Darauf müssen Hilfsmittel-Leistungserbringer achten

Es wurde schon viel zu dem Thema geschrieben, schließlich ist es gerade auch in aller Munde, denn immerhin läuft am 25. Mai 2018 die Übergangsfrist ab und die Datenschutz-Grundverordnung (DSGVO) ist unmittelbar anwendbar. Doch was heißt das konkret für Sie als Leistungserbringer im Hilfsmittelbereich?

Die gute Nachricht ist: Wenn Sie die bisher gültigen Datenschutzregelungen in Ihrem Unternehmen schon beachtet haben, ändert sich für Sie Ende Mai nicht viel. Darauf basierend die schlechte Nachricht: Wurde der Datenschutz von Ihnen hingegen als lästiges Anhängsel oder überhaupt nicht beachtet, wird Ihnen als Leistungserbringer vor allem eine Neuerung auf die Füße fallen, nämlich die sogenannte Rechenschaftspflicht. Danach muss der Verantwortliche – und das sind Sie! – die Einhaltung der in der DGSVO niedergelegten Grundsätze des Datenschutzes nachweisen können. Sind Sie hierzu nicht in der Lage, drohen Ihnen empfindliche Bußgelder. Die Zeiten, in denen Verstöße gegen die datenschutzrechtlichen Normen als Bagatellen abgetan wurden, sind damit definitiv vorbei.

Die möglichen Bußgelder wurden um ein Vielfaches erhöht: Statt der bisherigen Höchstgrenze von 300.000 Euro können nunmehr bei Verstößen gegen die datenschutzrechtlichen Bestimmungen Bußgelder bis zu 20 Millionen bzw. 4 Prozent des gesamten weltweit erzielten Jahres­umsatzes des Vorjahres verhängt werden. Auch wenn diese Werte nur die Obergrenze darstellen und derart hohe Bußgelder wahrlich nicht bei jedem Verstoß verhängt werden, machen sie doch deutlich, dass es sich, um den vom ehemaligen Chef der Deutschen Bank, Josef Ackermann, geprägten Terminus zu be­mühen, keinesfalls um „Peanuts“ handelt.

Damit Sie davon nicht überrollt werden, prüfen Sie zuallererst, ob Sie die personenbezogenen Daten Ihrer Kunden in zu­lässiger Weise erheben und verarbeiten. Kommt Ihr Kunde, entweder als gesetzlich oder auch als privat Versicherter, zu Ihnen und beauftragt Sie mit der Leis­tungserbringung, erheben und verarbeiten Sie seine Daten aufgrund des bestehenden Auftrages und damit in zulässiger Weise. Erhalten Sie z. B. Versichertendaten im Rahmen des Versorgungsmanagements bzw. im Rahmen des von Kliniken durchgeführten Entlassmanagements, müssen Sie darauf achten, dass vorab eine vom Versicherten wirksam erfolgte Einwilligung an Sie erteilt worden ist. Dies gilt auch, wenn Sie die erhaltenen Daten an Dritte weitergeben oder Sie die Daten zu anderen als den ursprünglich überlassenen Zwecken nutzen wollen. Das Gesetz sieht zwar nicht mehr vor, dass die Einwilligung schriftlich zu erfolgen hat; wegen Ihrer Nachweispflicht als Verantwortlicher ist Ihnen eine schriftliche Einwilligung aber dringend anzuraten.

Die Einwilligung hat zum einen freiwillig zu erfolgen, das bedeutet, dass sie nicht von einer Bedingung, beispielsweise der Nutzung der Daten zu Werbezwecken, abhängig gemacht werden darf. Zum ande­ren hat sie in einer einfachen Sprache, übersichtlich und transparent zu erfolgen. Dem Versicherten kann hierzu ein standardisiertes Formular vorgelegt werden, in dem sämtliche Zwecke der Daten­verarbeitung klar voneinander abgegrenzt werden. Schließlich ist er auf sein Widerrufsrecht mit Wirkung für die Zukunft aufmerksam zu machen.

Macht der Versicherte von seinem Wider­rufsrecht Gebrauch, haben Sie seine Daten unverzüglich zu löschen bzw. aufgrund von Aufbewahrungsfristen (diese können etwa steuerrechtliche Gründe haben oder in Ihren Rahmenverträgen verankert sein) so zu sperren, dass sie nur zu den mit der Aufbewahrungspflicht verbundenen Zwecken zu nutzen sind. Für eine weitergehende Nutzung besteht dann keine Rechtsgrundlage mehr.

Sobald ein potenzieller Kunde erstmalig Ihren Ladenraum betritt oder mit Ihnen per Telefon, E-Mail oder Kontaktformular Ihrer Homepage kommuniziert und Sie seine Daten aufnehmen bzw. wenn Sie dessen Daten von einem Dritten, wie etwa der Krankenkasse, erhalten, haben Sie ihn umfassend über

• die Zwecke der Verarbeitung und deren Rechtsgrundlage,
• ggf. Ihre berechtigten Interessen,
• die Empfänger bzw. Kategorien von Empfängern bei Weitergabe der Daten,
• die Dauer der Speicherung,
• sämtliche Betroffenenrechte,
• ggf. die Kontaktdaten Ihres Datenschutzbeauftragten und
• Ihre Kontaktdaten zu informieren.

Diese Informationen müssen Sie in klarer und einfacher Sprache unentgeltlich an den betroffenen Versicherten übermitteln bzw. ihm zur Verfügung stellen. Dabei ist ein grundsätzlicher Verweis auf die Datenschutzerklärung auf Ihrer Home­page nicht ausreichend. Vielmehr sollten Sie bei Datenerhebung ein entsprechendes Schriftstück mit den oben genannten Pflichtinformationen vorlegen, dessen Erhalt Sie sich auf einem Doppel quittieren lassen. Zumindest aber sollte bei der Erhebung in zwei Schritten verfahren werden:

• Hängen Sie einen Aushang an die Laden­theke mit den wesentlichen Infor­mationen.
• Verweisen Sie auf Ihre Datenschutzerklärung (z. B. unter einer leicht zu merkenden URL oder auf einem extra zur Verfügung gestellten Schriftstück).

Praxistipp: Verlassen Sie sich nie darauf, dass Ihre Mitarbeiter entsprechend münd­lich informieren! Sie werden dies in der Praxis nicht beweisen können. Unterbleibt die datenschutzrechtliche Aufklä­rung, haften Sie persönlich.

Als Nächstes prüfen Sie, ob Sie durch externe Dienstleister, denen Sie die personenbezogenen Daten der Versicherten weiterleiten, Daten im Auftrag verarbeiten lassen.

Dies ist insbesondere dann der Fall, wenn Sie z. B. einen Abrechnungsdienstleister, wie Opta Data, Dr. Güldener oder RZH bzw. AZH, um nur einige zu nennen, mit der Abrechnung der von Ihnen erbrachten Leistungen gegenüber den gesetzlichen oder privaten Krankenkassen beauftragt haben. Ebenso stellt die Nutzung eines externen Rechenzentrums oder ein Wartungs- oder Fernwartungsvertrag üblicherweise eine Auftragsverarbeitung dar. Achten Sie aber auch auf andere Bereiche, in denen Sie personenbezogene Daten verarbeiten lassen, wie Ihren Internetauftritt.

Denn wenn Sie beispielsweise Google Analytics als Analysesoftware nutzen, müssen Sie auch zwingend mit diesem Auftragsverarbeiter einen entsprechenden Vertrag schließen. Bislang war lediglich der Auftraggeber, also Sie, in der Pflicht, einen entsprechenden Vertrag vorweisen zu müssen. Mit Geltung der DSGVO liegt diese Pflicht ebenso beim Auftragnehmer. Daher wird es für Sie nun auch einfacher sein, einen Auftragsverarbeitungsvertrag mit Marktgiganten wie Google abschließen zu können.

Damit Sie nachweisen können, dass Sie die rechtlichen Anforderungen einhalten, bauen Sie ein gut strukturiertes Datenschutzmanagementsystem (DSMS) auf und halten alles entsprechend nach. Um das Rad nicht neu erfinden zu müssen, können Sie aus bereits bestehenden Qualitätsmanagementsystemen die dortigen datenschutzrechtlichen Anforderungen übernehmen, um das DSMS aufzubauen.

Jeder Leistungserbringer sollte zu­nächst innerorganisatorisch eine Bestandsauf­nah­me seines Status quo und eine Schwach­stellenanalyse vornehmen. Da­zu ist die Erstellung von Verzeichnissen der Verarbeitungstätigkeiten hilfreich. Sodann sind Maßnahmen festzulegen, welche das Risiko der Betroffenenrechte mini­mieren. Diese stellen die sogenannten technisch-organisatorischen Maßnahmen (TOM) dar.
Und nicht vergessen: Um das Ganze dann nachweisen zu können, ist alles zu dokumentieren!

Beginnen Sie mit der Erstellung Ihrer Verzeichnisse der Verarbeitungstätigkeiten im Bereich der personenbezogenen Daten. In welchen Ihrer Prozesse werden personenbezogene Daten verarbeitet? Das können die Anlage der Versichertendaten, Buchhaltung, Personalwesen, Mar­keting – Akquise, Outlook etc. sein. Sie erhalten durch die Erstellung der Verzeichnisse einen Überblick über die einzelnen Vorgänge in Ihrem Unternehmen, in denen personenbezogene Daten verarbeitet werden. Anhand dessen können Sie erkennen, an welcher Stelle Risiken für die personenbezogenen Daten bestehen und welche Maßnahmen zu treffen sind, um diese zu minimieren. Die Er­stellung dieser Verfahrensverzeichnisse ist mühsam, aber für Sie verpflichtend, da Sie sensible Daten verarbeiten.

In welcher Form Sie diese Verzeichnisse führen, ist Ihnen überlassen, sodass dies auch als Word- oder Exceldatei möglich ist. Dabei können viele Verarbeitungs­zwe­cke in einem Vorgang zusammengefasst werden: „Verwaltung von Versorgungsaufträgen“, „Abrechnung“, „Lohnabrechnung“ etc. Für jede Verarbeitungstätigkeit sind dieselben Angaben er­for­derlich:

• Zwecke der Verarbeitung
• Kategorien der betroffenen Personen
• Art der Daten
• mögliche Empfänger der Daten
• im Falle der EU-Auslandsübermittlung: Name des Landes
• Angabe der Löschfristen
• Angabe der allgemeinen Beschreibung der technischen und organisatorischen Maßnahmen

Und vorweg sind sie mit Ihren Kontaktdaten und ggf. denen Ihres Datenschutzbeauftragten zu versehen, sodass Sie auf Anfrage der Aufsichtsbehörde die Verzeichnisse entsprechend vorlegen können.

Praxistipp: Erstellen Sie eine Excel-Liste! Hier können Berechtigungs-, Löschkonzepte und die Datenschutzfolgenabschätzung direkt integriert und Aufwand erspart werden.

Liegen die Verfahrensverzeichnisse vor, prüfen Sie, inwieweit bei den einzelnen Verarbeitungstätigkeiten Risiken für die Rechte der Betroffenen bestehen, welche durch entsprechende Maßnahmen minimiert werden müssen. Diese können sein:

• organisatorische Mängel
• zulässige EDV-Wartung
• unzulässige Fremdeinwirkung oder eine zu lange Speicherung

Sie sollten diese Ergebnisse, auch wenn keine weiteren Maßnahmen abgeleitet werden, im entsprechenden Verfahrensverzeichnis als sinnvolle Dokumentation hinzufügen. Ein so geführtes Verzeichnis dient idealerweise dazu, dass Sie Ihrer Rechenschaftspflicht bzw. Dokumenta­tionspflicht nachkommen können.

Nachdem Sie die Analyse durchgeführt und etwaige Risiken ermittelt haben, müssen Sie prüfen, ob in Ihrem Unternehmen bereits angemessene und geeignete Maßnahmen getroffen wurden, welche die zuvor analysierten Risiken minimieren. Denn die Verarbeitung der personenbezogenen Daten ist nur dann rechtmäßig, wenn der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzt, um sicherzustellen, dass die Datenverarbeitung recht­mäßig erfolgt und ein angemessenes Daten­schutzniveau gewährleistet ist. Bereits einfache Maßnahmen können ausreichen, wie etwa:

• das Abschließen der Türen
• die Implementierung einer Firewall und eines Antivirenschutzes
• verschiedene PC-Benutzerkonten
• die Nutzung von Passwörtern
• Verschlüsselung von E-Mails

Aber auch weitere TOMs sind ggf. umzusetzen, wie

• ein Berechtigungskonzept,
• ein Löschkonzept,
• der Einbau von Sicherheitsschlössern,
• Verpflichtungserklärungen externer Dienstleister,
• die Sensibilisierung der Mitarbeiter durch Schulungen etc.,

um bestehende Risiken zu minimieren.

In bestimmten Sonderfällen ist über das bisher Dargestellte hinaus eine sogenannte Datenschutzfolgenabschätzung vorzunehmen. Das bisherige Datenschutzrecht, das BDSG, kannte ein ähnliches Konstrukt, die sogenannte Vorabkontrolle. Sie war vom Datenschutzbeauftragten durchzuführen, wenn automatisierte Verfahren, die ein besonderes Risiko für die Rechte und Freiheiten der Betroffenen aufwiesen, durchgeführt werden sollten. Wurde sie nicht durchgeführt, zog dies aber auch keine Sanktion nach sich.

Mit der DSGVO wird dem Kind ein anderer Name gegeben: Datenschutzfolgenabschätzung (DSFA). Je risikoreicher und schadensgeneigter (Risikobestimmung) eine Verarbeitung von Daten für die Versicherten sein kann, umso höhere Anforderungen stellt die DSGVO an die Anwendung. Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten der Betroffenen ein (sehr) hohes Risiko zur Folge hat, haben Sie vor deren Einführung eine DSFA vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der personenbezogenen Daten der Betroffenen hätte. Ein solcher Fall liegt z. B. vor, wenn Sie planen, Ihre Geschäftsräume oder den Außenbereich Ihres Gebäudes mit einer Videoüberwachung auszustatten: Hier kann eine DSFA zwingend erforderlich sein.

Lässt sich ein (sehr) hohes Risiko nicht durch angemessene TOMs reduzieren, ist für den Einsatz der Anwendung vorab eine Genehmigung Ihrer zuständigen Landesdatenschutzaufsichtsbehörde einzuholen. Besteht keine Pflicht zur Durchführung einer DSFA, ist aber auch dies und die maßgeblichen Erwägungen, die dieser Entscheidung zugrunde liegen, wegen der bestehenden Rechenschaftspflicht zu dokumentieren.

Beachte: Es muss ein zwei- bis dreistu­figes Verfahren durchgeführt werden:

• Risikobestimmung – ob eine DSFA erfolgen muss
• Durchführung DSFA
• ggf. Einholung der Genehmigung der Landesdatenschutzaufsichtsbehörde

Fazit

Die DSGVO verlangt Ihnen einiges ab, und wie auch ein Sicherheitsbeauftragter nach Medizinproduktegesetz in den meisten Betrieben heute selbstverständlich ist, sollten Sie für den Bereich Daten­schutz ebenfalls eine Person einbinden, die ein Datenschutzmanagement für Sie aufbaut und pflegt. Ob Sie einen Datenschutzbeauftragten benennen müssen oder nicht – Sie als Verantwortlicher haften bei Verstößen. Können Sie ein Datenschutzmanagement vorweisen, wird es im Falle eines unbeabsichtigten datenschutzrechtlichen Verstoßes bußgeldmindernd berücksichtigt. Ungeachtet dessen ermöglicht es Ihnen aber auch, den Überblick über Ihr Datenschutzniveau zu behalten und in Krisensituationen schnell zu reagieren.

MTD Medizintechnischer Dialog 05 / 2018