Die Zielsetzungen der DSGVO sind die Entwicklung eines einheitlichen Datenschutzniveaus für alle Bürger Europas und die Stärkung der Rechte natürlicher Personen. Die Vorschriften der DSGVO sind von Organisationen im Gesundheitsbereich ohne Ausnahme und verbindlich bis Mai 2018 umzusetzen.
Österreich ist bei der Umsetzung der Datenschutz Grundverordnung spät dran. Trotz einer genau ausformulierten Datenschutzverordnung der EU ist der Entwurf der Bundesregierung äußerst verspätet und unausgegoren. In vielen Teilbereichen wurden ungenaue Rahmenbedingungen geschaffen bzw. entstehen Widersprüche zu bestehenden nationalen Regelungen. In einem Punkt ist der Gesetzgeber allerdings überraschend klar: Hohe Verwaltungsstrafen bei Verstößen gegen die DSGVO (bis zu 4% des Jahresumsatzes).
Hier eine erste Übersicht von Aspekten der DSGVO, die Sie als Ordinationsbetreiber bei der Verarbeitung von personenbezogenen Daten zu beachten haben:
Einwilligung (DSGVO Art 7)
Die betroffene Person muss in die Verarbeitung der personenbezogenen Daten einwilligen und hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Eine erfolgte Einwilligung muss auch jederzeit nachgewiesen werden können.
Unklar ist hier, ob das Überreichen der E-card als eine schlüssige Einverständniserklärung gewertet werden kann. Eine Einverständniserklärung im Anamnesebogen unterschreiben zu lassen ist offensichtlicher. Bei einem Recallsystem sollte sicherheitshalber schriftlich ein Einverständnis eingeholt werden.
Informationspflicht bei Erhebung von personenbezogenen Daten (DSGVO Art 13)
Die betroffene Person muss Informationen zum Verarbeitungszweck der Daten erhalten und gegebenenfalls auch die Kontaktdaten eines zuständigen Datenschutzbeauftragten.
Hier ist noch unklar, ob das Installieren eines Datenschutzbeauftragten in Österreich überhaupt umgesetzt wird, weil hier ein Umsetzungsspielraum im nationalen Recht besteht.
Wenn überhaupt ein Datenschutzbeauftragter notwendig wird, dann – gerüchteweise – nur bei Betrieben mit >20 Angestellten.
Recht auf Löschung („Recht auf Vergessenwerden“) und Einschränkung der Verarbeitung (DSGVO Art 17 ff)
Die betroffene Person hat jederzeit das Recht zu verlangen, dass die personenbezogenen Daten unverzüglich gelöscht werden. Hier ergibt sich das größte Spannungsverhältnis zu bereits bestehenden nationalen Regelungen. Zahnärzte sind verpflichtet, Aufzeichnungen sowie die sonstigen der Dokumentation dienlichen Unterlagen mindestens zehn Jahre aufzubewahren. Eine Aufbewahrung über 30 Jahre wird aufgrund der langen Verjährungsfristen im Schadenersatzrecht angeraten. Unterlagen für Ihre Steuererklärung müssen 7 Jahre aufbewahrt werden.
Unklar ist, wie im medizinischen Bereich mit dieser Regelung umgegangen werden soll. Hier werden gewiss noch umfassende Anpassungen bzw. Ausnahmeregelungen folgen.
Datenübertragbarkeit (DSGVO Art 20)
Es ist auch ein Recht auf Übertrag der Daten an alternative „Datenverarbeiter“ vorgesehen. Im medizinischen Bereich ist nur eine Übertragung von Daten bei Behandlerwechsel denkbar. Befunde müssen nach wie vor ausgetauscht werden, wobei die verwendete Ordinations-Software bereits jetzt schon eine Schnittstelle aufweisen muss, um eine Übertragbarkeit bei Systemwechsel zu ermöglichen. Eine Meldung an Außenstehende sollte allerdings sicherheitshalber nur nach schriftlicher Zustimmung durch den Patienten erfolgen (an Anwalt, Versicherung etc.).
Sicherheit der Verarbeitung (DSGVO Art 32)
„Privacy by design and default“(DSGVO Art 25)
Es ist sicherzustellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
Das Setzen von geeigneten technischen und organisatorischen Sicherheitsmaßnahmen, etwa durch Pseudonymisierung und Verschlüsselung personenbezogener Daten, ist verpflichtend (http://flexikon.doccheck.com/de/Pseudonymisierung; https://de.wikipedia.org/wiki/Anonymisierung_und_Pseudonymisierung)
Bereits jetzt schon muss gewährleistet sein, dass:
- der Monitor am Arbeitsplatz für Außenstehende nicht einsehbar ist (Anmeldung, Behandlungszimmer)
- der Monitor bei Abwesenheit gesperrt wird (Anmeldung, Behandlungszimmer)
- die Verschwiegenheitspflicht eingehalten wird (Disziplinäre Sanktionen bei Verstößen)
- die Datenbank geschützt ist (Serverraum, versperrter Raum etc.)
- die Integrität der Daten umfassend geschützt wird (Sicherung, Checksummen, aktuelles Betriebssystem = Win10 inclusive aller Updates, Virenscanner, Hardware-Firewall inclusive Updates, etc.)
Verhaltensregeln (DSGVO Art 40)
Die Herausforderungen bei der Umsetzung der DSGVO bestehen darin, bei den Mitarbeitern ein Bewusstsein für das Thema Schutz und Sicherheit im Umgang mit persönlichen – und vor allem sensiblen – Daten unserer Patienten zu bilden bzw. weiter zu schärfen. Darauf aufbauend sind alle Arbeitsabläufe und Systeme in unseren Ordinationen in Bezug auf DSGVO-Konformität zu prüfen und entsprechend zu dokumentieren.
Dokumentation Verarbeitungsvorgänge (DSGVO Art 30)
Es ist auch das Führen eines Verzeichnisses aller Datenverarbeitungen vorgesehen.
Das bisher geführte DVR-Register wird geschlossen. Die Daten können aber kopiert und anschließend im Ordner archiviert zu werden.
Bundeskanzleramt DVR Register: https://dvr.dsb.gv.at/
Anleitung: https://www.dsb.gv.at/dvr-online
Meldung Datenschutzverstöße (DSGVO Art 33 ff)
Im Falle einer Verletzung des Schutzes personenbezogener Daten muss unverzüglich eine Meldung an die Aufsichtsbehörde erfolgen.
Die Auswirkungen auf unsere Ordinationen sind enorm, jedoch noch nicht klar fassbar. Wir sind bemüht, Sie über die weiteren Entwicklungen eingehend zu informieren und mögliche Hilfestellungen zu leisten.
Wer sich vertiefend mit dieser Materie auseinandersetzen möchte, findet umfassende Informationen hier.
Abschließend bleibt zu sagen, dass der Gesetzgeber bis heute noch keine letztgültigen Normen erlassen hat. Dieser Artikel ist das Ergebnis unserer persönlichen Recherche im Netz und muss weder vollständig noch richtig sein.
Dr. Peter Katerl, Referent für Qualitätssicherung und technische Betriebsauflagen
DDr. Knut Reinbacher, Sukzessor Referat für Qualitätssicherung und technische Betriebsauflagen
Quellen:
ARGE Datenschutz
Leitfaden Datenschutz-Grundverordnung
http://eur-lex.europa.eu/eli/reg/2016/679/oj
https://www.parlament.gv.at/PAKT/VHG/XXV/I/I_01761/fname_643605.pdf