Sechs Monate nach dem Datenschutz-Hype – wie wird sich die Aufsichtsbehörde künftig verhalten?
Am 25. Mai 2018 ist die EU Datenschutz-Grundverordnung (DS-GVO) nach einer zweijährigen Übergangsfrist wirksam geworden. Sie hat für sehr viel Aufmerksamkeit und Aufregung in Deutschland gesorgt - auch unter den rheinland-pfälzischen PsychotherapeutInnen. Mittlerweile ist der Rauch verzogen und der Praxis-Alltag mit all seinen Herausforderungen droht das zwischenzeitliche Interesse an den Fragen des Datenschutzes wieder in den Hintergrund zu drängen. Welche Strategie verfolgt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) in seiner Funktion als die für die hiesigen PsychotherapeutInnen zuständige Aufsichtsbehörde, damit die Beachtung der rechtlich gebotenen Vorgaben nachhaltig sichergestellt wird und Datenschutz nicht als Strohfeuer in Erinnerung bleibt?
Ausgangspunkt hierfür ist der gesetzliche Auftrag des LfDI: einerseits die Anwendung der Grundverordnung zu überwachen und durchzusetzen, andererseits die Verantwortlichen und Auftragsverarbeiter für die ihnen aus der DS-GVO entstehenden Pflichten zu sensibilisieren. Daraus lässt sich eine klare Handlungsstrategie ableiten: zunächst die umfassende Beratung und Aufklärung der Praxen, anschließend die Überwachung der Anwendung sowie die Durchsetzung der Datenschutzregeln vor Ort.
Der LfDI ist in Rheinland-Pfalz gerade bei den ÄrztInnen und PsychotherapeutInnen schon frühzeitig seiner Sensibilisierungsaufgabe nachgekommen: seit Anfang 2018 hat die Behörde zusammen mit der Kassenärztlichen Vereinigung Rheinland-Pfalz und den an der Initiative „Mit Sicherheit gut behandelt“ beteiligten Heilberufskammern durch Informationsoffensiven, Beratungen und Veranstaltungen über die Neuerungen der Datenschutz-Grundverordnung verstärkt aufgeklärt. Insbesondere über die gemeinsame Website der Initiative (www.mit-sicherheit-gut-behandelt.de), die schon im Jahre 2014 aufgebaut und nun an das neue Datenschutzrecht angepasst wurde, konnten die für die Praxen zur Gewährleistung des Datenschutzes notwendigen Informationen umfassend und leicht erreichbar bereit gestellt werden. Abgerundet wurde das Informationsangebot zudem durch die diesjährige Beitragsreihe im rheinland-pfälzischen Ärzteblatt und in den Veröffentlichungsmedien der Landespsychotherapeutenkammer, in der einzelne Schwerpunkte aus der DS-GVO aufgegriffen und erläutert wurden. Nach den bisherigen Rückmeldungen sind diese Aktivitäten von den Praxisinhabern und deren Mitarbeitern als hilfreich und konstruktiv wahrgenommen worden.
Bis zum Ende des Jahres 2018 wird der LfDI diese Sensibilisierungsphase abgeschlossen haben und sich dann seiner weiteren Aufgabe, der Rechtsdurchsetzung, zuwenden. Dies soll allerdings nicht abrupt, sondern in einem gestuften Vorgehen erfolgen. In einem ersten Schritt wird der LfDI klären, ob die Praxen nach dem Wirksamwerden der DS-GVO und der in diesem Zusammenhang bereitgestellten Informationen und Unterstützungen von sich heraus ein nachhaltiges Datenschutzmanagement gewährleisten. Hierzu gibt es verschiedene Wege: z.B. durch Umfragen mittels Fragebogenaktionen oder durch die Anforderung von Datenschutzkonzepten. Mögliche Anhaltspunkte für den aktuellen Umsetzungsstand in den Praxen können z.B. das Vorliegen des Verzeichnisses von Verarbeitungsvorgängen (Art. 30 DS-GVO), die Bereitstellung von Patienten-Informationen (Art. 13/14 DS-GVO), die Vorkehrungen für eine angemessene Sicherheit der Datenverarbeitung (Art. 32 ff. DS-GVO) oder die Gestaltung des internen Datenschutz-Managements (Art. 24 und 37 ff. DS-GVO) betreffen.
Auf der Basis der daraus gewonnen Informationen und Erkenntnisse wird der LfDI dann sein weiteres Vorgehen ausrichten. Auf jeden Fall wird es nach der Auswertung der Befragungen bzw. der vorgelegten Datenschutzkonzepte zu stichprobenweisen oder anlassbezogenen Vor-Ort-Kontrollen kommen, in denen der Umsetzungsgrad in einzelnen Praxen präzise bewertet wird. Dabei stehen dem LfDI sämtliche der in der DS-GVO übertragenen Befugnisse, insbesondere auch die Verhängung von Bußgeldern, zur Verfügung. Maßgeblich ist in diesem Zusammenhang allerdings nicht allein das Vorliegen einzelner Defizite, sondern vielmehr das in der Praxis herrschende Datenschutzbewusstsein sowie der Umgang der Praxisinhaber mit den von ihnen zu erfüllenden datenschutzrechtlichen Vorgaben. Ist ein konkretes Bemühen zu erkennen, den Anforderungen des Datenschutzes und der sich daraus ergebenden Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) als Verantwortlicher zu entsprechen, wird dies sicherlich seitens der Datenschutzaufsicht bei einer Sanktionierung einzelner Datenschutzverstöße honoriert werden.
Der LfDI Rheinland-Pfalz steht auch künftig mit den anderen Kooperationspartnern der Initiative „Mit Sicherheit gut behandelt“ den Praxisinhabern beratend zur Seite.
Autor: Michael Heusel-Weiss, LfDI Rheinland-Pfalz(Text leicht bearbeitet durch die LPK RLP)
Ausgangspunkt hierfür ist der gesetzliche Auftrag des LfDI: einerseits die Anwendung der Grundverordnung zu überwachen und durchzusetzen, andererseits die Verantwortlichen und Auftragsverarbeiter für die ihnen aus der DS-GVO entstehenden Pflichten zu sensibilisieren. Daraus lässt sich eine klare Handlungsstrategie ableiten: zunächst die umfassende Beratung und Aufklärung der Praxen, anschließend die Überwachung der Anwendung sowie die Durchsetzung der Datenschutzregeln vor Ort.
Der LfDI ist in Rheinland-Pfalz gerade bei den ÄrztInnen und PsychotherapeutInnen schon frühzeitig seiner Sensibilisierungsaufgabe nachgekommen: seit Anfang 2018 hat die Behörde zusammen mit der Kassenärztlichen Vereinigung Rheinland-Pfalz und den an der Initiative „Mit Sicherheit gut behandelt“ beteiligten Heilberufskammern durch Informationsoffensiven, Beratungen und Veranstaltungen über die Neuerungen der Datenschutz-Grundverordnung verstärkt aufgeklärt. Insbesondere über die gemeinsame Website der Initiative (www.mit-sicherheit-gut-behandelt.de), die schon im Jahre 2014 aufgebaut und nun an das neue Datenschutzrecht angepasst wurde, konnten die für die Praxen zur Gewährleistung des Datenschutzes notwendigen Informationen umfassend und leicht erreichbar bereit gestellt werden. Abgerundet wurde das Informationsangebot zudem durch die diesjährige Beitragsreihe im rheinland-pfälzischen Ärzteblatt und in den Veröffentlichungsmedien der Landespsychotherapeutenkammer, in der einzelne Schwerpunkte aus der DS-GVO aufgegriffen und erläutert wurden. Nach den bisherigen Rückmeldungen sind diese Aktivitäten von den Praxisinhabern und deren Mitarbeitern als hilfreich und konstruktiv wahrgenommen worden.
Bis zum Ende des Jahres 2018 wird der LfDI diese Sensibilisierungsphase abgeschlossen haben und sich dann seiner weiteren Aufgabe, der Rechtsdurchsetzung, zuwenden. Dies soll allerdings nicht abrupt, sondern in einem gestuften Vorgehen erfolgen. In einem ersten Schritt wird der LfDI klären, ob die Praxen nach dem Wirksamwerden der DS-GVO und der in diesem Zusammenhang bereitgestellten Informationen und Unterstützungen von sich heraus ein nachhaltiges Datenschutzmanagement gewährleisten. Hierzu gibt es verschiedene Wege: z.B. durch Umfragen mittels Fragebogenaktionen oder durch die Anforderung von Datenschutzkonzepten. Mögliche Anhaltspunkte für den aktuellen Umsetzungsstand in den Praxen können z.B. das Vorliegen des Verzeichnisses von Verarbeitungsvorgängen (Art. 30 DS-GVO), die Bereitstellung von Patienten-Informationen (Art. 13/14 DS-GVO), die Vorkehrungen für eine angemessene Sicherheit der Datenverarbeitung (Art. 32 ff. DS-GVO) oder die Gestaltung des internen Datenschutz-Managements (Art. 24 und 37 ff. DS-GVO) betreffen.
Auf der Basis der daraus gewonnen Informationen und Erkenntnisse wird der LfDI dann sein weiteres Vorgehen ausrichten. Auf jeden Fall wird es nach der Auswertung der Befragungen bzw. der vorgelegten Datenschutzkonzepte zu stichprobenweisen oder anlassbezogenen Vor-Ort-Kontrollen kommen, in denen der Umsetzungsgrad in einzelnen Praxen präzise bewertet wird. Dabei stehen dem LfDI sämtliche der in der DS-GVO übertragenen Befugnisse, insbesondere auch die Verhängung von Bußgeldern, zur Verfügung. Maßgeblich ist in diesem Zusammenhang allerdings nicht allein das Vorliegen einzelner Defizite, sondern vielmehr das in der Praxis herrschende Datenschutzbewusstsein sowie der Umgang der Praxisinhaber mit den von ihnen zu erfüllenden datenschutzrechtlichen Vorgaben. Ist ein konkretes Bemühen zu erkennen, den Anforderungen des Datenschutzes und der sich daraus ergebenden Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) als Verantwortlicher zu entsprechen, wird dies sicherlich seitens der Datenschutzaufsicht bei einer Sanktionierung einzelner Datenschutzverstöße honoriert werden.
Der LfDI Rheinland-Pfalz steht auch künftig mit den anderen Kooperationspartnern der Initiative „Mit Sicherheit gut behandelt“ den Praxisinhabern beratend zur Seite.
Autor: Michael Heusel-Weiss, LfDI Rheinland-Pfalz(Text leicht bearbeitet durch die LPK RLP)
08.11.2018