Und hier die Meinung unseres „Hausjuristen“ Prof. Dr. Edgar Weiler
Im Mai 2018 löst die Datenschutz-Grundverordnung (DSGVO) das Bundesdatenschutzgesetz (BDSG) ab. Als Verordnung wirken
die neuen Datenschutzregelungen direkt und müssen nicht wie Richtlinien in das nationale Gesetz umgesetzt werden.
Die neuen Datenschutzregelungen führen auch bei Apotheken, Arzt- und Zahnarztpraxen zu einschneidenden Änderungen in
Arbeitsabläufen.
Hohe Anforderungen an die Informationssicherheit
In Artikel 32 DS-GVO verlangt der europäische Gesetzgeber auch von Apotheken und Praxen den Betrieb eines
»Informationssicherheits-Managementsystems«. Ein solches System ist leider relativ aufwändig in der Erstellung und
dem Betrieb. Erleichterungen für kleine und mittlere Unternehmen (KMU) sind nicht vorgesehen.
Die Notwendigkeit und Umsetzungsintensität von Maßnahmen der Informationssicherheit müssen am Risiko für die
Rechte und Freiheiten des Betroffenen ausgerichtet werden. Der Gesetzgeber verlangt von Apotheken und Praxen
also auch den Betrieb eines „Risikomanagementsystems“.
Schnelle Meldungen bei Verlust von personenbezogenen Daten
Die Grenzen zur Meldung des Verlusts von personenbezogenen Daten werden wesentlich herabgesetzt. Dies wird
dazu führen, dass der Umfang von meldepflichtigen Datenpannen erheblich steigen wird. Datenpannen sind dann
innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden, der zu meldende Informationsmindestumfang
ist klar definiert.
Pflicht zur Meldung des Datenschutzbeauftragten (DSB) in der Praxis
Nach derzeitigem Wissensstand wird die Grenze zur Bestellung eines DSBs nach den heute geltenden Größenregeln
bestimmt, das heißt bei mehr als neun mit der Datenverarbeitung beschäftigten Personen
(in der Arztpraxis natürlich kaum denkbar). In der Praxis wird ohnehin der Bestellpflicht häufig nicht nachgekommen.
Dies erklärt sich beispielsweise aus Unkenntnis der Regelung.
In der DS-GVO reguliert der Gesetzgeber, zusätzlich zur Bestellpflicht eines DSB, auch eine Pflicht zur
Meldung der bestellten Person gegenüber der zuständigen Aufsichtsbehörde.
Neue Verträge mit Zulieferern
Das BDSG schreibt bei der Beauftragung von Subunternehmern vor, dass Verträge zur Auftragsdatenverarbeitung (ADV)
geschlossen werden müssen. In diesen Verträgen muss dem Dienstleister auch ein angemessenes
Informationssicherheitsniveau vorgeschrieben werden. Die Einhaltung der Verträge zur ADV muss durch den
Auftraggeber regelmäßig überprüft werden.
Aufgrund des immens gestiegenen Haftungs- und Bußgeldrisikos sind alle Verträge zur Auftragsdatenverarbeitung
neu zu bewerten.
Verhaltensregeln und Zertifizierungen
Für Arzt und Zahnarztpraxen sowie Apotheken gibt es zwei Möglichkeiten, etwaige Bußgelder im Falle
eines Datenschutz-Verstoßes zu mindern: genehmigte Verhaltensregeln umsetzen oder sich regelmäßig
Datenschutz-zertifizieren zu lassen. Genehmigte Verhaltensregeln für Praxen und Apotheken sind noch nicht
beschlossen, aber Zertifizierer arbeiten bereits an konkreten Zertifizierungskonzepten.
Fazit
Der europäische Gesetzgeber machte mit dem Datenschutz blutigen Ernst, und Deutschland hat sich wieder
einmal nicht gewehrt, die Berufsverbände nicht, die Ärzte nicht, unsere Regierung nicht: Bußgeldgrenzen
werden auf existenzbedrohliche Höhen gesetzt: Nicht erschrecken, möglich werden bei großen Firmen zehn
bis zwanzig Millionen Euro oder zwei bis vier Prozent des weltweiten Jahreskonzernumsatzes, bei kleinen
Firmen wie Arztpraxen geht es um geringere, aber immer noch erkleckliche Beträge. Zusätzlich wird das Personal
der zuständigen Aufsichtsbehörden aufgestockt, um zum Beispiel dem erhöhten Prüfungsbedarf nachkommen zu können.
Allen Praxen und Apotheken kann nur geraten werden, sich schon jetzt mit den neuen Anforderungen der DSGVO
auseinanderzusetzen, mögliche Umsetzungen der Datenschutz- Anforderungen zu prüfen und sich bereits jetzt
Kapazitäten bei seriösen Anbietern von Datenschutz-Dienstleistungen zu sichern.
Ein Skandal, wie ich meine, auch vor dem Hintergrund, dass die „zuständigen“ politischen Parteien in Deutschland
von Datenschutz für sich selbst (vergleiche nur den Datenmissbrauch bei der Wahlwerbung im Vorfeld der letzten Bundestagswahl)
genauso wenig halten wie zum Beispiel der private Anbieter Facebook….
In der kommenden Woche werde ich einige Verhaltensvorschläge machen, um das Leben in der Arztpraxis
ab Juni 2018 etwas zu erleichtern.