Datenschutz in Arztpraxen (immer wieder ärgerlich)

Es ist 10:00 Uhr an einem Montagmorgen, im Empfangsbereich einer Hausarztpraxis wird ein Anruf von der zuständigen MFA entgegengenommen. Die im angrenzenden Warteraum befindlichen Patienten werden sodann Zeugen des folgenden Gesprächs:

MFA: „Schönen Guten Tag, wie kann ich Ihnen helfen?

Anruferin: *unverständlich*

MFA: „Ach, Frau Meier, schön, dass Sie anrufen. Wie geht es Ihnen denn? Einen kleinen Moment bitte, ich schaue in Ihre Akte.“

Anruferin: *unverständlich*

MFA: „Ja, dass verstehe ich. Eine Psoriasis kann sehr unangenehm sein.“

Anruferin: *unverständlich*

MFA: „Natürlich können wir ein Rezept für das entsprechende Medikament vorbereiten. Zum Datenabgleich benötigen wir noch Ihr Geburtsdatum und Ihre Adresse.“

Anruferin: *unverständlich*

MFA: „Ah ja, der 10. Januar 1960. Sie wohnen nach wie vor in der Müllergasse 10?“

Anruferin: *unverständlich*

MFA: „Sehr schön. Wie geht es denn Ihrem werten Gatten?“

Anruferin: …

Den Rest des Gespräches ersparen wir Ihnen.

A. Gesetzliche Rahmenbedingungen

Arztpraxen verarbeiten täglich eine Vielzahl sensibler Informationen, wobei die Datenschutz-Grundverordnung (DSGVO) hohe Anforderungen an den Schutz dieser Daten stellt. Die DSGVO gilt hierbei für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Der Zentralbegriff des Datenschutzrechtes – die „personenbezogenen Daten“ – wird definiert als jede Information, die sich auf eine bestimmte oder bestimmbare natürliche Person bezieht.

Gemäß Art. 9 DSGVO zählen Gesundheitsdaten zu den besonders schutzwürdigen Kategorien personenbezogener Daten. Hierunter fallen beispielsweise Informationen über die körperliche und geistige Gesundheit der Patienten, Diagnosen, Behandlungen, Laborergebnisse und vieles mehr. Die Verarbeitung dieser Daten ist nur unter strengen Voraussetzungen zulässig, wobei sich in Arztpraxen eine entsprechende Rechtfertigung der Verarbeitung in der Regel aus der Einwilligung des Patienten ergibt bzw. dies z.B. im Rahmen der Versorgung oder Behandlung erforderlich oder zum Schutz lebenswichtiger Interessen der betroffenen Person notwendig ist.

 „Verarbeitung“ meint „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

B. Auswirkungen

Was bedeuten die obigen Ausführungen nun für das Eingangs dargestellte Telefonat?

I. Personenbezogene Daten

Bei den im Rahmen des Gesprächs den weiteren in der Praxis befindlichen Personen bekanntgewordenen Informationen handelt es sich neben „normalen“ personenbezogene Daten (Name, Adresse und Geburtsdatum) auch um solche, welche einem besonderen Schutz unterliegen. Hierbei handelt es sich zum einen um Gesundheitsdaten, zum anderen aber auch um Daten zur sexuellen Orientierung aufgrund der Frage nach dem „werten Gatten“.

II. Verarbeitungsvorgang

Vorliegend kommt eine Verarbeitung der zuvor genannten personenbezogenen Daten durch Offenlegung in Betracht. „Offenlegung“ bezeichnet den Vorgang, Dritten Kenntnis oder die Möglichkeit der Kenntnisnahme zu verschaffen, wodurch sich die Zahl derjenigen Stellen, die Kenntnis von den Daten haben, ggf. vervielfacht, worin auch die spezifische Gefahr der Offenlegung liegt.[1] Eine Offenlegung kann mittels Übermittlung, Verbreitung oder einer anderen Form der Bereitstellung geschehen und es kommt nicht darauf an, ob die Daten mündlich weitergegeben werden oder ob dies beispielsweise in Form eines Briefes, einer E-Mail oder einer Veröffentlichung in einem Internet-Forum erfolgt.[2] Unerheblich ist zudem, ob der Adressat oder jemand anders tatsächlich Kenntnis genommen hat.[3]

1. Eröffnung des Anwendungsbereichs der DSGVO

Zu beachten ist jedoch, dass die Offenlegung an ein Dateisystem gebunden sein muss, damit der Anwendungsbereich der DSGVO eröffnet ist.[4]

Die vorliegend zur Offenlegung genutzte Form der mündlichen Übermittlung ist eine nicht automatisierte Verarbeitung von Daten, da Sie nicht unmittelbar mittels eines Dateisystems, also einer „strukturierte[n] Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist […]“ (Art. 4 Nr. 6 DSGVO) durchgeführt wird, sondern sich in Form von Denk- und Sprechprozessen bei den beteiligten Parteien abspielt. Diese Form der Verarbeitung fällt lediglich dann unter die Normen der DSGVO, soweit die offengelegten Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.[5]

Insofern muss bei den, den Personen im Warteraum bekanntgewordenen, Informationen hinsichtlich der Herkunft der Daten unterschieden werden.

a. Name

Wenngleich der Name der Patientin Frau Meier in der Patientenakte vermerkt sein dürfte, entstammte dieser zum Zeitpunkt der Offenlegung unmittelbar dem Gespräch und eben nicht einem Dateisystem, sodass dessen Preisgabe nicht dem Anwendungsbereich der DSGVO unterliegt.

b. Gesundheitsdaten

Die Angaben zur Diagnose der Frau Müller wurde von der MFA der Patientenakten entnommen. Mithin ist hinsichtlich dieses Datums der Anwendungsbereich der DSGVO eröffnet.

c. Geburtsdatum und Anschrift

Auch die Angaben zum Geburtsdatum und der Anschrift der Frau Müller wurden dem Dateisystem entnommen, sodass auch hier der Anwendungsbereich der DSGVO eröffnet ist.

d. Sexuelle Orientierung

Die Angaben zur sexuellen Orientierung der Frau Müller entstammen höchstwahrscheinlich nicht der Patientenakte, sondern dem Gedächtnis der MFA, sodass diesbezüglich der Anwendungsbereich der DSGVO nicht eröffnet ist.

2. Verarbeitung

Sowohl die Gesundheitsdaten also auch das Geburtsdatum und die Anschrift wurden gegenüber Dritten, den wartenden Patienten, offenbart, sodass eine Verarbeitung im Sinne der DSGVO vorliegt.

3. Rechtfertigung

Gründe, welche diese Verarbeitung rechtfertigen könnten, sind nicht ersichtlich. Insbesondere dürfte keine Einwilligung (Art. 6 I a DSGVO bzw. Art. 9 II a DSGVO) der betroffenen Personen hinsichtlich der Offenlegung Ihrer Daten gegenüber anderen Patienten vorliegen.

4. Ergebnis

Somit erfolgt im Falle des Geburtsdatums und der Anschrift die Verarbeitung durch die MFA nicht rechtmäßig und im Falle der Gesundheitsdaten eine Missachtung des Verbots der Verarbeitung, sodass ein Verstoße

III. Folgen

Die unrechtmäßige Verarbeitung von personenbezogenen Daten (Art. 6 DSGVO) oder ein Verstoß gegen die Pflichten bei Verarbeitung von besonderen personenbezogenen Daten (Art. 9 DSGVO), mithin auch die unberechtigte Offenlegung wie zuvor geschildert, kann ein Bußgeld von bis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr nach sich ziehen (Art. 83 V DSGVO).

Die genaue Höhe der Geldbuße hängt von verschiedenen Faktoren ab, wie z.B. der Art und Schwere des Verstoßes, der Anzahl der betroffenen Personen, dem Grad des Verschuldens und den getroffenen Maßnahmen zur Schadensbegrenzung.

Es ist jedoch wichtig zu beachten, dass die in Artikel 83 genannten Beträge Höchstgrenzen darstellen.

So wurde beispielsweise gegen ein Krankenhaus ein Bußgeld in Höhe von EUR 400.000,00 verhängt, da insbesondere zu viele Mitarbeiter/innen Zugriff auf zu viele Patientendaten hatten und das Berechtigungskonzept mangelhaft war.

In einem anderen Fall wurde ein Bußgeld in Höhe von EUR 20.000,00 gegen einen Arzt verhängt, welcher im Zuge der Corona-Pandemie Rezepte in einem Behälter an der Außenwand seiner Praxis hinterlassen hatte, sodass diese vollkommen ungeschützt für jedermann zugänglich waren.

IV. Maßnahmen

Anhang dieses kleinen Beispiels lässt sich erkennen, dass bereits ein einfaches Telefonat unangenehme finanzielle Folgen für Arztpraxen haben und auch deren Reputation nachhaltig schädigen kann. Aus diesem Grund ist ein durchdachtes Datenschutzkonzept und auch die Schulung der Mitarbeiter unabdingbar, um den Anforderungen der DSGVO gerecht zu werden.

PRO-Tipp: Praxisgemeinschaft oder MVZ? Dann muss ggf. ein Datenschutzbeauftragter bestellt werden. Infos hierzu -> https://dsgvo-anwalt.eu/dsvgo-guide-fuer-arztpraxen-und-praxisgemeinschaften/


[1] Reimer in Sydow/Marsch, DS-GVO, 3. Aufl., Art. 4 Rn. 68.

[2] Ernst in Paal/Pauly, DS-GVO, 3. Aufl., Art. 4 Rn. 30.

[3] Ebd.

[4] 13. Tätigkeitsbericht des BayLDA 2023, S. 39.

[5] Gola in Gola/Heckmann, DS-GVO, 3. Aufl., Art. 2 Rn. 11.

Was bedeutet die KI-Verordnung für Unternehmen?

Am 21. Mai 2024 wurde die KI-Verordnung (AI Act) von der EU offiziell verabschiedet. Diese Verordnung ist das erste umfassende Gesetz weltweit zur Regulierung von Künstlicher Intelligenz. Sie soll einheitliche Vorgaben für die Entwicklung und Nutzung von KI in der EU schaffen. Doch was bedeutet das für Unternehmen, die KI-Systeme wie ChatGPT, Gemini oder Copilot nutzen?

Was bedeutet die KI-Verordnung für Unternehmen?

Wer ist betroffen? Die Verordnung gilt für Entwickler und Nutzer von KI-Systemen, also für Unternehmen, die KI erstellen und solche, die KI verwenden.

Risikobasierter Ansatz: Die Verordnung bewertet KI-Systeme nach ihrem Risiko für Sicherheit, Gesundheit und Grundrechte von Menschen. Dabei werden vier Risikostufen unterschieden, die unterschiedliche Anforderungen an die Unternehmen stellen:

  1. Unannehmbare Risiken:
    • Praktiken, die als unannehmbar eingestuft werden, sind strikt verboten. Dazu gehört beispielsweise Social Scoring, bei dem das Verhalten von Menschen bewertet und klassifiziert wird. Solche Praktiken werden als unvereinbar mit den Grundrechten angesehen und sind daher nicht erlaubt.
  2. Hochrisiko-KI-Systeme:
    • Diese Systeme haben das Potenzial, erhebliche Auswirkungen auf die Sicherheit, Gesundheit oder Grundrechte von Personen zu haben. Beispiele hierfür sind KI-Systeme zur biometrischen Identifizierung oder zur Entscheidungsfindung im Personalmanagement. Für diese Systeme gelten strenge Compliance-Maßnahmen:
      • Risikobewertung: Vor der Einführung muss eine gründliche Risikobewertung durchgeführt werden, um potenzielle Gefahren zu identifizieren und zu minimieren.
      • Daten-Governance: Es müssen Maßnahmen zur Gewährleistung der Datenqualität und -integrität getroffen werden, um Verzerrungen (Bias) zu vermeiden und repräsentative Ergebnisse zu sichern.
      • Technische Dokumentation: Es muss umfassende technische Dokumentation erstellt werden, die den Zweck und die ordnungsgemäße Verwendung des KI-Systems beschreibt.
      • Menschliche Aufsicht: Die Systeme müssen so gestaltet sein, dass eine menschliche Aufsicht gewährleistet ist, um bei Fehlfunktionen oder unerwarteten Ergebnissen eingreifen zu können.
  3. General-Purpose KI:
    • Diese Kategorie umfasst große, vielseitig einsetzbare KI-Modelle wie ChatGPT. Für diese Systeme gelten spezifische Transparenzpflichten:
      • Offenlegung: Unternehmen müssen offenlegen, wenn sie Inhalte verwenden, die von generativen KI-Systemen wie ChatGPT erstellt wurden.
      • Information der Betroffenen: Wenn KI-Systeme zur Emotionserkennung oder biometrischen Kategorisierung genutzt werden, müssen die betroffenen Personen darüber informiert werden.
  4. Allgemeine Pflichten:
    • Für alle anderen KI-Systeme gelten allgemeine Vorgaben, die sicherstellen sollen, dass die Systeme sicher und verantwortungsvoll genutzt werden:
      • Schulung und Kompetenz: Unternehmen müssen sicherstellen, dass ihre Mitarbeiter, die mit KI-Systemen arbeiten, ausreichend geschult sind und die Risiken sowie Nutzungsmöglichkeiten dieser Systeme verstehen.
      • Datenschutz und Cybersicherheit: Es müssen Maßnahmen ergriffen werden, um die Datensicherheit und den Schutz der Privatsphäre zu gewährleisten, insbesondere bei der Nutzung von KI-Systemen, die mit sensiblen Daten arbeiten.
      • Dokumentation: Es müssen technische Dokumentationen und Nutzungshinweise bereitgestellt werden, die den Zweck und die ordnungsgemäße Verwendung der KI-Systeme beschreiben.

Dieser risikobasierte Ansatz soll sicherstellen, dass KI-Systeme verantwortungsvoll eingesetzt werden und gleichzeitig Innovationen gefördert werden. Unternehmen sollten sich mit den spezifischen Anforderungen vertraut machen und ihre Systeme entsprechend klassifizieren und anpassen.

Open-Source-KI-Systeme: Diese sind im Regelfall von der Verordnung ausgenommen, es sei denn, sie fallen unter Hochrisiko-KI-Systeme oder verbotene Praktiken.

Übergangsfristen:

  • 6 Monate: Vorschriften über verbotene KI-Systeme treten in Kraft.
  • 24 Monate: Allgemeine Vorgaben, inklusive Transparenzpflichten für generative KI-Systeme.
  • 36 Monate: Pflichten für Hochrisiko-KI-Systeme.

Fazit: Unternehmen können weiterhin fortschrittliche KI-Systeme wie ChatGPT, Gemini oder Copilot nutzen. Die meisten Unternehmen müssen in Bezug auf ihre aktuelle Praxis wenig ändern. Es ist wichtig, dass Unternehmen sich gründlich informieren und sicherstellen, dass sie alle relevanten Regelungen einhalten, um rechtliche und finanzielle Risiken zu vermeiden.

Keine Angst! Die KI-Verordnung bringt neue Herausforderungen, aber auch Chancen. Unternehmen sollten die neuen Regeln als Möglichkeit sehen, ihre Prozesse sicherer und transparenter zu gestalten. Mit der richtigen Vorbereitung können Unternehmen die Vorteile von KI-Systemen weiterhin voll ausschöpfen, ohne rechtliche Risiken einzugehen. Für weitere Informationen oder Beratung stehen wir Ihnen gerne zur Verfügung.

DIE GENERAL PRODUCT SAFETY REGULATION

Allgemeines

Die Verordnung (EU) 2023/988 des Europäischen Parlaments und des Rates vom 10. Mai 2023 über die allgemeine Produktsicherheit (General Product Safety Regulation – „GPSR“) trat am 12.06.2023 in Kraft und gilt ab dem 13.12.2024. Die GPSR führt strengere Sicherheitsvorschriften für Produkte ein, die im stationären Handel oder im Online-Handel vertrieben werden, um die Sicherheit von Verbraucherprodukten zu gewährleisten und den Informationsaustausch über gefährliche Produkte zu verbessern und ersetzt die bisher geltende Richtlinien 2001/95/EG.

Unmittelbar betroffen sind alle in der EU tätige Wirtschaftsakteure, d.h. Hersteller, Bevollmächtigte, Einführer, Händler, Fulfilment-Dienstleister oder jede andere natürliche oder juristische Person, welche Pflichten im Zusammenhang mit der Herstellung von Produkten oder deren Bereitstellung auf dem Mark unterliegt (Art. 3 Nr. 13 GPSR). Zudem gilt die GPSR für Anbieter von Online-Marktplätzen, d.h. für Anbieter von Vermittlungsdiensten, welche es Verbrauchern unter Einsatz von Online-Schnittstellen ermöglichen, mit Unternehmern Fernabsatzverträge über den Verkauf von Produkten abzuschließen (Art. 3 Nr. 14 GPSR).

Bitte beachten Sie, dass nachfolgend lediglich die wichtigsten Pflichten dargestellt werden. Weiterführende Informationen sowie Vorgaben zu der entsprechenden Umsetzung finden Sie unter dem jeweiligen Artikel in der GPSR.

Weiterlesen

Digital Services Act und Digital Markets Act (Grundlagen)

Die Verordnung (EU) Nr. 2022/2065 der Europäischen Parlaments und des Rates über einen Binnenmarkt für digitale Dienste („Digital Services Act“, kurz „DSA“) und die Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates über bestreitbare und faire Märkte im digitalen Sektor („Digital Markets Act“, kurz „DMA“) bilden ein einheitliches Regelwerk, das in der gesamten EU gilt. Sie haben zwei Hauptziele:

  • Schaffung eines sichereren digitalen Raums, in dem die Grundrechte aller Nutzer digitaler Dienste geschützt werden;

  • Schaffung gleicher Wettbewerbsbedingungen für die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit sowohl im europäischen Binnenmarkt als auch weltweit.

Der DSA wird zum 16. Februar 2024 in der gesamten Europäischen Union unmittelbar anwendbar sein, während der DMA bereits seit dem 2. Mai 2023 gilt.

Weiterlesen