Datenschutzbeauftragter weiter Pflicht
Vorstoß der Union zur Abschaffung der Bestellpflicht abgeschmettert
Mal wieder Diskussion über den Datenschutzbeauftragten…
Seit über einem Jahr wird über eine Novellierung des Bundesdatenschutzgesetzes beraten. Dieses konkretisiert den Datenschutz und die Pflichten aus der DSGVO auch für Physiotherapie Praxen, Arztpraxen oder Zahnarztpraxen auf nationaler Ebene. Der von der Union geführte Innenausschuss des Bundesrates hatte im März einen Vorschlag zur Novellierung des BDSG eingeführt, welcher die vollständige Streichung des § 38 BDSG vorgesehen hätte; Dieser Paragraf regelt ergänzend zur DSGVO, wann ein Unternehmen oder auch eine Praxis z.B. Phyiso einen Datenschutzbeauftragten verpflichtend bestellen muss. Die Streichung wurde gestrichen: Ein seltener Sieg der Vernunft.
Diskussion um den Datenschutzbeauftragten: ein alter Hut
Keine Frage hat die Gemüter 2017/2018 so sehr erregt, wie die Frage, ob und wann ein Datenschutzbeauftragter in einem Unternehmen bestellt werden muss. Es schien, als nichts anderes von Bedeutung. Dabei wurde die Debatte oftmals sehr emotional und kaum sachlich geführt. Verwechselt wurde vor allem die Frage nach der Pflicht zur Bestellung eines Datenschutzbeauftragten und die allgemeine Pflicht zur Beachtung der DSGVO. Teilweise entstand der Eindruck, ein Unternehmen sei zur Beachtung des Datenschutzes nur verpflichtet, wenn es auch einen Datenschutzbeauftragten bestellen muss. Wie tief dieses grobe Missverständnis sitzt und auch im Jahre 2024 immer noch zu bestehen scheint, zeigt der Vorstoß der Union. In der Begründung zur vorgeschlagenen Abschaffung des § 38 BDSG hieß es, dieser belaste kleine und mittlere Unternehmen mit unnötigen bürokratischen Anforderungen.
Nachwirkung unseriöser Datenschutzberater
Die Mär von der finanziellen und bürokratischen Belastung durch den Datenschutzbeauftragten hält sich härtnäckig und dürfte vor allem auf wenig seriöse Angebote von Datenschutzberatern in den Jahren 2017 und 2018 zurückzuführen sein. Es machten nicht wenige selbsternannte Berater, deren Fachwissen im Datenschutz kaum nachweisbar war, mit äußerst aggressiver Werbung für zweifelhafte Datenschutzbetreuung von sich reden. Auch die Justiziariate der Berufsfachverbände der Heilmittelverbände sind hier nicht unschuldig. Uns ist bekannt, dass im Jahr 2018 jedenfalls ein Justiziar eines Berufsfachverbandes für Physiotherapie – ohne zur Beratung im Datenschutz auch nur annähernd hinreichend qualifiziert zu sein – höchst zweifelhafte Beratungsleistungen zu regelrechten Wucherpreisen verkauft hat. Geholfen hatte hierbei wie so oft: Das Geschäft mit der Angst.
In Wahrheit: Der Datenschutzbeauftragte entlastet Unternehmen
Mit der DSGVO wurde das Datenschutzrecht nicht nur in Deutschland, sondern in ganz Europa auf eine neue Grundlage gestellt. Nicht alles ist neu, aber vieles anders uns insgesamt für Datenverarbeiter aber auch für Betroffene deutlich besser geworden. Hiosbotschaften von Bußgeldern in Millionenhöhe für kleine und mittlere Praxen von Physiotherapie, Ergotherapie oder Logotherapie haben sich gezeitigt und auch keine Arztpraxis musste wegen Verstoß gegen den Datenschutz ein Millionenbußgeld zahlen.
Dennoch meint es der Gesetzgeber mit dem Datenschutz nun ernst und das ist auch gut so! Eine Praxis die den Datenschutz auf die leichte Schulter nimmt, muss mit empfindlichen Konsequenzen rechnen, etwa in Form von Schadenersatzforderungen oder behördlichne Maßnahmen. Ein Datenschutzbeauftragter unterstützt die Praxis dabei, alle Pflichten zu beachten und Vorgaben, die ohnehin für jede Praxis gelten, umzusetzen. Er unterstützt gerade dabei, die Bürokratie zu überblicken, nicht aus den Augen zu verlieren und für die Praxis auf das Wesentliche hin zu ordnen.
Wer also meint, mit der Abschaffung der Bestellpflicht für eine Entlastung von Bürokratie zu sorgen, kann auch gleich vorschlagen, den Berufsstand der Steuerberater abzuschaffen, um der Steuerbürokratir entgegenzuwirken – wie es der Berufsverband der Datenschutzbeauftragten Deutschlands süffisant ausgedrückt hat.
Pflicht zur TI Anbindung durch den Datenschutz?
Telematik Infrastruktur könnte durch die Hintertür zur Pflicht werden
Viele Heilmittelpraxen, insbesondere Physiotherapiepraxen und Ergotherapiepraxen, fragen sich: Lohnt sich eine Anbindung an die TI – also an die Telematik Infrastruktur? Gegenwärtig ist der praktische Nutzen der TI für Heilmittelpraxen noch sehr überschaubar. In naher Zukunft könnten Praxen jedoch feststellen, abgehängt zu sein, wenn sie nicht an die TI angeschlossen sind. Auch der Datenschutz könnte die TI notwendig machen.
Die Telematikinfrastruktur kommt für alle Praxen. Ab wann Physiotherapie-Praxen oder Ergotherapie-Praxen oder andere Heilmittelpraxen nicht mehr drum herum kommen, wird sich zeigen. Anders als Apotheken müssen Heilmittelpraxen bislang keine eRezepte einlösen. Geplant ist das eRezept für Physiotherapie oder Ergotherapie und die weiteren Heilmittel ab 01. Januar 2027
Eine Physiotherapiepraxis oder Ergotherapiepraxis, die sich jetzt schon an die TI anschließ, kann auf folgendes zugreifen:
- KIM – ein sicherer E-Mail-Dienst zur Kommunikation im Gesundheitswesen
- ePA – Zugriff auf die elektronische Patientenakte
- TIM – ein Messengerdienst ähnlich Whatsapp im Gesundheitswesen
Der Datenschutz bringt die TI durch die Hintertür
Datenschutzkonforme Kommuniktation ist nicht erst seit der DSGVO 2018 ein wichtiges Thema. Seit 2018 wird es aber verstärkt diskutiert. Hervorzuheben ist: E-Mails sind nicht Datenschutzkonform, um Gesundheitsdaten zu verschicken. Art. 32 DSGVO verpflichtet eine Praxis, bei der Versendung von Gesundheitsdaten ein angemessenes Sicherheitsniveau zu gewährleisten. Bei (einfachen) E-Mails ist dieses nicht gegeben. Zwar ist der Transportweg der E-Mail heute in aller Regel sicher (TLS = Transport Layer Security). Auf dem eigenen und auf dem E-Mail-Server des Empfängers liegt die E-Mail aber im Klartext, unverschlüsselt und für jeden lesbar. Eine E-Mail ist daher von der Sicherheit her am ehesten mit einer Postkarte zu vergleichen.
Telefax nicht mehr Datenschutz-konform
Das in so mancher Physiopraxis immer noch beliebte Telefax ist nicht mehr Datenschutz-Konform. Als erste hatte die Landesbeauftragte des Landes Bremen 2021 darauf hingewiesen. Auch das LDI NRW schließt sich dieser Rechtsauffassung an; gerichtlich entschieden ist dies allerdings noch nicht.
Die Begründung in Kürze: Telefaxe im eigentlichen Sinne gibt es heute (praktisch) nicht mehr. In der Regel werden Faxe digital empfangen und z.B. von einer Fritzbox in eine E-Mail umgewandelt und dann dem Empfänger übermittelt. Faxe sind daher (sehr oft) technisch mit E-Mails gleichzusetzen und deshalb nicht datenschutzkonform. Telefax ist nur dann sicher, wenn per ISDN empfangen wird. Heute hat aber kaum noch eine Physiotherapie Praxis oder Arztpraxis einen ISDN-Anschluss.
Die Lösung: KIM
Bislang stellt Telefax für eine Physiotherapie Praxis praktisch die einzige Möglichkeit dar, schnell und bequem mit einer Artpraxis Rezepte z.B. zur Korrektur auszutauschen. Zwar stehen die Verschlüsselungsmethoden S/MIME und GnuPGP seit vielen Jahren kostenlos zur Verfügung um E-Mails sicher und datenschutzkonform Ende-zu-Ende zu verschlüsseln. Nur das Problem: Keiner nutzt sie. Die Datenschutz-Bedenken zur Nutzung von Telefax konnten daher bis jetzt mit: Naja, wie sollen wir es denn sonst machen, zurückgestellt werden.
Spätestens seit der elektronischen AU sind aber praktische alle Arztpraxen bereits an die TI angebunden können KIM-Nachrichten empfangen. KIM steht für Kommunikation im Medizinwesen. Kurioserweise steckt hinter KIM nichts anderes als E-Mail, verschlüsselt mit Hilfe von S/MIME (aktuell noch Version 3.2).
Eine Physiotherapiepraxis oder Ergotherapiepraxis, die an die TI – also Telematik Infrastruktur – angeschlossen ist, kann also nun sicher und datenschutzkonform mit Hilfe von KIM mit (praktisch) jeder Arztpraxis Nachrichten austauschen. Allerdings: die meisten Ärzte nutzen KIM bislang nur passiv; automatisiert zur Übersendung der eAU’s an die Krankenversicherungen. Eine Praxis, die per KIM kommunizieren möchte, sollte daher im Moment noch ausdrücklich darauf hinweisen und die empfangende Praxis vorab telefonisch informieren.
Saturn gewinnt vor EuGH
Kein Schadenersatz im Datenschutz ohne Schaden
Der Datenschutz bzw. das Datenschutzrecht gewährt Betroffenen umfassende Rechte, wie jeder Datenschutzbeauftragte von Praxen, einer Arztpraxis oder Physiotherapie-Praxis weiß, denn über diese muss in der Datenschutz-Information belehrt werden.
Eines dieser Rechte war in der jüngeren Vergangenheit vermehrt Gegenstand von medialer Diskussion und Gerichtsentscheidungen: Das Recht auf Schadenersatz.
Auch eine Praxis schuldet beim Verstoß gegen Datenschutz keinen Schadenersatz ohne Schaden
Dem deutschen Rechtsverständnis von Schadenersatz liegt der Gedanke der Naturalrestitution zugrunde. Dieser besagt, dass der Schädiger den Zustand herstellen muss, der bestünde, wäre das schädigende Ereignis nicht eingetreten.
Einfach ist dies, wenn der Schaden unmittelbar in Geld ausgedrückt werden kann, bspw. als Reparaturkosten eines verunfallten Autos. Schwieriger ist dies, wenn der Schaden nur gefühlt ist, wie bespw. bei einer Ehrverletzung aufgrund einer Beleidigung.
Da die DSGVO in Artikel 82 einen Schadenersatzanspruch bei Verletzungen des Datenschutzes vermittelt, stellt sich die Frage: Was kann ein solcher Schaden sein?
Im vergangenen Jahr machten vor allem Fälle Furore, bei denen Privatpersonen Webseitenbetreiber wegen datenschutzwidrigem Einsatz der Google-fonts abgemahnt hatten und mit Schadenersatz-Forderungen konfrontiert wurden. Die Schreiben gingen von auf Massenabmahnugnen spezialisierten Anwälten aus und scheiterten letztlich, weil sie als rechtsmissbräuchlich eingestuft wurden: Der Kläger konnte das Landgericht München nicht überzeugen, einen Schaden durch die Google-fonts gehabt zu haben. Es führte aus:
Das Gericht erachtet es für kaum denkbar, dass eine Privatperson nur aus Verärgerung über einen aus ihrer Sicht gegebenen und weit verbreiteten Datenschutzverstoß von Website-Betreibern den mit der Versendung von mindestens 100.00 Abmahnschreiben verbundenen Aufwand auf sich nehmen wird, nur um auf den von ihm gesehenen Missstand beim Datenschutz aufmerksam zu machen.
LG München I, Endurteil v. 30.03.2023 – 4 O 13063/22
Für eine Arztpraxis oder Physiotherapiepraxis gilt: bei Patientendaten liegen Schaden und Ersatzanspruch oft nahe!
Ob ein ersatzfähiger Schaden vorliegt oder nicht, bleibt auch im Datenschutz zentrale Beweisfrage. Für die Praxis im Datenschutz ist aber zu beachten: Eine Erheblichkeitsschwelle existiert nicht, wie das Bundesverfassungsgericht und auch der EuGH jüngst festgestellt haben. Verstößt beispielsweise eine Praxis gegen den Datenschutz, kommt es also zu einer Verletzung des Schutzes personenbezogener Daten, kann schon eine kleinste Unannehmlichkeit für die Patienten zu einem Schadenersatzanspruch führen. Dies ist eine europarechtliche Besonderheit der DSGVO und anders als im deutschen Recht.
Die DSGVO selbst verlangt in ihrem Erwägungsgrund 146
Der Begriff des Schadens sollte im Lichte der Rechtsprechung des [europäischen] Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.
Einen Dämpfer musste aber nun ein Kläger hinnehmen, der sich durch MediamarktSaturn in seinen Rechten verletzt sah. Hintergrund: Ein Kunde kaufte in einer Filiale des Elektrofachhändlers ein Haushaltsgerät. An der Warenausgabe gaben jedoch die Mitarbeiter die Ware samt der Kaufvertragsdokumente einem anderen Kunden, der sich vorgedrängelt hatte. Die Mitarbeiter von Saturn bemerkten ihren Fehler und der Kunde hatte sein Gerät und seine Unterlagen eine halbe Stunde später wieder in seinen Händen. Trotzdem verklagte der Kunde MediamarktSaturn (erfolglos) auf Schmerzensgeld.
Der EuGH führte in seinem Urteil unter andem aus:
[…] der bloße Verstoß gegen die Bestimmungen der DSGVO [reicht für sich genommen] nicht [aus], um auf dieser Grundlage einen Schadensersatzanspruch zu begründen […]
Gleichzeitig betonte aber der EuGH, dass die betroffene Person den Schaden zwar glaubhaft darlegen und begründen müsse, die Messlatte aber denkbar tief hinge. In Fortführung eines Urteils des EuGH aus dem Dezember 2023 führte er aus:
[…] der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 [ist] weit zu verstehen […], […] aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt [sich], dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann.
Konsequenzen für Arztpraxis, Physiopraxis oder Zahnarztpraxis?
Es ist damit zu rechnen, dass Praxen, egal ob Arztpraxis, Physiotherapie-Praxis oder Zahnarztpraxis, in Zukunft vermehrt Ziel von Schadenersatzklagen werden, wenn gegen den Datenschutz verstoßen wird. Aufgrund der hohen Sensitivität von Patientendaten wird ein klassicher Verstoß gegen den Datenschutz, wie er in einer Arztrpaxis, einer Physiotherapiepraxis oder Zahnarztpraxis vorkommt, also z.B.:
- Terminzettel dem falschen Patienten mitgegeben
- Heilmittelverordnungen, Patientenakten bei Hausbesuchen liegengelassen
- E-Mail im Patienteninformationen an den falschen Empfänger geschickt
- Akten offen liegen gelassen, so dass andere Patienten Einsicht nehmen konnten
- etc.
Schadenersatzansprüche auslösen. Hiergegen sollte jede Praxis gewappnet sein.
Praxis vor Schadenersatz wegen Datenschutzverletzung durch angemessen Datensicherheitsmaßnahmen schützen
Glücklicherweise gibt der EuGH in seinem Urteil aus dem Dezember 2023 selbst eine Antwort auf die Frage, wie sich eine Arztpraxis oder Physio-Praxis oder auch Zahnarztpraxis wirksam vor Schadenersatzforderungen schützt.
Der EuGH stellt nämlich klar, dass sich aus dem Befund der Verletzung des Schutzes personenbezogener Daten allein noch kein für den Schadenersatzanspruch erforderliches Verschulden ableiten lässt. Eine Praxis kann nämlich den Beweis dafür antreten, für ein situativ und dem Schutzbedürfnis der Daten angemessenes Datensicherheitsniveau Sorge getragen zu haben.
Mit einer checklistenhaften “Umsetzung” des Datenschutzes ist es hierfür aber gerade nicht getan. Die Datensicherheit beginnt nämlich bei der individuellen Schutzbedarfsanalyse, führt über die Abwägung der unterschiedlichen zu ergreifenden technischen und organisatorischen Maßnahmen und endet bei der Überprüfung/Auditierung selbiger. Dass dies alles sauber und ordentlich dokumentiert sein muss, ergibt sich bereits aus der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO), wird aber beim Schutz vor Schadenersatzklagen brandaktuell.
Fazit für Praxen
Ein weitestgehend wirksamer Schutz vor Schadenersatzforderungen ist in einer Praxis umsetzbar. Da Fehler immer passieren können und absolute Sicherheit nicht besteht, ist jede Arztpraxis oder Physiotherapie-Praxis oder Zahnarztpraxis gut beraten in Datenschutz und Datensicherheit zu investieren. Insbesondere die regelmäßige Schulung sämtlicher Mitarbeiter sollte inzwischen in jeder Praxis zum Pflichtprogramm gehören.
Datenschutzbeauftragter weiter Pflicht
Vorstoß der Union zur Abschaffung der Bestellpflicht abgeschmettert Mal wieder Diskussion über den Datenschutzbeauftragten... Seit über einem Jahr wird über eine Novellierung des Bundesdatenschutzgesetzes beraten. Dieses [...]
Pflicht zur TI Anbindung durch den Datenschutz?
Telematik Infrastruktur könnte durch die Hintertür zur Pflicht werden Viele Heilmittelpraxen, insbesondere Physiotherapiepraxen und Ergotherapiepraxen, fragen sich: Lohnt sich eine Anbindung an die TI - also [...]
Saturn gewinnt vor EuGH
Kein Schadenersatz im Datenschutz ohne Schaden Der Datenschutz bzw. das Datenschutzrecht gewährt Betroffenen umfassende Rechte, wie jeder Datenschutzbeauftragte von Praxen, einer Arztpraxis oder Physiotherapie-Praxis weiß, denn über [...]
