Nach einer Einführung zum Datenschutz in der ärztlichen Praxis von Schütz, der zentrale Begriffe, das Anliegen des Datenschutzes und die Besonderheiten des Datenschutzes für Ärzte herausstellt (Kap. 1), stellen Halbe/Ippach dar, für wen und wo die DS-GVO gilt, wie die EU-Verordnung durch die sog. „Öffnungsklauseln“ ihren Weg in das deutsche Regelungssystem findet und unter welchen Gesichtspunkten der Arzt für die Patientendatenverarbeitung verantwortlich ist (Kap. 2). Im Anschluss daran stellt Dochow die Grundprinzipien der Datenverarbeitung vor, die für das Verständnis des Datenschutzes von grundlegender Bedeutung sind (Kap. 3). Dazu gehört neben dem zentralen Zweckbindungsgrundsatz zum Beispiel das Verbot mit Erlaubnisvorbehalt, wonach die Verarbeitung von Gesundheitsdaten nur ausnahmsweise erlaubt ist. Viele in der europäischen und deutschen Rechtsordnung verstreute Regelungen gestatten die Datenverarbeitung in Behandlungskontexten. Dochow und Schröder bringen hier Licht in das dunkle Feld des hochkomplexen Gesundheitsdatenschutzrechts: Die allgemeinen rechtlichen Grundlagen der Verarbeitung von Gesundheitsdaten (Kap. 4.2) werden von Dochow ebenso beleuchtet wie die wichtigsten bereichsspezifischen Vorschriften (Kap. 4.3). Schröder stellt die speziellen Rechtsgrundlagen im vertragsärztlichen Bereich vor (Kap. 4.4) und Dochow befasst sich im Anschluss mit der Einwilligung und unterbreitet ein Muster für eine Einwilligungserklärung (Kap. 4.5). Ein Thema, das in jüngerer Vergangenheit für größere Verwirrung gesorgt hat, behandelt Schütz, wenn er sich der Auftragsverarbeitung zuwendet. Hier war die Reichweite diskutiert und fraglich geworden, welche Dienstleister nunmehr als Auftragsverarbeiter einzuordnen sind. Schütz verhält sich zu Besonderheiten in der ärztlichen Praxis ebenso wie zu den Pflichten und den vertraglichen Regelungen, welche berücksichtigt werden müssen, wenn Ärzte Auftragsverarbeiter heranziehen wollen (Kap. 5). Eine essentielle Grundpflicht im Bereich des Datenschutzes ist die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, weil diese Übersicht wichtiger Ausgangspunkt für die Erfüllung weiterer datenschutzrechtlicher Pflichten sein kann. Hübner legt dar, wie Ärzte oder Geschäftsführer in anderen Gesundheitseinrichtungen ein solches Verzeichnis anlegen sowie führen und sich damit zugleich ihrer Datenverarbeitungsprozesse bewusst werden können. Ein Muster des Bayrisches Landesamtes für Datenschutz und der Kassenärztlichen Bundesvereinigung (KBV) liefern praxisgerechte Vorlagen (Kap. 6). Eine neuartige Pflicht der DS-GVO scheint die Datenschutz-Folgenabschätzung zu sein. Dochow beleuchtet, um was es sich hierbei handelt, wann diese Risiko-Folgenabschätzung durchzuführen ist und benennt ihre Bedeutung vor allem für die Telemedizin. Am Ende des Kapitels stellt er eine Matrix zur Dokumentation der Datenschutz-Folgenabschätzung zur Verfügung (Kap. 7). Ein weniger neues, aber immerhin noch kontrovers diskutiertes Thema ist das zum betrieblichen Datenschutzbeauftragten. Dochow legt dar, wann eine Pflicht zur Benennung eines Datenschutzbeauftragten in der Arztpraxis besteht, welche Rechte und Stellung der Datenschutzbeauftragte hat, welche Qualifikation er haben muss und was zu seinen Aufgaben zählt . Ein Muster für eine Benennungsurkunde wird am Ende des Kapitels zur Verfügung gestellt (Kap. 8). Was der Arzt als Arbeitgeber aus Sicht des Datenschutzes zu beachten hat, behandeln Halbe/Schütz. Der Beschäftigtendatenschutz, namentlich Regelungen, welche die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses erlauben, und Betroffenenrechte der Beschäftigten sind Gegenstand dieses Kapitels (Kap. 9). Eine der wichtigsten Anliegen des europäischen Gesetzgebers mit der DS-GVO war die Stärkung der Betroffenenrechte. So soll vor allem die Transparenz bei der Datenverarbeitung erhöht werden, indem umfassende Informationspflichten bestehen und Patienten Auskunft über ihre Daten oder deren Löschung verlangen können. Die verschiedenen Betroffenenrechte von Patienten stellt Schröder vor (Kap. 10). Anschließend legt Dörfer die Grundzüge der ärztlichen Schweigepflicht dar, welche immer neben dem Datenschutz zu beachten sind. Gegenstand und Reichweite der Schweigepflicht sind ebenso Gegenstand des Kapitels wie Einschränkungen der Schweigepflicht z.B. durch die Schweigepflichtentbindung oder gesetzliche Offenbarungspflichten oder -befugnisse. Berücksichtigt wird auch die Neuregelung, welche es ermöglicht hat, dass Ärzte externe Personen oder Unternehmen zur Unterstützung des Praxisbetriebs einsetzen, ohne sich dabei wegen des Bruchs der Schweigepflicht strafbar zu machen (Kap. 11). Die Sicherheit der Verarbeitung und die praxisinterne Datenschutzrichtlinie sind Gegenstand des von Strüve behandelten Kapitels, in dem er die wichtigsten technisch-organisatorischen Maßnahmen zur Umsetzung der Datensicherheit in der ärztlichen Praxis darstellt. Unterbreitet wird unter anderem ein Muster für eine praxisinterne Datenschutzrichtlinie und für ein Verzeichnis der allgemeinen technisch-organisatorischen Maßnahmen (Kap. 12). Wenn dennoch etwas schiefgeht und es zu Datenschutzvorfällen, d.h. sog. Datenpannen kommt, muss schnell und richtig reagiert werden. Strüve stellt dar, wann ein Datenschutzvorfall vorliegt, welche Maßnahmen zu ergreifen sind und wie und bis wann eine Mitteilung an die datenschutzrechtliche Aufsichtsbehörde zu erfolgen hat. Ein Muster steht auch hierfür zur Verfügung. Wer seiner Pflicht zur Meldung einer Panne nachkommt, darf natürlich nicht strafrechtlich verfolgt werden. Daher werden auch Beweisverwertungsverbote thematisiert (Kap. 13). Damit das Datenschutzanliegen seine Wirksamkeit entfalten kann, bedarf es seiner Durchsetzung. Einer nicht länger bedeutungsarmen Seite des Datenschutzes wenden sich in diesem Zusammenhang Halbe/Ippach zu: Sie stellen die Sanktionsmaßnahmen nach der DS-GVO, wie Geldbußen und weitere aufsichtsbehördliche Abhilfemaßnahmen, vor. Im Fokus steht auch der Datenschutzverstoß durch Praxismitarbeiter oder einen externen Auftragsverarbeiter. Umfang und Grenzen der Sanktionsmöglichkeiten nach der DS-GVO werden ebenso betrachtet wie weitere aufsichtsbehördliche Abhilfemaßnahmen. Schließlich wenden sie sich auch der Thematik des Schadensersatzes und der Haftung zu (Kap. 14). Sanktionen und Haftung lassen sich auch durch einen guten Kontakt zu Aufsichtsbehörden vermeiden. Daher befasst sich Hübner im letzten Kapitel mit dem Umgang mit der Aufsichtsbehörde für Datenschutz, wobei deren Aufgabe zur Aufklärung und Beratung ebenso thematisiert wird wie deren Befugnisse gegenüber Ärzten. Dabei sind gerade bei Berufsgeheimnisträgern die betrachteten Beschränkungen der Befugnisse der Aufsichtsbehörde von Bedeutung, damit das Patienten-Arzt-Geheimnis ein solches bleibt (Kap. 15).weiterlesen