Datenschutzkonform arbeiten – Praxistipps für Hebammen zur DSGVO

Matthias Diefenbacher

doi:10.1055/a-0861-0320

Hebamme, Table of Contents

Hebamme 2019; 32(02): 64-68
DOI: 10.1055/a-0861-0320

Beruf

Fortbildung

Datenschutzkonform arbeiten – Praxistipps für Hebammen zur DSGVO

Matthias Diefenbacher

Abstract

Full Text

PDF Download

Grundsätzliches

Die Verordnung enthält nach Art. 1 I Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Sie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 I).

Daneben gelten nach wie vor die Regelungen des Bundesdatenschutzgesetzes (BDSG).

Hebammen erheben personenbezogene Daten der Klientin und des Kindes und verarbeiten sie. Dazu gehören nicht nur Angaben zur Person, sondern auch Angaben zur Abrechnung und natürlich medizinische Befunde. Es dürfen hierbei nur Daten erhoben werden, die für die Erfüllung der Behandlung unbedingt erforderlich sind. Daten dürfen an Dritte nur weitergegeben werden, wenn eine Einwilligung der Klientin vorliegt oder gesetzliche Gestattungsgründe vorliegen, wie sie teilweise schon von der Schweigepflicht bekannt sind.

Rechtskonforme Verarbeitung personenbezogener Daten

Die Grundsätze der Datenverarbeitung nach der DSGVO finden sich in Art. 5. Danach müssen personenbezogene Daten insbesondere:

auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz)
für festgelegte, eindeutige und legitime Zwecke erhoben werden, sie dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweckbindung)
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung)
sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Richtigkeit)
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit)

Abb. 1 Vor welche Herausforderungen stellt die Datenschutzgrundverordnung Hebammen in Zeiten digitaler Kommunikation? Rechtsanwalt Matthias Diefenbacher fasst die wichtigsten Rechtsvorschriften zusammen.

Nach Art. 6 ist die Datenverarbeitung u. a. rechtmäßig, wenn

die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat
die Verarbeitung für die Erfüllung eines (Behandlungs-)Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen
die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (z. B. Entrichtung von Steuern)
die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (z. B. Notfallbehandlung)

Einwilligung zur Datenverarbeitung

In Art. 4 Nr. 11 ist die Einwilligung definiert als jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Merke

Die Einwilligung der Klientin zur Datenverarbeitung sollte schriftlich fixiert und dokumentiert sein, denn die Hebamme muss jederzeit nachweisen können, dass die Klientin in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 I).

In einem Formular muss die Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so eingeholt werden, dass sie von den anderen Sachverhalten klar zu unterscheiden ist (Art. 7 II). Es empfiehlt sich daher, die Einwilligung auf einem gesonderten Dokument einzuholen. Die Klientin hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Hierüber ist sie zu belehren (Art. 7 III).

Ähnliche Regelungen über Einwilligungen finden sich auch in den Vorschriften über den Behandlungsvertrag (§ 630 d BGB) und in § 228 StGB zur Einwilligung bei Körperverletzungen.

Datenverarbeitung

Nach Art. 9 I ist die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person grundsätzlich erst einmal untersagt. Dies gilt nach Art. 9 II dann nicht, wenn u. a. die Einwilligung vorliegt, die Verarbeitung aus Gründen des Arbeits- oder Sozialrechts erforderlich ist oder die Verarbeitung dem Schutz lebenswichtiger Interessen der Klientin dient oder die Daten durch die Klientin bereits öffentlich gemacht worden sind bzw. die Hebamme die Daten benötigt, um ihre Rechte durchzusetzen (z. B. im Fall von Honorarklagen vor Gericht oder bei einer Verteidigung nach einer Strafanzeige).

Ähnliche Grundsätze finden sich im Allgemeinen Gleichbehandlungsgesetz, wonach eine Benachteiligung wegen der genannten Kriterien insbesondere im Arbeitsrecht unzulässig ist.

Verzeichnis von Verarbeitungstätigkeiten

Nach Art. 30 ist ein Verzeichnis von Verarbeitungstätigkeiten anzulegen. Zwar gilt dies nach Art. 30 V erst für Unternehmen, die mehr als 250 Mitarbeiter beschäftigen, allerdings auch dann, wenn die Datenverarbeitung nicht nur gelegentlich erfolgt. Dies ist bei der Hebamme der Fall.

Das Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann (Art. 30 III).

Im Verzeichnis sind u. a. die Verantwortliche, die Verarbeitungstätigkeiten, deren Zwecke und wesentliche Informationen zur Datenverarbeitung aufzuführen: E-Mail-System, Telefonanlage, Adressdatenbanken, Website-Gestaltung, Intranet, Urlaubslisten, Software (Patientenverwaltung, Dokumentation, Zeiterfassung, Abrechnung), Personalsachbearbeitung, Bankkonten, Bezug zu Drittländern (Google-Kalender, Cloud-Dienste), betroffene Personen, Adressaten der Daten, Fristen für Löschung, Beschreibung technischer Maßnahmen (abschließbarer Schrank) etc.

Datensicherheit

Nach Art. 32 müssen auch Hebammen geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung treffen. Darunter fallen u. a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Dies bedeutet zum einen, dass die elektronische Kommunikation verschlüsselt werden muss. Zum anderen scheiden Kommunikationswege wie WhatsApp etc. aus. Dies liegt daran, dass z. B. Mitarbeiter innerhalb der sozialen Netzwerke, die nicht unter Schweigepflicht stehen, die persönlichen Nachrichten mitlesen könnten und keine umfassende Einwilligung eingeholt werden kann, da WhatsApp auf sämtliche Kontakte im Mobiltelefon zugreift. Mit jedem neuen Kontakt auf dem Smartphone müsste daher eine neue Einwilligung aller vorhandenen Kontakte eingeholt werden. Das dürfte in der Praxis nicht umzusetzen sein.

Merke

Durch die neue Datenschutzgrundverordnung verbietet sich die Kommunikation mit Klientinnen über soziale Netzwerke, z. B. WhatsApp-Nachrichten.

Auch Hebammen bedienen sich zur Erfüllung zumindest in Teilen ihrer Tätigkeiten externer Dienstleister. Diese sog. Auftragsverarbeiter müssen hinreichend Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 I).

Der Auftragsverarbeiter muss über seine Verschwiegenheitspflicht gesondert belehrt werden und deren Einhaltung gewährleisten.

Schließlich ist im Fall einer Weitergabe eines Computers oder eines Mobiltelefons z. B. durch Gebrauchtverkauf darauf zu achten, dass alle Daten auf Festplatten und in Telefonen und Tablets dauerhaft unbrauchbar gemacht sind und nicht wiederhergestellt werden können.

Informationspflichten

Nach Art. 12 I muss die Hebamme Maßnahmen treffen, um der Klientin alle Informationen über die Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.

Diese Informationspflicht bezieht sich insbesondere auf die Erhebung von personenbezogenen Daten bei der Klientin (Art. 13 I), aber auch bei nicht betroffenen Personen (Art. 14 I).

Diese Informationen können auch durch standardisierte Bildsymbole erfolgen (Art. 12 VII), z. B. durch Hinweisschilder auf Videoüberwachung.

Auch über die Dauer der Speicherung ist zu informieren. Die Daten werden so lange genutzt und gespeichert, bis sie Betreuung abgeschlossen und abgerechnet ist. Danach ergibt sich die Aufbewahrungsdauer aus unterschiedlichen Rechtsquellen. Steuerunterlagen müssen zehn Jahre aufbewahrt werden (§ 14b I UstG). Die zehnjährige Verpflichtung, die Dokumentation aufzubewahren ergibt sich aus § 630f III BGB und den Landesberufsordnungen.

TIPP

Informationsblatt zum Datenschutz

Der Deutsche Hebammenverband hat ein Muster-Informationsblatt zum Datenschutz erstellt. Dies können Hebammen personalisieren und ihren Klientinnen aushändigen. Es informiert kompakt und verständlich über die Verantwortliche für die Datenverarbeitung, den Zweck der Datenverarbeitung, die Speicherung der Daten und Rechte der Klientin. Kontakt: www.hebammenverband.de

Schweigepflicht

Die Regelungen der DSGVO korrespondieren weitgehend mit den gesetzlichen Regelungen der Schweigepflicht in § 203 StGB, in den Landesberufsordnungen oder in § 13 des Vertrags über die Versorgung mit Hebammenhilfe nach § 134a SGB V. Eine Verletzung der Schweigepflicht liegt insbesondere vor, wenn keine Entbindung der Schweigepflicht durch die Klientin (nicht z. B. durch deren Ehemann) vorliegt. Deshalb sollte so wenig wie möglich von sozialen Netzwerken Gebrauch gemacht werden. Schon die Offenlegung des Standorts eines Mobiltelefons kann einen Schweigepflichtverstoß darstellen.

Nach der letzten Anpassung des § 203 StGB im Oktober 2017 fallen nun unter die Schweigepflicht neben der Hebamme auch die Personen, die an der beruflichen oder dienstlichen Tätigkeit der Hebamme mitwirken (sog. Auftragsverarbeiter, z. B. ein Abrechnungsdienstleister, ein externer Telefondienst oder ein externes Schreibbüro). Auch insoweit muss eine Vereinbarung über die Dienste und die Wahrung der Schweigepflicht und Einhaltung der DSGVO geschlossen werden (s. o. ). Eine besondere Informationspflicht hinsichtlich des Dienstleisters über die Datenverarbeitungsvorgänge im Einzelnen besteht dann nicht mehr (Art. 14 V d).

Merke

Wenn externe Dienstleister aufgrund der Auftragsverarbeitung Zugang zu Klientinnendaten erlangen, muss mit ihnen eine Vereinbarung über die Wahrung der Schweigepflicht und Einhaltung der DSGVO geschlossen werden.

Rechte der Betroffenen

Die Klientin hat gegenüber der Hebamme

ein Auskunftsrecht, ob und wie ihre Daten verarbeitet werden (Art. 15)
einen Anspruch auf Berichtigung und / oder Vervollständigung sie betreffender unrichtiger personenbezogener Daten (Art. 16)
ein Widerspruchsrecht (Art. 21), sodass es der Hebamme nach einem Widerspruch untersagt ist, die Daten weiter zu verarbeiten, es sei denn, es gibt zwingende schutzwürdige Gründe für die Verarbeitung (z. B. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen)
ein Recht auf Löschung (Recht auf Vergessenwerden - Art. 17), u. a. auch nach Ablauf der oben genannten Aufbewahrungsfristen
ein Recht auf Einschränkung der Verarbeitung (Art. 18), z. B. wenn die Richtigkeit der Daten erst noch überprüft werden muss
ein Recht auf Datenübertragbarkeit (Art. 20), d. h. die Daten von der Hebamme in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten; und die Klientin hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch die Hebamme zu übermitteln

Außerdem kann die Klientin nach Art. 77 DSGVO Beschwerde bei der zuständigen Landesdatenschutzbehörde erheben.

Ein Datenschutzbeauftragter, dessen Rechte (für die Klientin) und Pflichten sich aus Art. 37 ff. ergeben, ist nach § 38 BDSG nur erforderlich, soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das dürfte bei der Hebamme in der Regel nicht der Fall sein, sodass hier von einer vertieften Darstellung abgesehen wird. Für den Fall der Erforderlichkeit eines Datenschutzbeauftragten müssen dessen Kontaktdaten allerdings der Aufsichtsbehörde und insbesondere auf Hinweisblättern und der Homepage mitgeteilt werden.

Folgen bei Verstößen gegen die DSGVO

Es können nach Art. 83 bei Verstößen gegen die DSGVO Geldbußen (bei Großunternehmen sogar bis zu mehreren Millionen Euro) verhängt werden.

Wenn eine Hebamme fortgesetzt gegen Regeln der Schweigepflicht und der DSGVO verstößt, könnte dies ein Verhalten sein, aus dem sich die Unzuverlässigkeit zur Ausübung des Hebammenberufs ergibt, was zu einem Widerruf der Berufserlaubnis führen kann (§ 3 II HebG).

Außerdem können Verstöße arbeitsrechtliche Konsequenzen nach Abmahnung bis hin zur Kündigung des Arbeitsverhältnisses haben.

Schließlich kann die Klientin wegen eines Verstoßes gegen die DSGVO gegen die Hebamme und deren Dienstleister einen Anspruch auf materiellen Schadensersatz, aber auch Schmerzensgeld geltend machen (Art. 82).

Bei Berufsgeheimnisträgern, zu denen auch die Hebamme gehört, gelten hinsichtlich möglicher Untersuchungsbefugnisse der Aufsichtsbehörde Besonderheiten. Es besteht kein Recht auf Zugang zu Praxisräumen, kein Recht auf Einsicht in die Daten selbst und es besteht eine Geheimhaltungspflicht der Aufsichtsbehörden über möglicherweise gewonnene Erkenntnisse (§ 29 III BDSG iVm Art. 58 I).

FAZIT

Praxistipps zur DSGVO für die Hebammenarbeit

1. Die Hebamme muss die Klientin aufklären.

„Hinweise zur Datenverarbeitung“ sollten jedem Behandlungsvertrag beigefügt werden.

Die Informationspflichten umfassen u. a. auf jeden Fall:

den Namen und die Kontaktdaten der Hebamme
ggf. den Namen und die Kontaktdaten des betrieblichen Datenschutzbeauftragten
die Art der verarbeiteten Daten
die Zwecke der Datenverarbeitung
die Art der Personen, deren Daten verarbeitet werden (z. B. Klientin, Beschäftigte oder Lieferanten)
die möglichen Empfänger der Daten, an die die Daten übermittelt werden
die Übermittlung von Daten ins Ausland außerhalb der EU (z. B. bei der Nutzung von Mail- oder Cloud-Diensten)
Löschungsfristen
die Ansprüche der Klientin nach der DSGVO (Auskunft, Berichtigung, Löschung, Sperrung, Widerspruchsrecht, Datenübertragbarkeit)

Tipps zur Informationspflicht finden sich u. a. auf folgenden Websites:
- Kassenärztliche Bundesvereinigung: www.kbv.de/html/datensicherheit.php
- Deutscher Hebammenverband → Mitgliederbereich: www.hebammenverband.de
- Anwaltsblatt → DAV-Muster → Hinweise zur Datenverarbeitung: https://anwaltsblatt.anwaltverein.de/de/

2. Die Hebamme muss eine Erklärung zur Einholung der Einwilligung bereithalten.

3. Die Hebamme muss ein Verzeichnis von Verarbeitungstätigkeiten erstellen. Auch hier finden sich Vorschläge u. a. auf www.kbv.de/html/datensicherheit.php.

4. Die Hebamme benötigt auf ihrer Homepage eine „Datenschutzerklärung“. Ein anzupassendes Muster hierzu findet sich auf der Internetseite des Anwaltsblatts https://anwaltsblatt.anwaltverein.de/de/unter dem Suchbegriff „Datenschutzerklärung“. Die Datenschutzerklärung muss, wie auch das Impressum, auf der Homepage leicht und ohne zahlreiche Klicks zu erreichen sein.

Figures

Abb. 1 Vor welche Herausforderungen stellt die Datenschutzgrundverordnung Hebammen in Zeiten digitaler Kommunikation? Rechtsanwalt Matthias Diefenbacher fasst die wichtigsten Rechtsvorschriften zusammen.