Zum Hauptinhalt springen

DSGVO – Zwischen schwammigen Definitionen und gespaltenen Haaren

Mit Ablauf der Übergangsfrist am 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) nun verbindlicher Bestandteil der deutschen Rechtsprechung. In den beiden vergangenen Ausgaben von VISIONupdate hat Datenschutzbeauftragter Achim Wolf die Grundlagen der neuen Regelung vorgestellt und erklärt, was sich konkret im Praxisalltag ändert. Im dritten Teil geht es um die wichtigsten Fallstricke der neuen Verordnung und wie man sie am besten umgeht.

„In Kraft getreten ist die DSGVO streng genommen schon im Mai 2016“, betont Wolf. „Im Grunde hatte also jeder zwei Jahre Zeit, sich auf die neue Verordnung einzustellen. Leider hatten die meisten radiologischen Praxen im Vorfeld kaum eine Möglichkeit, die Vorgaben praktisch umzusetzen, weil klare Vorgaben seitens des Gesetzgebers, der Ärztekammer und der Kassenärztlichen Vereinigungen lange gefehlt haben.“

Das Ergebnis ist große Ungewissheit, die durch abstrakt und schwammig formulierte Gesetzestexte weiter befeuert wird. Ein Beispiel: „Größere Praxen müssen einen Datenschutzbeauftragen benennen, doch wie sieht es in einer kleinen Arztpraxis mit weniger als zehn Personen aus? Die DSGVO besagt, dass diese einen Datenschutzbeauftragten dann benennen müssen, wenn eine umfangreiche Verarbeitung von Daten nach Artikel 9 DSGVO stattfindet – aber was genau unter dem Wort ‚umfangreich‘ zu verstehen ist, wird nicht näher erläutert.“ Zwar gibt es dazu Stellungnahmen der Datenschutzkommission, doch werfen diese sofort neue Fragen auf – etwa, ob mit der Formulierung „einzelner Arzt“ auch das zugehörige Personal in der Praxis gemeint ist oder nicht. „Hier fehlt es an klaren Definitionen“, so der Experte.

Das kann zu absurd anmutender Haarspalterei führen: „So gibt es beispielsweise ein Spannungsfeld zwischen Gemeinschaftspraxen und Praxisgemeinschaften“, erläutert Wolf. Bei einer Beispielrechnung mit zwei Ärzten und sechs Mitarbeitern hat diese vermeintliche Nichtigkeit durchaus rechtliche Relevanz: Weil die Gemeinschaftspraxis aus zwei Ärzten besteht, muss sie einen Datenschutzbeauftragten bestellen. Eine Praxisgemeinschaft – mit der gleichen Personalstärke, wohlgemerkt – ist hingegen von dieser Verpflichtung befreit, hat dafür allerdings ein höheres Risiko, die Datenschutzbestimmungen zu verletzen, da beide Ärzte gemeinsames Personal haben.  

Darf man seine Patienten noch mit Namen aufrufen?

Die Versuchung für Praxen ist groß, diese Unklarheiten auszusitzen und erst dann aktiv zu werden, wenn die praktische Handhabung geklärt ist – und die Gefahr einer Sanktionierung durch die Aufsichtsbehörde in Kauf zu nehmen. Auf der anderen Seite des Spektrums schießen manche Praxen beim Versuch, die DSGVO möglichst umfassend umzusetzen, über das Ziel hinaus. „Ein gutes Beispiel dafür ist ein Arzt, der mir sagte, er dürfe seine Patienten im Wartezimmer jetzt nicht mehr mit Namen aufrufen, da dadurch ja personenbezogene Daten preisgegeben würden“, berichtet Wolf.

Viele Praxen konsultieren die zahlreichen Hilfeseiten im Internet und wähnen sich so auf der sicheren Seite. Diese Fundstücke aus dem Netz bergen jedoch oft unzureichende oder falsche Ratschläge, warnt Wolf. „Ich kann nur empfehlen, einen professionellen Datenschutzbeauftragten zu beauftragen.“ Dieser kann qualifizierte Hilfe leisten und Kunden auf ihre Situation zugeschnittene Lösungen anbieten. „Das beginnt schon mit einer angepassten Gesprächsführung“, sagt der Experte. „Anstatt also beispielsweise den Patienten mit dem Satz ‚Guten Tag, Sie sind heute hier wegen Ihrer Prostatauntersuchung‘ zu begrüßen, sollte man ihn fragen, warum er denn heute hier ist. Denn gibt der Patient seine Daten von sich aus preis, begibt sich der Arzt nicht in Gefahr, den Datenschutz zu verletzen.“ Die Richtung des Datenflusses – also die Herausgabe und Abfrage von personenbezogenen Daten – muss von vornherein klar sein. So kann der Patient die erforderlichen Informationen über ein Formular weitergeben oder um ein Einzelgespräch bitten, wenn er nicht möchte, dass Anwesende mithören.

In vielen Kliniken wird dieser Ansatz durch spezielle Bereiche für die Patientenaufnahme, wo Diskretion gewahrt ist, umgesetzt. Wenn das räumlich nicht möglich ist, ist ein hohes Maß an sprachlicher Disziplin von Ärzten und Personal gefordert.

Viele Hausaufgaben müssen jetzt nachgeholt werden

Dabei sind viele der Regelungen im DSGVO gar nicht neu: „Vieles war bereits im zuvor gültigen Bundesdatenschutzgesetz festgelegt. Durch die fehlende Kontrolle und die niedrigen Sanktionen hat sich aber bisher kaum eine Praxis um die Verpflichtungen gekümmert. Mit Ablauf der Übergangsfrist zur DSGVO fällt jetzt auf, dass die Hausaufgaben zum Teil seit mehr als 20 Jahren nicht gemacht wurden.“ Ein Beispiel dafür sind die technischen und organisatorischen Maßnahmen (TOM), die datenschutzrechtlich relevante Vorgänge in Unternehmen, Kliniken und Praxen dokumentieren sollen. Diese sind per Gesetz schon seit langer Zeit vorgeschrieben, wurden jedoch kaum angefertigt.

Das Internet wird erneut zum Jagdrevier der Abmahn-Anwälte

Dabei ist die eigentliche Kontrollinstanz – die Aufsichtsbehörde – nicht einmal der stärkste Motivator, die überfälligen Datenschutz-Hausaufgaben endlich nachzuholen: „Viele Praxen kümmern sich vor allem deshalb um die Umsetzung, um nicht von einem der zahlreichen Abmahn-Anwälte belangt zu werden“, sagt Wolf. Diese Angst ist nicht unbegründet, denn „gerade im Norden Deutschlands gibt es Anwälte, die jetzt auf diesem Wege Geld verdienen möchten.“

Eine solche Abmahnwelle, wie sie bereits vor einigen Jahren im Gefolge der Impressumspflicht durch die Reihen der Website-Betreiber schwappte, sollte eigentlich von vornherein unterbunden werden – doch das hat die Politik leider verschlafen, kritisiert der Experte. „Zwar soll die gesetzliche Regelung insofern geändert werden, dass erst abgemahnt werden kann, nachdem der Betreiber eine Frist zur Nachbesserung erhalten hat. Doch bis eine solche Änderung in Kraft tritt, können Anwälte Internetseiten durchstöbern und jeden abmahnen, der seine Datenschutzerklärung nicht auf dem neuesten Stand hat.“ Auf diese Weise können Kosten in Höhe von bis zu € 700 auf allzu arglose Betreiber zukommen. „Es gibt also viel zu tun – packen wir’s an“, rät der Datenschutzexperte daher abschließend zu einer zügigen Umsetzung der DSGVO-Hausaufgaben.

 

 

Achim Wolf
Datenschutzbeauftragter
Dr.-Rudolf-Eberle-Straße 8-10
76534 Baden-Baden
Tel.: +49 (0)7223-9669-323
Fax.: +49 (0)7223-9669-6323
Mail: a.wolf(at)be-imaging.de

Lassen Sie sich inspirieren