Muss ich noch was tun?
Auch die österreichische Datenschutzbehörde (DSB) musste sich 2018 erst auf ihre neue Rolle als Verwaltungsstrafbehörde einstellen, Personal rekrutieren; sie agierte daher noch recht zurückhaltend. Zwischen 25. Mai und Ende 2018 sind von der DSB 59 neue Verwaltungsstrafverfahren (überwiegend zur Beurteilung der Rechtmäßigkeit von Videoüberwachungen) eingeleitet worden. Die höchste Strafe, die bis 31. Dezember 2018 von der DSB ausgesprochen wurde, beläuft sich auf 4800 Euro (Videoüberwachung eines Geschäftslokals), trotz der theoretisch möglichen horrenden Strafdrohungen von bis zu 20 Millionen Euro.
Nun erlässt die DSB jedoch in immer kürzeren Abständen Entscheidungen und Empfehlungen zu den unterschiedlichsten datenschutzrechtlichen Fragestellungen und es ist zu erwarten, dass ab 2019 die amtswegigen Prüfverfahren zunehmen. Daher ist das Thema Datenschutz zwar nicht mehr das „Schreckgespenst“, das es noch vor einem Jahr war, aber wohl in der Praxis immer präsenter.
Aktuelle Verpflichtungen des Arztes
Die regionalen Ärztekammern haben ihren Mitgliedern umfangreiche Checklisten, Musterdokumente, Hotlines und Beratungsleistung zur Verfügung gestellt, um die erforderlichen Dokumente und Prozesse/Vorgehenspläne zu erstellen, wie insbesondere:
Datenverarbeitungsverzeichnis – Verzeichnis von Verarbeitungstätigkeiten (VvV) mit den umfangreichen Dokumentationspflichten
Auftragsverarbeitervereinbarungen (AVV) mit Subdienstleistern (wie z.B. IT-Support, Arztsoftwarehersteller, Mailprovider etc.)
Datenschutzerklärungen für die Homepage
Checkliste für Erfordernis der Bestellung eines Datenschutzbeauftragten (DSBA)
Auskunftsprozess
Einwilligungsprozess durch Mitarbeiter und Patienten (u.a. zur Übermittlung von Daten per E-Mail oder per SMS oder Übermittlung von Patientendaten an andere Ärzte und medizinische Einrichtungen, Übergabe von Daten an Vertrauenspersonen)
Interne Geheimhaltungserklärung und Anweisungen an Mitarbeiter zum Umgang mit personenbezogenen Daten und zur Sicherstellung der Einhaltung der technischen und organisatorischen Maßnahmen (TOM)
Checkliste für erforderliche Anpassungen auf der Ordinationswebsite
Vorgehen bei Datenschutzverletzungen („data breach“)
Technische und organisatorische Maßnahmen (in der Regel Teil des VvV)
Checkliste für Erfordernis der Durchführung einer Datenschutzfolgeabschätzung (DSFA)
Vorgehen bei Datenlöschung und deren technische Umsetzbarkeit etc.
Verständlich ist, dass diese Dokumentation einmal aufwendig erstellt wurde und nun in den meisten Fällen gut abliegt. Allerdings darf nicht außer Acht gelassen werden, dass sämtliche Dokumentationen, das Verarbeitungsverzeichnis und Prozesse jeweils tagesaktuell sein sollten und zumindest in regelmäßigen Abständen auf Aktualität überprüft sowie, falls erforderlich, angepasst werden müssen. Hier empfiehlt sich eine tourliche Überprüfung der Datenschutzdokumentation.
Anpassungen, die im Zuge dessen erforderlich sein könnten, sind in der Tabelle dargestellt.
Schlussfolgerung
Es bleibt abzuwarten, wie aktiv die Datenschutzbehörde 2019 sein wird, die Anzeichen lassen jedoch auf verstärkte branchenspezifische Prüfungen durch die DSB schließen. Dies könnte – aufgrund der Sensibilität der verarbeiteten Gesundheitsdaten – in den nächsten Monaten auch Dienstleister im Gesundheitsbereich treffen. Daher empfiehlt es sich, in regelmäßigen Abständen (z.B. alle 6 Monate) das eigene Datenschutzregime zu überprüfen bzw. das System selbst oder mithilfe externer Partner durch einen Datenschutz-Check laufen zu lassen.
Anmerkung: Die Autorin berät u.a. im Bereich des Datenschutzes und ist selbst u.a. Datenschutzbeauftragte bei Gesundheitsdiensteanbietern.
Abkürzungen:
DSGVO: Datenschutz-Grundverordnung
DSB: Datenschutzbehörde
VvV: Verzeichnis von Verarbeitungstätigkeiten
AVV: Auftragsverarbeitervereinbarungen
DSBA: Datenschutzbeauftragter
TOM: technische und organisatorische Maßnahmen
DSFA: Datenschutzfolgeabschätzung
FTE: Vollzeitkraft
Weiterführende Informationen:
Entscheidung der Datenschutzbehörde
DSB-D213.692/0001-DSB/2018
vom 16.11.2018. Am konkreten Fall einer Allergie-Tagesklinik wurden darin u.a. folgende datenschutzrechtliche Fragen behandelt:
Einwilligungserklärung zur Datenverarbeitung durch Patienten
Verpflichtung zur Bestellung eines Datenschutzbeauftragten
Durchführung von Datenschutz-Folgeabschätzungen
Das könnte Sie auch interessieren:
Nur eine von vielen Begleiterscheinungen
Warum er MRT-Veränderungen bei unspezifischen Rückenschmerzen wenig Bedeutung beimisst, erklärt Prof. Dr. med. Andreas Seekamp aus Kiel.
Modic Changes bei Rückenschmerzen
Obwohl die Erstbeschreibung fast 40 Jahre her ist, ist immer noch nicht klar, wodurch die MRT-Veränderungen entstehen und welchen Stellenwert sie für Diagnostik und Therapie haben.
Periphere Nervenscheidentumoren
Periphere Nervenscheidentumoren sind eine seltene, aber dennoch bedeutende Tumorentität, die das periphere Nervensystem betrifft. Sie können eine Vielzahl an Symptomen verursachen und ...