Datenschutz nervt? Für Managementgesellschaften im Gesundheitswesen ist er überlebenswichtig

… gesagt ist noch lange nicht gehört. Gehört ist noch lange nicht verstanden. Verstanden ist noch lange nicht einverstanden. Einverstanden heißt noch lange nicht angewendet… Dieser sinngemäße Auszug aus dem berühmten Zitat des Nobelpreisträgers Konrad Lorenz könnte angesichts des heiß diskutierten Themas EU DSGVO sowie der kommenden ePrivacy-Verordnung momentan aktueller nicht sein. Viele Anbieter des Gesundheitswesens haben die Umsetzung des neuen Regel-Konvoluts bisher ganz einfach verschlafen!

Schlimmer: Viele wollen bis heute noch nicht einmal etwas darüber gehört haben. Trotzdem tritt das EU Gesetz am 25. Mai nach einer zweijährigen Übergangszeit in Kraft. Vor allem eine Gruppe sieht Dr. Frank Schifferdecker-Hoch, TÜV-zertifizierter Datenschutzbeauftragter mit Fokus auf die Gesundheitsbranche, extrem gefährdet: Managementgesellschaften im Gesundheitswesen.

Managementgesellschaften haften

Diese Zielgruppe ist seines Erachtens nicht ausreichend auf die neue Gesetzessammlung vorbereitet. Nach Artikel 26 der EU DSGVO sind die eigentlichen Leistungserbringer, d.h. Therapeuten, Praxen etc., nun gemeinsam mit Managementgesellschaften und Kostenträgern für den Datenschutz verantwortlich. Und hier beginnt das Problem: In der Regel haben medizinische Leistungserbringer keine der sonstigen Vorgaben der EU DSGVO umgesetzt. Sie haben weder ein Datenschutzmanagementsystem nach Art 24 DSGVO, noch eine Übersicht der eigenen Auftragsverarbeiter (nach Art 28, ABS. 3 DSGVO), noch eine Liste der Verarbeitungsprozesse (nach Art 30 der EU DSGVO) angelegt. "Sie haben sicherlich auch keine Anpassung der Betroffenenrechte nach Art 13 und 14 vorgenommen und die Verschlüsselung der eigenen Praxis-Website ist für sie vielfach ein Fremdwort aus einem fernen Nerd-Universum", meint der Experte und Geschäftsführer der FPZ Data Protection. Diese Tochterfirma des FPZs hat es sich zur Aufgabe gemacht, andere Unternehmen und Anbieter des Gesundheitswesens bei der Einrichtung eines eigenen Datenschutzsystems zu unterstützen. Denn laut dem Experten ließe sich die oben erwähnte Liste mit relevanten Punkten noch unendlich fortsetzen.

Kostenträger fein raus

Wie auch immer, fällt in einer Praxis ein Datenschutzverstoß an, so ist es das eigene unternehmerische Risiko des Praxisinhabers. In der Zusammenarbeit mit Managementgesellschaft und Kostenträgern jedoch gilt die gemeinsame Verantwortung. Das damit verbundene Risiko trifft in allererster Linie aber die Managementgesellschaft als direkten Vertragspartner des Leistungserbringers. Warum? „Die Kostenträger sind diesbezüglich ganz entspannt", so der Experte, „denn seit Mitte 2017 gibt es für sie eine abweichende Regelung zur Haftung bei Datenschutzverstößen. Danach sind Körperschaften von den durch die EU verhängten Geldbußen befreit worden. Vermutlich wusste der Staat da bereits, dass die Körperschaften auf diese Regelung nicht vorbereitet sein werden. Ob es sich hier um eine Wettbewerbsverzerrung mit der Privatwirtschaft handelt, müssen die Gerichte entscheiden."

Einfache Lösung

Schifferdecker-Hoch zählt mit seinen Firmen selbst zu den Vorzeige-Umsetzern des europäischen Datenschutzes im Gesundheitswesen. Er empfiehlt Managementgesellschaften, die noch keine entsprechenden Maßnahmen durchgeführt haben, die Nutzung des Datenschutzportals www.dr-datenschutz.online. Die Portallösung gibt zu einem überschaubaren Festpreis jedem Angehörigen der Branche die Möglichkeit, auch nach Ablauf der EU DSGVO Frist die Verordnung optimal umzusetzen und damit künftig datenschutzkonform arbeiten zu können.