Sehr geehrte Damen und Herren,
nach gut zwei Monaten verfügen wir über erste Erfahrungen mit den Datenschutzbehörden und dem neuen Gesetz. Ursprünglich wollte ich Ihnen heute über Neuerungen im Zulassungsrecht berichten, die insbesondere für die Pathologen sehr wichtig sind. Leider beherrscht aber immer noch das Datenschutzthema die Diskussion und die Hilferufe der Praxen nehmen kein Ende. Meinen Bericht über das Zulassungsrecht vertage ich deshalb über die Sommerferien.
Zum Datenschutz folgendes:
1.
Die erwartete Abmahnwelle hat (noch) nicht eingesetzt. Die bundesweit bekannten Abmahnkanzleien, die sich einen „Mandanten“, z.B. einen arbeitslosen Kondomhändler, suchen und dann flächendeckend Firmen anschreiben, um Anwaltsgebühren zu generieren, sind natürlich nach Inkrafttreten der DSGVO erwartungsgemäß aktiv geworden. Derzeit laufen aber nur wenige Fälle, weil diese Abmahnkanzleien offenbar erst einmal ausprobieren, mit welchen angeblichen Verstößen sie sich gerichtlich durchsetzen können. Dabei ist festzustellen, daß weniger inhaltlich an Internet-Auftritten Anstoß genommen wird als vielmehr formelle Versäumnisse in Datenschutzerklärungen angegriffen werden. Einige Beispiele:
Interessanterweise haben sich den Abmahnanwälten gegenüber in gleicher Weise „Anti-Abmahn-Anwälte“ aufgestellt, die teilweise zu Dumpingpreisen, teilweise mit Mandatsbedingungen, die Erfolgshonoraren ähneln, angeblich narrensichere Musterverteidigungen gegen diese Abmahnungen liefern. Hier trifft sich die Crème de la Crème der deutschen Anwaltschaft in einem Wettbewerb der Widerwärtigkeit.
Die Rechtslage hinsichtlich dieses Abmahnunwesens ist unklar bzw. gar nicht existent. Bindende Rechtsprechung zur DSGVO ist nicht vor Ablauf von drei Jahren zu erwarten. Es lohnt sich also, gegen Abmahnungen vorzugehen und nicht etwa aufgrund irgendwelcher Einschüchterungen von Anwaltsseite einfach zu zahlen.
2.
Die Landesdatenschutzbeauftragten verzeichnen bereits erhebliche Eingänge nicht nur von Anfragen zur Rechtslage, sondern auch von Anzeigen. ich selbst habe am Tag des Inkrafttretens einmal die Webseiten der Parteien angesehen, die uns dieses politisch-bürokratische Monster beschert haben und bin mit Leichtigkeit fündig geworden. Ich habe dann mehrere Parteien bei der Landesdatenschutzbeauftragten Nordrhein-Westfalen angezeigt. Diese hat bereits erklärt, den Anzeigen nachgehen zu wollen. Die Rache des kleinen Mannes ist manchmal auch süß.
3.
Für die Pathologen kristallisiert sich eine ganz bestimmte Rechtsfrage als vordringlich heraus: Es geht um die Frage, ob Pathologen für ihre Einsender Auftragsverarbeitung wahrnehmen und somit mit diesen einen Auftragsverarbeitungsvertrag schließen müssen. Hier ist die Diskussion leider von Arztseite aus angestoßen worden durch eine entsprechende Anfrage bei der Landesdatenschutzbeauftragten in Nordrhein-Westfalen. Die Anfrage bezog sich auf den laborärztlichen Bereich. Die Antwort lautete kurz und knackig, daß im laborärztlichen Bereich Auftragsverarbeitung stattfindet. Offenbar ging man dort davon aus, daß es sich bei Laborärzten um eine Art Subunternehmer von Klinikern handelt und nicht um Ärzte mit einer eigenen und selbständigen fachärztliche Tätigkeit. Leider hat dann die Kassenärztliche Vereinigung Nordrhein diese Auskunft kritiklos übernommen. Die Diskussion wird zusätzlich befeuert durch einen von einem ärztlichen Berufsverband beauftragten Anwalt, der aus rein berufsrechtlicher Sicht ein Gutachten dazu geschrieben hat, in dem datenschutzrechtliche Erwägungen überhaupt nicht vorkommen, und der ohne Not sämtliche Datenschutzbeauftragte der Länder anschreibt, um seine Rechtsauffassung, es handele sich um Auftragsverarbeitung, überprüfen zu lassen.
Zum Glück hat sich hiergegen Widerstand geregt, und zwar von hoher und höchster Stelle. Neben dem Bundesverband Deutscher Pathologen haben sich mittlerweile auch das Bundesgesundheitsministerium, der Hartmannbund, der Spitzenverband Fachärzte Deutschlands e.V. und die Kassenärztliche Bundesvereinigung eindeutig dazu positioniert, daß keine Auftragsverwaltung vorliegt. Ich zitiere aus einem Schreiben der Kassenärztlichen Bundesvereinigung an die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen:
„… kommen wir zu dem Ergebnis, daß die Überweisung an einen Laborarzt keines Auftragsverarbeitungsvertrages bedarf, da hierfür die in Art. 9 Abs. 2 h) DSGVO iVm. § 22 Abs. 1 Nr. 1 b) BGSG geschaffene Rechtsgrundlage Anwendung findet. Danach ist eine Datenverarbeitung dann zulässig, wenn sie für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheitsbereich erforderlich ist und diese Daten von ärztlichem Personal verarbeitet werden. Eine Auftragsverarbeitung würde auch dem Berufsbild eines Laborarztes nicht entsprechen. Nach absolviertem Medizinstudium benötigt ein Arzt eine Weiterbildungszeit von fünf Jahren, um sich Facharzt für Laboratoriumsmedizin zu nennen. Das wäre für eine lediglich weisungsabhängige Tätigkeit völlig unangemessen. Daher verarbeitet der Laborarzt die Daten, die er von einem überweisenden Arzt erhält, in eigenem Interesse. Eine Auftragsverarbeitung liegt demnach nicht vor.“
Das vollständige Schreiben kann bei mir angefordert werden.
Somit stehen die bundesrechtlich organisierten Verbände eindeutig der nordrheinischen bzw. nordrhein-westfälischen Auffassung ablehnend gegenüber. Es handelt sich – wieder einmal – um eine typisch nordrheinische Rechtsauffassung, die aus einer dort vorhandenen dirigistischen und autoritären Grundhaltung der Verwaltung resultiert.
4.
Nahezu sämtliche Steuerberaterkammern haben sich so positioniert, daß Lohnbuchhaltung durch Steuerberater keine Auftragsverarbeitung sei und auch entsprechend keine Auftragsverarbeitungsverträge zu schließen seien. Ich halte das für falsch, rechtlich nicht zu begründen und offenbar geprägt durch Standesdünkel. Gleichwohl kann man die Auffassung vertreten, daß zumindest ein unvermeidbarer Verbotsirrtum vorliegt, wenn öffentlich-rechtliche Körperschaften das so empfehlen und man dieser Empfehlung folgt. Wer ganz sicher gehen will, schließt einen Auftragsverarbeitungsvertrag mit seinem Steuerberater.
5.
Vereinzelt wird von Einsendern behauptet, der Einsender müsse neuerdings von jedem einzelnen Patienten eine gesonderte Zustimmung haben, um Befunde an die Pathologie weiterzugeben. Das ist blanker Unsinn! Das Einverständnis des Patienten in eine ärztliche Behandlung umfaßt nicht nur die Behandlung selbst, sondern auch sämtliche dazu erforderliche Diagnostik. Beauftragt dementsprechend der behandelnde Arzt als Stellvertreter des Patienten einen Radiologen, Laborarzt oder Pathologen, ist hierfür keine gesonderte Einverständniserklärung mehr erforderlich, erst recht keine schriftliche. Vielleicht muß man ab und zu allen Beteiligten klar machen, daß die Medizin arbeitsfähig bleiben muß.
6.
Noch ein Wort zum Verhalten einiger externer Datenschutzbeauftragter: Wenn Sie bestimmte Unterlagen, etwa Vereinbarungen zur Auftragsverarbeitung, benötigen, ist dies natürlich das Kerngeschäft auch externer Datenschutzbeauftragter. Diese haben Ihnen solche Unterlagen zu liefern. Es ist als externer Datenschutzbeauftragter nicht damit getan, ein paar Anleitungen zu liefern und einmal die Homepage zu überprüfen und anschließend monatlich die Hand aufzuhalten. Insoweit sollte vielleicht jeder noch einmal überprüfen, ob er von seinem Datenschutzbeauftragten gut vertreten ist.
Wie Sie sehen, bleibt das Thema Datenschutz spannend. Ich halte Sie auch zukünftig bei wesentlichen Änderungen auf dem Laufenden.
In Ausgabe 15 werde ich voraussichtlich über die Neuordnung der Bedarfsplanung für die Pathologie berichten.
Mit freundlichen Grüßen
Renzelmann, RA
(Unter Mitarbeit von Frau Dipl. Jur. F. Gerling, Wuppertal)