Datenschutzrecht definiert Sanktionen
Die Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der EU: Wenn Verantwortliche oder Auftragsverarbeiter gegen die Verordnung verstoßen, obliegen der zuständigen Aufsichtsbehörde verschiedene Befugnisse (Artikel 58 DSGVO). Unter anderem sind die Kontrollinstanzen zur Verwarnung und auch zur Geldbuße berechtigt. „Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“, heißt es in Artikel 83 DSGVO über die Verhängung von Geldbußen. Das zwar nachrangige, aber ebenso bei Datenschutzvorfällen potenziell greifende Bundesdatenschutzgesetz (BDSG neu) schreibt in § 42 sogar eine mögliche Freiheitsstrafe von bis zu drei Jahren fest.
Datenschutzverstöße immer häufiger geahndet
Im Januar 2020 bilanzierte das Handelsblatt, dass Datenschutzverstöße seit Geltung der DSGVO häufiger geahndet werden. So seien im Jahr 2019 auf Basis der Datenschutzgrundverordnung 185 Bußgelder in Deutschland verhängt worden. Die meisten Strafen für Datenschutzverstöße erfolgten im bevölkerungsreichsten Land Nordrhein-Westfalen. Darüber hinaus habe die DSGVO in Deutschland einen rasanten Anstieg von Beschwerden zur Folge gehabt.
Zudem müssen Unternehmen nach der seit Mai 2018 geltenden Rechtslage jede Datenschutzverletzung melden (Artikel 33 DSGVO). Seit dem Start des neuen Regelwerks seien laut Handelsblatt schon rund 21.000 Datenpannen mitgeteilt worden.
DSGVO-konform archivieren und entsorgen
Ärzte, medizinisches wie auch nicht-medizinisches Personal arbeiten tagtäglich mit Patienteninformationen. Deshalb sind gerade sie dazu verpflichtet, diese personenbezogenen Daten umfassend zu schützen – nach den Vorschriften der Datenschutzgrundverordnung (DSGVO). Vor allem Artikel 5 (Grundsätze für die Verarbeitung personenbezogener Daten), Artikel 9 (Verarbeitung besonderer Kategorien personenbezogener Daten), Artikel 17 (Recht auf Löschung, „Recht auf Vergessenwerden“) und Artikel 32 (Sicherheit der Verarbeitung) sollten den in medizinischen Einrichtungen arbeitenden Berufsgruppen bekannt sein.
Patientenakten und enthaltene Röntgenfilme sowie Datenträger sind nach DSGVO grundsätzlich sicher und geschützt vor unbefugtem Zugriff aufzubewahren. Zur Aufbewahrung gelten gesetzliche Fristen, die Artikel 9 Absatz 4 der DSGVO für zulässig erklärt. Wenn diese abgelaufen sind und es keinen rechtlichen Grund gibt, die Daten länger aufzuheben, müssen sie umgehend sicher und unwiederbringlich nach DIN SPEC 66399-3 / ISO/IEC 21964 vernichtet werden. Der Grundsatz der Speicherbegrenzung (Artikel 5) und das Recht auf Löschung (Artikel 17) sind in der DSGVO explizit benannt.
Nach Ablauf der gesetzlichen Aufbewahrungsfrist muss die datenschutzgerechte Entsorgung veranlasst werden. Mit beauftragten Entsorgungsunternehmen ist dann nach Artikel 28 DSGVO ein Datenschutzvertrag / Auftragsverarbeitungsvertrag (AV-Vertrag) zu schließen.
Ärzte, Eigentümer und Betreiber in der Pflicht
Verantwortlich für die ordnungsgemäße Aufbewahrung und Verwertung von Patientenakten, Befunden, Behandlungsplänen und auch Röntgenbildern sind gemäß Ärzte-Berufsordnung und Kreislaufwirtschaftsgesetz (KrWG) die Ärztin bzw. der Arzt, benannte Vertreter, Nachfolger oder Erben. Wenn die sensiblen Daten nach einer Praxisschließung niemand verwaltet, wie es vor einigen Jahren in einer kinderärztlichen Praxis in Siegen der Fall war, kann die jeweilige Landesärztekammer einspringen.
Bei insolventen Krankenhäusern sei die Frage der Verantwortung für die Patientendaten nicht so leicht zu klären, schreibt das Westfalen Blatt im Rahmen seiner Berichterstattung über den Datenschutzskandal in Büren. Es müsse geprüft werden, welche Regelungen zu den Akten im Insolvenzverfahren festgelegt wurden.