„Sage, was Du tust, tue, was Du sagst

                        (Qualitätspolitik)                                               (Prozessqualität)

und beweise es“(Qualitätsaufzeichnungen)

Am 25.05.2018 sind

 

-    Die neue europäische Datenschutz-Grundverordnung (DSGVO)

-    Die Neufassung Bundesdatenschutzgesetz (BDSG)

 

gleichzeitig in Kraft getreten und im November 2019 aktualisiert worden.

                                                                                                                                                                                                                  Für ein kurzes Resümee klicken Sie bitte auf das Bild

Ärztliche Schweigepflicht

Die ärztliche Schweigepflicht ist ein hohes Gut und führt dazu, dass die neue EU-DSGVO – genauso wie im Qualitätsmanagement gemäß des G-BA – in dem geschlossenen System „Heilkunde“ zu interpretieren und umzusetzen ist.

Die ärztliche Schweigepflicht ist seit dem Inkrafttreten des Patientenrechtegesetzes in den §§ 630a. ff BGB geregelt und Verstöße gegen die Schweigepflicht gelten als Straftatbestand.

 

Patientenrechtegesetz: Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten (BGBI. 2013, Teil I, Nr. 9 S. 277)

 

Insofern ist die neue DSGVO und die Regelung des Bundesdatenschutzgesetzes nur eine logische Konsequenz =

Die Patienten-Einwilligungserklärung(en) müssen formal richtig sein und eine dezidierte Einwilligung (wichtig z.B. bei der Weitergabe der Daten an eine privatärztliche Verrechnungsstelle) beinhalten.

Allerdings ist auch vom Gesetzgeber bedacht worden, dass es eine Reihe von gesetzlichen Ausnahmen bis hin zu zahlreichen gesetzlichen Offenbarungspflichten bestehen wie z.B. KV-Abrechnungen, Qualitätssicherung, Qualitäts- und Wirtschaftlichkeitsprüfung im Einzelfall etc.

Hier ist insbesondere die Kenntnis und die Meldepflicht (namentlich und nicht namentlich) des Infektionsschutzgesetzes zu benennen.

Dem Straftatbestand des § 203 StGB unterliegen nicht nur die angestellten Ärzte, MFA, Azubis etc., sondern insbesondere auch Mitarbeitern von Dienstleistungsunternehmen, die z.B. mit der Wartung und Instandsetzung des elektronischen Praxisverwaltungssystems beauftragt sind =

Es müssen zunächst folgende Fragen (Bundesärztekammer und KBV) beantwortet werden:

 

1. Wann benötigt die medizinische Einrichtung einen Datenschutzbeauftragten?

2. Was muss das Verzeichnis von Verarbeitungstätigkeiten beinhalten?

3. Wann muss die medizinische Einrichtung zwingend eine Datenschutz-Folgenabschätzung durchführen und durch welche Maßnahmen kann das „hohe Risiko“ minimiert werden?

 

Cave: Bundesärztekammer und KBV übernehmen keine Gewähr für Musterformulare!

 

 

 

Verzeichnis von Verarbeitungstätigkeiten

Anhand einer Bestandsaufnahme wird ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 EU-DSGVO) mit entsprechenden Formular(en) für jede Gruppe erarbeitet.

Die Führung dieses Verzeichnisses ist Teil der neuen Rechenschafts- und Nachweispflicht des Verantwortlichen (immer Arzt) – bei Facharzt.QM wird der QM-Verantwortliche zukünftig auch der Datenschutz-Verantwortliche sein.

Das schriftlich oder elektronisch zu führende Verzeichnis hat sämtliche in Art 30 Abs. 1 S. 2 DSGVO aufgeführten Aufgaben zu enthalten und muss der Aufsichtsbehörde (in der Regel die Landesbeauftragten für den Datenschutz – Information auch über die Ärztekammer) jederzeit auf Anfrage zur Verfügung gestellt werden.

Auch ist zu bedenken, dass Ärzte infolge ihrer täglichen Verarbeitung höchst sensibler Gesundheitsdaten in ihren Einrichtungen eine besondere Verantwortung zur Wahrung von Datenschutz- und Berufsrecht tragen (vgl. Art. 24 Abs. 1 DS-GVO sowie die Vorgaben der Berufsordnung).

Verstöße gegen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten können mit einer Geldbuße von bis zu 10.000.000 EUR oder von bis zu 2% des gesamten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sanktioniert werden (Art 83 Abs. 4 Buchst. A. DSGVO).

 

Bei Facharzt.QM wird das VVT der neu entwickelte Bereich DSGVO sein, in dem - spezifisch auf die medizinische Einrichtung – in das QM-Handbuch die wichtigen Vorlagen (nach einer Schwellenanalyse) zur Verfügung gestellt wird.

 

 

Der Gemeinsame Bundesausschuss (G-BA) ist das oberste Beschlussgremium der gemeinsamen Selbstverwaltung der Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Psychotherapeutinnen und Psychotherapeuten, Krankenhäuser und Krankenkassen in Deutschland. Rechtsgrundlage für die Arbeit des G-BA ist das Fünfte Sozialgesetzbuch (SGB V).

Die von ihm beschlossenen Richtlinien haben den Charakter untergesetzlicher Normen. Zudem hat der G-BA weitere wichtige Aufgaben im Bereich des Qualitätsmanagement und der Qualitätssicherung in der ambulanten und stationären Versorgung.

 

 

 

Datenschutz-Folgenabschätzung

Ergibt sich aus dem Verzeichnis von Verarbeitungstätigkeiten ein „High Risk Faktor“ muss eine Datenschutz-Folgenabschätzung (Art. 35 Abs. 7 DSGVO) erarbeitet werden.

 

Dabei werden

 die Verwendung neuer Technologien wie z.B. Cloud-Dienste (Art. 35 Abs. 1 DSGVO)

 drei gesetzlich aufgeführte Fälle wie z.B. Videoüberwachung in der Arztpraxis (Art. 35 Abs. 3 Buchst. c DSGVO)

 sowie die umfangreiche Verarbeitung von personenbezogenen Daten (Art. 35 Abs. 3 Buchst. b DSGVO)

analysiert.

 

Nach Erwägungsgrund 91 der DSGVO ist eine Verarbeitung nicht als umfangreich einzuordnen, wenn die Verarbeitung personenbezogene Patientendaten betrifft und durch einen einzelnen Arzt erfolgt.

 

Cave: Umfangreich bedeutet nicht unbedingt die Menge der Patientendaten, sondern die Qualität der Daten =

Wenn in einem Informationssystem (allen voran KIS) genetische oder medizinische Daten verarbeitet, gendiagnostische Verfahren angewandt oder besonders schutzbedürftige Patientengruppen (z.B. Kinder oder psychisch Erkrankte) behandelt werden, ist immer eine Datenschutz-Folgenabschätzung durchzuführen.

 

Die Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung kann bei der zuständigen Aufsichtsbehörde erfragt werden oder die medizinische Einrichtung führt eine Schwellwertanalyse durch und weist hiermit nach, dass durch technisch-organisatorische Vorkehrungen hinreichende Abwehrmaßnahmen ergriffen wurden, welche das Risiko minimieren.

Das Ergebnis der Datenschutz-Folgenabschätzung ist zu dokumentieren – ggfls. ist eine externe Datenschutzprüfung zu empfehlen.

 

 

strafrechtliche Schweigepflicht

Im § 203 Abs. 3 Satz 2 StGB ist die strafrechtliche Schweigepflicht für externe Personen oder Unternehmen formuliert.

Zu prüfen ist im einzeln z.B.:

 

 die Bereiche Telekommunikation, Praxisverwaltungssystem, Steuerberatung oder Buchhaltung

 alle Mitarbeiter von Dienstleistungsunternehmen oder selbstständig tätige Personen

 „Qualitätsbestimmung“ der Notwendigkeit der Weitergabe von Informationen

 

Hier ist v.a. noch einmal die elektronisch geführte Patientenkartei und damit die Weitergabe von medizinischen Daten zu benennen und die Schnittstelle zu „sonstige mitwirkenden Personen“

 

= die medizinische Einrichtung muss sicherstellen, dass jedes Unternehmen und deren Mitarbeiter nur Kenntnisse von Informationen hat, die für die Vertragserfüllung notwendig ist!

 

Mit jedem dieser „sonstigen mitwirkenden Personen“ muss zum einen ein Auftragsverarbeitungs-Vertrag abgeschlossen werden (Bestandteil VV), zum anderen muss mit jedem Mitarbeiter eine Geheimhaltungsverpflichtung unterschrieben werden.

 

Cave: Insbesondere Fernwartung IT-Systeme = verrät der Mitarbeiter Patientengeheimnisse macht sich auch der Arzt strafbar (§ 203 Abs. 4 Nr. 1 StGB)!

 

 

Resümee

Mit dem Inkrafttreten der DSGVO und der Neuregelung des BDSG gehen kaum gravierende inhaltliche Änderungen einher – die DSGVO regelt nur die ganz oder teilweise automatisierte Verarbeitung von Patientendaten und die Qualifizierung der Weitergabe.

Das heißt, eine Verarbeitung, die bislang rechtmäßig erfolgte, wird im Wesentlichen auch weiterhin den Anforderungen des Datenschutzes genügen.

Neu sind die hohen und strengen Sanktionsmaßnahmen, um den Datenschutz – aber auch das Qualitätsmanagement – in der medizinischen Einrichtung besser durchsetzen zu können.

Denn bisherige Gesetze (z.B. Patientenrechtegesetz) werden bis heute nicht richtig oder gar nicht umgesetzt.

Auch die verpflichtende Benennung eines Datenschutz-Verantwortlichen, der die Einhaltung der Grundsätze der DSGVO nachweisen kann (Rechenschaftspflicht) ist neu.

Der Datenschutz-Verantwortliche zeichnet sich dabei v.a. verantwortlich für:

 

 Verzeichnis von Verarbeitungstätigkeiten

 Datenschutz-Folgenabschätzung

 und sich daraus ergebende verpflichtende Benennung des Datenschutz-Beauftragten

 

in allen zuvor benannten Konsequenzen.

Prüfungen durch externe Datenschutzprüfer, Auditierungen und Zertifizierungen kommen ebenfalls als geeignete Maßnahmen zur Wahrung des Datenschutzes in Betracht.

 

Cave: der externe Datenschutzprüfer muss nicht nur sehr gute Kenntnisse der neuen EU-DSGVO und der Neuregelung des BDSG haben, sondern auch alle Schnittstellen kennen und entsprechende Änderungsmaßnahmen vorschlagen können!

 

In Facharzt.QM wurde bereits immer der QM-Verantwortliche, der immer ein Arzt / Ärztin (siehe auch das benutzte QM-System: KPQM 2006) ist, benannt (selbst bei einer Einzelarztpraxis).

Deshalb kann der QM-Verantwortliche auch der Datenschutz-Verantwortliche sein, da er bereits jetzt viele erforderliche Grundkenntnisse mit sich bringt.