Gemeint waren die Großen, treffen wird es alle
Globale Verletzungen des Datenschutzes durch Mega-Konzerne haben die EU zum Erlassen einer Datenschutzverordnung bewegt. Auswirkungen hat diese nun auch auf jede Arztpraxis.
Die von Edward Snowden aufgedeckte Affäre um die National Security Agency, der Kampf von Max Schrems gegen Facebook, der Wirbel um Wählerbeeinflussung nach Erstellung psychologischer Profile – Skandale um grobe Verletzungen des Datenschutzes prägen seit Jahren die Medienberichte. Und wem ist schon bewusst, dass er mit der Akzeptanz der Nutzungsbedingungen von WhatsApp all seine Kontaktdaten freiwillig und gratis weitergegeben hat?
Gemeint waren die großen Konzerne, als die EU im Jahr 2016 ihre Datenschutzverordnung verabschiedet hat, deren nationale Umsetzung mit 25. Mai 2018 in Kraft tritt. „Die bisherige Strafandrohung war aber so niedrig, dass Großkonzerne die Strafe aus der Portokassa bezahlen konnten. Daher wurde der Datenschutz auch nicht so ernst genommen“, erklärt die Grazer Juristin Kaja Unger , Fachhochschulprofessorin und Autorin des Buches „Grundzüge des Datenschutzrechts“. Mitgefangen und mitgehangen sind damit aber Unternehmen, auch Ein-Personen-Unternehmen. Nun wird mit Kanonen auf Spatzen geschossen, sind doch in Österreich fast 80 Prozent der Unternehmen KMU, davon wiederum rund 70 Prozent solche mit weniger als zehn Beschäftigten.
Österreichspezifische Aufregung
Und weil es auch die Kleinen trifft, trifft es die Arztpraxen. Ohne datenschutzrechtliche Relevanz ist quasi nur mehr das elektronische Sammeln der Adressen der eigenen Verwandten vor dem Familientreffen (das sogenannte „Haushaltsprivileg“).
Während es in Deutschland schon lange gesetzeskonform war, die Datenverwaltung inhouse zu dokumentieren, ging Österreich einen anderen Weg: Standardanwendungen mussten nicht gemeldet werden, komplexere Datenverarbeitung an die Datenschutzbehörde weitergeleitet werden, besiegelt durch die DVR-Nummer. Mit der Datenschutzgrundverordnung muss nun auch in Österreich jede Standardanwendung nachvollziehbar dokumentiert werden – im sogenannten Datenverarbeitungsverzeichnis.
Bei datenschutzrechtlichen Vergehen drohen ab 25. Mai exorbitante Strafen von bis zu 10 Millionen Euro oder zwei Prozent des globalen Umsatzes bei kleineren Vergehen (je nachdem, welcher Betrag höher ist) und 20 Millionen oder vier Prozent Umsatz in schwerwiegenden Fällen. „In die Bemessung des Strafausmaßes fließen Kriterien ein wie das Ausmaß der Verletzung, ob der Behörde sofort alle Unterlagen offengelegt wurden und ob die Technik wohl auf dem neuesten Stand ist“, erläutert Unger.
Engmaschig genug für „kleine Fische“
Wer sich darauf verlässt, als Einzelordination wie ein „kleiner Fisch“ durchs Netz der Datenschutzbehörde zu schlüpfen, die nicht über genügend Mitarbeiter verfügt, um sich für jedes Unternehmen interessieren zu können, dem droht möglicherweise eine böse Überraschung. Zwar betont Kaja Unger die hohe Qualität der von der Ärztekammer vorbereiteten Unterlagen. Trotzdem ortet sie für Ärztinnen und Ärzte drei typische Gefahrensituationen in puncto Datenschutzverletzung:
Die Erhebung der Daten
„Zum Datenschutz gehört nicht nur bekanntzugeben, welche konkreten Angaben für welchen Zweck erhoben werden und dass diese Daten für Unbefugte unzugänglich gespeichert werden, sondern auch eine diskrete Form der Erhebung“, so Unger. Gerade in der Arztpraxis, wo „sensible Daten“ gesammelt werden – denn unter diesen Terminus fällt alles, was die Gesundheit betrifft. „Die Daten müssen so abgefragt werden, dass niemand mithören kann“, sagt Unger. Dazu muss die Anmeldung einzeln und hinter verschlossenen Türen stattfinden, wozu in vielen Ordinationen schlichtweg die räumlichen Voraussetzungen fehlen.
Die Betroffenenrechte
Einen weiteren Stolperstein ortet Unger bei den Betroffenenrechten: dem Recht auf Auskunft und jenem auf Löschung der Daten. „Jeder Patient hat ein Recht auf Auskunft, welche Daten über ihn gespeichert werden – und ich bin mir sicher, einige werden dieses auch nutzen. Antwortet der Arzt nicht innerhalb von vier Wochen, kann der Betroffene entweder direkt zur Datenschutzbehörde gehen oder sich an eine Institution wie die ARGE Daten wenden, die wiederum die Behörde verständigt.“ Skeptisch sieht Unger die knappe Frist. „Um derartige Anfragen rechtzeitig bearbeiten zu können, müssen die entsprechenden Prozesse vorab festgelegt sein: Wo muss die Anfrage deponiert werden, wer übernimmt die Beantwortung, wer muss informiert werden …?“ Neben der Geldstrafe droht ein Marketingschaden durch mediale Berichterstattung. Aus einer Arztpraxis, in der aus Unerfahrenheit ein Fehler passiert ist, kann so schnell eine „Skandal-Ordination“ werden.
Der Tipp des Konkurrenten
Auch Ärztinnen und Ärzte können neidische Konkurrenten oder unzufriedene Kunden haben. „Da kann es schon vorkommen, dass jemand der Datenschutzbehörde einen Tipp gibt und diese daraufhin aktiv werden muss“, warnt Unger.
Hilfe holen
Damit in derartigen Fällen alle Unterlagen in Ordnung sind, empfiehlt Unger, sich rechtzeitig Hilfe zu holen. „Die Datenschutzbehörde sieht sich selbst neben ihrer Funktion als Kontrollorgan auch als Beratungsinstitution. Wer eine Frage zur Datenschutzverordnung hat, kann sie daher auch aktiv um Hilfe bitten.“ Gleich nach Inkrafttreten der DSGVO werden sich vermutlich die Anfragen häufen und es kann zu Verzögerungen bei der Beantwortung kommen. Möglicherweise finden sich dann ohnehin entsprechende Antworten auf FAQs auf deren Homepage.
Jenen Kleinunternehmern, die selbst keine Listen für das Datenverarbeitungsverzeichnis erstellen möchten oder denen die Infrastruktur dafür fehlt, rät Unger, ein Angebot des Bundesrechenzentrums in Anspruch zu nehmen: Dort kann man relativ günstig eine Softwarelösung samt Speicherkapazität auf einem sicheren Server mieten.
Allen Ärztinnen und Ärzten rät die Datenschutzexpertin, das Thema jedenfalls ernst zu nehmen, die Mitarbeiterinnen und Mitarbeiter gut zu schulen (Stichwort Recht auf Auskunft), Hard- und Software immer auf dem neuesten Stand der Technik zu halten und im Falle einer Beanstandung sofort aktiv mit der Behörde zu kooperieren.
Der IT-Spezialist und Rechtsanwalt Markus Dörfler hat zu diesem Thema mehrere Vorträge vor Ärztinnen und Ärzten gehalten, auch in der Steiermark. Hier der Video-Link zu einem Dörfler-Vortrag in Wien.
Infos auf der Website der Ärztekammer Steiermark.
Fotos: Fotolia, Klaus Morgenstern