Im April 2016 ist die neue Datenschutzgrundverordnung (DSGVO) auf Europa-Ebene in Kraft getreten, ab Mai 2018 wird sie in Deutschland Einfluss nehmen. Das bringt auch für Ärzte spürbare Veränderungen mit sich – auch was den Datenschutzbeauftragten in der Praxis betrifft, wie Ingrid Gerlach, Diplom-Wirtschaftsjuristin und Externe Datenschutzbeauftragte, beim DEGAM-Kongress in Frankfurt erklärte.

Was heißt „umfangreiche Datenverarbeitung“?

Nach dem aktuellen Bundesdatenschutzgesetz ist die Bestellung eines Datenschutzbeauftragten erforderlich, wenn mehr als neun Personen in der Praxis mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hinzu gezählt werden auch Teilzeitkräfte, sofern sie regelmäßig mit der Datenverarbeitung zu tun haben. Nach Inkrafttreten der DSGVO wird im Gesundheitswesen die Benennung eines Datenschutzbeauftragten Pflicht werden, sobald eine „umfangreiche Datenverarbeitung“ vorliegt.

Was „umfangreich“ ist, wurde vom deutschen Gesetzgeber noch nicht eindeutig definiert. Offenbar werden zurzeit Mengen von 5000 Datensätzen als Schwelle gehandelt, ein Quantum, das sich im Lauf der Jahre – und die Datensätze müssen schließlich über Jahre aufbewahrt werden – auch in einer durchschnittlichen Hausarztpraxis mit größerem Einzugsgebiet ansammeln kann.

Das Niveau des Fachwissens des Datenschutzbeauftragten soll sich gemäß DSGVO nach dem erforderlichen Schutz für die Daten richten. Bei Daten aus dem Gesundheitsbereich kann von hohen Anforderungen ausgegangen werden. Dementsprechend wird sich die Überlegung „interner oder externer Datenschutzbeauftragter“ für eine Praxis wieder neu stellen. Bisher galt: Ein interner Beauftragter hat den Vorteil, die Praxisstrukturen zu kennen und vor Ort zu sein; er kann also die Thematik Datenschutz in der Praxis präsent halten. Künftig ist davon auszugehen, dass den Anforderungen an den Beauftragten nur mit größerem Einsatz nachzukommen ist. Inwieweit es sich dann lohnt, eine interne Arbeitskraft entsprechend fortzubilden, hängt von der Struktur der Praxis ab.

Ordnungswidrigkeit ist mit Geldbuße belegt

Allzu locker sollten Praxisinhaber an das Thema nicht herangehen. Denn besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen, und die Praxis kommt dieser nicht nach, ist das eine Ordnungswidrigkeit. Sie kann mit einer Geldbuße bis zu 50 000 Euro geahndet werden. Zu den Pflichten von Einrichtungen mit umfangreicher Verarbeitung von Gesundheitsdaten gehört künftig auch eine Datenschutz-Folgenabschätzung. Dabei handelt es sich im Prinzip um das, was bisher unter einer Vorabkontrolle verstanden wurde.

Folgenabschätzung zu Datenschutzrisiken

Nach Art. 35 Abs. 1 DSGVO ist eine Folgenabschätzung durchzuführen, wenn: „(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.

Zum Glück – im Sinne der Machbarkeit – gilt das mit einer Ausnahme, nämlich wenn die Verarbeitung der Patientendaten durch einen einzelnen Arzt erfolgt. Sofern also Deutschland nicht seinen „Spielraum für die Spezifizierung der Vorschriften“ nutzen möchte, sind Einzelpraxen an dieser Stelle „Schneider frei“.