Datenschutz im Lichte der DSGVO: Was Apotheker und Ärzte beachten sollten!

Nachdem bereits am 06.04.2018 ein allgemeiner Abriss zur DSGVO verfasst wurde, bietet der nachfolgende Beitrag einen Schnellüberblick darüber, was Apotheker und Ärzte ab dem 25.05.2018 beachten und umsetzten müssen.

Im Wesentlichen lassen sich die erforderlichen Maßnahmen nach internen und externen unterscheiden. Interne Maßnahmen betreffen dabei all jene Maßnahmen, die innerhalb der Praxisorganisation erforderlich sind. Demgegenüber stellen externe Maßnahmen solche dar, welche im Außenverhältnis, also gegenüber dem Patienten, ergriffen werden sollten.

Zunächst haben Sie als Verantwortliche(r) zu prüfen, ob Sie auf Grundlage des Art. 37 DSGVO oder § 38 BDSG (neu) einen Datenschutzbeauftragten bestellen müssen. In jedem Fall ist ein Datenschutzbeauftragter dann zu bestellen, wenn innerhalb Ihrer Organisation mehr als zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt (dies bedeutet angestellt) sind. Als Datenschutzbeauftragten können Sie entweder einen Mitarbeiter/eine Mitarbeiterin oder einen Externer bestellen/beauftragen. Zudem haben Sie bzw. Ihr Datenschutzbeauftragter die internen Prozesse (= Verarbeitungsvorgänge) zu analysieren, bei welchen entweder elektronisch oder mittels eines Kartei(karten)systems Daten von Kunden und Patienten verarbeitet werden. Dabei ist ebenfalls zu prüfen, ob ggf. eine Datenschutzfolgenabschätzung (vgl. Art. 35 DSGVO) durchzuführen ist. Eine solche ist regelmäßig bei Gesundheitsdaten (= besondere personenbezogene Daten, Art. 9 DSGVO) vorzunehmen. Sämtliche Verarbeitungsvorgänge sind von Ihnen bzw. von Ihrem Datenschutzbeauftragten in ein Verzeichnis (sog. Verzeichnis für Verarbeitungstätigkeiten) aufzunehmen. Entsprechende Muster können Sie im Internet abgerufen. Außerdem müssen Ihre bestehenden Verträge (z. B. über Datenverarbeitung) sowie Formulare (z. B. Einwilligungserklärung) angepasst werden. Gerade bei (bestehenden) Einwilligungserklärungen ist peinlichst genau darauf zu achten, dass diese den Anforderungen an die DSGVO entsprechen und insbesondere einen Hinweis über die jederzeitige Widerruflichkeit der Einwilligung enthalten. Die Anforderungen an die Einwilligung können Sie Art. 7, 8 DSGVO entnehmen. In Fällen, in welchen bestehende Einwilligungen nicht den Anforderungen der DSGVO entsprechen, ist zu empfehlen eine neue Einwilligung einzuholen. Auch zu diesen existieren brauchbare Muster im Internet. Eine Anpassung ist u. U. auch für bereits vorhandene technische und organisatorische Maßnahmen (kurz: TOMs) erforderlich. Sofern solche noch nicht ergriffen wurden, sollten Sie entsprechende Konzepte erstellen, welche u. a. den beschränkten Zugriff Ihrer Mitarbeiter auf Daten oder Verschlüsselungsmaßnahmen beinhalten. Im Ergebnis geht es dabei darum, die Sicherheit der von Ihnen verarbeiteten Daten vor Angriffen von außen zu gewährleisten. Damit einhergehend ist es u. U. sinnvoll, Richtlinien für den internen Datenschutz zu erarbeiten. Darin können bspw. Verhaltensweisen bei der Verarbeitung von Kunden- und Patientendaten niedergelegt sowie Zugriffsrechte festgelegt werden.

Im Bereich der externen Maßnahmen ist wesentlich, dass eine Verarbeitung personenbezogener Daten nur dann rechtmäßig ist, wenn Ihnen dies durch eine Rechtsgrundlage gestattet (z. B. Art. 6 Abs. 1 b) bis f) DSGVO) oder Ihnen eine Einwilligung der betroffenen Person vorliegt. Greift eine gesetzliche Grundlage ein, ist eine Einwilligung nicht noch zusätzlich einzuholen, es sei denn, Sie begehren bspw. neben der Versorgung Ihres Kunden und Patienten auch die Übersendung eines Newsletters. In einem solchen Fall haben

Sie für die Versendung eines Newsletters eine Einwilligung einzuholen. Durch die DSGVO sind Ihnen auch umfangreiche Informationspflichten auferlegt worden (vgl. Art. 12, 13, 14 DSGVO). Insoweit haben Sie Ihre Kunden und Patienten in klarer, einfacher und präzisier Sprache sowie transparenter Form u. a. über die Kontaktmöglichkeit zum Verantwortlichen, die zu verarbeitenden Daten, möglicher Speicher- und Löschungsfristen, als aber auch über die Betroffenenrechte zu informieren. Gerade im Zusammen mit den Betroffenenrechten (vgl. Art. 12ff. DSGVO) schließt sich der Kreis, weshalb es für Sie wichtig ist das vorstehend genannte Verzeichnis über die Verarbeitungstätigkeiten zu führen. Denn die Kunden und Patienten haben u. a. nach Art. 15 DSGVO einen Anspruch auf Auskunft darüber, welche Daten Sie verarbeiten. Wird ein solcher Anspruch von einem Ihrer Kunden und Patienten geltend gemacht, so wissen Sie einerseits ganz konkret, an welchen Stellen/Prozessen welche Daten verarbeitet werden und können rasch reagieren. Innerhalb Ihrer internen Datenschutzrichtlinie, können Sie außerdem das Verfahren konkret bestimmen, welches im Falle einer Anfrage angestoßen wird, um dem Auskunftsanspruch nachzukommen. Elementar ist ab dem 25.05.2018 – sofern Sie eine Webseite betreiben –, dass Sie Ihre Datenschutzerklärung anpassen, um einer Abmahnung zu entgehen.

Der Blick soll jedoch nicht nur eingeschränkt auf das Verhältnis zu Ihren Kunden und Patienten fallen. Denn als Verantwortliche(r) haben Sie auch gegenüber der jeweiligen Aufsichtsbehörde entsprechende Pflichten. Einerseits ist Ihr Datenschutzbeauftragter – sofern Sie einen bestellen müssen oder dem freiwillig nachgekommen sind – der zuständigen Landesdatenschutzbehörde zu melden. Für die Meldung werden entsprechende Online-Formulare zur Verfügung gestellt (z. B. für Hessen abrufbar unter: https://datenschutz.hessen.de/service/benennung-eines-datenschutzbeauftragten). Außerdem besteht für Sie eine unverzügliche Meldepflicht im Falle von sogenannten Datenpannen oder Datenverstößen (vgl. Art. 33, 34 DSGVO), welcher binnen 72 Stunden nachgekommen werden muss. Neben Ihren Pflichten als Verantwortliche(r) ist es den Datenschutzbehörden möglich, von bestehenden Durchsuchungs- und Betretungsrechten Gebrauch zu machen, wobei dies aufgrund der Verschwiegenheit nur eingeschränkt möglich ist.

Verfügen Sie über Verträge mit Dritten über die Auftrags(daten)verarbeitung (z. B. EDV-Wartung, Cloud-Anbietern, Verrechnungsstellen, Lohn- und Gehaltsabrechnung durch ein Steuerberatungsbüro etc.) besteht u. U. ein Anpassungsbedarf gemäß der DSGVO. In Fällen, in welchen bisweilen noch keine Verträge geschlossen wurden, müssen Sie prüfen, ob solche nach Maßgabe von Art. 28 DSGVO geschlossen werden müssen. Entsprechende Muster für solche Verträge werden ebenfalls im Internet bereitgestellt.

Fazit: Es bleibt dabei, dass die DSGVO im Wesentlichen keine Überraschungen beinhaltet. Überwiegend sind die datenschutzrechtlichen Bestimmungen bekannt. Gleichwohl sind bestehende Prozesse ggf. anzupassen. Aktuelle Stimmen aus Politik und den Landesdatenschutzbehörden haben kürzlich gezeigt, dass – entgegen der bisherigen Annahme – nicht zwingend mit umfangreichen Kontrollen und Bußgeldern ab dem 25.05.2018 zu rechnen ist. Gleichwohl ist zu empfehlen, sich auf Grundlage der aktuellen Gesetzeslage intensiver und nachweisbarer mit dem Thema des Datenschutzes zu befassen. Seien Sie daher vorbereitet!

HFBP besser.beraten.