· Fachbeitrag · Datenschutz
Diese Auswirkungen hat die DSGVO für Sie als Chefarzt
von RA Andreas Frohn LL.M., Köln, www.kanzlei-am-aerztehaus.de
| Am 25.05.2018 entfaltet die EU-Datenschutzgrundverordnung (DSGVO) ihre volle Wirkung. Als EU-Verordnung braucht sie nicht in nationales Recht umgewandelt zu werden. Dennoch erlauben sogenannte Öffnungsklauseln den Mitgliedstaaten begrenzte Möglichkeiten zur Ausgestaltung. Deshalb tritt in Deutschland zum Stichtag auch das (neue) Bundesdatenschutzgesetz (BDSG) in Kraft. In erster Linie ist für die Einhaltung des Regelwerks der Krankenhausträger verantwortlich. Dennoch betrifft die DSGVO auch Chefärzte. |
Wesentliche Neuerungen durch die DSGVO
Verstöße gegen die DSGVO werden mit einem Bußgeld von bis zu 20 Mio. Euro bzw. bis zu 4 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres belegt (je nachdem, welche Alternative wertmäßig höher ist). Der Jahresumsatz betrifft den gesamten Konzern. Für Kliniken in einem solchen Verbund können also erhebliche Summen im Raum stehen. Bisher haben selbst die Überwachungsbehörden über Verstöße milde hinweggesehen. Künftig werden Verstöße nach Willen des europäischen Verordnungsgebers in „abschreckender“ Weise zu ahnden sein.
| |
Verzeichnis über Verarbeitungsvorgänge | Auch Krankenhäuser müssen ein detailliertes Verzeichnis anlegen und pflegen, in welchem alle Datenverarbeitungsvorgänge dezidiert beschrieben sind. Die Verordnung enthält diesbezüglich einen Katalog von Mindestinhalten. Aktuell kursiert eine Vielzahl von „Musterverzeichnissen“ (z. B. online unter www.kbv.de/html/1150_34037.php). |
Datenschutz-Folgenabschätzung | Eng verknüpft mit dem Verarbeitungsverzeichnis ist die Datenschutz-Folgenabschätzung. Dies ist eine systematische Analyse der Verarbeitungsvorgänge mit dem Ziel, das Gefährdungspotenzial zu beziffern und ggf. zu minimieren. |
Erweiterte Betroffenenrechte | Hatte der Patient auch bislang bereits ein Recht auf Herausgabe einer Kopie der Patientenakte, wird dieses Recht durch die DSGVO nochmals erweitert. Derartige Anfragen sind künftig i. d. R. binnen eines Monats zu beantworten. Kosten dürfen hierfür grundsätzlich nicht erhoben werden. Außerdem müssen die Daten so aufbereitet sein, dass sie in systematischer und „transportabler“ Form vorliegen. Gerade Letzteres ist aktuell schwer zu erfüllen. Hier wird die IT entsprechende Lösungen bereitstellen müssen. Ebenfalls wichtig sind die Rechte auf (teilweise) Löschung von Daten und deren Sperrung. Was banal klingt, wird spätestens im Falle von dringend anzuratenden Back-up-Lösungen kompliziert. Auch dies stellt eine Herausforderung für die eingesetzte Software dar. |
Erweiterte Informationspflichten | Ebenfalls vorgeschrieben sind die Informationen, die dem Patienten im Zusammenhang mit der Datenverarbeitung in transparenter und verständlicher Form zur Verfügung zu stellen sind. Dazu zählen z. B. die Kontaktdaten des Verantwortlichen, mögliche Empfänger der verarbeiteten Daten und der Hinweis auf die jederzeit mögliche Widerrufbarkeit einer datenschutzrechtlichen Einwilligung in die Datenverarbeitung und auf Beschwerderechte. |
Meldung von Datenpannen | Nach Art. 33. DSGVO sind Datenpannen an die Überwachungsbehörde und ggf. auch an den Betroffenen (i. d. R. den Patienten) möglichst innerhalb von 72 Stunden zu melden. Die rechtzeitige Meldung ist zu dokumentieren. |
Möchten Sie diesen Fachbeitrag lesen?
Kostenloses CB Probeabo
0,00 €*
- Zugriff auf die neuesten Fachbeiträge und das komplette Archiv
- Viele Arbeitshilfen, Checklisten und Sonderausgaben als Download
- Nach dem Test jederzeit zum Monatsende kündbar
* Danach ab 16,00 € / Monat
Tagespass
einmalig 10 €
- 24 Stunden Zugriff auf alle Inhalte
- Endet automatisch; keine Kündigung notwendig