Obwohl die erwarteten Abmahnwellen und das Chaos bei der Umsetzung weitestgehend ausgeblieben sind, hat die DSGVO auch im Gesundheitsbereich zu viel Verunsicherung und bürokratischem Aufwand geführt. Hiervon waren vor allem Kleinbetriebe, wie Einzelpraxen, aber auch die BAG oder die Praxisgemeinschaft betroffen. Diese mussten interne Verarbeitungsverzeichnisse mit Technisch-Organisatorischen-Maßnahmen erstellen, Auftragsverarbeitungsverträge schließen und ab zehn Mitarbeitern Datenschutzbeauftragte bestellen. Letzteres soll nun geändert werden. Die magische Schwelle zur Bestellung eines Beauftragten für den Datenschutz soll künftig erst bei 20 Mitarbeitern liegen. In der Begründung dazu wird ausgeführt, dass man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen wolle.
Aber gilt dies auch automatisch für alle Arztpraxen, die weniger als 20 Mitarbeiter haben?
Viele Veröffentlichungen in den vergangenen Tagen erwecken den Eindruck, dass dies nun der Fall wäre und damit eine Entlastung für Ärztinnen und Ärzte komme. Hier ist aber Vorsicht geboten, warnt der Spitzenverband Fachärzte Deutschlands (SpiFa) in einer Mitteilung: Art. 37 Abs. 1 (c) DSGVO schreibt vor, dass man auf jeden Fall einen Datenschutzbeauftragten bestellen muss, wenn man sogenannte "Daten besonderer Kategorien" umfangreich verarbeitet. Was Daten besonderer Kategorie sind, erklärt Art. 9 DSGVO. Hier wird deutlich, dass damit insbesondere auch Gesundheitsdaten gemeint sind. Da Ärztinnen und Ärzte in ihren Praxen die gesamte Krankengeschichte des Patienten speichern und für ihre Behandlung nutzen, ist somit eigentlich immer die Gesundheitsvorsorge betroffen und damit eine Pflicht zur Bestellung eines Datenschutzbeauftragten gegeben. Fraglich ist hier, ob die Verarbeitung in jeder Arztpraxis auch immer „umfangreich“ ist, wie es in Art. 37 DSGVO gefordert wird. Schaut man sich die Erwägungsgründe bei der Erstellung der DSGVO an, wird klar, dass die Verarbeitung von Daten durch einen „einzelnen Arzt“ nicht umfangreich sein soll. In diesem Fall könnte die Einzelpraxis auf einen Datenschutzbeauftragten verzichten.
Was nun aber mit Ärztinnen und Ärzten in Kooperation ist, bleibt leider auch bei der neuesten Anpassung des Datenschutzrechts offen, sodass weiterhin in jedem Einzelfall geprüft werden sollte, ob sich eine Arztpraxis einen Datenschutzbeauftragten bestellen muss, rät der SpiFa. Die ersten Landesdatenschutzbeauftragten haben im Frühjahr 2019 entschieden, dass unter der gesetzlichen Schwelle von bisher 10 (jetzt also 20) Mitarbeitern keine umfangreiche Verarbeitung in Arztpraxen vorliegt, sodass kein Datenschutzbeauftragter nötig sei. Dies ist aus Sicht des SpiFa zu begrüßen, sei jedoch gerichtlich nicht entschieden. Es sollte zudem immer bedacht werden, dass sich die rechtlichen Anforderungen bei der Verarbeitung von personenbezogenen Daten nicht geändert haben, sodass man sich zwar nun einen Datenschutzbeauftragten sparen darf, aber die weitreichenden Aufgaben dann selbst erledigen muss. Der Bundesrat muss der Gesetzesänderung im Übrigen noch zustimmen.
Ausbau der Telematikinfrastruktur und Datenschutz
Ein ganz besonderes Augenmerk sollten laut SpiFa alle Praxisinhaber derzeit auf den Ausbau der Telematikinfrastruktur haben. Für den Einsatz der geplanten elektronischen Gesundheitskarte und der elektronischen Patientenakte müssen sich die Praxen aktuell technisch aufrüsten und dabei datenschutzrechtlich einige Unsicherheiten in Kauf nehmen. Die für die technische Umsetzung verantwortliche gematik lehnt jede haftungsrechtliche Verantwortung ab. Es wird daher derzeit diskutiert, ob Ärzte verpflichtet sind, vor Anschluss an die Telematikinfrastruktur mittels eines Konnektors eine sogenannte Datenschutzfolgeabschätzung vorzunehmen. Wäre dies tatsächlich der Fall, müsste künftig jede Arztpraxis nach § 38 BDSG einen Datenschutzbeauftragten mit dieser Risikobewertung betrauen. Die erhoffte „Entlastung“ wäre daher im Gesundheitsbereich komplett obsolet, so der SpiFa.
red/BVDD