Motiv Header Aktuelles Rechtsanwälte Wienke & Becker Köln

Aktuelles

Aktuelles aus dem Medizinrecht

  • 20.12.2019 | Das Ende des Datenschutzbeauftragen (2) – Ja, aber!
  • Erst vor wenigen Wochen, am 26.11.2019, ist die Änderung einer zentralen Vorschrift des Bundesdatenschutzgesetzes (BDSG) in Kraft getreten. § 38 Abs. 1 S. 1 BDSG sieht nun vor, dass ein Datenschutzbeauftragter für ein Unternehmen bestellt werden muss, wenn das Un-ternehmen „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbei-tung personenbezogener Daten“ beschäftigt. In der alten Fassung schrieb das Gesetz noch eine Anzahl von mindestens 10 Personen vor. Die Änderung der Norm war eine von vielen Seiten erwartete Antwort auf die Kritik, die Berufung des Datenschutzbeauftragten stelle für Unternehmen mit geringer Personenstärke einen übermäßigen Bürokratieaufwand dar. (vgl. dazu auch den Beitrag „Das Ende des Datenschutzbeauftragten“ in den HNO-Mitteilungen 5/2019, S. 304 ff).

    Für die Unternehmen mit mehr als 10, aber weniger als 20 Beschäftigten mit Bezug zur Da-tenverarbeitung ist mit der Gesetzesänderung zum 26.11.2019 die gesetzliche Verpflichtung zur Bestellung bzw. Benennung eines Datenschutzbeauftragten weggefallen – jedenfalls die aus § 38 Abs. 1 Satz 1 BDSG. Denn auch an anderer Stelle lauern gesetzliche Verpflichtungen, einen Datenschutzbeauftragten zu bestellen! Und dies dürfte künftig insbesondere auch für Arztpraxen relevant werden.

    Datenschutz-Folgenabschätzung bei hohem Risiko für die Rechte der Patienten

    Ein Datenschutzbeauftragter muss gemäß § 38 Abs. 1 Satz 2 BDSG nämlich insbesondere auch dann benannt werden, wenn die in dem Unternehmen vorgenommenen Datenverarbeitungen eine sog. „Datenschutz-Folgenabschätzung“ erforderlich machen – unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen. Eine Datenschutz-Folgenabschätzung dient der Bewertung von Risiken und deren möglichen Folgen der Datenverarbeitung im Hinblick auf die persönlichen Rechte der Betroffenen.

    Doch wann genau bedarf es einer solchen Datenschutz-Folgenabschätzung? Gemäß Art. 35 Datenschutzgrundverordnung (DSGVO) ist diese erforderlich, wenn die Form der Datenverarbeitung ein hohes Risiko für die Rechte des Betroffenen birgt. Dies ist insbesondere dann der Fall, wenn eine „umfangreiche Verarbeitung“ u.a. von Gesundheitsdaten vorgenommen wird.

    Umfangreiche Verarbeitung von Gesundheitsdaten

    Gesundheitsdaten werden in Arztpraxen jeden Tag verarbeitet – schon allein das Führen einer Patientenkartei stellt eine Datenverarbeitung im Sinne der DSGVO dar. Doch ab wann ist die Grenze zu einer „umfangreichen“ Datenverarbeitung im Sinne der DSGVO überschritten?

    In den Erwägungsgründen zur DSGVO hat der Verordnungsgeber festgehalten, dass es sich jedenfalls dann nicht um eine „umfangreiche“ Verarbeitung personenbezogener Daten handeln soll, wenn diese durch einen „einzelnen Arzt“ erfolgt. Die Bundesärztekammer hat in ihren Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis näher konkretisiert, dass es stets einer Prüfung im Einzelfall bedürfe. Es komme insbesondere auf die Zahl der Patienten, die verarbeitete Datenmenge und die Dauer der Verarbeitung an. Bei einzelnen Ärzten und kleinen organisatorischen Praxisgemeinschaften mit getrennter Datenhaltung, in denen die Behandlung durch jeden Arzt faktisch „einzeln“ erfolge, sei die Schwelle der umfangreichen Datenverarbeitung in der Regel nicht überschritten.

    Datenschutzbeauftragter für die Videosprechstunde

    Doch die Zahl der kleinen Arztpraxen, in denen ein Datenschutzbeauftragter benannt werden muss, könnte angesichts der wachsenden Möglichkeiten im Bereich der Telemedizin bald steigen – insbesondere seit Einführung der Videosprechstunde und der in vielen Ländern nun zulässigen ausschließlichen Fernbehandlungen.

    Im Rahmen der Telemedizin kommt es durch Fernbehandlungen und Videosprechstunden zwangsläufig zu einem erhöhten Datenaustausch mit dem Patienten. Denn bei dieser Form der ärztlichen Versorgung und Therapie werden verschiedene Medien genutzt, um die Gesundheitsdaten des Patienten nicht nur zu speichern, sondern auch zu übermitteln, zu prüfen und zu verifizieren. Dabei durchlaufen die Gesundheitsdaten des Patienten erheblich mehr Verarbeitungsschritte als z.B. beim Führen einer Patientenkartei. Darüber hinaus erfolgt die Datenübermittlung im Rahmen der Telemedizin teilweise auch über externe Dienstleister. Deshalb ist davon auszugehen, dass Fernbehandlungen und Videosprechstunden erhöhte Risiken für die Rechte der Patienten bergen und diese auch regelmäßig mit einer „umfangreichen“ Verarbeitung von Gesundheitsdaten im Sinne der DSGVO einhergehen.

    Nach den bereits genannten gesetzlichen Regelungen des BDSG und der DSGVO hat das für Arztpraxen, die Fernbehandlungen und Videosprechstunden anbieten, zur Folge, dass diese eine Datenschutz-Folgenabschätzung vornehmen und damit auch einen Datenschutzbeauftragten benennen müssen – unabhängig von der Anzahl ihrer Praxismitarbeiter mit Bezug zur Datenverarbeitung.

    Fazit

    Ein Datenschutzbeauftragter muss in einer Arztpraxis unabhängig von der Anzahl der Beschäftigten immer auch dann benannt werden, wenn dort eine „umfangreiche“ Verarbeitung von Gesundheitsdaten mit erhöhten Risiken für die Patienten vorgenommen wird, die eine Datenschutz-Folgenabwägung erfordert. Mangels konkreter Schwellenwerte ist für den Einzelfall abzuschätzen, ob die Gesundheitsdaten der Patienten erhöhten Risiken ausgesetzt sind, weil es sich um eine „umfangreiche“ Datenverarbeitung handelt. Kriterien bei der Überprüfung sind insbesondere die Zahl der Patienten, die verarbeitete Datenmenge und die Dauer der Verarbeitung. Bei Fernbehandlungen und Videosprechstunden unter Einsatz verschiedener Medien und einer etwaigen Datenübermittlung über Dienste Dritter wird in der Regel ein erhöhtes Risiko für die Gesundheitsdaten der Patienten anzunehmen sein. Dann muss eine Datenschutz-Folgeabschätzung durchgeführt und ein Datenschutzbeauftragter benannt werden.

    Auch die Kassenärztliche Bundesvereinigung (KBV) sieht in dieser Frage offenbar Handlungsbedarf. Angesichts der bisher schlechten Vergütung der Videosprechstunde und nun zusätzlicher administrativer Kosten dürfte die Akzeptanz und Umsetzung der Videosprechstunde ohnehin zurückhaltend ausfallen. Insoweit ist die KBV bemüht, eine ergänzende gesetzliche Regelung durchzusetzen, die es gewährleistet, dass Videosprechstunden auch zukünftig nicht von einer Datenschutz-Folgeabschätzung abhängig sind und daher jedenfalls bei kleinen Praxen der Datenschutzbeauftragte auf Dauer entfallen kann.


    Ungeachtet dessen nutzen viele Ärzte die Möglichkeiten der Fernbehandlung und Videosprechstunde derzeit nur zurückhaltend oder noch gar nicht. Es bleibt abzuwarten, ob die nun hinzutretenden datenschutzrechtlichen Hürden die Akzeptanz und Attraktivität der Telemedizin weiter ausbremsen.

    Köln, Dezember 2019

 
WIENKE & BECKER - RECHTSANWÄLTE KÖLN Sachsenring 6 50677 Köln Tel: 0221 / 3765 30 Fax: 0221 / 37653 -12 oder -32 info@kanzlei-wbk.de