Kassenärztlichen Vereinigung Bayerns
04 |18
KVB FORUM
VERSCHÄRFTER DATENSCHUTZ
Folgen der Europäischen Datenschutzgrundverordnung
BAYERISCHER GESUNDHEITSPREIS: Jetzt für 2018 bewerben
VERSORGUNGSKONFERENZ: Lösungen zur Sicherstellung der ambulanten Versorgung
GESUNDHEITSPOLITIK: Landtag informiert sich bei KVB über Bereitschaftsdienst
Dr. med. Krombholz Vorsitzender des Vorstands
Dr. med. Schmelz
1. Stellv. Vorsitzender des Vorstands
Dr. med. Ritter-Rupp
2. Stellv. Vorsitzende des Vorstands
Ihr KVB-Vorstand
Sehr geehrte Damen und Herren, liebe Kolleginnen und Kollegen,
der Begriff „Datenschutzgrundverordnung (DSGVO)“ klingt erst einmal nach mehr Büro- kratie. Dennoch müssen wir uns alle mit dieser Verordnung der EU, die ab Ende Mai gilt, auseinandersetzen. Sie hat Auswirkungen auf Behörden und Unternehmen ebenso wie auf die Praxen der niedergelassenen Ärzte und Psychotherapeuten. In den letzten Wochen und Monaten sind die Anfragen zu der Thematik in unserer Service-Telefonie stark angestiegen.
Wir haben uns deshalb entschieden, diesem Thema 16 Seiten in der aktuellen Ausgabe von KVB FORUM zu widmen – wohl wissend, dass nach wie vor noch nicht alle Details in der Um- setzung dieser Verordnung geklärt sind. Unser Ziel ist es, Sie mit Fakten über den aktuellen Sachstand in Bezug auf den Datenschutz zu informieren und zum Nachdenken anzuregen, inwiefern dieser in Ihrer Praxis bereits ausreichend berücksichtigt ist.
Überschattet wurde das Geschehen in der KVB vom Tode unseres geschätzten Freundes und Kollegen Dr. med. Matthias Graf. Viel zu früh ist er im Februar dieses Jahres aus unse- rer Mitte gerissen worden. Matthias Graf bestimmte mehr als ein Jahrzehnt lang die Ge- schicke der Ärzteschaft in Bayern mit, war unter anderem Vorstandsbeauftragter der KVB für Oberbayern und Vorsitzender des Widerspruchsausschusses. Er war ein begeisterter und sehr fähiger Orthopäde mit viel Gefühl für seine Patienten und ein großartiger und humorvoller Mensch. Wir werden ihn sehr vermissen. Unser Mitgefühl gilt seiner Familie und den Angehörigen.
Wichtiges für die Praxis
ZITAT DES MONATS ZAHL DES MONATS
76.000
Klinikbetten waren im Jahr 2016 – im Durchschnitt – in bayerischen Krankenhäusern aufgestellt.(Quelle: Statistisches Bundesamt – Grunddaten der Krankenhäuser)
„Wir leisten uns den Luxus einer massiven Überversorgung im sta- tionären Bereich.“
Dr. jur. Helmut Platzer, scheidender Chef der AOK-Bayerns
(Quelle: Augsburger Allgemeine vom 15. Februar 2018)
Am 3. März fand der vierte bayernweite Tag der Seltenen Erkrankungen erstmals in den Räumlichkeiten des Uniklinikums Würzburg statt. Einge- laden hatten die KVB, die LAG SELBSTHILFE Bayern e. V., die Selbsthilfe-
koordination Bayern (SeKo), der Bayerische Apothekerverband e. V., die Allianz Chronischer Seltener Erkrankungen (ACHSE e. V.), die Bayerische Landesärztekammer (BLÄK), das Zentrum für Seltene Erkrankungen – Referenzzentrum Nordbayern (ZESE), das Aktivbüro Würzburg und der Würzburger Arbeitskreis Seltene Erkrankungen (WAKSE). Im Bild ist das Organisa- tionsteam zu sehen.
Insgesamt besuchten etwa 170 Ärzte und Psychologische Psychothera- peuten, Betroffene und Interessierte die Veranstaltung. Sie hatten die Möglichkeit, an einem von fünf Workshops teilzunehmen. Die hohe Nach- frage sorgte für gefüllte Räume und aufschlussreiche Arbeitsergebnisse.
Den Rahmen der Veranstaltung bildeten 22 Selbsthilfegruppen, die an ihren Informationsständen über verschiedene Krankheitsbilder informier- ten und Gelegenheit boten, Erfahrungen, Wissen und Kontakte auszu- tauschen.
Ein Resümee der Veranstaltung sowie die Ergebnisse der Workshops finden Sie unter www.kvb.de in der Rubrik Service/Patienten/Termine und Veranstaltungen.
Caroline Scheide (KVB)
TAG DER SELTENEN ERKRANKUNGEN
Fast unsichtbares Update
Um Sicherheitslücken zu schließen und die Perfor- manz zu erhöhen, muss die Technik einer Website in regelmäßigen Abständen aktualisiert werden.
Anfang März war es für www.kvb.de wieder so- weit: Nach mehrwöchigen Vorarbeiten seitens IT und Fachbereich erhielt das Content-Management- System Typo3 ein erfolgreiches Update. Das Sys- tem lief von Beginn an – bis auf wenige, bei gro- ßen Aktualisierungen üblichen Einschränkungen – sehr stabil.
Im Zuge der Umstellung wurde auch die Zugangs- box zum Mitgliederportal „Meine KVB“, die links unten auf jeder Seite des KVB-Internetauftritts zu finden ist, an das neue Design von „Meine KVB“
angepasst und modernisiert. Wenn Sie darauf klicken, öffnet sich statt einer Unterseite nun ein sogenanntes „Page Overlay“, es wird also eine Login-Box über dem eigentlichen Inhalt der Seite angezeigt. An der Funktionalität hat sich hingegen nichts verändert: Wie bisher wählen Sie Ihren Zu- gangsweg über KV-SafeNet* oder KV-Ident Plus und loggen sich ein, um alle Online-Anwendungen im Sicheren Netz der KVen (SNK) zu nutzen.
Auch unsere Website-Suche wurde weiterentwickelt und verbessert: Sobald Sie im Suchfeld die ersten drei Buchstaben des gesuchten Wortes eingeben, wird Ihnen automatisch eine Liste von Suchbegrif- fen angeboten. Geben Sie mehrere Begriffe ein, wird die Suche standardmäßig mit UND verbun- den. Das bedeutet, Ihr Suchergebnis enthält alle gesuchten Begriffe. Erkennt die Suchmaschine bei der Eingabe einen Rechtschreibfehler, kann die Suche mithilfe des Service „Meinten Sie …“ wieder- holt werden. Unser Tipp: Die „Hinweise zur Suche“
auf www.kvb.de/w3955 helfen Ihnen dabei, die Website-Suche optimal zu nutzen.
Sarah Young (KVB)
*Bitte beachten Sie, dass KV-SafeNet nicht mit der Firma SafeNet, Inc., USA, in firmenmäßiger oder vertraglicher Verbindung steht.
VERTRETERVERSAMMLUNGEN 2018
Die Vertreterversammlungen der KVB finden im Jahr 2018 an folgenden Terminen in der Elsenheimerstraße 39, 80687 München, statt:
Mittwoch, 20. Juni 2018
Samstag, 17. November 2018
RECHT INTERESSANT 20 Strafbarkeit durch Einbin- dung Dritter?
Die Neuregelung des Paragrafen 203 Strafgesetzbuch soll der ärztlichen Schweigepflicht sowie dem Erfordernis zur Ein- bindung Dritter in den Praxis- alltag gerecht werden
GESUNDHEITSTELEMATIK 22 Gesundheit ist wertvoll – unsere Daten auch
Auf der Jagd nach unseren Ge- sundheitsdaten drängen längst auch fachfremde Interessenten auf den Markt
KVB INTERN
24 KVB-VV fordert: Bürokratie und Budgets müssen weg
Vertreterversammlung verab- schiedet Resolution zum Erhalt der Freiberuflichkeit
15 Hier finden Sie Informationen zum Thema Datenschutz
Überblick über die wichtigsten Informationen zur DSGVO im Internet sowie zu Fortbildungen zum Thema „Datenschutz in der Praxis“
16 „Datenschutzrichtlinien praxisverträglich auslegen“
Dr. med. Gunther Carl, Regiona- ler Vorstandsbeauftragter der KVB für Unterfranken, warnt im Rahmen der DSGVO-Einführung vor bürokratischem Supergau 18 Auf Datensicherheit in der Praxis achten
Welche technischen Schutz- einrichtungen sind unabdingbar und worauf müssen Praxis- mitarbeiter ihr besonderes Augenmerk richten?
TITELTHEMA
6 Grundlagen der Datenschutz- grundverordnung
Was bedeutet die Einführung der DSGVO für Bayerns Ärzte und Psychotherapeuten im Umgang mit ihren Patientendaten?
10 Checkliste zur DSGVO Wichtige Punkte, die Praxen bei der Umsetzung der Daten- schutzgrundverordnung beach- ten sollten
12 Eine gute Vorbereitung schützt vor Verstößen
Interview mit dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht in Bayern zu den wesentlichen Eckpunkten der DSGVO
Mit der DSGVO wurde ein grund- sätzlich EU-weit einheitliches Da- tenschutzrecht ge- schaffen. Nationa- le Unterschiede sind jedoch weiter- hin möglich
6
Die absolute Si- cherheit gegen Datenverlust gibt es nicht. Aber aufmerksam und informiert zu sein, ist schon die halbe Miete
18
Das Strafgesetz- buch regelt jetzt, dass der Arzt bei Inanspruchnah- me eines Dritten diesen zur Ge- heimhaltung ver- pflichten muss
20
PATIENTENORIENTIERUNG 34 Hypophosphatasie – die heimliche Krankheit
Der Vorsitzende des Patienten- verbands Hypophosphatasie Deutschland e. V. klärt auf
KURZMELDUNGEN 35 Modellvorhaben Balneophototherapie 35 Fachtagung Geriatrie 36 BKK-Tag beleuchtet Therapiefreiheit 36 Digitale Ideen für die „KBV-Zukunftspraxis“
36 Eigeneinrichtung Ante Portas 37 IMPRESSUM
38 KVB SERVICENUMMERN QUALITÄT
30 Impfen rund um die junge Familie
Die Bayerische Impfwoche 2018 der Landesarbeitsgemeinschaft Impfen hat dieses Jahr den Impf- schutz für die ganze Familie im Visier
VERSORGUNG FÖRDERN 32 Kinder- und Jugendpsychiater für die Region Ingolstadt
Zur Sicherstellung der dortigen Versorgung werden zusätzliche Kinder- und Jugendpsychiater benötigt, die von der KVB finan- ziell unterstützt werden 26 Gemeinsam Lösungen finden
Rund 150 Vertreter aus Politik, Gesundheitswesen und Ärzte- schaft sind Ende Februar der Einladung der KVB zu ihrer fünf- ten Versorgungskonferenz nach Bayreuth gefolgt
28 Gesundheitsausschuss vertraut Bereitschaftsdienst
In einer öffentlichen Sitzung des Gesundheitsausschusses des Bayerischen Landtags diskutier- ten die Parlamentarier mit dem KVB-Vorstand über die aktuelle Entwicklung
29 Bayerischer Gesundheits- preis 2018
KVB und IKK classic loben den Preis zum siebten Mal aus. Das Hauptaugenmerk liegt wieder auf innovativen Projekten in der ambulanten Versorgung
Dringend ge- sucht: In der Re- gion Ingolstadt fehlen Kinder- und Jugendpsy- chiater, um die bestehenden Versorgungslü- cken zu schlie- ßen
32
Bei der fünften
26
KVB-Versorgungs- konferenz konnten die Teilnehmer mit dem KVB-Vorstand über regionale Lö- sungen zur Sicher- stellung der ambu- lanten Versorgung diskutieren
Die Hypophos- phatasie gehört zu den seltenen Erkrankungen, die unter ande- rem eine Verfor- mung des Ske- letts zur Folge hat
34
Nach ihrer Veröffentlichung ist die Datenschutz-Grundverordnung (DSGVO) vor rund zwei Jahren in Kraft getreten. Rechtlich wirksam wird sie nun zum 25. Mai dieses Jahres. Was bedeutet das für Deutschlands Ärzte und Psychotherapeuten im Umgang mit ihren Patientendaten? Worauf ist zu achten? Der folgende Beitrag fasst die bislang bekannten Fakten zusammen.
GRUNDLAGEN DER DATEN-
SCHUTZGRUNDVERORDNUNG
M
it der DSGVO wurde ein grundsätzlich EU-weit einheitliches Datenschutz- recht geschaffen, das den Schutz natürlicher Personen bei der Ver- arbeitung personenbezogener Daten und den freien Verkehr sol- cher Daten in der Union zum Ziel hat. Nationale Unterschiede sind jedoch weiterhin möglich, da die DSGVO Öffnungsklauseln enthält, die gewisse nationale Regelungen gestatten. Für nichtöffentliche Stellen, wie Arztpraxen, ist hier das neue Bundesdatenschutz- gesetz (BDSG neu), das wie die DSGVO ebenfalls zum 25. Mai 2018 in Kraft tritt, von Bedeutung.Rechtsgrundlagen der Datenverarbeitung
Wie bisher dürfen personenbezo- gene Daten grundsätzlich nur für vorher festgelegte Zwecke im dafür erforderlichen Umfang verarbeitet werden (Artikel 5 Absatz 1 DSGVO), wenn die Verarbeitung durch eine Rechtsvorschrift oder durch Ein- willigung der betroffenen Person erlaubt ist. Für die Patientenbehand- lung ergibt sich die Rechtsgrund- lage aus Artikel 5, 9 Absatz 2 Buch- stabe h, Absatz 3 und 4 DSGVO, Paragraf 22 Absatz 1 Buchstabe b BDSG neu. Eine Verarbeitung der Patientendaten zu anderen Zwecken (zum Beispiel Forschung) setzt
eine entsprechende Rechtsgrund- lage (Paragraf 24 BDSG neu) oder eine Einwilligung des Patienten vo- raus.
Einwilligungserklärung
Datenschutzrechtliche Einwilligungs- erklärungen bedürfen zunächst der persönlichen Einwilligungsfä- higkeit des Patienten. Diese ist grundsätzlich nicht abhängig vom Lebensalter des Patienten. Darü- ber hinaus sind die in Artikel 7 DSGVO beschriebenen Bedingun- gen, insbesondere die Bedingung, dass die Einwilligung nachweisbar sein muss, zu beachten. Artikel 8 DSGVO (Einwilligung von Kindern
Die DSGVO ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezo-
gener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Auch Arztpraxen sind der DSGVO im Umgang mit Pa- tientendaten verpflichtet.
in Bezug auf Dienste der Informa- tionsgesellschaft) gilt nicht für die Datenverarbeitung in Arztpraxen.
Betrieblicher Datenschutz- beauftragter
Wie bisher muss eine Arztpraxis einen internen oder externen be- trieblichen Datenschutzbeauftrag- ten bestellen, wenn sie – in der Regel mindestens zehn – Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (das Bayerische Landesamt für Datenschutzauf- sicht – BayLDA – berücksichtigt dabei auch den beziehungsweise die Praxisinhaber). Ob Arztpraxen, in denen mehr als ein Arzt (unab- hängig von seinem vertragsarztrecht- lichen Status) tätig ist, generell zu einer Datenschutzfolgenabschät- zung verpflichtet und damit unab- hängig von der genannten Grenz- zahl auch zur Bestellung eines Da- tenschutzbeauftragten verpflichtet sind (Artikel 35 Absatz 3 Buchsta- be b, 37 Absatz 1 Buchstabe c DSGVO, Paragraf 38 BDSG), ist zum Redaktionsschluss dieser KVB FORUM-Ausgabe noch nicht geklärt. Sobald uns hierzu eindeu- tige Informationen vorliegen, wer- den wir Sie informieren.
Neu ist, dass die Arztpraxis die Kontaktdaten des betrieblichen- Datenschutzbeauftragten veröf- fentlichen und der (zuständigen) Datenschutzaufsichtsbehörde mit- teilen muss (Artikel 37 Absatz 7 DSGVO). Das BayLDA wird hierfür unter www.lda-bayern.de in der Rubrik „Online-Services“ noch ein Formular zur elektronischen Mel- dung bereitstellen.
Sonstige Pflichten nach DSGVO/BDSG neu
Die DSGVO legt den Arztpraxen (verantwortlichen Stellen) eine Reihe von Pflichten auf, die teil- weise neu oder gegenüber dem bis- herigen Recht erweitert wurden:
Rechenschaftspflicht (Artikel 5 Absatz 2 DSGVO) Eine Arztpraxis muss künftig per Dokumentation nachweisen können, dass sie die Anforde- rungen des Artikel 5 Absatz 1 DSGVO inklusive der damit ver- bundenen Transparenzpflichten (Artikel 12 ff DSGVO) erfüllt (siehe unser Interview mit Tho- mas Kranig, Präsident des Bay- erischen Landesamtes für Da- tenschutzaufsicht, Seite 12).
Transparenz- (Informations- und Mitteilungs-)pflichten (Artikel 12 bis 22, 34 DSGVO) Artikel 12 DSGVO definiert teils unterschiedliche Rahmenvorga- ben für die sich aus den nach- folgenden Vorschriften erge- benden Informations- und Mit- teilungspflichten (zum Beispiel Form, Sprache, Fristen, Unent- geltlichkeit, Identitätsprüfung).
Im Folgenden hier die aus un- serer Sicht wesentlichsten Be- stimmungen:
Die Artikel 13 DSGVO (Daten- erhebung bei der betroffenen Person) und Artikel 14 DSGVO (Datenerhebung nicht bei der betroffenen Person) erweiterten die Informationspflichten bei Datenerhebungen gegenüber dem bisherigen Recht erheblich.
Zwar sehen die Paragrafen 32 und 33 BDSG neu hier gewisse Einschränkungen vor, diese sind aber für Arztpraxen wohl eher von untergeordneter Be- deutung und ziehen zusätzlich erforderliche Maßnahmen zur Herstellung der notwendigen Transparenz nach sich.
Die Informationspflichten nach Artikel 13 DSGVO sind grund- sätzlich zum Zeitpunkt der Da- tenerhebung entsprechend der dort genannten inhaltlichen An- forderungen vollständig gegen- über der Person zu erfüllen, von der die Daten erhoben werden (also auch bei telefonischer Da- tenerhebung). Dies kann der Patient sein, aber auch jede an- dere Stelle/Person, von der Da- ten über den Patienten erhoben werden. Einer Information be- darf es nur dann nicht, wenn die Person bereits über die Informa- tionen verfügt (zum Beispiel weil die Informationen bereits bei einem früheren Arzt-Patienten-
Datenschutz- rechtliche Ein- willigungserklä- rungen bedürfen zunächst – unab- hängig vom Lebensalter – der persönlichen Einwilligungs- fähigkeit des Patienten.
eine Ausnahme nach Paragraf 32 BDSG neu vorliegt.
Derzeit sind uns noch keine Hin- weise von Datenschutzaufsichts- behörden bekannt, wie die Infor- mationspflichten bei einer Da- tenerhebung in der Praxis zu erfüllen sind (Wartezimmer-TV, Aushang, Aushändigung). Dies schafft unseres Erachtens zu- mindest derzeit Gestaltungs- spielraum. Die Information könnte zum Beispiel gut sicht- und lesbar im Wartezimmer und/
oder an anderen geeigneten Stellen in der Praxis ausgehängt werden, verbunden mit dem Hinweis, dass diese Information am Empfang auf Wunsch auch schriftlich ausgehändigt wird beziehungsweise auf der Web- site der Praxis zu finden ist. Bei telefonischen Datenerhebungen ist eine sofortige vollständige Erfüllung der Informationspflicht nur in seltenen Fällen möglich.
Hier bietet es sich an, am Tele- fon zunächst bestimmte Basis- informationen zu geben und die sonstigen Informationen in an- derer Weise (zum Beispiel Web- site) zur Verfügung zu stellen (siehe dazu auch https://www.
gdd.de/downloads/praxishil- fen/GDD-Praxishilfe_DS- GVO_7.pdf, ab Punkt 1.4).
Die Informationspflichten nach Artikel 14 DSGVO entsprechen inhaltlich fast denen des Artikel 13 DSGVO. Hinzu kommen In- formationen zu den Kategorien der verarbeiteten personen- bezogenen Daten sowie zur Quelle, von der diese Daten stammen. Wann diese Informa- tion zu geben ist, ergibt sich aus Artikel 14 Absatz 3 DSGVO. Wie bei Artikel 13 besteht keine In- formationspflicht, wenn die Per- son bereits über die Information verfügt. Weitere Ausnahmen von
mit einhergehende erforderliche weitere Maßnahmen ergeben sich aus Artikel 14 Absatz 5 DSGVO und Paragraf 33 BDSG neu.
Die Informationspflicht nach Artikel 14 DSGVO besteht gegen- über dem Patienten, über den Daten von einer anderen Stelle/
Person erhoben wurden. Die Person, von der die Daten über den Patienten erhoben werden, ist entsprechend Artikel 13 DSGVO zu informieren.
Wir werden Ihnen in den nächs- ten Wochen unter www.kvb.de in der Rubrik Praxis/Praxisfüh- rung/Datenschutz Muster zur Erfüllung der Informationspflich- ten zur Verfügung stellen.
Artikel 15 DSGVO regelt den bereits aus dem bisherigen BDSG bekannten Auskunfts- anspruch des Patienten. Zum einen wurde der Katalog der Informationen, die im Rahmen eines Auskunftsanspruchs zu erteilen sind, erweitert, zum anderen hat der Patient nun- mehr einen Rechtsanspruch auf eine kostenlose Kopie seiner personenbezogenen Daten, die Gegenstand der Verarbeitung in der Arztpraxis sind. Persön- lichkeitsrechte Dritter dürfen durch die Auskunftserteilung nicht beeinträchtigt werden (Artikel 15 Absatz 4 DSGVO).
Paragraf 34 BDSG neu regelt weitere Ausnahmen zum Aus- kunftsanspruch, die für Arzt- praxen unseres Erachtens aller- dings nur von geringer Bedeu- tung sind.
Am Recht auf die Berichtigung unrichtiger oder unvollständi- ger Daten ändert sich durch Artikel 16 DSGVO im Vergleich zur derzeit gültigen Rechtslage
auf Löschung personenbezoge- ner Daten (Artikel 17 DSGVO) ändert sich an der bisherigen Rechtslage für Patientendaten nichts. Nach wie vor gilt der Grundsatz, dass Patienten- daten zu löschen sind, wenn sie zur Erfüllung des Behand- lungsvertrags nicht mehr erfor- derlich sind und der Löschung keine (unter-)gesetzlichen Auf- bewahrungsfristen (zum Bei- spiel Paragraf 10 Absatz 3 Be- rufsordnung Ärzte Bayerns, Pa- ragraf 9 Absatz 3 Berufsordnung Psychotherapeuten Bayerns) entgegenstehen. Aus Artikel 17 Absatz 3 DSGVO in Verbindung mit Paragraf 35 BDSG neu er- geben sich weitere Gründe, die eine über die berufsrechtlichen Aufbewahrungsfristen hinaus- gehende Aufbewahrung der Pa- tientenakten rechtfertigen kön- nen.
Verantwortung des für die Verarbeitung Verantwortlichen (Praxisinhaber)
In den Artikeln 24, 25 und 32 DSGVO, 22 Absatz 2 BDSG neu werden dem Verantwortlichen eine Vielzahl von Verpflichtungen auf- erlegt, die sicherstellen und den Nachweis dafür erbringen sollen, dass die Verarbeitung personen- bezogener Daten entsprechend der DSGVO erfolgt. Welche Maß- nahmen im Einzelfall zur Erfüllung dieser Verpflichtungen vom Ver- antwortlichen – unter Berücksich- tigung des Grundsatzes der Verhält- nismäßigkeit – zu ergreifen sind, muss individuell und abgestellt auf die eigene Praxis definiert werden.
Gemeinsam für die Verarbeitung Verantwortliche
Gemeinsam verantwortlich nach Artikel 26 DSGVO sind zwei oder mehr Verantwortliche (Praxen), die
gemeinsam die Zwecke und Mittel der Verarbeitung personenbezoge- ner Daten festlegen. Nach unserer Auffassung trifft diese Definition auf Praxisgemeinschaften zu, da diese immer von mindestens zwei rechtlich selbstständigen Praxen gebildet werden. Praxisgemein- schaften müssen deshalb künftig schriftliche Vereinbarungen vorle- gen können, die den in Artikel 26 DSGVO formulierten Anforderun- gen genügen.
Datenverarbeitung im Auftrag (Artikel 28 DSGVO)
Praxistypische Fälle einer Auftrags- verarbeitung sind die Vernichtung von Patientenakten beziehungs- weise die endgültige Vernichtung elektronischer Speichermedien sowie die Wartung und Pflege von EDV-Systemen, bei denen ein Zu- griff auf Patientendaten nicht aus- geschlossen ist. Andere, neuere Erscheinungsformen einer Auftrags- verarbeitung können zum Beispiel sein: Datenspeicherung bei Dienst- leistern, Online-Terminvereinba- rungssysteme, Call-Center Dienst- leistungen, externer Schreibdienst.
Für derartige Aufträge sind vertrag- liche Vereinbarungen erforderlich, bei deren Abschluss sowie ver- bindlichen Inhalten die Vorgaben des Artikel 28 DSGVO zu beach- ten sind. Neben den Vorgaben des Artikel 28 DSGVO müssen Berufs- geheimnisträger in solchen Fällen auch die Anforderungen des neu gefassten Paragrafen 203 StGB beachten (siehe Seite 20). Einen Mustervertrag zur Auftragsver- arbeitung stellt das BayLDA im Internet unter https://www.lda.
bayern.de/media/muster_adv.pdf zur Verfügung.
Verzeichnis der Verarbeitungs- tätigkeiten (VVT)
Jeder Verantwortliche muss künftig ein Verzeichnis der Verarbeitungs-
Praxistypische Fälle einer Auf- tragsverarbei- tung sind die Vernichtung von Patientenakten beziehungswei- se die endgülti- ge Vernichtung elektronischer Speichermedien.
tätigkeiten (Artikel 30 DSGVO) führen, das inhaltlich mindestens den Anforderungen des Artikel 30 Absatz 1 DSGVO entspricht. Das VVT ist, gegebenenfalls mit einigen Erweiterungen, ein wesentlicher Baustein zur Erfüllung der Rechen- schaftspflicht nach Paragraf 5 Ab- satz 2 DSGVO.
Vor der Konferenz der Datenschutz- aufsichtsbehörden wurde ein VVT verabschiedet, das den gesetzli- chen Mindestanforderungen ent- spricht. Dieses ist auf der Website des BayLDA veröffentlicht. Wir werden in den nächsten Wochen auf der Internetseite der KVB ein Muster für ein erweitertes VVT zur Verfügung stellen, das das BayLDA in einer kostenpflichtigen Broschü- re veröffentlicht hat.
Dokumentation, Meldung von Verletzungen des Schutzes personenbezogener Daten und Benachrichtigung der betroffe- nen Person
Zur Definition des Begriffs „Verlet- zung des Schutzes personenbezo- gener Daten“, der Melde- und ge- gebenenfalls Benachrichtigungs- pflicht nach den Artikeln 33 und 34 DSGVO verweisen wir auf das Interview mit Thomas Kranig auf Seite 12.
Selbst wenn eine Meldepflicht aus- nahmsweise nicht vorliegen sollte, weil nach der dokumentierten Prü- fung des Vorfalls die „Verletzung“
voraussichtlich nicht zu einem Risiko für die Rechte und Freihei- ten des Patienten führt, muss die
„Verletzung“ entsprechend der Vorgaben des Artikels 33 Absatz 5 DSGVO in der Praxis dokumentiert werden. Wir empfehlen, sich hin- sichtlich der Dokumentationsin- halte neben dem Gesetzestext an dem Meldeformular des BayLDA für Datenpannen (Titel kann sich ändern) unter www.lda.bayern.de
in der Rubrik Online-Services zu orientieren beziehungsweise die- ses Formular als Dokumentations- grundlage zu verwenden.
Bitte informieren Sie sich auch über die überarbeitete Fassung der „Hin- weise und Empfehlungen zur ärzt-
lichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Art- praxis“ sowie das Papier „Daten- schutz-Check 2018: Was müssen Artpraxen angesichts der neuen Vorschriften zum Datenschutz tun“. Beides wurde von der Bun- desärztekammer gemeinsam mit der Kassenärztlichen Bundesver- einigung Mitte März für niederge- lassene Ärzte veröffentlicht.
Sie finden die Dokumente unter http://www.bundesaerztekam- mer.de/recht/aktuelle-rechtliche- themen/datenschutzrecht beziehungsweise einen Link zu den Empfehlungen der KBV unter www.kvb.de in der Rubrik Ser- vice/Rechtsquellen/Buchstabe
„D“ (Datenschutz).
Herbert Baus (KVB) Fachreferent für den Datenschutz
CHECKLISTE ZUR DSGVO
1 Struktur und Verantwortlichkeit in der Praxis Gibt es das Bewusstsein in der Praxis, dass Datenschutz Chefsache ist, beispielsweise durch
Vorhandensein einer Datenschutzleitlinie?
Beschreibung der Datenschutzziele?
Regelung der Verantwortlichkeiten?
Bewusstsein über Datenschutzrisiken?
Verfügt die Arztpraxis über einen betrieb- lichen Datenschutzbeauftragten?
Wenn nein, beachten Sie bitte auch den Hinweis zum Betrieblichen Datenschutz- beauftragten auf Seite 7.
Wenn ja, ist geklärt, wann er von wem einzubeziehen ist?
Wenn ja, ist er schon gemäß Artikel 37 Absatz 8 DSGVO der zuständigen Aufsichts- behörde gemeldet?
2 Übersicht über Verarbeitungen
Haben Sie ein Verzeichnis Ihrer Verarbeitungs- tätigkeiten gemäß Artikel 30 DSGVO?
3 Einbindung Externer
Haben Sie Externe zur Erledigung Ihrer Arbeiten (Auftragsverarbeiter) eingebunden?
Wenn ja, haben Sie eine Übersicht über die Auftragsverarbeiter?
Wenn ja, haben Sie mit allen Ihren Auftrags- verarbeitern die erforderlichen Vereinbarun- gen mit dem Mindestinhalt nach Artikel 28 Absatz 3 DSGVO abgeschlossen?
4 Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte Haben Sie Ihre Texte zur datenschutzrecht- lichen Information der betroffenen Personen bei der Datenerhebung an die Anforderungen nach Artikel 13 beziehungsweise 14 DSGVO angepasst?
Haben Sie insbesondere folgende Informatio- nen neu aufgenommen, sofern nicht bereits vorher enthalten:
Kontaktdaten des Datenschutzbeauftrag- ten
Rechtsgrundlage(n) für die Verarbeitung personenbezogener Daten
Falls Sie die Verarbeitung mit Ihren berech- tigten Interessen oder berechtigten Interes- sen eines Dritten begründen: die berechtig- ten Interessen
Falls Sie Daten in Drittländer übermitteln:
die von Ihnen zum Einsatz gebrachten geeigneten Garantien zum Schutz der Daten (zum Beispiel Standarddatenschutz- klauseln)
Dauer der Speicherung: sofern nicht mög- lich, die Kriterien für die Festlegung dieser Dauer
Bestehen der Rechte betroffener Personen auf Auskunft, Berichtigung, Löschung, Ein- schränkung der Verarbeitung, auf Wider- spruch aufgrund besonderer Situation einer betroffenen Person sowie auf Datenporta- bilität
Sofern Verarbeitung auf Einwilligung beruht:
das Recht zum jederzeitigen Widerruf der Einwilligung
Recht auf Beschwerde bei der Aufsichts- behörde
Auf Basis eines Fragebogens* des Bayerischen Landesamts für Datenschutz-
aufsicht (BayLDA) in Zusammenhang mit der Umsetzung der Datenschutz-
grundverordnung (DSGVO) zum 25. Mai 2018, haben wir Ihnen einige relevante
Passagen als Anregung zum Nachdenken zusammengengestellt.
Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
Sofern Sie die Daten nicht bei der betroffe- nen Person erhoben haben: aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen Haben Sie ein Verfahren eingerichtet, um An- träge von betroffenen Personen auf Auskunft zu den eigenen Daten nach Artikel 15 DSGVO zeitnah und vollständig erfüllen zu können (Artikel 12 Absatz 1 DSGVO)?
Haben Sie ein Verfahren eingerichtet, um An- träge auf Datenübertragbarkeit betroffener Personen erfüllen zu können (Artikel 20 DSGVO)?
5 Verantwortlichkeit, Umgang mit Risiken Gibt es für jede Verarbeitungstätigkeit Angaben, mit der Sie die Rechtmäßigkeit Ihrer Verarbeitung nachweisen können, zum Bei- spiel bezüglich Zwecken, Kategorien perso- nenbezogener Daten, Empfängern und/oder Löschfristen (Artikel 5 Absatz 2 DSGVO)?
Haben Sie geprüft, ob die Einwilligungen, auf die Sie eine Verarbeitung stützen, noch den Voraussetzungen der Artikel 7 und/oder 8 DSGVO entsprechen?
Können Sie das Vorliegen der Einwilligung nachweisen?
Haben Sie ein Datenschutzmanagement- system installiert, um sicherzustellen und den Nachweis erbringen zu können, dass Ihre Ver- arbeitung gemäß der DSGVO erfolgt (Artikel 24 Absatz 1 DSGVO)?
Haben Sie Ihre bestehenden Prozesse zur Überprüfung der Sicherheit der Verarbeitung auf die neuen Anforderungen des
Artikel 32 DSGVO angepasst?
Haben Sie insbesondere bestehende Check- listen zur Auswahl von technischen und or- ganisatorischen Maßnahmen durch eine risi- koorientierte Betrachtungsweise auf Basis von Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der un- terschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten ersetzt?
Wurde ein geeignetes Managementsystem zur regelmäßigen Überprüfung, Bewertung und Verbesserung der Security-Maßnah- men umgesetzt?
Wurden Schutzmaßnahmen wie Pseudony- misierung und der Einsatz von kryptogra- phischen Verfahren zum Schutz vor unbe- fugten oder unrechtmäßigen Verarbeitun- gen sowohl bezüglich externer als auch in- terner „Angreifer“ umgesetzt?
Haben Sie sich auf die eventuelle Notwen- digkeit der Durchführung einer Daten- schutz-Folgenabschätzung vorbereitet?
Haben Sie eine geeignete Methode zur Bestimmung der Frage, ob eine Daten- schutz-Folgenabschätzung durchzuführen ist, in Ihrem Unternehmen eingeführt?
Haben Sie eine geeignete Risikomethode zur Durchführung einer Datenschutz-Fol- genabschätzung in Ihrem Unternehmen eingeführt? Haben Sie sich für einen Pro- zess der Datenschutz-Folgenabschätzung entschieden? Haben Sie diesen schon ein- mal getestet?
6 Datenschutzverletzungen
Haben Sie gemäß Artikel 33 DSGVO sicherge- stellt, dass die Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die Aufsichtsbehörde mög- lich ist?
Haben Sie insbesondere sichergestellt, dass Datenschutzverletzungen in Ihrem Unterneh- men erkannt werden können? Haben Sie dazu eine geeignete Methode zur Ermittlung eines Risikos beziehungsweise eines hohen Risikos in Ihrem Unternehmen eingeführt?
Haben Sie einen Prozess aufgesetzt, wie mit potenziellen Verletzungen intern umzugehen ist?
Haben Sie festgelegt, wer, wann und wie mit der Datenschutzaufsichtsbehörde kommuni- ziert?
Zusammenfassung Redaktion
*www.lda.bayern.de/media/dsgvo_fragebogen.pdf
Thomas Kranig, seit 2011 Präsident des Bayerischen Landesamtes für Daten- schutzaufsicht in Bayern (BayLDA), stellt im Interview mit KVB-Datenschutz- referent Herbert Baus die wesentlichen Eckpunkte der Datenschutzgrund- verordnung (DSGVO) vor, die Arztpraxen unbedingt kennen und umsetzen sollten. Verstöße durch Unkenntnis sollten im eigenen Praxisinteresse vermie- den werden.
EINE GUTE VORBEREITUNG SCHÜTZT VOR VERSTÖSSEN
Herr Kranig, was heißt Rechen- schaftspflicht? Wie kann eine Arztpraxis diese erfüllen? Wel- che Dokumentationen sind hier- für mindestens erforderlich?
Die Datenschutzgrundverordnung (DSGVO) versteht darunter in Arti- kel 5 Absatz 2 recht umfassend, dass der Verantwortliche die Ein- haltung der datenschutzrechtlichen Grundsätze nachweisen können muss. Der Arzt muss – wie alle anderen auch – insbesondere nach- weisen können, dass er die Daten rechtmäßig und für zulässige Zwe- cke verarbeitet, nur in erforderli- chem Umfang speichert und nicht zuletzt angemessene Maßnahmen zur Datensicherheit ergriffen hat.
Anfangen sollte die Praxis mit einem ordentlich geführten Verzeichnis der Verarbeitungstätigkeiten. Da- mit kann man schon einen großen Teil der Rechenschaftspflicht er- füllen.
Welche Betroffenenrechte gibt es und wie sind diese zu erfüllen?
Neben den Ansprüchen nach dem Patientenrechtegesetz, die hier nicht weiter dargestellt werden, verpflich- tet die DSGVO Praxisinhaber, die sogenannten Betroffenenrechte einzuhalten. Für Arztpraxen sind die Rechte auf Auskunft, Berichti-
gung, Löschung und das Recht auf Widerruf einer Einwilligung relevant.
Das bedeutendste Recht ist das Recht auf Auskunft, da nur dann, wenn der Patient weiß, über wel-
che Informationen die Arztpraxis verfügt, er gegebenenfalls auch einen weiteren Anspruch auf Be- richtigung oder Löschung dieser Daten geltend machen kann. Wich- tig für die Praxis ist, dass dieses Recht nicht ausgeschlossen wer- den kann und innerhalb eines Mo- nats erfüllt werden muss. Prüfun- gen haben gezeigt, dass viele nicht in der Lage sind, dieses Auskunfts- recht zu erfüllen. Praxen sollten im Rahmen einer Übung testen, wie sie damit umgehen würden, wenn Patienten Auskunftsansprüche geltend machen. Sie müssen dann in der Lage sein, alle in der Praxis
verfügbaren Daten der Auskunft begehrenden Person aus möglicher- weise unterschiedlichen Speicher- medien zusammenzutragen und als Abschrift herauszugeben.
Soll die Verarbeitung von Patienten- daten, wie zum Beispiel die Über- mittlung von Daten an Abrechnungs- stellen, auf eine Einwilligung ge- stützt werden, müssen die Patien- ten auf ihr Recht auf Widerruf die- ser Einwilligung hingewiesen wer- den. Wird die Einwilligung widerru- fen, darf die Verarbeitung dieser Daten ab dem Widerruf nicht mehr erfolgen.
Wann muss eine Arztpraxis einen Datenschutzbeauftragten be- stellen? Muss zwingend eine externe Person zum Datenschutz- beauftragten bestellt werden?
Wenn in einer Arztpraxis regelmä- ßig mehr als neun Personen mit der Verarbeitung personenbezogener Daten zu tun haben, ist – wie bis- her auch – ein Datenschutzbeauf- tragter zu bestellen. Gezählt wird dabei nach Köpfen, das heißt auch Teilzeitkräfte zählen hier voll.
Wenn in einer Praxis mit weniger als zehn Personen eine Datenver- arbeitung erfolgt, die eine Daten- schutz-Folgenabschätzung erfor- Thomas
Kranig vermu- tet, dass es mit
Inkrafttreten der DSGVO zu vermehrten Fällen von fest- gestellten Datenschutz- verstößen – auch in Arztpraxen – kommen kann.
dert, dann ist auch in diesem Fall ein Datenschutzbeauftragter zu bestellen. Eine Datenschutz-Folgen- abschätzung ist dann durchzufüh- ren, wenn die Form der Verarbei- tung, insbesondere bei Verwen- dung neuer Technologien (zum Bei- spiel Telemedizin), wegen der Art, des Umfangs, der Umstände oder der Zwecke der Verarbeitung vor- aussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der Patienten führt. Für die normale Arztpraxis trifft dies nicht zu.
Zum Datenschutzbeauftragten kann eine Mitarbeiterin oder ein Mitarbeiter benannt werden. Es muss keine externe Person sein.
Das Gesetz macht dazu keine Vor- gaben. Wichtig ist nur, dass ein Datenschutzbeauftragter fachlich in der Lage ist, die Aufgabe zu er- füllen. Internen Mitarbeitern ist des- halb Zeit und Geld (für Aus- und Fortbildung) zur Verfügung zu stel- len. Jeder Praxisinhaber kann für sich entscheiden, was besser zu ihm passt. Aber auch wenn man einen Datenschutzbeauftragten benannt hat, sollte man sich darü- ber bewusst sein, dass die Verant- wortlichkeit für den richtigen Um- gang mit den Daten beim Praxis- inhaber bleibt.
Welche Qualifikationen müssen Mitarbeiter haben, die zu inter- nen Datenschutzbeauftragten benannt werden sollen? Welche Personen können nicht zu inter- nen oder externen Datenschutz- beauftragten benannt werden?
Benannt werden kann jeder, der die erforderlichen Kenntnisse im Daten- schutzrecht hat und bei dem, wenn er Datenschutzbeauftragter wird, keine Interessenkollision gegeben ist. Eine solche Interessenkollision wäre zum Beispiel dann gegeben, wenn der Praxisinhaber, ein Praxis- manager oder der IT-Verantwort- liche benannt werden soll. Er müss-
te sich dann selbst beraten und kontrollieren.
Wenn niemand in der Praxis geeig- net ist, kann man einen Mitarbei- ter entsprechend schulen oder auch einen externen Berater als Daten- schutzbeauftragten benennen. Wird ein Datenschutzbeauftragter be- nannt, muss das der Datenschutz- aufsichtsbehörde mitgeteilt werden.
Dafür wird es ab Mai einen Online- service auf unserer Internetseite geben.
In der ärztlichen Praxis ist die sogenannte „konkludente Ein- willigung“ bisher ein hilfreiches Instrument, um Zugriffe auf Pa- tientendaten, zum Beispiel bei Praxisübernahmen, -erweiterun- gen oder Datenübermittlungen an mit- oder weiterbehandelnde Ärzte (Paragraf 9 Absatz 4 Be- rufsordnung Ärzte Bayerns) zu ermöglichen. Ist dieses Instru- ment ab Geltung der DSGVO (Ar- tikel 7 in Verbindung mit Erwä- gungsgründen 32 und 42) noch nutzbar? Wie können konkluden- te Einwilligungen nachgewiesen werden? Gibt es gegebenenfalls Grenzen einer konkludenten Ein- willigung, zum Beispiel Weiter- leitung von Untersuchungsma- terial an ein externes Labor, Aus- wertung eines Langzeit-EKG durch einen anderen Arzt, wenn der Patient von der Weiterlei- tung keine Kenntnis hat?
Das ist eine sehr interessante Fra- ge. Wir meinen derzeit, dass die Datenverarbeitung beim Arzt ins- gesamt und die Informationsweiter- gabe an Vor-, Mit- oder Nachbe- handler auf Artikel 9 Absatz 2 lit. h DSGVO in Verbindung mit Paragraf 22 Absatz 1 lit. b BDSG neu in Ver- bindung mit der Berufsordnung der Ärzte gestützt werden kann.
Danach dürfen Daten zur Gesund- heit unter anderem für Zwecke der Gesundheitsvorsorge, medizini-
schen Diagnostik und die Behand- lung im Gesundheits- oder Sozial- bereich oder aufgrund eines Ver- trags mit dem Angehörigen eines Gesundheitsberufs verarbeitet wer- den, sofern das durch Fachperso- nal beziehungsweise Berufsgeheim- nisträger geschieht. Soweit der Arzt sich an Paragraf 9 der Berufs- ordnung der Ärzte hält, der vorsieht, dass eine Datenübermittlung statt- finden kann, wenn das Einverständ- nis des Patienten anzunehmen ist, würden wir davon ausgehen, dass dies ausreichend ist. Weiterhin müssten Sondervorschriften be- achtet werden, beispielsweise, dass in der hausarztzentrierten Versor- gung die Datenübermittlung von und zum Hausarzt einer schrift- lichen Einwilligung bedarf.
Aufgrund der allgemeinen Vor- schriften zur datenschutzrechtli- chen Einwilligung, die Sie genannt haben, könnte man das auch an- ders sehen und die Berufsordnung als durch die DSGVO überholt er- achten. Wir meinen aber, dass die Datenverarbeitung hier aufgrund des gesetzlichen Erlaubnistatbe- stands in Artikel 9 Absatz 2 lit. h DSGVO in Verbindung mit Paragraf 22 Absatz 1 lit. b BDSG neu grund- sätzlich erlaubt ist und damit eine echte datenschutzrechtliche Ein- willigung nicht erforderlich ist.
Künftig dürfte es nicht mehr vor- kommen, dass der Patient nichts von einer Weiterleitung seiner Da- ten weiß, weil Ärzte im Rahmen der Transparenzvorschriften auch über die Empfänger der Daten in- formieren müssen (Artikel 13 Ab- satz 1 lit. e DSGVO).
Wann liegt eine Verletzung des Schutzes personenbezogener Daten vor (Artikel 33 DSGVO)?
Welche Pflichten ergeben sich aus dem Bekanntwerden der- artiger Verletzungen?
letzung personenbezogener Daten der Aufsichtsbehörde innerhalb von 72 Stunden zu melden, außer diese Verletzung würde voraus- sichtlich zu keinem Risiko für die betroffenen Personen führen.
Artikel 4 Nummer 12 DSGVO sagt dazu, dass die Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicher- heit ist, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, ge- speichert oder auf sonstige Weise verarbeitet wurden.
Vernichtung bedeutet, dass die Daten nicht mehr vorhanden sind.
Ein Verlust der Daten liegt vor, wenn sie nicht mehr auffindbar sind. Eine Veränderung bedeutet, dass die Daten nicht mehr voll- ständig sind oder manipuliert wur- den. Eine unbefugte Offenlegung oder ein unbefugter Zugang ist dann gegeben, wenn ein unbefug- ter Empfänger Daten erhalten hat oder diese einsehen konnte.
Konkrete Beispiele in der Praxis wären ein Hacker-Angriff, der Fehl- versand eines Arztbriefs, ein Soft- warefehler, der Daten unbeabsich- tigt verändert, versehentliches
Praxis-PCs oder auch eine unsach- gemäße Entsorgung von Daten.
Wenn es zu einer Verletzung des Schutzes personenbezogener Da- ten gekommen ist, ist diese bei uns als Aufsichtsbehörde inner- halb von 72 Stunden zu melden.
Besteht durch die Schutzverlet- zung ein hohes Risiko für die be- troffenen Personen, müssen diese ebenfalls informiert werden.
Wie zur Sicherstellung der Betrof- fenenrechte, sollten Arztpraxen auch für den Fall einer Datenschutz- verletzung vorbereitet sein und geübt haben, wie damit umzuge- hen ist. Sinnvoll ist es deshalb auch hier, testweise von einer Daten- schutzverletzung auszugehen, zu üben und festzulegen, wer tatsäch- lich die Datenschutzverletzung festzustellen hat, welche Maßnah- men sofort ergriffen werden müs- sen und wie sichergestellt werden kann, dass die Aufsichtsbehörde innerhalb von 72 Stunden und ge- gebenenfalls auch die betroffenen Patienten informiert werden kön- nen.
Welche Sanktionsmöglichkeiten sieht die DSGVO vor? Welche Prüfungsanlässe gibt es und wie führt die Datenschutzaufsichts- behörde Prüfungen durch?
sieht für die Aufsichtsbehörden einen deutlich erweiterten Aufga- benkatalog und die Pflicht, effek- tive Kontrollen zur Einhaltung datenschutzrechtlicher Vorschrif- ten durchzuführen, vor. Die Auslö- ser oder Kriterien für eine Prüfung der Aufsichtsbehörden können sehr unterschiedlich sein. Oft wer- den wir durch konkrete Beschwer- den auf Probleme aufmerksam ge- macht, die dann immer zu einer Prüfung führen. Darüber hinaus führen wir auch sogenannte an- lasslose Prüfungen durch. Dabei suchen wir uns einen bestimmten Prüffokus – zum Beispiel Vorliegen von Einwilligungen, sichere Ver- schlüsselung von E-Mail-Kommu- nikation, ausreichende Information der betroffenen Personen – und zufällig ausgewählte Stellen aus, die wir prüfen.
Die Gesetzgeber der Datenschutz- grundverordnung haben zur Sicher- stellung der Einhaltung dieser Vor- schriften den Sanktionsrahmen für Datenschutzverstöße drastisch auf bis zu 20 Millionen Euro erhöht.
Die Erwartung des Gesetzgebers ist, dass die Aufsichtsbehörden in wesentlich mehr Fällen als bisher bei festgestellten Datenschutzver- stößen auch Sanktionen festsetzen.
Dies wird sich auch in der Praxis des Bayerischen Landesamtes für Datenschutzaufsicht niederschla- gen. Vorrang hat zwar nach wie vor die Bearbeitung konkreter Be- schwerden und die Beratung zur Verhinderung der Verstöße. Den- noch wird die Zahl der Bußgeldbe- scheide deutlich steigen müssen.
Herr Kranig, vielen Dank für das Gespräch!
Interview Herbert Baus (KVB), Referent für den Datenschutz Die Verletzung
personenbezo- gener Daten – beispielsweise durch Vernich- tung aufgrund eines Hacker- Angriffs – ist der Aufsichtsbehörde innerhalb von 72 Stunden zu melden.
Das Handbuch der KVB gibt sehr umfassend Auskunft über das komplexe Thema „Daten- schutz in der Praxis“, be- inhaltet derzeit aber noch keine Informationen zur DSGVO.
Die KVB stellt Ärzten und Psychotherapeuten rund um das komplexe Thema
„Datenschutz in der Praxis“ ausführliche Informationen im Internet zur Verfü- gung. Auch die Kassenärztliche Bundesvereinigung (KBV) hat hierzu detaillierte Hinweise auf ihrer Website zusammengestellt. Darüber hinaus haben Ärzte und ihre Praxismitarbeiter regelmäßig die Möglichkeit, sich in entsprechenden Seminaren der KVB zu diesem Thema fortzubilden.
HIER FINDEN SIE INFORMATIONEN ZUM THEMA DATENSCHUTZ
P
ersonen, die mit Datenver- arbeitung befasst sind, ist es nach Paragraf 5 Bundes- datenschutzgesetz (BDSG) unter- sagt, personenbezogene Daten un- befugt zu erheben, zu verarbeiten oder zu nutzen. Diese Beschäftig- ten müssen vor Aufnahme ihrer Tätigkeit auf das Datengeheimnis verpflichtet werden. Sie finden die Verpflichtungserklärung und das Bestellungsschreiben zum Datengeheimnis zum Herunter- laden sowie die betreffenden Paragrafen als Auszug aus dem Bundesdatenschutzgesetz unter www.kvb.de in der Rubrik Praxis/Praxisführung/Datenschutz.
Darüber hinaus finden Sie hier auch das Bestellungsschreiben zur/zum internen Datenschutzbeauftrag- ten sowie Formulare für die Ein- verständniserklärung zur Patien- tendatenübermittlung – sowohl in der Hausarzt- als auch in der Fach- arztversion. Unter dem genannten Link stellen wir Ihnen auch aktuel- le Informationen zur Datenschutz- grundverordnung (DSGVO) zur Verfügung. Zu diesem Thema haben Praxisinhaber und ihre Mitarbeiter außerdem regelmäßig Gelegenheit, sich in unseren Datenschutz-Fach- seminaren über wichtige Inhalte und Neuerungen zu informieren.
Referenten dieser Seminare sind
Mitarbeiter der KVB, die von Ex- perten des Bayerischen Landes- amtes für Datenschutzaufsicht unterstützt werden. Inhalte dieser Fortbildungsveranstaltungen sind unter anderem „Ziele des Daten- schutzes“, „Rechtsgrundlagen“,
„Voraussetzung der Datennutzung und -verarbeitung“, „Auskunfts- recht des Patienten“, „Datensiche- rung“ und „Bußgeldvorschriften“.
Die aktuellen Seminartermine finden Sie in unserer Seminarbro- schüre 2018 sowie im Internet unter www.kvb.de in der Rubrik Service/Fortbildung.
Handbuch „Datenschutz in der Arzt-/Psychotherapeutenpraxis“
Für einen schnellen und umfas- senden Überblick stellt Ihnen die KVB ein grundlegendes Handbuch zu den Themen ärztliche Schweige- pflicht, Datenschutz in der Arzt- praxis und Sicherheit der Praxis- EDV zur Verfügung. Das Handbuch ist in Abstimmung und mit Unter- stützung der Bayerischen Landes- ärztekammer, der Bayerischen Psychotherapeutenkammer und der Rechtsabteilung der KVB er- stellt worden. Externe Links kön- nen direkt im Dokument geöffnet werden. Sie finden das Handbuch unter www.kvb.de in der Rubrik Praxis/Praxisführung/Datenschutz.
Informationsmaterial der KBV Die KBV hat zusammen mit der Bundesärztekammer ihre „Hinwei- se und Empfehlungen zur ärztli- chen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arzt- praxis“ unter Berücksichtigung der DSGVO überarbeitet. Sie finden diese unter www.kbv.de, ebenso wie weiteres Informationsmaterial, das Ihre Praxis bei der Umsetzung der neuen Vorgaben unterstützt, unter anderem eine Praxisinforma- tion, eine Checkliste für den Praxis- alltag und ein Muster für einen Patientenaushang, um diese über den Schutz ihrer Daten zu infor- mieren.
Redaktion
Dr. med. Gunther Carl, Regionaler Vorstandsbeauftragter (RVB) der KVB für Unterfranken, setzt beim Datenschutz in der Praxis auf den gesunden Men- schenverstand und warnt im Rahmen der Einführung der Datenschutzgrund- verordnung (DSGVO) vor einem bürokratischen Supergau und zeitlichen Ressourcenkiller für die Praxen.
„DATENSCHUTZRICHTLINIEN
PRAXISVERTRÄGLICH AUSLEGEN“
Herr Dr. Carl, früher konnten Patientendaten nur per Post, auf Papier gedruckt oder auf CD gebrannt versendet werden.
Heute nutzen Ärzte oft E-Mail oder Cloud-Services, um Patien- tendaten mit Kollegen und Part- nern auszutauschen und zu be- arbeiten. Hat das, was auf den ersten Blick als pure Arbeitser- leichterung daherkommt, für Sie persönlich auch seine Schatten- seiten?
Sie fragen nach E-Mails und Spei- cherclouds, die werden aber kaum zur Übermittlung von Patienten- daten verwendet. Denn die techni- schen Voraussetzungen hierfür sind in den meisten Praxisverwaltungs- systemen (PVS) kaum gegeben.
Hauptkommunikationsmittel für Arztbriefe und Labordaten zwi- schen Praxen und Krankenhäusern ist weiterhin das Fax und wird es
meiner Einschätzung nach noch längere Zeit bleiben. Die Praktika- bilität dieses Kommunikationsmit- tels ist kaum zu schlagen. Einge- hende und ausgehende Faxe kön- nen von den meisten PVS-Syste- men direkt patientenbezogen ver- waltet werden.
Wie haben Sie und Ihr Team sich für das Thema „Datenmanage- ment in der Praxis“ fit gemacht?
Wie haben Sie sich den „daten- schutzrechtlichen Vorgaben“
angenähert?
Die neuen europäischen und deut- schen Datenschutzrichtlinien sind erst seit Kurzem bekannt. Die In- formationsmöglichkeiten dazu sind sehr gering. Auch juristische Fach- leute sind nach meinem Eindruck bisher nicht in der Lage, uns prak- tikable Hinweise zu geben, was die neuen Datenschutzrichtlinien im Vergleich zu den bisherigen kon- kret für die Arztpraxen bedeuten.
Im Wesentlichen scheinen mir neu zu sein: die Mitteilungspflichten an den Patienten, die zwingende Be- nennung eines – möglichst inter- nen – Datenschutzbeauftragten (siehe auch Anmerkung Seite 7), der dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) mitgeteilt werden muss, eine ver- tragliche Datenschutzvereinbarung mit dritten Dienstleistern, die Ein-
sicht in Patientendaten haben – beispielsweise Aktenvernichtungs- firmen, IT-Dienstleister, Cloud- dienste. Eine weitere Neuerung sind anlasslose Überprüfungs- und Ahndungsmöglichkeiten durch die Aufsichtsbehörden, in Bayern durch das BayLDA.
Inwiefern sind sich Ihre Medizi- nischen Fachangestellten der Risiken und rechtlichen Konse- quenzen bewusst, die sich für eine Praxis im Umgang mit Pa- tientendaten ergeben können?
Wie oft wird diesbezüglich ge- schult? Gibt es einen Datenschutz- beauftragten in Ihrer Praxis?
In unserer Praxis gibt es schon seit mehreren Jahren einen inter- nen Datenschutzbeauftragten. Bei den monatlichen Fortbildungs- besprechungen mit unseren Medi- zinischen Fachangestellten wird auch einmal pro Jahr das Thema Datenschutz ausführlich bespro- chen. Hier werden auch regelmä- ßig vorkommende Fallkonstellatio- nen analysiert, beispielsweise Ar- beitgeberanfragen oder Mitteilun- gen an Angehörige.
Was sind aus Ihrer Sicht zentra- le Punkte, die Ärzte und ihre Mitarbeiter beachten müssen, wenn Patientendaten die Praxis verlassen?
Gunter Carl ist Facharzt für Neurologie, Psychiatrie und Psychotherapie in Würzburg und berufspolitisch unter anderem als Regionaler Vorstandsbeauf-
tragter für die KVB in Unter- franken tätig.
Patientendaten dürfen die Praxis nur verlassen, wenn der Patient zugestimmt hat. Ausnahme sind Datenübermittlungen im Rahmen des Systems der Gesetzlichen Kran- kenversicherung, soweit diese auf- grund gesetzlicher Verpflichtun- gen erfolgen. Die Weitergabe oder Verwendung von Patientendaten für nicht medizinische oder nicht unmittelbare Behandlungszwecke, zum Beispiel Forschung, darf eben- falls nur mit Einwilligung des Pa- tienten erfolgen. Andernfalls müs- sen Patientendokumente mit einem geeigneten Häcksler beziehungs- weise von einem professionellen Dokumentenvernichter geschred- dert werden. Mit diesem muss ein Vertrag zur Auftragsdatenver- arbeitung abgeschlossen werden.
Mit der Digitalisierung der Medi- zin steigen auch die Sorgen der Menschen, zu „gläsernen Patien- ten“ zu werden. Gibt es Patien- ten, denen Sie erklären müssen, welche Daten an wen und auf wel- chem Weg Ihre Praxis verlassen?
Erfahrungsgemäß fragt kaum ein Patient danach. Nur wenigen Pa- tienten müssen wir Auskunft geben, weshalb sie eine Einverständnis- erklärung unterzeichnen müssen, wenn wir beispielsweise von einem Krankenhaus Entlassungsbriefe anfordern.
Im Dezember letzten Jahres hat die Europäische Union eine Novel- lierung des gesamten europäi- schen Datenschutzrechts be- schlossen. Im Mai 2018 wird die EU-Datenschutzgrundverord- nung in Kraft treten. Verstöße – wie zum Beispiel eine Daten- übertragung im Rahmen eines unverschlüsselten E-Mail-Ver- sands – sollen dann künftig noch konsequenter geahndet werden.
Aus Ihrer Sicht gerechtfertigt oder übertrieben?
Hier gilt das oben Gesagte: Meist erfolgt die Datenübermittlung von Arzt- und Krankenhausbriefen oder Krankenkassenanfragen noch per Post oder Fax sehr zufriedenstel- lend, reibungslos, zeitsparend und weitestgehend kostenfrei. Die Nutz- ung des verschlüsselten E-Mail- Versands ist sehr umständlich, der Arzt benötigt den zusätzlichen elektronischen Heilberufeausweis, der zudem noch kostenpflichtig ist.
Zum guten Schluss: Als RVB für Unterfranken kommen Sie na- türlich auch mit vielen Kollegen ins Gespräch – sicherlich auch zum Thema Datenschutz. Wie gut sind Bayerns Praxen hier aufge- stellt? Und wie groß ist der In- formationsbedarf? Was sollte und kann die KVB hier aus Ihrer Sicht noch leisten?
Meiner Erfahrung nach gehe ich davon aus, dass in den allermeis- ten Praxen ein „Basisdatenschutz nach gesundem Menschenver- stand“ selbstverständlich prakti- ziert wird. Dies betrifft vor allem die unberechtigte Weitergabe von Patientendaten ohne Behandlungs- anlass.
Für Kollegen, die den Datenschutz nach neuem Recht exakt umsetzen wollen, ist der Informationsbedarf riesig. Denn Ärzte sind keine Juris- ten und kennen die Paragrafen nicht im Einzelnen beziehungswei- se wissen nicht, was genau damit gemeint ist und welche konkreten Auswirkungen damit für ihre Arzt- praxen verbunden sind. Wenn man die neuen Datenschutzrichtlinien sehr ernst nimmt, könnten sie zum bürokratischen Supergau, Zeit- und Ressourcenkiller in unseren Praxen werden. Folgt der Arzt den neuen Anforderungen des Datenschutzes im Wortlaut (siehe www.dsgvo-ge- setz.de und www.dsgvo-gesetz.de/
bdsg-neu/) so wird er vermutlich den medizinischen Praxisbetrieb
weitgehend lahmlegen, nur um die teils bizarren, maximal umfängli- chen und äußerst vielschichtigen Datenschutzbestimmungen und Informationspflichten einzuhalten.
Dem können wir nur begegnen, in- dem wir wie bisher mit Augenmaß und ärztlichem Verantwortungsge- fühl die schützenswerten Interes- sen unserer Patienten beachten.
Die Datenschutzrichtlinien müs- sen deshalb „praxisverträglich“
ausgelegt werden. Hierbei kann die KVB argumentativ im politi- schen und juristischen Rahmen behilflich sein. Und die KVB kann ihre Mitglieder konkret unterstüt- zen, indem sie zum Beispiel eine Datenschutz-Checkliste zur Verfü- gung stellt und aktuelle Fragen einzelner Praxen beantwortet. Sie kann auch Musterformulare für die
„Vereinbarung mit datenschutz- relevanten Aufträgen an dritte Dienstleister“, die „Meldung des Datenschutzbeauftragten an die Datenschutzbehörde“ und einen praxistauglichen Datenschutzaus- hang für die Patienten zur Verfü- gung stellen (siehe Seite 15). Wir Ärzte und Psychotherapeuten benötigen darüber hinaus Informa- tionen darüber, welche Behörden uns gegebenenfalls anlasslos datenschutzrechtlich überprüfen (dürfen) und welche Sanktionen möglich sind.
Herr Dr. Carl, vielen Dank für das Gespräch!
Interview Marion Munke (KVB)
Wo finden sich seriöse Tipps und Hilfestellungen, wenn ein Arzt oder Psycho- therapeut die Datensicherheit in seiner Praxis erhöhen will? Was kann über- haupt mit einem vertretbaren Aufwand erreicht werden? Wie helfen technische Schutzeinrichtungen und wo kommt es auf die Aufmerksamkeit der Mitarbeiter an? Der Informationssicherheitsbeauftragte der KVB gibt im folgenden Artikel eine kurze Zusammenfassung und verweist auf weitergehende Informations- angebote, beispielsweise des Bundesamts für Sicherheit in der Informations- technik (BSI).
AUF DATENSICHERHEIT IN DER PRAXIS ACHTEN
A
uch wenn man die „Emp- fehlungen zur ärztlichen Schweigepflicht, Daten- schutz und Datenverarbeitung inder Arztpraxis“ der Bundesärzte- kammer als verantwortlicher Praxis- inhaber vollständig umsetzt, kann man nicht davon ausgehen, dass nun alles Notwendige getan ist, um die Patientendaten gegen die im- mer häufiger auftretenden Gefah- ren aus dem Internet sicher und wirksam zu schützen. Es dürfte wohl kaum eine Praxis geben, die
wirklich alle Empfehlungen voll- ständig umsetzt. Dass diese stark reduzierte Version der Ratschläge dabei nur eine Ergänzung zu den
alten Empfehlungen aus einer sehr viel umfänglicheren Version vom Mai 2008 ist, lässt schon vermu- ten, dass eine vollständige Umset- zung nur unter Einbindung eines Systemspezialisten mit umfangrei- chen Kenntnissen der IT-Risiken und dem Einsatz vielfältiger und dauerhaft aktualisierter Schutz- programme denkbar ist [1].
Daten täglich sichern
In der Realität kann man davon aus- gehen, dass ein Praxisnetzwerk bei Weitem nicht die technischen Vor- kehrungen umsetzt, wie beispiels- weise Kliniken oder Versicherungs- gesellschaften. Aber auch Institu- tionen dieser Art wurden in den letzten Jahren Opfer von Schad- software. Sei es, dass wichtige Daten gelöscht oder „nur“ ver- schlüsselt wurden, um eine Löse- geldforderung zu stellen. Die Inter- netseite des Bundesamts für Sicher- heit in der Informationstechnik gibt vielfältige Tipps, wie man sich im Schadensfall verhalten soll [2]. Als wesentliche Schutzmaßnahme gegen Verschlüsselungsangriffe gilt die tägliche Sicherung der Daten.
Diese Sicherungen müssen aber unbedingt getrennt vom Praxis- netz zugriffsgeschützt aufbewahrt werden. Leider gibt es schon Fälle, bei denen auch die Datensicherung verschlüsselt, gelöscht oder ent- wendet wurde.
Schulungsvideos für Mitarbeiter Bei all den technischen Vorkehrun- gen, die einen nicht unerheblichen Aufwand an Zeit, Know-how und Eine Internet-
seite liefert Informationen zur Schadens- behebung bei Angriffen mit Ransom- Software.
finanziellen Mitteln erfordern, wird der wesentlichen „Schwachstelle“
im System viel zu wenig Aufmerk- samkeit gewidmet: Bei fast allen Bedrohungen muss erst der Mensch, im Allgemeinen ein Mitarbeiter aus der Praxis, bewusst getäuscht wer- den, um Schadsoftware auf dem System zur Ausführung zu bringen.
Um diese Täuschung zu erreichen, bedarf es aber keinerlei ausgefeil- ter Technik. Es reicht eine E-Mail, die täuschend echt mit falschem Absender beziehungsweise mit einem plausiblem Anliegen an die Praxis gesendet wurde, um even- tuell den „worst case“ für die Pra- xisdaten auszulösen.
Wie man mit dieser Situation um- gehen sollte, auf was man achten und wie man sich verhalten soll, dazu liefern die Schulungsvideos und Tipps zur Vermeidung vieler Risiken auf der Internetseite des BSI einen guten Überblick [3]. Zum Thema „Ransom-Bedrohung“ fin- den sich auf einer speziellen Inter- netseite Hinweise zur Schadens- behebung sowie Entschlüsselungs- tools zum Wiederherstellen der Daten [4].
Zusammenfassung
Natürlich werden in Praxisnetz- werken alle empfohlenen Schutz- programme (Firewall, Virenschutz, Backup, Verschlüsselung, Berech- tigungseinschränkung usw.) benö- tigt. Ohne Schulungen beziehungs- weise Sensibilisierung der Praxis- mitarbeiter zum Thema Internet- und Mailgefahren ist aber trotz al- ler Technik mit einer hohen Wahr- scheinlichkeit davon auszugehen, dass irgendwann auch ein Schad- programm zur Ausführung kommt.
Sei es durch einen Zugriff auf eine Internetseite mit automatischem Download von Schadcode, durch eine E-Mail mit Schadsoftware im Anhang, durch die Verwendung un- bekannter USB-Sticks oder auch nur einer Speicherkarte aus dem Fotoapparat, über welche die Schad- software auf den Rechner kommt.
Wenn man nun vergleicht, wieviel Aufwand auf technischer Seite empfohlen wird und wie wenig bis- her in „Schulungsmaßnahmen“
zum normalen Gebrauch von mo- dernen Diensten investiert wird, kann man erkennen, wo dringen-
der Handlungsbedarf existiert. Wie wenig Aufmerksamkeit dem Thema Schulung zur Informationssicher- heit gewidmet wird, lässt sich lei- der am öffentlichen Schulungsan- gebot erkennen. Weder gibt es Vor- gaben, das Thema im Bildungsbe- reich zu integrieren, noch gibt es ausreichende Schulungsangebote der Ärztekammern oder Volks- hochschulen. Bleibt demnach lei- der nur das „Eigenstudium“ oder die Möglichkeit, auf ein preislich akzeptables Schulungsangebot von Privatfirmen zurückgreifen.
Norbert Prücklmaier (KVB)
Die wesentliche Schutzmaßnah- me gegen Ver- schlüsselungs- angriffe ist die tägliche Siche- rung der Daten und deren ge- trennte Auf- bewahrung vom Praxisnetz.
[1] http://www.bundesaerztekammer.de/
fileadmin/user_upload/downloads/
pdf-Ordner/Telemedizin_Telematik/
Sicherheit/Schweigepflicht_2014_1_.pdf [2] (https://www.bsi-fuer-buerger.de/BSIFB/
DE/Risiken/Schadprogramme/
Infektionsbeseitigung/infektionsbeseiti gung_node.html)
[3] https://www.bsi-fuer-buerger.de/BSIFB/
DE/Risiken/SpamPhishingCo/spamPhis hingCo_node.html
[4] https://www.nomoreransom.org/de/
about-the-project.html
I
n Zeiten der fortschreitenden Digitalisierung, die eine zuneh- mende Fachexpertise voraus- setzt, ist bereits jetzt regelmäßig die Mitwirkung von externen Per- sonen zur Aufrechterhaltung eines reibungslosen Praxisablaufs erfor- derlich. Eigenes Praxispersonal ist häufig nicht in der Lage, die in der Praxis verwendeten IT-Anlagen und Systeme zu warten und Fehler- meldungen zu beseitigen. Daneben besteht aufgrund der immer größer werdenden Datenmengen in Praxen ein Bedürfnis nach einer Auslage- rung routinemäßig anfallender Tä- tigkeiten, beispielsweise zur exter- nen Datenspeicherung, zur daten- schutzkonformen Aktenvernichtung, zur Erledigung von Schreibarbeiten oder zur Entgegennahme von Tele- fonanrufen. Bislang war die Einbin- dung Dritter jedoch für den Arzt beziehungsweise Psychotherapeu- ten mit dem Risiko verbunden, strafrechtlich gegen die Schweige- pflicht zu verstoßen.Etwaige berufsrechtliche Verstöße werden von der zuständigen Ärzte- kammer beurteilt und gegebenen- falls geahndet. Die Änderungen des § 203 StGB nimmt die Ärzte- kammer zum Anlass, die Formulie- rungen korrelierender Vorschriften in der Berufsordnung zu überprüfen
und anzupassen. Die berufsrecht- liche Beurteilung ist nicht Gegen- stand dieses Beitrags.
Täter im Sinne des § 203 StGB
§ 203 StGB stellt die Verletzung von Privatgeheimnissen unter Stra- fe. Täter können die sogenannten Berufsgeheimnisträger sein, das heißt Personen bestimmter Berufs- gruppen, denen von Berufs wegen fremde Geheimnisse anvertraut oder sonst bekannt werden. Ärzte oder Psychotherapeuten sind sol- che Berufsgeheimnisträger.
Gemäß § 203 Absatz 1 StGB wird bestraft,
„wer unbefugt ein fremdes Geheim- nis, namentlich ein zum persönli- chen Lebensbereich gehörendes Geheimnis (…), offenbart, das ihm als (…) Arzt (…) anvertraut worden oder sonst bekannt geworden ist.“
Strafrechtliches Risiko bei der Einbindung Dritter Nach der bisherigen Rechtslage lag keine Strafbarkeit nach § 203 StGB vor, wenn der Arzt innerhalb seines Organisationskreises Ge- heimnisse offenbarte. Der Organi- sationskreis erfasste den berufs- mäßig tätigen Gehilfen und den zur
Ausbildung beim Berufsgeheimnis- träger Beschäftigten. Da der Ge- hilfe und der Auszubildende dem Berufsgeheimnisträger strafrecht- lich gemäß § 203 Absatz 3 StGB (alte Fassung) gleichgestellt waren, wurde ein Offenbaren von Geheim- nissen innerhalb des Organisations- kreises von der Rechtsprechung bereits nicht als „Offenbaren“ im strafrechtlichen Sinne gewertet.
Etwas anderes galt jedoch für den Fall, dass der Arzt Geheimnisse einer sonstigen mitwirkenden Person außerhalb seines Organi- sationskreises offenbarte. Für die- se Konstellation sah das Strafrecht keine gleichstellende Regelung vor. Die Rechtsfolge wurde unter- schiedlich beurteilt. Strafrechtlich war es umstritten, ob Vorausset- zung für eine Straffreiheit war, dass der Dritte wie ein „berufsmäßig tätiger Gehilfe“ eingestuft [1] oder als ein Angehöriger des „Kreises der zum Wissen Befugten“ ange- sehen werden konnte [2]. Kriterien waren demnach entweder die Ein- bindung des Dritten in den Praxis- betriebsablauf mit einhergehender Weisungsbefugnis des Arztes ge- genüber dem Dritten oder eine bloße vertraglich vereinbarte Kon- trollmöglichkeit und Steuerungs- macht gegenüber dem Dritten.
