Daten­schutz­ver­ord­nungs­ge­setz: Anwen­dung in der Arztpraxis

10.02.2018 | Poli­tik


Mit einer Über­gangs­frist von zwei Jah­ren muss die im Mai 2016 in Kraft getre­tene Daten­schutz­grund­ver­ord­nung (DSGVO), die von der EU beschlos­sen wurde, mit 25. Mai 2018 umge­setzt wer­den. Damit kom­men große Ände­run­gen auf alle zu, die Per­­so­­nen-bezo­­gene Daten ver­ar­bei­ten. Bis Anfang März erhal­ten alle nie­der­ge­las­se­nen Ärzte von der ÖÄK die erfor­der­li­chen Infor­ma­tio­nen.
Von Mar­kus Dörfler*

Die neue Daten­schutz­grund­ver­ord­nung betrifft „jede natür­li­che oder juris­ti­sche Per­son, Behörde, Ein­rich­tung oder ande­ren Stelle, die per­so­nen­be­zo­ge­ne­Da­ten“ ver­ar­bei­tet. Damit müs­sen die neuen Regeln nicht nur von den Ärz­ten in der Ordi­na­tion wahr­ge­nom­men wer­den, son­dern auch von sämt­li­chen Spi­tä­lern, Unter­neh­men, Ver­ei­nen, Behör­den und Kam­mern – auch von der Ärz­te­kam­mer. Dabei ist es irrele­vant, ob die Daten auto­ma­ti­ons­un­ter­stützt oder in Papier­form ver­ar­bei­ten wer­den. Die DSGVO umfasst sämt­li­che Per­­so­­nen-bezo­­gene Daten. Das sind im Wesent­li­chen Infor­ma­tio­nen, die einer natür­li­chen Per­son zuge­ord­net wer­den kön­nen wie zum Bei­spiel sämt­li­che Infor­ma­tio­nen in der Patientenakte.

Was bedeu­tet das für den ein­zel­nen Arzt? Zuerst muss der Arzt wis­sen und doku­men­tie­ren, wel­che Per­­so­­nen-bezo­­ge­­nen Daten er in der Pra­xis verarbeitet.Dabei muss er auch doku­men­tie­ren, wer Zugriff auf diese Daten (zumin­dest theo­re­tisch) hat, wem er die Daten wei­ter­ge­ben wird und wel­che Daten­si­cher­heits­maß­nah­men er ergrif­fen hat. Das ist jedoch nur der erste Schritt. Schon bis­her war esin gewis­sen Berei­chen not­wen­dig, eine Ein­wil­li­gungs­er­klä­rung (frü­her: Zustim­mungs­er­klä­rung) beim Pati­en­ten ein­zu­ho­len. Die – schon bis­her sehr stren­gen – Kri­te­rien an die Ein­wil­li­gungs­er­klä­rung wer­den durch die DSGVO noch wei­ter ver­schärft. Nun­mehr ist es auch zwin­gend not­wen­dig, dass der Arzt einen Nach­weis erbrin­gen kön­nen muss, dass der Pati­ent tat­säch­lich eine Ein­wil­li­gungs­er­klä­rung abge­ge­ben hat. In vie­len Fäl­len ist eine Ein­wil­li­gungs­er­klä­rung nicht not­wen­dig. Bei­spiels­weise benö­tigt der Arzt für die „nor­male“ Behand­lung keine Einwilligungserklärung.

Auch das Aus­kunfts­recht wurde ver­schärft. Wenn der Pati­ent es wünscht (und die for­ma­len Vor­aus­set­zun­gen erfüllt), muss ihm der Arzt sämt­li­che Infor­ma­tio­nen bekannt geben, die er als soge­nann­ter „Ver­ant­wort­li­cher“ über ihn gespei­chert hat. Neu ist, dass der Ver­ant­wort­li­che diese Aus­kunft nicht nur bin­nen eines Monats erfül­len muss (bis­her waren es acht Wochen), son­dern auch, dass die­ser den Pro­zess (näm­lich wie er mit den Aus­kunfts­be­geh­ren umgeht) defi­nie­ren muss.

Auf der tech­ni­schen und orga­ni­sa­to­ri­schen Seite sind die Ände­run­gen nicht weni­ger gra­vie­rend. Der Arzt ist (wie schon bis­her) ver­pflich­tet, tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu ergrei­fen, sodass Per­­so­­nen-bezo­­gene Daten vor unrecht­mä­ßi­gem Zugriff geschützt sind. Neu ist, dass der Arzt auch sicher­stel­len muss, dass die Daten immer ver­füg­bar sind. Ebenso muss der Arzt auch doku­men­tie­ren, wel­che Maß­nah­men er in die­sem Bereich ergrif­fen hat.

Die Daten­schutz­grund­ver­ord­nung defi­niert sehr genau, wann eine Ver­let­zung statt­ge­fun­den hat (bereits dann, wenn ein Drit­ter theo­re­tisch Zugriff haben konnte).Die Kon­se­quen­zen, die den Arzt als Ver­ant­wort­li­cher tref­fen, sind dra­ko­nisch. Er muss bin­nen 72 Stun­den die Behörde über die Ver­let­zung infor­mie­ren; eben­so­muss der Arzt auch einen Pro­zess imple­men­tiert haben, im Zuge des­sen die jewei­li­gen Betrof­fe­nen über die Ver­let­zung infor­miert wer­den. Sollte der Auf­wand, den ein­zel­nen Betrof­fe­nen zu infor­mie­ren, zu hoch sein, ist der Arzt ver­pflich­tet, die Ver­let­zung öffent­lich bekannt zu machen.
 
Die von der Auf­sichts­be­hörde ver­häng­ten Stra­fen sind äußerst unan­ge­nehm: Im schlimms­ten Fall sind es bis zu 20 Mil­lio­nen Euro oder vier Pro­zent des welt­wei­ten Jah­res­um­sat­zes. Auch wenn die tat­säch­lich ver­häng­ten Stra­fen deut­lich­ge­rin­ger aus­fal­len, wer­den sie doch „abschre­ckend“ sein, heißt es dazu in der DSGVO.

Infor­ma­tio­nen für Ärzte

Damit alle nie­der­ge­las­se­nen Ärzte die DSGVO in den Ordi­na­tio­nen selbst – und in den meis­ten Fäl­len ohne exter­nen Bera­ter – umset­zen könne, erhal­ten sie in den nächs­ten Wochen von der ÖÄK alle erfor­der­li­chen­In­for­ma­tio­nen. Die­ser Pro­to­typ für nie­der­ge­las­sene Ärzte ent­hält die Vor­lage für ein (ver­pflich­ten­des) Ver­zeich­nis­von Ver­ar­bei­tungs­tä­tig­kei­ten ebenso auch Vor­la­gen für die genann­ten Pro­zesse. Wei­ters liegt ein Mus­ter einer soge­nann­ten Auf­­­trags­­­ver­­ar­­bei­­ter-Ver­­ein­­ba­­rung (samt einer Erklä­rung, was das ist und in wel­chen Fäl­len sie benö­tigt wird) sowie Mus­ter­ein­wil­li­gungs­er­klä­run­gen vor.

Nach Erhalt des Pro­to­ty­pen sollte jeder Arzt und jede Ärz­tin prü­fen, ob die vor­ge­schla­ge­nen Daten­an­wen­dun­gen im Rah­men der Ordi­na­tion vor­lie­gen. Die meis­ten Daten­wen­dun­gen sind selbst­er­klä­rend; kom­plexe Anwen­dun­gen wer­den erläu­tert. Falls not­wen­dig kön­nen die Daten­an­wen­dun­gen auch an die tat­säch­li­chen Gege­ben­hei­ten ange­passt bezie­hungs­weise ein­zelne Anwen­dun­gen gestri­chen wer­den. Die wei­te­ren Doku­mente des Pro­to­ty­pen müs­sen (in den meis­ten Fäl­len) nur mini­mal an die tat­säch­li­chen Gege­ben­hei­ten ange­passt wer­den. Diese Doku­mente sind abzu­spei­chern und bei der Prü­fung durch die Behörde vorzulegen.

Wei­ters ent­hält der Pro­to­typ auch einen Vor­schlag für tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, die not­wen­dig sind. Die tech­ni­schen Maß­nah­men müs­sen vom IT-Betreuer umge­setzt wer­den. Wich­tig: Bei den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men han­delt es sich ledig­lich um Vorschläge.

Offene Punkte

Bis­lang gibt es drei Punkte, die noch nicht voll­stän­dig geklärt sind – jedoch im Pro­to­ty­pen klar defi­niert sein wer­den – und eine Ände­rung des Arbeits­ab­lau­fes bedeu­ten können.

1. Wann ist eine Ein­wil­li­gungs­er­klä­rung des Pati­en­ten erfor­der­lich? Im Rah­men des Pro­to­ty­pen wer­den Bei­spiele für die Ein­wil­li­gungs­er­klä­run­gen für die wesent­li­chen Vor­gänge vor­ge­stellt werden.

2. Mit wel­chem Medium dür­fen Infor­ma­tio­nen an andere Ärzte oder den Pati­en­ten über­mit­telt wer­den? Diese Frage ist der­zeit noch offen. Im Pro­to­ty­pen ist beschrei­ben, wel­che Infor­ma­tio­nen mit wel­chem Medium über­tra­gen wer­den dürfen.

3. Benö­tigt der Arzt einen Daten­schutz­be­auf­trag­ten? Diese Frage ist noch offen. Soviel steht jedoch fest: der ein­zelne Arzt jeden­falls nicht.
 
Da im Laufe der Zeit ver­mut­lich noch viele Fra­gen auf­tre­ten wer­den, emp­fiehlt sich, dies­be­züg­lich auf dem Lau­fen­den zu blei­ben. Der Pro­to­typ wird sich näm­lich im Laufe der Zeit auf­grund von Ent­schei­dun­gen von Behör­den und Gerich­ten noch ändern. Dies wird dazu füh­ren, dass Doku­mente ange­passt wer­den müssen.

*) Mag. Mar­kus Dörf­ler; Part­ner bei Höhne, In der Maur & Part­ner Rechts­an­wälte, Wien 

© Öster­rei­chi­sche Ärz­te­zei­tung Nr. 3 /​10.02.2018