Im Gesundheitswesen wie Arztpraxen, Krankenhäusern sowie Apotheken kommt es gehäuft zur Verarbeitung von sensiblen Gesundheitsdaten, welche strengen Anforderungen bezüglich der DSGVO unterliegen. In diesem Artikel diskutieren wir, ab welchen Zeitpunkt die Benennung eines externen Datenschutzbeauftragten verpflichtend ist und wie die Verarbeitung der Daten datenschutzrechtlich einzuordnen ist.
Datenschutzbeauftragten in Arztpraxen, Krankenhäusern sowie Apotheken? Die derzeitige Lage.
Derzeit bestehen für Arztpraxen, Krankenhäuser sowie Apotheken keine gesetzlichen Verpflichtungen einen Datenschutzbeauftragten zu beschäftigen.
Allerdings besteht die gesetzliche Pflicht, einen Datenschutzbeauftragten einzuschalten, sobald Arztpraxen, Krankenhäuser oder Apotheken bzw. das Personal dauerhaft mit sensiblen personenbezogenen Gesundheitsdaten in Berührung kommt. Diese Pflicht ist wiederum an entsprechende gesetzliche Voraussetzungen geknüpft und dadurch beschränkt. Daher wird der Datenschutzbeauftragte in der Regel nur dann eingeschaltet, wenn diese Voraussetzungen zur Einschaltung des Datenschutzbeauftragten erfüllt sind.
Bestellpflicht eines Datenschutzbeauftragten gemäß der DSGVO
Die DS-GVO sieht grundsätzlich Bestellpflichten für Krankenhäuser, Arztpraxen sowie Apotheken vor hinsichtlich eines Datenschutzbeauftragten. Diese gesetzlichen Pflichten sind sehr restriktiv gestaltet, sodass die Bestellung eines Datenschutzbeauftragten an unterschiedliche Voraussetzungen geknüpft ist bzw. diese zunächst entsprechend erfüllt sein müssen.
So muss beispielsweise der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten benennen, sofern die Kerntätigkeit des Verantwortlichen oder des Auftragsgebers darauf abzielt umfangreiche Verarbeitungen von Daten besonderer Kategorien vorzunehmen i.S.d Art. 9, 37 Absatz 1b DS-GVO.
In diesem Zusammenhang stellt sich weiter die Frage, was unter dem Begriff der „Kerntätigkeit“ zu verstehen ist und insbesondere welche Tätigkeiten nicht von dem Begriff umfasst sind. Hierzu werden unterschiedliche Ansichten vertreten.
Ab wann ist Datenverarbeitung Kerntätigkeit eines Unternehmens?
Einerseits wird die Auffassung vertreten, dass von einer Kerntätigkeit eines Unternehmens im Sinne von Art. 37 Absatz 1b DS-GVO nur dann auszugehen ist, wenn der Hauptzweck des Unternehmens in der Durchführung von Verarbeitungsvorgängen liegt. Demnach sei bereits nach dem Wortlaut der Norm die Kerntätigkeit des Unternehmens entscheidend und nicht bloß die damit im Zusammenhang stehenden Verarbeitungsvorgänge. Nach dieser Auffassung würde sich die Bestellpflicht gem. der DS-GVO im Wesentlichen auf Unternehmen beschränken, die im Sinne von § 29 BDSG geschäftsmäßig Daten verarbeiten.
Gegner dieser Ansicht sind der Meinung, dass eine derartige Einordnung in Haupt- oder Nebentätigkeit bei jenen Unternehmen kritisch zu betrachten sei. Begründet wird dies damit, dass deren Geschäftszweck nur schwerlich von der Verarbeitung personenbezogener Daten getrennt werden könne. In solch einem Fall zähle die Verarbeitung zur Kerntätigkeit des Unternehmens, wenn ohne diese Vorgänge eine Durchführung des Unternehmenszwecks nur schwerlich möglich sei.
Eine vermittelnde Meinung geht zudem bei Ärzten davon aus, dass deren Kerntätigkeit darin bestünde, Patienten zu behandeln. Die Kerntätigkeit von Ärzten könne aber gleichzeitig auch darin bestehen, sensible Daten zu verarbeiten. Entscheidend sei daher der Umfang der Verarbeitung, sodass jedenfalls bei Einzelpraxen keine Pflicht bestünde, einen Datenschutzbeauftragten zu benennen.
Für private Krankenhäuser dürfte dieser Streit nicht weiter von Bedeutung sein, aufgrund der Tatsache, dass gemäß § 38 Absatz 1 BDSG neue Fassung für nicht-öffentliche Stellen die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, sofern mindestens 10 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Krankenhäuser dürften diese Voraussetzung in der Regel erfüllen.
Digitale Krankenakten: Datenschutz fordert von Krankenkassen Nachrüstungen
Der Bundesdatenschutzbeauftragte Ulrich Kelber moniert, dass es bei der elektronischen Patientenakte bezüglich der Umsetzung von Datenschutz Anforderungen Verbesserungspotential gäbe.
Hierbei hat der Bundesdatenschutzbeauftragte vier große gesetzliche Krankenkassen erwähnt, die die elektronische Patientenakten (ePA) mit zusätzlichen Datenschutzfunktionen ausstatten sollen. Ohne diese Erweiterungen verstoße die digitale Patientenakte gegen die europäische Datenschutz-Grundverordnung (DSGVO). Weitere Anweisungen an andere Kassen sollen folgen. Kelber ist für insgesamt 63 gesetzliche Krankenkassen mit rund 45 Millionen Versicherten zuständig.
Kelber verlangt konkret, dass die Versicherten selbst bestimmen können, wer was zu sehen bekommt. “Dem Versicherten muss das Recht eingeräumt werden, welches Dokument er welchem Dritten (Arzt, Therapeut etc.) zur Kenntnis geben möchte”. Ein “Alles-oder-Nichts-Prinzip” entspreche nicht dem Stand der Technik und verstoße gegen die Vorgaben der DSGVO.
Zum anderen stört Kelber, dass die ePA von den Versicherten nur mit einem geeigneten Smartphone eingesehen und verwaltet werden kann. “90 Prozent der Versicherten mit mobilen Endgeräten werden ab 2022 Einblick nehmen und den Zugriff auf die Inhalte steuern können.” Den anderen zehn Prozent solle, das verwehrt bleiben. “Dabei kann man das natürlich organisatorisch auch für diese zehn Prozent umsetzen. Es gebe zwar die Möglichkeit, Dritten eine Vollmacht zur Einsichtnahme und Bearbeitung auszustellen und damit “die eingeschränkte Datensouveränität zu lindern, vollständig wiederherstellen vermag sie die eingeschränkte Souveränität jedoch nicht.”
Fazit
Zusammenfassend lässt sich festhalten, dass sich die Frage, ob ein Datenschutzbeauftragter von Arztpraxen, Krankenhäusern sowie Apotheken bestellt werden muss, nicht pauschal beantworten lässt. Eine gesetzliche Verpflichtung besteht zumindest dann, wenn beispielsweise in einer Praxis mehr als 20 Personen ständig mit personenbezogenen Daten in Berührung kommen.
Auch bei einem Zusammenschluss in Gemeinschaftspraxen wird die Beauftragung eines Datenschutzbeauftragten zur Pflicht, wenn von einer umfangreichen Verarbeitung der Gesundheitsdaten gemäß Art. 37 Abs. 1 DSGVO ausgegangen werden kann. Für ein gelungenes Datenschutzmanagement ist es auch erlaubt, einen externen Datenschutzbeauftragten zu bestellen und hinzuziehen.
Medizinische Daten von Patienten genießen einen besonderen Schutz im Datenschutzrecht. Neben den strengen Vorschriften der DSGVO gilt im Gesundheitsdatenschutz weiterhin die Verschwiegenheitspflicht, die die Patientendaten im doppelten absichert. Auch soll bezüglich der ePA weitere Bestimmungsrechte für die Patienten eingeräumt werden, sodass diese datenschutzrechtlich konform mit der DSGVO ist. Die Entwicklungen in diesen Bereichen bleiben somit abzuwarten.
Suchen Sie Experten im Bereich Datenschutz oder einen externen Datenschutzbeauftragten? Unsere Coaches von itsecuritycoach stehen Ihnen in allen Belangen rund um Datenschutz zur Seite. Kontaktieren Sie uns und vereinbaren Sie ein erstes Beratungsgespräch.
Quellen:
https://www.datenschutzexperte.de/blog/datenschutz-im-alltag/datenschutz-im-gesundheitswesen