sowie die  Werbeverbote nach dem Heilmittelwerbegesetz – HWG und den Wettbewerbsvorschriften des UWG.

Datenschutz Folgenabschätzung
Wenn Sie Patientendaten verarbeiten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person birgt, ist eine Datenschutzfolgenabschätzung (DSFA) durchzuführen. In einer Arztpraxis kann generell von einem erhöhten Risiko ausgegangen werden, allerdings muss der Verantwortliche immer selbst entscheiden, wann voraussichtlich hohes Risiko besteht. Um diese Entscheidung zu erleichtern, wurden bei den Aufsichtsbehörden Listen mit Datenverarbeitungen erstellt, für die grundsätzlich eine Datenschutzfolgenabschätzung durchzuführen ist:
• Bei einer Analyse der Persönlichkeit                                                                     
Bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet.

• Besondere personenbezogene Daten                                                                                     
Eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (gem. Art. 9 Abs. DSGVO). Hierzu gehören immer die Gesundheitsdaten!

• Videoüberwachung

Die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche, oftmals auch für Praxisräume relevant!
Grundsätzlich ist für die Datenschutzfolgeabschätzung ein Datenschutzbeauftragter einzubeziehen.
Datenschutz-Check für Ihre Praxis
Abschließend bieten wir Ihnen folgenden Check an, mit dem Sie feststellen können, ob Sie datenschutzrechtlich alle gesetzlichen Anforderungen erfüllen.
• Sind alle Mitarbeiter in puncto Datenschutz auf dem neusten Stand?
• Haben Sie mit allen Firmen, mit denen Sie in Bezug auf Patientendaten zusammenarbeiten,  eine Auftragsdatenverarbeitervereinbarung abgeschlossen?
• Verwenden Sie eine Einwilligung gemäß Art. 13 DSGVO für die Verarbeitung der Patientendaten vor? Wird diese vor Erhebung von Daten vom Patienten ausgefüllt?s
• Werden die Daten bei Ihnen ausreichend gesichert? Digital und vor Ort (Zugangskontrollen, verschlossene Schränke, dauerhaft besetzter Empfang…)
• Haben Sie Ihre Mitarbeiter entsprechend geschult, persönliche Daten vertraulich zu erheben und sich bei Telefonaten abzusichern, dass tatsächlich der Patient in der Leitung ist?
• Haben Sie Vorsichtsmassnahmen ergriffen, damit Dritte Daten weder digital (am Bildschirm), noch analog, als Ausdruck, am Empfang mitlesen können?
• Haben Sie ein aktuelles Antivirenprogramm?
• Ist der Serverraum verschlossen, die Praxis gegen Einbrüche geschützt?
• Haben Sie für Ihre EDV eine externe Stromversorgung?
• Werden alle Passwörter regelmäßig gewechselt und Backups erstellt?
• Werden Personaldaten nach Ablauf der Aufbewahrungsfrist fachgerecht entsprechend der Datenschutzbestimmungen entsorgt? Wird dies protokolliert?
• Wurde die Datenschutzerklärung auf der Homepage rechtskonform aufgestellt?
• Haben Sie – im Falle einer Gemeinschaftspraxis mit mindestens 20 Mitarbeitern – einen Datenschutzbeauftragten?
• Überprüfen Sie, ob eine Datenschutzfolgeabschätzung im Einzelfall erforderlich ist?
Sollten Sie auch nur eine dieser Frage mit „weiss nicht“ oder „nein“ beantwortet haben, besteht dringender Nachbesserungsbedarf.
 

Schlussbetrachtung:
Die Anforderungen an Ärzte, Krankenhäuser, Gesundheitszentren und all ihre Mitarbeiter sind sehr hoch. Um den datenschutzrechtlichen Anforderungen gerecht zu werden, aber auch um Abmahnungen und Bußgelder zu vermeiden, ist hier ein regelmäßiger Check, eine Aktualisierung der entsprechenden Maßnahmen notwendig.
Wir unterstützen Sie gerne hierbei.

E-Mail-Kommunikation in Arztpraxen und im Klinikalltag ist eine Selbstverständlichkeit, die zunehmend auch Patient:innen erwarten. Wie gestaltet eine verantwortungsbewusste Arztpraxis und Klinik die Kommunikation über Gesundheitsdaten im Optimalfall?

Anlass für diesen Blogbeitrag ist ein Fall aus Schweden, der von der Datenschutzaufsichtsbehörde mit einem Bussgeld von immerhin 153.120 EUR geahndet worden ist. Das Gesundheitsamt Uppsala hatte über einen Zeitraum von etwa einem Jahr sensible personenbezogene Daten von Patient:innen und Ärzten in nicht verschlüsselter Weise per E-Mail versandt und dafür Outlook genutzt, wo die E-Mails gespeichert blieben. Dieser Versand verstieß gegen Datenschutzregelungen, weil die Daten weder verschlüsselt noch anonymisiert worden waren.

Das Amt hätte technische und organisatorische Massnahmen treffen müssen, um die Integrität und Vertraulichkeit der Daten zu gewährleisten. Zu Massnahmen dieser Art zählen insbesondere Verschlüsselung und Klassifizierung nach einem klaren Konzept sowie Vorgaben zu Art und Weise der Speicherung. Ein Anruf bei uns hätte genügt, diesen Datenschutzverstoss zu verhindern. Wir sind für Sie da!

Arztbriefe sind datenschutzrechtlich ein heißes Eisen: Einerseits enthalten sie Informationen über den Gesundheitszustand eines Patienten, die für die weiterbehandelnde Ärzteschaft, für Versicherungen und nicht zuletzt für die Patienten von Relevanz sein können. Andererseits bürokratisieren sie das Leben der Ärztinnen und Ärzte in hohem Maße. Nicht selten handelt es sich um eine lästige Pflicht, die es möglichst schnell und eben unbürokratisch zu erfüllen gilt.

Beim Versand der Arztbriefe empfehlen wir aber besondere Sorgfalt, um mögliche Datenschutzverstöße zu verhindern. So ist es Anfang 2022 (Bußgeldbescheid vom 06.05.2021, veröffentlicht am 27.01.2022) einem Unternehmen passiert, dass Arztbriefe an Unbefugte versandt wurden. Der Versand wurde mit einem Bußgeld in Höhe von 10.000 EUR belegt.

Was war passiert?
Ein Arztbrief war an jemanden versendet worden, der zwar ebenfalls ärztlich tätig war, aber in dem konkreten Fall die Patientin oder Patienten nicht als weiterbehandelnden Arzt betreut hatte.

Der Empfänger hatte den Absender des Arztbriefes auf den Irrtum hingewiesen. Daraufhin hat der Absender einen Sperrvermerk vorgenommen Nichtsdestotrotz war infolge fehlender oder unzureichender technischer und organisatorischer Maßnahmen (nach Software-Updates war der Sperrvermerk wieder verschwunden) kam es erneut zu einem Falschversand und damit zu einem weiteren Datenschutzverstoß.

Darüberhinaus hat die Datenschutzaufsichtsbehörde Hamburg erschwerend gewertet, dass der Absender des Arztbriefes teilweise keine Funktion zur Protokollierung der Zugriffe auf die Patientendaten eingerichtet hatte. Insgesamt hat der Versand des Arztbriefes enorme Konsequenzen für den Absender gehabt, was sich mit einer fundierten Datenschutzberatung im Vorfeld hätte verhindern lassen können. Der Fall zeigt: auch vermeintlich kleine Übermittlungen wie der Versand eines Arztbriefes sollte datenschutzrechtlich geprüft und richtig prozessual abgebildet sein. Wir helfen Ihnen gern dabei die Datenschutzklippen zu überwinden!

Datenschutzerklärungen haben in der DSGVO einen hohen Stellenwert: sie verhelfen im besten Fall zu Transparenz in der Datenverarbeitung und sichern den Betroffenen die Informationen zu, die sie zur Entscheidung im Sinne einer „informierten Einwilligung“ benötigen.

Seit Inkrafttreten der DSGVO haben unsere Mandanten zunehmend Energie in das Verfassen sauberer Datenschutzhinweise investiert- zu Recht: wer sich die Mühe macht, umfassende Datenschutzhinweise zu formulieren, zieht seinerseits in der Regel auch einen eigenen Benefit daraus. Wer nämlich seine Datenverarbeitung kennt und darüber informiert, hat sich einen Überblick verschafft, der nicht nur datenschutzrechtlich relevant ist, sondern auch zu Zwecken der Prozessoptimierung dienen oder zu Effizienzsteigerung genutzt werden kann.

Wer seine Datenflüsse kennt, kann Risikomanagement betreiben, die Prozesse der Datenverarbeitung einer Prüfung unterziehen und die Effizienz der Abläufe im Unternehmen steigern.

Diesen Nutzen erkennen immer mehr Mandanten und bitten uns um Unterstützung.

Für unsere Mandanten aus der Schweiz ist das zwar nicht neu, allerdings ist das schweizerische DSG nicht ganz so streng wie die DSGVO. Nach Art. 60 DSG ist ein fehlerhafter oder unvollständiger Datenschutzhinweise lediglich mit 250.000 CHF bewehrt, während die DSGVO bereits prozentuale Bußgelder ins Spiel bringt.

Dennoch kann es ein Unternehmen empfindlich treffen, wenn es wegen unrichtiger Angaben in Datenschutzhinweisen oder bei der Nutzung von Cookies zu Trackingzwecken nicht ausreichend informiert. 
Die DSGVO hat nämlich einen verhältnismäßig weiten räumlichen Anwendungsbereich. Nach Art. 3 Abs. 2 DSGVO findet sie Anwendung, wenn das Verhalten Betroffener beobachtet wird, die sich in der EU befinden. Der klassische Anwendungsfall ist hier Google-Analytics: Befindet sich ein Internetuser in Deutschland und besucht eine schweizerische Webseite dauf der Schutz der DSGVO nicht an der Grenze enden. Vielmehr sollte die schweizerische Webseite ebenfalls DSGVO-Anforderungen (etwa an die wirksame Einholung einer Einwilligung in die Nutzung von Google-Analytics) erfüllen.

Daher sind auch in der Schweiz die Formulierung von Datenschutzhinweisen und das Einholen informierter Einwilligungen sehr empfehlenswert.

Wir erledigen das für Sie. Sprechen Sie uns einfach an. 

Die Datenschutzgrundverordnung sieht die Führung eines Verzeichnisses aller datenverarbeitenden Prozesse (mit Personenbezug) für Unternehmen und sonstige Datenschutzrichtlinie Verantwortliche, die mehr als 250 Personen beschäftigen, verpflichtend vor.

Beinhalten muss es folgende Angaben:
- Namen und Kontakt des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten.
- Zwecke der Verarbeitung
- eine Beschreibung der Kategorien betroffener Personen (z.B. Beschäftigte oder Kunden) und der personenbezogenen Daten (z.B. Zahlungsdaten)
- die Kategorien von Empfängern der Daten
- ggf. Datenübermittlungen
- möglichst Löschfristen
- möglichst die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.

In einem vorangegangenen Blogbeitrag haben wir gestanden, große Fans von Verarbeitungsverzeichnissen zu sein. Der Vorteil liegt auf der Hand, wenn man sich die Pflichtinhalte oben näher ansieht.
Das Angabe dieser Inhalte in einer sog. Verfahrensmeldung, die Bestandteil des Verarbeitungsverzeichnisses wird, hilft die Verarbeitungstätigkeit genauestens zu kennen und Verantwortlichkeiten klar zuzuordnen. Auf diese Weise können Datenflüsse leichter nachvollzogen und Datenverarbeitungen schneller geclustert werden.

Dies kann ein unschätzbarer Vorteil in vielen unterschiedlichen Fällen sein.
Etwa bei der Suche nach Möglichkeiten, die Effizienz im Unternehmen zu steigern.
Oder bei der Übertragung von Unternehmensbestandteilen. Bei Asset-Deals sind IT-Anwendungen, die komplexe Datenverarbeitungen vornehmen regelmäßig Gegenstand der Übertragung. Hilfreich ist es dann, die Fachverantwortlichen mit ins Boot zu holen, um etwaige Abhängigkeiten der IT-Anwendungen und Konsequenzen der Übertragung von Unternehmensbestandteilen besser ausloten zu können. Hat man das Verzeichnis der Verarbeitungstätigkeiten von Anfang an sauber und umfassend geführt, fallen diese Schritte leicht.

Daneben bleibt der wesentliche Vorteil einer sauberen Dokumentation. Ist ein Verarbeitungsverzeichnis angelegt und gepflegt, lässt sich bei Zweifeln über die Rechtmäßigkeit der Datenverarbeitung leicht und verhältnismäßig schnell nachvollziehen, wie die Datenverarbeitung aufgestellt ist.

Dass wir uns als Rechtsanwälte daher als Fans von Verarbeitungsverzeichnissen outen, liegt also auf der Hand. Es bietet System und Überblick ohne großen Aufwand.

Nehmen Sie gerne mit uns Kontakt auf, wenn wir Sie bei der Erstellung, Führung und Pflege eines Verzeichnisses der Verarbeitungstätigkeiten unterstützen können!