Datenschutz: DSGVO kommt bald, (be)trifft alle

Sie ist ein echtes Schwergewicht, die neue EU-Datenschutz-Grundverordnung (DSGVO), die ab dem 25. Mai in der gesamten Europäischen Union gilt. Das Regelwerk verbirgt sich hinter dem Kürzel 2016/679 – im Jahr 2016 haben sich Europäischer Rat, Europäisches Parlament und Europäische Kommission über den Inhalt nach fast vierjähriger Debatte geeinigt. Herausgekommen sind 88 Seiten, 173 Erwägungsgründe, 99 Artikel – und viel Arbeit für alle, die irgendwie mit Datenverarbeitung zu tun haben. Also (fast) alle.

Mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) soll das Datenschutzrecht innerhalb Europas vereinheitlicht werden. Mehr Kontrolle des Einzelnen über seine Daten. Datenschutz ist sexy geworden. Von einer „Zeitenwende“ spricht euphorisch der Berufsverband der Datenschützer, von einem „der schlechtesten Gesetze des 21. Jahrhunderts“ spricht Rechtswissenschaftler Prof. Dr. Thomas Hoeren, Leiter des Instituts für Informations- und Medienrecht an der Universität Münster. Auch der Deutsche Anwaltverein übt herbe Kritik an zu allgemeinen Formulierungen. Fakt ist: Außerhalb vertraglicher Verpflichtungen, Rechtspflichten, berechtigter, lebenswichtiger und öffentlicher Interessen dürfen persönliche Daten nur gespeichert und verwendet werden, wenn der Betroffene ausdrücklich zugestimmt hat.
„Zu diesen Daten gehören Klassiker wie Namen, Adresse, E-Mail, Telefon oder Bankverbindung, aber auch IP-Adressen und pseudonymisierte Daten. Auch mit Einverständnis der betroffenen Person dürfen nur die zwingend erforderlichen Daten erhoben werden (Datensparsamkeit) und das auch nur für den Zweck, der im Vorfeld festgelegt wurde (Zweckbindung). Und was gespeichert wird, muss man dem Betroffenen gegebenenfalls mitteilen“, erklärt der Sprockhöveler Rechtsanwalt Thomas Zwilling auf einer Fortbildungsveranstaltung für Ärzte. Denn gerade im Gesundheitswesen gehört die Erhebung sensibler persönlicher Daten zum Alltag.
Doch gerade die Anwendung im Praxisalltag wird mit der neuen DSGVO zur Herausforderung. „Neben der ärztlichen Schweigepflicht, die der Wahrung des Patientengeheimnisses dient, haben wir schon immer die Bestimmungen des Datenschutzrechtes beachtet. Doch mit dieser Verordnung bekommen wir in unseren Praxen einen erheblichen Mehraufwand an Organisation und Dokumentation“, erklärt Dr. Willi Martmöller, Sprecher der Hattinger Hausärzte, stellvertretender Vorsitzender im Gesundheitspolitischen Arbeitskreis EN, Mitglied im Aufsichtsrat der Augusta-Kliniken, Facharzt für Allgemeinmedizin, Psychotherapie. Er befürchtet wie viele seiner Kollegen einen erheblichen zeitlichen Mehraufwand, der zu Lasten der Patienten gehen könnte. Schließlich habe man sich in der Hauptsache um die Gesundheit der Patienten zu kümmern.
Eine Einwilligung des Patienten für die Speicherung der Daten ist nämlich nicht nebenbei zu erledigen. Von einer „ausdrücklichen Einwilligung“ ist die Rede und die muss nachweisbar dokumentiert werden. „Die Rechenschaftspflicht wird zum grundlegenden Prinzip“, sagt Rechtsanwalt Thomas Zwilling. Schließlich ist es der Arzt oder Geschäftsführer, der im Falle von Prüfungen oder Problemen beweisen muss, dass die Einwilligung vorliegt. „Hier kann ich nur raten: Dokumentieren, dokumentieren, dokumentieren. Natürlich kann eine Einwilligung mündlich gegeben werden, aber wie wollen Sie das später einmal nachweisen? Sätze wie ,Wenn ich nichts mehr von Ihnen höre, setze ich eine Einwilligung voraus‘, gehören der Vergangenheit an.‘“ Vorsicht ist für Ärzte auch beim Datenaustausch in Ärztenetzen oder Kooperationen geboten: Auch hier sollte vor jeglicher Datenweitergabe der Patient explizit zustimmen.
Neben der Einwilligung zur Speicherung der Daten ist es vor allem ihre Sicherheit, die im Alltag weiteres Kopfzerbrechen bereitet. Wer darf wann unter welchen Umständen auf welche Daten zugreifen? „Manches lässt sich im Sinne der Verordnung leicht organisieren. Beispielsweise die vielerorts gängige Praxis, Karteiblätter oder Rezepte für Patienten auf die Anmeldetheke zu legen sollte tunlichst in Zukunft unterbleiben. Anderes aber ist nur mit erhöhter Technik und passender Software umzusetzen“, so Zwilling und weist vorsorglich daraufhin, dass auch die Reinigungskraft eine Vertraulichkeitsvereinbarung unterschreiben sollte.
Neu ist die Angabe zur Dauer der Datenspeicherung. Jede Weiterverarbeitung der Daten zu einem anderen Zweck bedarf einer erneuten Information des Betroffenen. Wenn der Betroffene es wünscht, müssen seine Daten an einen anderen Nutzer weitergegeben werden, beispielsweise bei einem Banken- oder Arztwechsel. Hier verweist allerdings die Bundesärztekammer darauf, dieses Recht beträfe nur Daten, die von den Patienten auf Basis einer Einwilligung selbst zur Verfügung gestellt wurden und nicht papierbasiert, sondern elektronisch verarbeitet werden (Bundesärztekammer, Deutsches Ärzteblatt 9.3.2018)

Einwilligung des Patienten

„Haftungsansprüche gegenüber Unternehmen geltend zu machen, soll für Betroffene leichter werden. Verbraucherschutzverbände sind jetzt klageberechtigt. Das bedeutet für jedes Unternehmen ein deutlich höheres Haftungsrisiko. Bußgelder können bis zu 20 Millionen Euro betragen, im Maximalfall vier Prozent des Jahresumsatzes.“ Verstöße oder Pannen müssen umgehend der Datenschutzbehörde gemeldet werden. Den Datensicherungssystemen kommt dabei eine besondere Aufmerksamkeit zu – Experten fordern die Sicherung von Patientendaten auf mehreren Festplatten und verschlüsselt auf einem externen Speicher. Außerdem besteht das Recht auf Vergessenwerden jetzt gegen jede Stelle, die personenbezogene Daten verarbeitet. Ist der Zweck weggefallen oder hat der Betroffene die Einwilligung widerrufen, müssen die Daten gelöscht werden.
Grundsätzlich hat jeder ein Recht darauf zu wissen, welche Daten von ihm gespeichert wurden. Im Alltag der Arztpraxis kann es Ausnahmen geben. „Wenn die Herausgabe oder Einsicht in Patientendaten zum Schaden des Patienten führen könnte, ist dies für mich höherwertig einzustufen als das Recht des Patienten auf Dateneinsicht. Zum Beispiel bei der Diagnose Depression, wenn der Patient gleichzeitig suizidgefährdet ist. In dem Fall könnte die Akteneinsicht die Suizidgefahr erhöhen“, so Martmöller.
Auf der Grundlage der Verordnung registriert man allerdings staunend die Forderung des Städtebundes, Kommunen mögen die Daten ihrer Bürger, das „Öl des 21. Jahrhundert“, verkaufen, um sich neue Einnahmequellen zu erschließen. Auch die anonymisierte Weitergabe von Kundendaten der Deutschen Post über politische Präferenzen von Bewohnern bestimmter Stadtteile an große Parteien zu Wahlkampfzwecken passt nicht in das Bild der neuen Verordnung.
Übrigens: die Alpenrepublik Österreich hat der neuen DSGVO schon die Zähne gezogen: Medien dürfen personenbezogene Daten für journalistische Zwecke verarbeiten und dabei die Kapitel II, III, IV, V, VI, VII und IX der DSGVO ignorieren. Zudem muss die Datenschutzbehörde das Redaktionsgeheimnis berücksichtigen.