Forum Politik

Datenschutz: Auf Nummer sicher

Ab Mai gelten für deutsche Hausarztpraxen neue Datenschutzregelungen. Kontrollen sind zwar unwahrscheinlich, auf die leichte Schulter nehmen sollte man die Reform trotzdem nicht. Es könnte sonst teuer werden.

Geht es um Datenschutz in der Arztpraxis, waren Theorie und Umsetzung schon immer zwei sehr verschiedene Dinge. Patientennamen ins Wartezimmer zu rufen, zum Beispiel, ist streng genommen schon ein Verstoß gegen geltende Datenschutzrichtlinien. Ein Verstoß freilich, der nie sanktioniert wurde. Es gibt beim Datenschutz ­also Regeln, und es gibt ­einen Alltag. Womit schon das Wichtigste gesagt ist zur anstehenden Reform des europäischen Datenschutzes: Theoretisch ändert sich hier Einiges für Hausärzte. Praktisch sind viele der Änderungen aber gar nicht umsetzbar – und werden wohl auch nicht kontrolliert. Was nicht heißt, dass sich Hausärzte beruhigt zurücklehnen können. Nicht zuletzt wegen des Damoklesschwerts in Gestalt von Millionen Euro schwerer Geldstrafen.

Änderung ab Mai 2018

Die Datenschutzgrundverordnung der Euro­päischen Union (EU) tritt Ende Mai kommenden Jahres in Kraft, und mit ihr das angepasste neue Bundesdatenschutzgesetz. Die Reform ist auch eine Reaktion auf die Digitalisierung, die nicht zuletzt wegen der kommenden Telematik-Infrastruktur (s. auch S. 23) in deutschen Hausarztpraxen für völlig neue Arten der Datenerfassung und des Datenaustausches sorgen wird.

Die Kassenärztliche Bundesvereinigung (KBV) gibt sich allerdings gelassen. Unter die Grundverordnung falle zwar „auch der gesamte Bereich der Gesundheitsdaten“, wird dort erklärt. Allerdings habe dies „keine gravierenden Änderungen bei der Verarbeitung von Gesundheitsdaten“ zur Folge. Bei der Bundesärztekammer verweist man auf die KBV.

Kein Grund, nichts zu tun

Dr. Bernd Schütze ­wundert es aus mehreren ­ Gründen nicht, dass von ärztlichen Vertretern kaum Handlungsbedarf ­gesehen wird. Schütze ist Arzt, Datenschutzexperte und Leiter der Arbeitsgruppe Datenschutz und IT-Sicherheit der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie. Und genauso gut wie deutsches und europäisches Datenschutzrecht kennt er die behördlichen Kontrollen des Datenschutzes in den deutschen Arztpraxen. „Denn die gibt es faktisch nicht“, sagt er. Und es sei nicht davon auszugehen, dass sich daran etwas ändern wird. Was allerdings kein Grund sei, „weiter einfach nichts zu tun“.

Schütze nennt Zahlen, die gehörig Angst machen können. Zehn, vielleicht auch 20 Millionen Euro drohten als Maximalstrafe für Verstöße gegen die Datenschutzgrundverordnung, die genaue Höhe werde gerade noch zwischen den EU-Aufsichtsbehörden verhandelt. Natürlich sind das Summen, die auf multinationale Konzerne gerichtet sind und eher nicht gegen einzelne Arztpraxen. Prinzipiell gelte aber, dass künftig das Strafmaß deutlich höher angesetzt werde als bis jetzt im Bundesdatenschutzgesetz, bei dem maximal 300.000 Euro genannt würden.

Und auch der Ermessensspielraum der Aufsichtsbehörden in Deutschland sinke, sagt Schütze. So hätten diese in Deutschland bisher nur sehr zurückhaltend sanktioniert, weil sie vor allem kleinere Unternehmen oder eben Arztpraxen nicht abschrecken wollten, sich datenschutzrechtlich von ihnen ­beraten zu lassen. „Jetzt, mit der europäisch einheitlichen Regelung“, sagt Schütze, „wird dieser Spielraum deutlich geringer. Denn die Grundverordnung fordert eine europaweit einheitliche Auslegung und damit auch eine entsprechende einheitliche Sanktionierung bei Verstößen.“

Patienten müssen informiert werden

Ärzte, die auf Nummer sicher gehen wollen, müssten in den kommenden Monaten einiges in ­ihren Praxen ändern, sagt Schütze. In sogenannten „Verarbeitungsverzeichnissen“ müssten alle Verfahren dargelegt werden, mit denen in der Praxis Daten erhoben, verarbeitet oder weitergeleitet werden – dazu gehörten sämtliche elektronische Prozesse, aber auch das Aufnehmen von Daten in Karteikarten. „Formelle Vorgaben gibt es dafür nicht“, sagt Schütze, es reiche also auch, ein handschriftliches Verzeichnis anzulegen, das dann bei Kontrollen vorgelegt werden könne. Patienten müssten zudem informiert werden, wie ihre Daten erfasst und wie lange sie gespeichert würden. Auch dies sei durchaus möglich, sagt Schütze. Nicht, indem sämtliche Patienten angesprochen, sondern beispielsweise ­Flyer mit den entsprechenden Informationen an sie verteilt würden.

Andere Anforderungen aus dem Gesetz hingegen bedeuteten größere Aufwendungen. So müssten Praxisverwaltungssysteme (PVS) fortan ein „angemessenes Schutzniveau“ aufweisen, sagt Schütze, was im Falle von Arztpraxen eine Umsetzung der internationalen Norm ISO 27001 bedeuten könnte. „Um die 20.000 Euro kostet das in der Regel“, meint Schütze, „bis jetzt erfüllt kaum eine Arztpraxis das geforderte Niveau“. Ebenso würde es in den wenigsten Praxen Datenschutzbeauftragte geben, die in der neuen Verordnung ebenfalls festgeschrieben seien. Einfach einen Beauftragten zu ernennen, ohne die nötige Fachkunde, empfiehlt Schütze nicht. „Das genügt nicht den gesetzlichen Anforderungen, es verstößt sogar dagegen.“

Ärzte finden Änderungen praxisuntauglich

Von seinen Gesprächen mit Ärzten weiß Schütze, dass die meisten Kollegen die neuen Anforderungen praxisuntauglich oder zu teuer finden. Er empfiehlt trotzdem, externe Beratung hinzuziehen, die Datenschutzfragen also auszulagern – zum Beispiel an ­Datenschutzexperten und technische Dienstleister. Denn zwar seien Kontrollen nahezu auszuschließen, juristischer Ärger aber nicht. Denn mit der Datenflut, die durch Telematik und E-Health in Praxen auflaufe, steige auch die Gefahr, dass diese Daten in falsche Hände gerieten.

Hier eröffne das neue Gesetz auch neue Klagemöglichkeiten. Während Patienten, deren sensible Krankheitsdaten bekannt werden, bis jetzt nur klagen könnten, wenn ihnen materieller Schaden entsteht, Jobverlust zum Beispiel, erweitere die Grundverordnung das nun auf immateriellen Schaden, also zum Beispiel Einschränkungen im Privatleben. „Das hatten wir bisher nicht in Deutschland, und man kann nicht sicher sein, wie sich das entwickelt“, sagt Schütze. Der Umgang mit vernetzten digitalen Patientendaten sei für ­viele Hausärzte ein unbekanntes Feld. Entsprechend unterschätzt würden oft ­Fragen des Datenschutzes und der IT-Sicherheit. „Wenn aber erst einmal ­etwas schief geht, kann das sehr teuer werden“, so Schütze.

Datenschutzgrundverordnung

Ab 25. Mai 2018 greift auch in Deutschland die EU-Datenschutzgrundverordnung. Damit ändert sich das deutsche Bundesdatenschutzgesetz. Online kann man das Gesetz finden unter: https://dsgvo-gesetz.de.

Fazit

  • Die EU-Datenschutzgrundverordnung betrifft ab Ende Mai 2018 auch Gesundheitsdaten und damit Arztpraxen.

  • Kontrollen werden wahrscheinlich eher selten sein, dennoch sollten Ärzte für den Ernstfall gerüstet sein.

  • Ein Verzeichnis muss die Schritte auf-führen, wie die Praxis Daten erhebt, ­verarbeitet und weiterleitet.

  • Patienten sollten mit einem Flyer über den Umgang mit ihren ­Daten informiert werden.

  • Praxen brauchen einen Datenschutz­beauftragten.

  • Wahrscheinlich muss das PVS angepasst werden.

(T. Trappe)

PDF