e4yp hat sich in einer kleinen Reihe diesem Thema gewidmet und Tim Schwarz, Fachanwalt für IT-Recht, befragt.
Frage 1: Was darf ich, was darf ich nicht tun, wenn ich mit Patientendaten arbeite?
Patientendaten sind personenbezogene Daten, d.h. jede Datenverarbeitung unterliegt neben dem ärztlichen Berufsrecht auch der Europäischen Datenschutz-Grundverordnung, kurz DSGVO. Im Anwendungsbereich der DSGVO gilt das sog. Verbot mit Erlaubnisvorbehalt. Das bedeutet, ich darf personenbezogenen Daten nur Verarbeiten, wenn eine Einwilligung des Betroffenen vorliegt oder ein gesetzlicher Erlaubnistatbestand dies rechtfertigt. Dieses gilt sowohl für das Erheben, Speichern und Nutzen als eben auch für die Weitergabe an Dritte. Bei Patientendaten handelt es sich typischerweise um Gesundheitsdaten und damit um besondere Datenkategorien i.S.v. Art. 9 DSGVO. Hier muss eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO nachgewiesen werden können. Eine solche Rechtsgrundlage kann sich auch aus anderen Gesetzen z.B. aus dem SGB V und VII oder etwa dem Infektionsschutzgesetz ergeben. In sehr vielen Fällen der Datenweitergabe an Kollegen braucht es aber schlichtweg einer Einwilligung des Patienten. Neben der Rechtsgrundlage sind auch weitere Datenschutzanforderungen zwingend umzusetzen, insbesondere müssen angemessene Maßnahmen der Datensicherheit umgesetzt werden.
Frage 2: Ich tausche Patientendaten mit Kollegen via App(s) aus, was muss ich beachten?
Wichtig ist hier, dass der Arzt oder die als Praxis zusammengeschlossenen Ärzte Verantwortlicher i.S.d. DSGVO sind. Der Verantwortliche hat dabei alle Pflichten nach der DSGVO umzusetzen und er muss die Umsetzung nachweisen.
Bei dem Einsatz von Apps ist dabei auf dreierlei besonders zu achten: Die Datenweitergabe an Dritte muss zulässig sein, d.h. ich benötige im Regelfall eine Einwilligung des Betroffenen. Genauso wichtig ist aber, dass ich sicherstellen muss, dass ich diese Daten sicher speicher und sicher übertrage. Hier geht es insbesondere um den Schutz von Zugriffsmöglichkeiten Dritter, z.B. durch Verschlüsselung.
Da wir es hier mit besonders geschützten Gesundheitsdaten zu tun haben, sollten nur Apps verwendet werden, die ein angemessenen Schutz bieten. Im Regelfall werden Sie einen Dienstleister als Auftragsverarbeiter einsetzen, der den Dienst betreibt. Wenn Sie Patientendaten an diesen weitergeben, sind Sie gegenüber Ihrem Patienten verantwortlich und Sie sind auch verantwortlich für das, was Ihr Auftragsverarbeiter damit macht. Aus diesem Grunde ist es wichtig, dass Sie einen guten Auftragsverarbeitungsvertrag mit Ihrem Dienstleister schließen, in dem Sie die datenschutzrechtlichen Pflichten konkret regeln.
FRAGE 3: Gibt es eine Hilfestellung für die Auswahl geeigneter Apps?
Die Auswahl der – aus Datenschutzsicht – richtigen App ist nicht einfach. Aber in der Tat, es gibt ein Whitepaper der Datenschutzkonferenz vom 7.11.2019, welches sich mit "Technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich" befasst. In diesem Whitepaper werden die wesentlichen datenschutzrechtlichen Anforderungen für die Nutzung von Messenger-Diensten und -Apps für Gesundheitsdaten in 29 Punkten dargestellt.
Link zum Whitepaper
FRAGE 4: Macht es einen Unterschied, von wo die App betrieben wird oder in welchem Land die Server stehen?
Tatsächlich geht die DSGVO davon aus, dass in ihrem Anwendungsbereich (also überall in Europa) ein angemessenes Datenschutzniveau herrscht. Wenn ich Daten aber nach außerhalb der EU übermitteln will, muss ich sicherstellen, dass in dem jeweiligen Land ein angemessenes Schutzniveau herrscht. Hierüber muss ich mir als Verantwortlicher Gedanken machen, denn viele Dienste speichern in der sog. Cloud. Das bedeutet, dass Sie den Speicherort nicht kennen, die Daten aber häufig außerhalb der EU gespeichert werden.
Sie werden den Medien entnommen haben, dass der Europäische Gerichtshof in diesem Juli die Datenübermittlung in die USA auf Grundlage des sog. privacy shield für unzulässig erklärt hat. Die Übermittlung auf Grundlage der sog. Standard-Vertragsklauseln ist zwar weiterhin möglich. Der EuGH hat aber auch hier erklärt, dass der Verantwortliche der Datenübermittlung selbst prüfen muss, ob zusätzliche Maßnahmen zu ergreifen sind. Es ist davon auszugehen, dass die Datenschutzaufsichtsbehörden diese Themen in der nächsten Zeit intensiver prüfen werden.
Frage 5: DSGVO spezial: Werden Patientendaten verarbeitet, dann ist nicht nur der Grundsatz der Rechtmäßigkeit zu beachten
Werden Patientendaten verarbeitet, dann ist nicht nur der Grundsatz der Rechtmäßigkeit zu beachten und geeignete technische und organisatorische Maßnahmen zu treffen - der verantwortlichen Arzt hat weitere Anforderungen der DSGVO zu erfüllen, um sich nicht der Gefahr einer Geldbuße auszusetzen
Die zentralen Grundsätze für die Verarbeitung personenbezogener Daten ergeben sich aus Art. 5 Abs. 1 DSGVO. Für die Umsetzung dieser Grundsätze muss der Verantwortliche konkrete Maßnahmen umsetzen und Dokumentationen vorhalten.
Neben den Grundsätzen, die wir bereits kennengelernt haben, sind hier hervorzuheben: Der Grundsatz der Transparenz, der Zweckbindung, der Datenminimierung, der Speicherbegrenzung.
Ein guter Anfang ist sicherlich die Erstellung einer Datenschutzinformation nach Art. 13 und 14 DSGVO als zentrale Maßnahme der transparenten Verarbeitung. Hier sollten Sie nicht einfach ein Muster in der Praxis aushängen, sondern die Anforderungen aus Art. 13 inhaltlich für Ihre Situation bearbeiten.
Dabei sollten Sie sich die Frage stellen, ob Sie einen Datenschutzbeauftragten bestellen müssen und ob Sie dessen Bestellung bereits an die zuständige Aufsichtsbehörde gemeldet haben.