Datenschutzverordnungsgesetz: Anwendung in der Arztpraxis

10.02.2018 | Politik


Mit einer Übergangsfrist von zwei Jahren muss die im Mai 2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO), die von der EU beschlossen wurde, mit 25. Mai 2018 umgesetzt werden. Damit kommen große Änderungen auf alle zu, die Personen-bezogene Daten verarbeiten. Bis Anfang März erhalten alle niedergelassenen Ärzte von der ÖÄK die erforderlichen Informationen.
Von Markus Dörfler*

Die neue Datenschutzgrundverordnung betrifft „jede natürliche oder juristische Person, Behörde, Einrichtung oder anderen Stelle, die personenbezogeneDaten“ verarbeitet. Damit müssen die neuen Regeln nicht nur von den Ärzten in der Ordination wahrgenommen werden, sondern auch von sämtlichen Spitälern, Unternehmen, Vereinen, Behörden und Kammern – auch von der Ärztekammer. Dabei ist es irrelevant, ob die Daten automationsunterstützt oder in Papierform verarbeiten werden. Die DSGVO umfasst sämtliche Personen-bezogene Daten. Das sind im Wesentlichen Informationen, die einer natürlichen Person zugeordnet werden können wie zum Beispiel sämtliche Informationen in der Patientenakte.

Was bedeutet das für den einzelnen Arzt? Zuerst muss der Arzt wissen und dokumentieren, welche Personen-bezogenen Daten er in der Praxis verarbeitet.Dabei muss er auch dokumentieren, wer Zugriff auf diese Daten (zumindest theoretisch) hat, wem er die Daten weitergeben wird und welche Datensicherheitsmaßnahmen er ergriffen hat. Das ist jedoch nur der erste Schritt. Schon bisher war esin gewissen Bereichen notwendig, eine Einwilligungserklärung (früher: Zustimmungserklärung) beim Patienten einzuholen. Die – schon bisher sehr strengen – Kriterien an die Einwilligungserklärung werden durch die DSGVO noch weiter verschärft. Nunmehr ist es auch zwingend notwendig, dass der Arzt einen Nachweis erbringen können muss, dass der Patient tatsächlich eine Einwilligungserklärung abgegeben hat. In vielen Fällen ist eine Einwilligungserklärung nicht notwendig. Beispielsweise benötigt der Arzt für die „normale“ Behandlung keine Einwilligungserklärung.

Auch das Auskunftsrecht wurde verschärft. Wenn der Patient es wünscht (und die formalen Voraussetzungen erfüllt), muss ihm der Arzt sämtliche Informationen bekannt geben, die er als sogenannter „Verantwortlicher“ über ihn gespeichert hat. Neu ist, dass der Verantwortliche diese Auskunft nicht nur binnen eines Monats erfüllen muss (bisher waren es acht Wochen), sondern auch, dass dieser den Prozess (nämlich wie er mit den Auskunftsbegehren umgeht) definieren muss.

Auf der technischen und organisatorischen Seite sind die Änderungen nicht weniger gravierend. Der Arzt ist (wie schon bisher) verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, sodass Personen-bezogene Daten vor unrechtmäßigem Zugriff geschützt sind. Neu ist, dass der Arzt auch sicherstellen muss, dass die Daten immer verfügbar sind. Ebenso muss der Arzt auch dokumentieren, welche Maßnahmen er in diesem Bereich ergriffen hat.

Die Datenschutzgrundverordnung definiert sehr genau, wann eine Verletzung stattgefunden hat (bereits dann, wenn ein Dritter theoretisch Zugriff haben konnte).Die Konsequenzen, die den Arzt als Verantwortlicher treffen, sind drakonisch. Er muss binnen 72 Stunden die Behörde über die Verletzung informieren; ebensomuss der Arzt auch einen Prozess implementiert haben, im Zuge dessen die jeweiligen Betroffenen über die Verletzung informiert werden. Sollte der Aufwand, den einzelnen Betroffenen zu informieren, zu hoch sein, ist der Arzt verpflichtet, die Verletzung öffentlich bekannt zu machen.
 
Die von der Aufsichtsbehörde verhängten Strafen sind äußerst unangenehm: Im schlimmsten Fall sind es bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Auch wenn die tatsächlich verhängten Strafen deutlichgeringer ausfallen, werden sie doch „abschreckend“ sein, heißt es dazu in der DSGVO.

Informationen für Ärzte

Damit alle niedergelassenen Ärzte die DSGVO in den Ordinationen selbst – und in den meisten Fällen ohne externen Berater – umsetzen könne, erhalten sie in den nächsten Wochen von der ÖÄK alle erforderlichenInformationen. Dieser Prototyp für niedergelassene Ärzte enthält die Vorlage für ein (verpflichtendes) Verzeichnisvon Verarbeitungstätigkeiten ebenso auch Vorlagen für die genannten Prozesse. Weiters liegt ein Muster einer sogenannten Auftragsverarbeiter-Vereinbarung (samt einer Erklärung, was das ist und in welchen Fällen sie benötigt wird) sowie Mustereinwilligungserklärungen vor.

Nach Erhalt des Prototypen sollte jeder Arzt und jede Ärztin prüfen, ob die vorgeschlagenen Datenanwendungen im Rahmen der Ordination vorliegen. Die meisten Datenwendungen sind selbsterklärend; komplexe Anwendungen werden erläutert. Falls notwendig können die Datenanwendungen auch an die tatsächlichen Gegebenheiten angepasst beziehungsweise einzelne Anwendungen gestrichen werden. Die weiteren Dokumente des Prototypen müssen (in den meisten Fällen) nur minimal an die tatsächlichen Gegebenheiten angepasst werden. Diese Dokumente sind abzuspeichern und bei der Prüfung durch die Behörde vorzulegen.

Weiters enthält der Prototyp auch einen Vorschlag für technische und organisatorische Maßnahmen, die notwendig sind. Die technischen Maßnahmen müssen vom IT-Betreuer umgesetzt werden. Wichtig: Bei den technischen und organisatorischen Maßnahmen handelt es sich lediglich um Vorschläge.

Offene Punkte

Bislang gibt es drei Punkte, die noch nicht vollständig geklärt sind – jedoch im Prototypen klar definiert sein werden – und eine Änderung des Arbeitsablaufes bedeuten können.

1. Wann ist eine Einwilligungserklärung des Patienten erforderlich? Im Rahmen des Prototypen werden Beispiele für die Einwilligungserklärungen für die wesentlichen Vorgänge vorgestellt werden.

2. Mit welchem Medium dürfen Informationen an andere Ärzte oder den Patienten übermittelt werden? Diese Frage ist derzeit noch offen. Im Prototypen ist beschreiben, welche Informationen mit welchem Medium übertragen werden dürfen.

3. Benötigt der Arzt einen Datenschutzbeauftragten? Diese Frage ist noch offen. Soviel steht jedoch fest: der einzelne Arzt jedenfalls nicht.
 
Da im Laufe der Zeit vermutlich noch viele Fragen auftreten werden, empfiehlt sich, diesbezüglich auf dem Laufenden zu bleiben. Der Prototyp wird sich nämlich im Laufe der Zeit aufgrund von Entscheidungen von Behörden und Gerichten noch ändern. Dies wird dazu führen, dass Dokumente angepasst werden müssen.

*) Mag. Markus Dörfler; Partner bei Höhne, In der Maur & Partner Rechtsanwälte, Wien

© Österreichische Ärztezeitung Nr. 3 / 10.02.2018