Datenschutz in radiologischen Praxen aktuell
Verantwortung und Aufgabenwahrnehmung
Seit zwei Jahren nun ist die DSGVO vollumfänglich in Kraft getreten und „scharf geschaltet“. Größere Probleme wurden aus den Radiologienetzpraxen bisher noch nicht gemeldet. Kein Grund, das Thema nicht weiterhin ernst zu nehmen, zumal es ein sehr dynamisches Thema mit ständig neuen Anforderungen und Herausforderungen ist.
Ziel des Datenschutzes ist der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. In einem Urteil des Bundesverfassungsgerichts (Volkszählungsurteil 15.12.1983) wurde das Recht auf informationelle Selbstbestimmung, das Recht des Einzelnen grundsätzlich zu bestimmen, wer, was, wann über einen weiß, bereits festgestellt.
Heute wird durch die DSGVO ein einheitliches Datenschutzniveau in Europa erreicht. Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht (§32 DSGVO). Dabei sollte kontinuierlich geprüft werden, ob die Verhältnismäßigkeit zwischen Zielerreichung und Mitteleinsatz stimmt.
Beispiel: Ein zentrales Schutzziel ist die Vertraulichkeit, die unter anderem durch technisch-organisatorische Maßnahmen der Zugangskontrolle erreicht wird, die verhindern, dass beispielsweise Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.
Mögliche Maßnahmen sind:
Technische Maßnahmen
- Login mit Benutzername + Passwort
- Login mit biometrischen Daten
- Anti-Virus-Software Server
- Anti-Virus-Software Clients
- Anti-Virus-Software mobile Geräte
- Firewall
- Intrusion Detection Systeme
- Mobile Device Management
- Einsatz VPN bei Remote-Zugriffen
- Verschlüsselung von Datenträgern
- Verschlüsselung Smartphones
- Gehäuseverriegelung
- BIOS-Schutz (separates Passwort)
- Sperre externer Schnittstellen (USB)
- Automatische Desktopsperre
- Verschlüsselung von Notebooks / Tablet
Organisatorische Maßnahmen
- Verwalten von Benutzerberechtigungen
- Erstellen von Benutzerprofilen
- Zentrale Passwortvergabe
- Richtlinie „Sicheres Passwort“
- Richtlinie „Löschen / Vernichten“
- Richtlinie „Clean Desk“
- Richtlinie Datenschutz und/oder Sicherheit
- Mobile Device Policy
- Anleitung „Manuelle Desktopsperre“
Neben dem Schutzziel Vertraulichkeit nennt der Gesetzgeber weiterhin die Integrität, die Verfügbarkeit und die Belastbarkeit. Auch hier muss eine Praxis technische und organisatorische Maßnahmen bestimmen und dokumentieren, die ergriffen werden, um Datenschutz-Risiken zu erkennen und zu minimieren. Dies alles als Balanceakt zwischen gesetzlichen Anforderungen und organisatorischem Aufwand. Am Ende liegen die genaue Ausgestaltung und der Umfang der Maßnahmen im Entscheidungsbereich des Verantwortlichen für das Thema Datenschutz. Das sind in radiologischen Praxen ein oder mehrere Gesellschafter, in MVZ die Geschäftsführung. Diese können zwar die Aufgabenwahrnehmung an die sogenannten Datenschutzbeauftragten delegieren, nicht jedoch ihre Verantwortung für das Thema und mögliche Folgen von Datenschutzverletzungen. Der Datenschutzbeauftragte hat keine Entscheidungsbefugnis über Datenverarbeitung und dementsprechend ist er auch nicht verantwortlich, wenn sein Hinweis oder Protest gegen rechtswidrige Datenverarbeitung durch die Leitung der ihn benennenden Stelle (Praxisführung) ignoriert wird. Die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorschriften trägt die Geschäftsleitung einer Praxis (Art. 24 DSGVO). Im Praxisalltag gerät diese ureigenste Verantwortlichkeit der Ärzte selbst manchmal in Vergessenheit. Das wiederum kann sich schlagartig ändern, wenn eine Datenpanne vorliegt und zur Anzeige gebracht wird.
Da Datenschutz in sehr vielen Bereichen einer Praxis ein zu berücksichtigendes Thema geworden ist und der Aufgabenumfang des Datenschutzbeauftragten in den letzten Jahren eher zugenommen hat, wird sowohl in der DSGVO als auch im BDSG NEU davon gesprochen, dass zur Erfüllung der Aufgaben dem Datenschutzbeauftragten eine (weitere) Person vom Verantwortlichen zur Seite gestellt werden sollte. Dies könnte auch sinnvoll sein, wenn eine Praxis die Aufgabe des Datenschutzbeauftragten externalisiert hat, also keiner innerhalb der Praxis damit betraut ist. Hier könnte ein/eine Datenschutzkoordinator/in vor Ort benannt werden, der/die sich mit den Prozessen, Abläufen und der Infrastruktur auskennt und das fachliche Bindeglied zum externen Datenschutzbeauftragten darstellt.
Homeoffice und Datenschutz
Aktuell haben einige Praxen Mitarbeitern die Möglichkeit eingeräumt, im Homeoffice zu arbeiten. Auch hier gibt es bestimmte Verhaltensregeln bezüglich des Datenschutzes, die zu berücksichtigen sind. Auch hier geht es um den Schutz personenbezogener Daten. Die Praxen müssen vorab Richtlinien festlegen bezüglich der Ausgestaltung des Homeoffice (Zugänglichkeit der Räumlichkeiten für Dritte, Anforderungen an die Hard- und Software, Datenspeicherung und -übertragung, Telefonie). Sinnvollerweise werden alle Anforderungen schriftlich festgelegt und die Einhaltung von den Mitarbeitern entsprechend auch schriftlich bestätigt.
Datenschutz und Praxisgröße
Ebenfalls aktuell ist eine Änderung für die Mindestgröße eines Unternehmens geplant, ab der ein Datenschutzbeauftragter bestellt werden muss. Diese soll von 10 auf 20 Personen (alle Beschäftigte, ob Voll- oder Teilzeit) erhöht werden. Inwieweit tatsächlich kleinere Praxen mit bis zu 20 Personen damit aus der Pflicht genommen werden, ist umstritten, da in Arztpraxen eine besondere Kategorie personenbezogener Daten nach §9 DSGVO verarbeitet wird. Nach den Vorgaben des Art. 37 DSGVO muss ein/e Datenschutzbeauftragte/r benannt werden, wenn eine Stelle Gesundheitsdaten als Kerntätigkeit verarbeitet und diese Verarbeitung umfangreich ist. Die Verarbeitung von Gesundheitsdaten als Kerntätigkeit liegt bei Arztpraxen immer vor. Von daher gibt es Datenschützer, die der Meinung sind, dass alle Arztpraxen unabhängig von ihrer Größe immer einen Datenschutzbeauftragten bestellen müssen. Auch eine Nachfrage bei der Baden-Württembergischen Landesdatenschutzbehörde führte bisher zu keiner eindeutigen Aussage.
Ihr Ansprechpartner:
Datenschutzbeauftragter
Dirk Schäfer
