Sie befinden sich hier

23.02.2018 09:57

Datenschutzrecht 2018 – Was ist von Bedeutung für die Praxis

Datenschutz wird ein immer wichtigeres Thema, mit dem sich alle Praxen intensiv beschäftigen sollten. Was muss man zwingend über die Neuerungen wissen?

Bedeutung

Meist wird das Thema Datenschutzrecht als Randnotiz wahrgenommen. Dabei ist der Datenschutz gerade im Bereich der Heilberufe wegen der besonderen Vertrauensbeziehung zwischen Therapeut und Patienten von großer Bedeutung. Gerade deshalb sollten sich alle Therapeuten jeglicher Fachrichtungen mit dem Thema auseinandersetzen. Da sich im Jahr 2018 zudem noch einiges tun wird, gibt es genug Anlass sich spätestens jetzt schlau zu machen.

Gegenwart und Zukunft

Das Datenschutzrecht ist in Deutschland in den Datenschutzgesetzen der Länder einerseits und im Bundesdatenschutzgesetz andererseits geregelt. Auf europäischer Ebene sorgt ab dem 25.05.2018 die Europäische Datenschutzgrundverordnung (EU-DSGVO) für Vereinheitlichung. Dabei sollte beachtet werden, dass das Datenschutzrecht alle Unternehmer und Institutionen in die Pflicht nimmt, ganz gleich wie viele Mitarbeiter dort beschäftigt werden. Sogar Kleinstpraxen und Vereine sind betroffen. An welche Regeln man sich zu halten hat und welche Maßnahmen zu treffen sind, ist jedoch höchst individuell und kommt auf den Einzelfall ein. Leider macht die kommende Rechtslage vieles nicht einfacher.

Verstöße gegen den Datenschutz galten in der Vergangenheit oft als mehr oder minder folgenlose Kavaliersdelikte. Zwar drohte das „alte” Datenschutzgesetz bereits Strafen von bis zu 250.000 Euro an, jedoch wurden Strafen in dieser Höhe letztlich selten thematisiert. Bei Verstößen waren die Bußgelder meist moderat. Nach dem neuen Datenschutzrecht sind nun Bußgelder für bis zu 20 Mio. Euro möglich. Derart drastische Strafen sind zwar auf der Ebene, auf der sich viele Praxen von Heilmittelerbringern bewegen, eher nicht zu erwarten. Die neue Gesetzesfassung verdeutlicht jedoch nachdrücklich den Willen des Gesetzgebers, Verstöße künftig konsequenter zu verfolgen und auch einfache Verstöße schärfer zu bestrafen.

Datenschutzbeauftragter

Ein allzu vermeidbarer Verstoß gegen das Datenschutzgesetz ist das Fehlen eines Datenschutzbeauftragten im Betrieb. Sicher ist, dass Praxen, in denen nur ein Therapeut alleine tätig ist, einen Datenschutzbeauftragten nicht zwingend benötigen und dass alle Praxen, in der mehr als 9 Personen Zugriff auf Patientendaten haben, definitiv einen Datenschutzbeauftragten brauchen. Die Grenze von 10 Personen dürfte darüber hinaus ab dem 25.05.2018 fallen. Wenn ein Praxisinhaber dann einen Datenschutzbeauftragten nicht bestellt, muss er jedenfalls vieles selbst regeln und auch begründen können, wieso er von der Bestellung absieht. Ob aber schon eine Praxis mit zwei dort Tätigen einen Datenschutzbeauftragten benötigt, ist im Einzelfall zu klären. Jüngst wird selbst von manchen Aufsichtsbehörden, die die Bestellung zu prüfen haben, dazu geraten sicherheitshalber einen Datenschutzbeauftragten zu bestellen und/oder sich von einem solchen beraten zu lassen, weil es schwierig sein dürfte, selbst alle Regelungen und Folgen einschätzen zu können.

Das Gesetz lässt es im bestimmten Rahmen zu, dass ein Mitarbeiter des Betriebs zum internen Datenschutzbeauftragten benannt wird. Dies ist jedoch in vielen Fällen wenig sinnvoll, weshalb stets auch an die Möglichkeit der Bestellung eines externen Datenschutzbeauftragten gedacht werden sollte. Der Inhaber, ein Familienangehöriger oder ein Geschäftsführer einer Praxis ist immer durch das Gesetz in dieser Position ausgeschlossen, weil eine wirkliche Kontrolle dann schwerlich gewährleistet wäre. Für Praxisinhaber stellt sich zusätzlich das Problem, dass Mitarbeiter selten bereits über das gesetzlich geforderte Fachwissen verfügen und sich dieses erst in teuren Fortbildungen aneignen und später erhalten müssten. Nach dem neuen Gesetz müssen die Arbeitgeber dabei die Kosten für die Fortbildungen tragen, welche schnell mehrere tausend Euro kosten können. Überträgt der Praxisinhaber die vertrauensvolle Position des Datenschutzbeauftragten an einen Mitarbeiter, haftet er zudem im Fall von Verstößen gegen den Datenschutz; gegebenenfalls sogar mit dem Privatvermögen. Nicht nur aus Praktikabilitätsgründen entscheiden sich daher verständlicherweise viele Betriebe für die Bestellung eines externen Datenschutzbeauftragten. Dabei handelt es sich um einen externen Dienstleister. Der Datenschutzbeauftragte – egal ob intern oder extern – sollte sich jedenfalls mit allen relevanten Regelungen - speziell in Ihrem Tätigkeitsfeld - auseinandergesetzt haben und diese sollten spätestens ab dem 25.05.2018 umgesetzt sein. Der Datenschutzbeauftragte soll einen Fachkundenachweis vorweisen können nach §4f Abs. 2, 3 BDSG bzw. Art. 37 Abs. 5 DSGVO.

Maßnahmen und Verzeichnisse

Die zu treffenden Maßnahmen, zur Gewährleistung des Datenschutzes sind übrigens sehr breit gefächert. So müssen beispielsweise alle Patientenakten im Regelfall in einem abschließbaren Schrank aufbewahrt werden. Sämtliche Computer sind mit einem Passwort zu versehen und alle Mitarbeiter sollten im Datenschutz geschult und schriftlich verpflichtet sein. Die tatsächliche Liste muss aber immer auf den Betrieb angepasst sein und ist selbstverständlich wesentlich umfangreicher als drei Punkte.

Besonders wichtig ist die Pflicht, dass jede Praxis ein Verfahrensverzeichnis mit Datenschutzfolgenabschätzung ausgearbeitet vorliegen haben muss. Dies ohne Fachwissen zu erstellen ist fast unmöglich. Hier müssen sich Praxisinhaber zwingend informieren – beispielsweise bei ihrem Berufsverband. Der VPT bieten hier Kontakte zu Anbietern, welche einen Mitgliederrabatt einräumen.

Fazit

Das Datenschutzrecht krempelt nicht alles um – auch nicht im Jahre 2018. An einigen Stellen sollte man nun jedoch noch größere Sorgfalt im Umgang mit Daten walten lassen. Insbesondere mit der Bestellung eines Datenschutzbeauftragten muss sich jede Praxis auseinandersetzen. Wenn man einen solchen nicht einsetzt, muss dies gut begründet werden können und alle Verzeichnisse selbst erstellen und Tätigkeiten selbst durchführen. Praxisinhaber sollten sich jedenfalls sehr genau erkundigen, welche Maßnahmen sie ab dem 25.05.2018 umzusetzen haben. Eines steht fest: Der Datenschutz ist ernst zu nehmen und leider besteht bei vielen Praxen Nachholbedarf.

Kontextspalte