Datenschutz im Gesundheitswesen

EU-DSGVO tritt in Kraft

Am 25. Mai 2018 enden in Deutschland die Übergangsregelungen der europäischen Datenschutz-Grundverordnung (DSGVO). Mit diesem Datum gelten für alle IT-Dienstleister deutlich verschärfte Datensicherheits-Anforderungen. So haften solche Dienstleister ihren Auftraggebern gegenüber schon bei kleinsten Datenschutzverletzungen oder leichter Fahrlässigkeit in voller Höhe für verursachte Schäden. Denn in der Regel befinden sich die Daten zumindest auch im Zugriffs- oder Verfügungsbereich des IT-Dienstleisters.

Ärzte und Apotheker müssen ihre IT-Dienstleister prüfen

Ärzte und Apotheker müssen sich davon überzeugen, dass die Einhaltung der Verträge zur Auftragsverarbeitung (AV, früher ADV) gegeben ist. Das Gesetz sieht ausdrücklich vor, dass der Auftraggeber diesen Sachverhalt regelmäßig überprüfen muss. Mehr noch, der Auftragsverarbeiter (früher „Auftragsdatenverarbeiter“) muss nach Art. 28 I DSGVO hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen durchführt, personenbezogene Daten im Einklang mit den Anforderungen des DSGVO verarbeitet und den Schutz der Rechte der betroffenen Personen gewährleistet.

Der Auftraggeber wiederum wird mit der Neuregelung nunmehr verpflichtet, seinen Dienstleistern das geforderte Sicherheitsniveau für die zur Verfügung gestellten Gesundheitsdaten vorzugeben. Der Datenverantwortliche – also die Apotheke - ist also gehalten, sich im Gegensatz zu früher wesentlich mehr Kontrollrechte einräumen zu lassen. Da diese im Einzelnen jedoch noch nicht näher geregelt sind, sollten sie präventiv eher strenger angelegt sein.

Praxen und Apotheken sind daher in der Pflicht, sich von ihren Dienstleistern wie Systemadministratoren, Rezeptabrechnungsgesellschaften, Privatärztliche Verrechnungsstellen sowie die Lieferanten von Verwaltungs- und Dokumentationssystemen die Gesetzeskonformität der Auftragsdatenverarbeitung bestätigen zu lassen. Diese Bestätigungen sollten am besten in der eigenen QM-Dokumentation hinterlegt werden, denn diese gehören in Zukunft auch zum Qualitätsmanagement von Apotheken und Praxen. Doch was genau sollten diese Bestätigungen beinhalten? mehr (link auf Seite ADV-Bestätigung)

Insbesondere Apotheker, die mit externen Zyto-Herstellern, Blisterzentren oder Sanitätsfachhäusern kooperieren– ebenso wie Zahnärzte, die externe Zahntechniker beauftragen oder Ärzte, die mit Laboren jedweder Art Patientendaten austauschen – müssen die Datensicherheitskriterien exakt definiert haben, die sie von ihren Zulieferern erwarten. Diese – Einhaltung sollte kontrolliert und – unbedingt schriftlich bestätigt werden. Unsere IT-Berater unterstützen Sie dabei gern-. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Was bedeutet das für IT-Dienstleister und ihre Kunden?

Die Strafen für Verstöße gegen das Bundesdatenschutzgesetz waren bislang so klein, dass sie keinen Änderungsdruck hin zu mehr Datenschutz erzeugten. Entsprechend lax wurde auch bisher immer mal wieder mit der Datensicherheit (link zur Seite Cyber-Risken) umgegangen. Um das zu ändern und den Datenschutz nachhaltig in den Fokus zu rücken, insbesondere bei den Branchen, die üblicherweise mit sensiblen Daten arbeiten, allen voran natürlich die IT-Fachleute und das Gesundheitswesen, wurden die Bußgelder nun drastisch erhöht. Nach der neuen Gesetzeslage droht ein Strafmaß von bis zu vier Prozent des gesamten Jahresumsatzes, immerhin maximiert bei 20 Millionen Euro. Alle Auftragsverarbeiter müssen sich zudem zwingend bis 2020 zertifizieren lassen.

Nach 82 I DSGVO haftet zwar auch der Auftragsverarbeiter für von ihm verursachte materielle und immaterielle Schäden. Für ihn gilt jedoch ein anderer Maßstab als für die datenverantwortliche Praxis, Zahnarztpraxis oder Apotheke. Denn Auftragsverarbeiter haften für durch Verarbeitungen verursachte Schäden nur dann, wenn sie den von der Praxis, Zahnarztpraxis oder Apotheke speziell auferlegten Pflichten nicht nachkommen oder wenn sie rechtmäßige Weisungen des verantwortlichen Auftraggebers nicht beachten oder ihnen zuwider handeln.

Datensicherheit: Ab 2018 Chefsache

Deshalb kommt der Vorgabe an den Auftragsverarbeiter und der Wahrnahme der Kontrollrechte des Praxisinhabers größte Bedeutung zu, was die Datensicherheit in allen Apotheken in Zukunft zur Chefsache machen wird. Mit Sicherheit werden in Bezug auf das Sicherheitsniveau der technischen Datenverarbeitung, die konkreten Inhalte der Vorgaben an die Auftragsverarbeiter und den Umfang der Kontrollpflichten noch viele Präzisierungen und wahrscheinlich auch urteilsbedingte Klärungen erfolgen. Von daher sollten Praxisinhaber – egal ob Einzel- oder Gemeinschaftspraxis, Praxisgemeinschaft oder MVZ - ihre Ansprüche an die Auftragsverarbeiter zunächst erstmal eher zu hoch als zu niedrig ansetzen. Unsere IT-Experten stehen Ihnen dabei gern zur Seite. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Die Alternative „Abwarten, was da noch kommt“ kann jedenfalls vor dem Hintergrund der Obliegenheiten und des Strafrahmens der EU-DSGVO für keinen Praxisinhaber eine ernstzunehmende Option sein. Für die allermeisten Praxen und Apotheken dürfte eine solche Strafzahlung jedoch einen schwer kompensierbaren Liquiditätsverlust darstellen. Von daher ist es wichtig, sich auch selbst gegen dieses Risiko eines Verstoßes gehen die Datensicherheit zu versichern. Mehr

Weiterhin sollten sich Praxisbetreiber und Apothekeninhaber nicht nur von der ordnungsgemäßen Arbeit ihrer IT-Dienstleister zu überzeugen, sondern es ist auch angeraten, sich von diesen bestätigten zu lassen, dass sie für den Fall einer Datenschutzverletzung in ausreichendem Maße versichert sind.

Zur Checkliste Cyber-Risk-Police für IT-Dienstleister. (Download Checkliste IT-Cyber-Risk-Versicherung)

Umgekehrte Beweislast nun auch für Auftragsverarbeiter

Das neue Datenschutzrecht beinhaltet jedoch auch die Rechenschaftspflicht des Daten-Verarbeiters, denn alle IT-Dienstleister, die AV-Aufträge für Ärzte oder Apotheker ausführen, sind nun in der Nachweispflicht, ob sie die Vorgaben der EU-DSGVO einhalten. Damit gilt für sie nun ebenso wie für alle Ärzte und Apotheker die umgekehrte Beweislast.

Damit steigt auch für alle Datenverarbeitungsunternehmen, IT-Dienstleister sowie Datenschutzbeauftragte das Risiko von Vermögensschäden durch Datenschutzverletzungen jedweder Art. Denn einen Unterschied zwischen kleinen oder großen Datenlecks kennt das neuen Datenschutzrecht nicht.

Empfehlen Sie Ihren IT-Dienstleistern und Ihrem Datenschutzbeauftragten im Zweifel gern, bei unseren Versicherungsexperten einen entsprechenden Cyber-Risk-Schutz speziell für IT-Berufe mit Auftragsdatenverarbeitung berechnen zu lassen. Denn auch hier helfen Standardangebote gerade dann meist nicht aus, wenn es um Gesundheitsdaten geht. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

"Wir sind Dienstleister. Unser Ziel: als Experten für Heilwesenberufe Ihnen sowohl Zeit zu schenken als auch Geld zu sparen. Wir arbeiten konsequent regional, denn vor Ort sind wir mit Ihren Märkten bestens vertraut."

Apotheken

Arztpraxen

Zahnarztpraxen

Informationen

Persönliche Beratung
030 - 120 85 21 55