Verarbeitung von Patienten- und Gesundheitsdaten : die neue DS-GVO
Insights

Verarbeitung von Patienten- und Gesundheitsdaten: Datenschutzgrundverordnung bringt Vielzahl neuer Regelungen

Veröffentlicht am

Die neue Datenschutzgrundverordnung des Europäischen Parlaments und des Rates (kurz DS-GVO) betrifft jeden, der personenbezogene Daten beruflich verarbeitet – auch Ärzte

Die DS-GVO tritt mit 25. Mai 2018 in Kraft und gilt in sämtlichen EU-Mitgliedsstaaten. Dies bringt einerseits den Vorteil, dass die EU ein einheitlich hohes Datenschutzniveau schafft. In Zeiten der zunehmenden Vernetzung von Informationen leistet diese auf vielen Ebenen einen wichtigen Beitrag zum Schutz der Privatsphäre.

Zum anderen bedeutet dies aber für all jene, die beruflich auf die Verarbeitung von personenbezogenen Daten angewiesen sind, eine ganze Reihe von rechtlichen Neuerungen, die es zu beachten gilt. Ganz besonders davon betroffen sind Ärzte und andere Gesundheitsberufe, für welche die automationsunterstützte Verarbeitung von Patienten- und Gesundheitsdaten nicht mehr wegzudenken ist.

Datenschutz-Compliance ist schon deshalb essentiell, weil Verstöße gegen die DS-GVO von den zuständigen Behörden mit hohen Geldstrafen belegt werden können. Je nach Datenschutzverstoß drohen Strafen bis zu 20 Mio. EUR oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem was höher ist. Auch Schadenersatzforderungen können mit Verstößen einhergehen.

 

Neue Rechte für Betroffene – neue Pflichten für Verarbeiter

Mit der neuen Rechtslage erfolgt ein Ausbau der Rechte der von Datenverarbeitungen betroffenen Personen. Das Recht auf Information und Auskunft wird beispielsweise erweitert, die Rechte auf Datenübertragbarkeit, auf Einschränkung der Verarbeitung und das Recht nicht einer automatisierten Einzelentscheidung zu unterliegen treten neu hinzu.

Außerdem wird die Verantwortung von Verarbeitern personenbezogener Daten, wozu auch Patienten- und Gesundheitsdaten als besonders geschützte Kategorie zählen, stärker betont („Accountability“): Es sind geeignete technische und organisatorische Maßnahmen zu setzten, um sicherzustellen und den Nachweis erbringen zu können, dass die Datenverarbeitung gesetzmäßig erfolgt. Ärzte trifft somit eine zur schon bestehenden ärztlichen Dokumentationspflicht hinzutretende „qualifizierte“ Dokumentationspflicht nach der DS-GVO.

Wesentliche Eckpunkte sind zudem die nach der neuen Rechtslage bestehenden Verpflichtungen zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten, zur Benennung von Datenschutzbeauftragten sowie zur Durchführung von Datenschutz-Folgenabschätzungen.

 

Verzeichnis der Verarbeitungstätigkeiten

Das von der DS-GVO vorgesehene Verzeichnis von Verarbeitungstätigkeiten ist zu führen, wenn Verarbeitungen nicht nur gelegentlich erfolgen. Dies ist bei Ärzten wohl immer der Fall. Das Verzeichnis ist schriftlich oder in elektronischer Form anzulegen und enthält insbesondere die Kontaktdaten des Verarbeiters, die Zwecke der Verarbeitungen, die Beschreibung der Kategorien betroffener Personen, die Kategorien der personenbezogenen Daten, Empfänger und Übermittlungen an Drittstaaten sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten. Das Verzeichnis ist stets aktuell zu halten und auf Anfrage der Behörde vorzulegen.

 

Benennung eines Datenschutzbeauftragten

In Österreich gab es im Gegensatz zu Deutschland bislang keine gesetzlichen Vorschriften zur Etablierung eines Datenschutzbeauftragten. Auch dies ändert sich mit der neuen Rechtslage: Unter bestimmten Voraussetzungen besteht die Verpflichtung gegenüber der Datenschutzbehörde einen Datenschutzbeauftragten zu benennen. Eine dieser Voraussetzungen ist, dass – als Kerntätigkeit – in großem Umfang sensible Daten (dazu gehören Gesundheitsdaten) verarbeitet werden. Die Verarbeitung von Patienten- und Gesundheitsdaten ist an sich als Kerntätigkeit eines Arztes zu qualifizieren, die Frage des Umfangs ist aber differenziert zu betrachten: Beispiel für eine umfangreiche Verarbeitung sind die Verarbeitung von Gesundheitsdaten und anderen personenbezogenen Daten durch ein Krankenhaus – dieses benötigt also einen Datenschutzbeauftragten. Hingegen handelt es sich bei der Verarbeitung von Gesundheitsdaten und anderen personenbezogenen Daten von Patienten durch einen einzelnen niedergelassenen Arzt regelmäßig nicht um eine „umfangreiche Datenverarbeitung“.

Letztlich ist die Frage, ob ein Datenschutzbeauftragter zu bestellen ist, immer im Einzelfall zu beurteilen. Einen Anhaltspunkt dafür bieten die in diesem Zusammenhang von der Artikel 29-Datenschutzgruppe (ein unabhängiges Beratungsgremium der EU) erarbeiteten Leitlinien.

 

Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzungen (kurz „DFA“) sind für hoch risikoreiche Verarbeitungen durchzuführen und haben im Vorfeld von geplanten bzw. bereits laufenden Verarbeitungen stattzufinden. Die DFA muss die Verarbeitung und deren Zweck darstellen und erläutern, warum die Verarbeitung für den Zweck erforderlich ist. Sodann erfolgt eine Risikobewertung. Bzw. müssen Maßnehmen erläutert werden, die zur Risikoabwehr gesetzt werden sollen.

Eine DFA ist vor allem erforderlich, wenn sogenanntes Profiling oder Tracking für bestimmte Zwecke durchgeführt wird, umfangreiche Verarbeitungen von sensiblen Daten (zB Gesundheitsdaten) erfolgt oder bei systematischer umfangreicher Überwachung öffentlicher Bereiche (zB durch Videoüberwachung).

Wie soll der Arzt nun mit Patienten- und Gesundheitsdaten umgehen?

Für Ärzte besonders maßgeblich ist somit auch hier die Frage, ab wann eine umfangreiche Verarbeitung von Gesundheitsdaten vorliegt. Wie zuvor gilt: die Verarbeitung von Patienten- und Gesundheitsdaten durch den einzelnen niedergelassenen Arzt erfüllt das Kriterium der umfangreichen Verarbeitung in der Regel nicht. Auch hier ist eine Einzelfallprüfung aber unabdingbar. Eine Orientierungshilfe wird eine von der Datenschutzbehörde noch zu erlassende Verordnung geben. Diese listet Verarbeitungen auf, welche einer DFA bedürfen („schwarze Liste“) bzw. welche einer solchen nicht bedürfen („weiße Liste“).

 

Schlussstrich

Auch wenn die praktische Umsetzung der DS-GVO einen gewissen Aufwand bedeutet, besteht kein Anlass sich vor dieser zu fürchten. Entscheidend ist, dass man eine gewisse Sensibilität für das Thema entwickelt, rechtzeitig das Bestehen von Handlungsbedarf evaluiert und noch vor dem 25. Mai 2018 die erforderlichen Umsetzungsmaßnahmen trifft.

RA Mag. Johannes Paul ist Rechtsanwalt in Salzburg (Zumtobel+Kronberger Rechtsanwälte OG) und berät schwerpunktmäßig im Datenschutzrecht. Sie erreichen ihn unter paul@eulaw.at

 

Datenschutz bei Diagnosia

Kommentare