Über dreizehntausend Datensätze intimste Gesundheitsdaten deutscher Patient*innen sind im Internet öffentlich zugänglich – ein Skandal. Es bedarf nicht einmal illegaler Hacker, um sensibelste Daten einzusehen. Die Europäische Datenschutz-Grundverordnung schützt in Artikel 9 insbesondere Gesundheitsdaten sehr streng. Die Daten deutscher Patienten sind über einzelne Arztpraxen und ihre Speicherwege ins Netz gelangt. Kein Wunder. Die Aufsichtsbehörden haben in falscher Rücksichtnahme und auf Druck der Ärztelobby den Datenschutz für Ärzt*innen unverhältnismäßig gelockert. Privatunternehmen und Selbständige wie Steuerberater, die sensible Daten nach Artikel 9 verarbeiten, müssen nach DSGVO eine*n betriebliche*n Datenschutzbeauftragte*n bestellen. Nicht so Ärzt*innen, haben die Landesdatenschützer beschlossen. Falsche Rücksicht gegenüber der Ärztelobby rächt sich nun.
Seit die Europäische Datenschutz-Grundverordnung in Kraft getreten ist, sind auch kleine und mittlere Unternehmen gehalten, mit ihren Kundendaten besonders sorgfältig umzugehen. Besonders geschützt sind nach Artikel 9 DSGVO Daten über ethnische Herkunft, politische Meinung, Religion und Weltanschauung, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten, Daten zur Sexualität und sexuellen Orientierung. Daraus folgt, dass die Verarbeiter solcher Daten in der Regel ein Dateienverzeichnis anlegen, besondere technisch-organisatorische Maßnahmen treffen und eine*n betrieblichen oder externen Datenschutzbeauftragten bestellen müssen.
Die Ärzte, die besonders sensible Daten verarbeiten, wurden unverständlicherweise nach der Einführung der DSGVO laut Beschluss der Konferenz der Datenschutzbeauftragten 2018 von dieser Pflicht ausgenommen und dadurch privilegiert. Erst ab zehn Ärzten in einer Gemeinschaftspraxis müssen diese eine*n Datenschutzbeauftragte*n bestellen, obwohl für die von ihnen verarbeiteten Gesundheitsdaten eine besondere Sorgfaltspflicht gilt. Nicht nur seit der DSGVO, sondern schon zuvor galt zum Schutz des Patientengeheimnisses dessen Verletzung nach § 203 StGB als besonders strafbewehrt. Es ist völlig unverständlich, wieso angesichts der gebotenen Sorgfalt im Umgang mit diesen Daten solche Ausnahmen zugelassen worden sind.
Der aktuelle Datenskandal zeigt drastisch, wie umfangreich und gefährlich sich mangelnde Sorgfalt und Sachkenntnis im Umgang mit sensiblen Daten als konkrete Grundrechtsverletzung des Einzelnen und als gesellschaftlicher Vertrauensschaden auswirken kann. Ganz abgesehen von den drastischen Strafen, die die DSGVO für die verantwortlichen Verursacher solcher Datenskandale vorsieht. Es muss also in erster Konsequenz darum gehen, die Ausnahmen, wie sie die Übereinkunft der Datensuchtz-Aufsichtsbehörden von 2018 ermöglicht, außer Kraft zu setzen und alle Arztpraxen in Deutschland zu verpflichten, interne oder noch besser fachkundige externe betriebliche Datenschutzbeauftragte zu bestellen.
Trotz der offensichtlichen Risiken sind seit dem 25.5.2018, als die DSGVO in Kraft trat, Lobbyisten und weltfremde Ideologen der Wirtschaftsverbände im Berlin unterwegs, um das Datenschutzgesetz von 2018 immer weiter zu durchlöchern. Wirtschaftsminister Altmeier ist ihrem unqualifizierten Gejammer über angebliche “Bürokratie” der DSGVO bereits erlegen und möchte in der nächsten BDSG-Novelle die Zahl der Mitarbeiter, nach denen eine Unternehmen eine*n Datenschutzbeauftragten bestellen muss, von 10 auf 20 hochsetzen. Das ist absurd. Das Beispiel der Gesundheitsdaten zeigt, dass es im Zeitalter der Digitalisierung nicht mehr darauf ankommt, wieviele Mitarbeiter einen Unternehmens mit Daten umgehen, sondern von welcher Qualität diese Daten sind und wie hoch das mit ihrem Mißbrauch verbundene Risiko ist. Insofern erwiese sich die von Altmeier angestebte Gesetzesänderung auch als Bärendienst gegenüber der Wirtschaft. Er gefährdet Unternehmen nämlich vorsätzlich, im Zweifelsfall aus Unwissenheit oder Fahrlässigkeit drastische Bußgelder durch die Aufsichtsbehörden zwischen 2% und 4% des Jahresumsatzes in Kauf nehmen zu müssen. Das wiegt Investitionen in einen vernünftigen Datenschutz nicht auf.
Es ist nicht die Ärztelobby, die sich digitalisieren und vernetzen wollten. Wir als Niedergelassene (auch psychologischen PsychotherapeutInnen) sind gezwungen worden seit diesem Jahr von den Krankenkassen mit Druck auf die KVen sich mit einem Konnektor vernetzten zu lassen. Es ist im Moment nicht möglich, dass Psychotherapie ausgenommen wird, wenn die Daten zwischen einzelnen Ärzte ausgetauscht werden. Nächstes Jahr soll das mit der Krankenkassenkarte möglich sein. Für den praktischen ArztIn ist es sicher sinnvoll die Röntgenbilder zu sehen, ob aber jeder wissen muss, dass man Psychotherapie macht, sollte privat bleiben. Leider werden Patienten mit körperlichen Erkrankungen manchmal nicht ordentlich untersucht, stattdessen landen sie in der Psychoschiene. Es ist noch viel zu tun…