DSGVO im Screening-Zentrum: Was wirklich gefordert ist
Auftragsverarbeitung, Löschfristen, technische Maßnahmen, Patientenrechte – die DSGVO-Pflichten für Betreiber medizinischer Screening-Infrastruktur im Klartext.
Warum Gesundheitsdaten anders behandelt werden
Daten in einem Screening-Zentrum sind keine gewöhnlichen personenbezogenen Daten – sie fallen unter Art. 9 DSGVO, also besondere Kategorien personenbezogener Daten. Damit gilt grundsätzlich ein Verarbeitungsverbot mit Erlaubnisvorbehalt. Zulässig ist die Verarbeitung in der Regel nur über eine konkrete Einwilligung des Patienten (Art. 9 Abs. 2 lit. a) oder über eine Rechtsgrundlage im Bereich Gesundheitsversorgung (Art. 9 Abs. 2 lit. h in Verbindung mit § 22 BDSG). Wer beides verwechselt oder die Einwilligung pauschal vor jede Probenentnahme klemmt, baut sich ein juristisches Kartenhaus. Sauber getrennt: Behandlungsbezogene Verarbeitung läuft über lit. h, optionale Zusatznutzungen (Marketing, Forschung) über lit. a.
Verzeichnis von Verarbeitungstätigkeiten – Pflicht ab Patient eins
Das Verzeichnis nach Art. 30 DSGVO ist keine Empfehlung, sondern Pflicht ab dem ersten Patienten. Es muss enthalten: Name und Kontakt des Verantwortlichen, Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener Personen und Daten, Empfänger der Daten, Übermittlungen in Drittländer (idealerweise: keine), Löschfristen und eine allgemeine Beschreibung der TOM. Ein Excel-Sheet mit einer Zeile pro Verarbeitungstätigkeit (Patientenanmeldung, Probenanalyse, Befundübermittlung, Abrechnung, Personalverwaltung, Marketing) reicht völlig – aber es muss aktuell sein, mit Datum versehen und bei einer Behördenanfrage innerhalb von 24 Stunden vorlegbar.
Auftragsverarbeitung statt Wildwuchs
Jede externe IT-Komponente – QR-Plattform, Befundversand, Hosting, Backup, E-Mail-Provider, ggf. Telefonanlage – braucht einen AV-Vertrag nach Art. 28 DSGVO. Standard-AVV-Templates der Anbieter sind meistens akzeptabel; entscheidend sind drei Prüfungen: Werden Daten in Drittländer übertragen? Falls ja, liegt ein gültiger Übertragungsmechanismus vor (Standardvertragsklauseln plus Transfer Impact Assessment)? Wer kann auf die Daten zugreifen, und werden Subunternehmer transparent gelistet? Hosting in Deutschland oder zumindest EU/EWR ist nicht nur Marketing – es reduziert die Prüflast erheblich, weil ganze Themenkomplexe rund um internationale Datenübermittlung entfallen.
Technische und organisatorische Maßnahmen, die wirklich greifen
TOM-Listen aus dem Internet sind oft Lyrik – formal vollständig, praktisch wertlos. Was tatsächlich zählt: Verschlüsselung der Datenträger und der Datenübertragung (TLS 1.2 mindestens), Zugriffskontrolle mit individuellen Konten und Rollen (kein Sammelaccount „Praxis“), Mehrfaktorauthentifizierung für alle administrativen Zugänge, Protokollierung sicherheitsrelevanter Ereignisse, regelmäßige Backups mit dokumentierten Restore-Tests, ein Incident-Response-Plan mit konkreten Eskalationsstufen und Telefonnummern. Letzteres wird gerne vergessen – im Ernstfall (Ransomware, Datenleck) entscheiden die ersten zwei Stunden über das Ausmaß. Wer dann erst den IT-Dienstleister sucht, hat verloren.
Löschfristen technisch erzwingen, nicht hoffen
Befunddaten werden nach gesetzlicher Aufbewahrungsfrist gelöscht – je nach Datenkategorie 10 Jahre (§ 630f BGB für Behandlungsdokumentation), bei abrechnungsrelevanten Daten teils kürzer. Kontaktdaten aus Anfragen ohne Behandlungsbezug: spätestens nach 6 Monaten. Logfiles: 14–30 Tage, dann anonymisieren oder löschen. Diese Fristen müssen technisch erzwungen werden, nicht nur in der Policy stehen – ein Cron-Job, ein Datenbank-Trigger, ein dokumentierter Quartalsprozess. Die Aufsichtsbehörden prüfen bei Stichproben regelmäßig, ob die Realität dem Datenschutzkonzept entspricht. Wer eine Löschfrist von 6 Monaten dokumentiert, aber Daten von 2019 in der Datenbank stehen hat, hat ein Problem.
Patientenrechte: Auskunft, Berichtigung, Löschung
Patienten haben Anspruch auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17 – soweit gesetzliche Aufbewahrungspflichten dem nicht entgegenstehen) und Datenübertragbarkeit (Art. 20). Antwortfrist: einen Monat, in begründeten Ausnahmefällen verlängerbar auf drei Monate. Wer keinen definierten Prozess für diese Anfragen hat, läuft in Bußgelder. Empfehlung: ein dediziertes Postfach (datenschutz@…), ein internes Eskalationsschema (Empfang → DSB → Geschäftsführung), ein Standardantwort-Template, das die rechtlichen Mindestangaben abdeckt. Die meisten Anfragen lassen sich in unter 30 Minuten Aufwand abarbeiten – wenn der Prozess steht.
Datenschutzbeauftragter – ja oder nein?
Ein Datenschutzbeauftragter ist nach § 38 BDSG Pflicht, sobald ein Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt – oder, unabhängig von der Größe, sobald umfangreich besondere Kategorien von Daten verarbeitet werden. Letzteres trifft auf praktisch jedes Screening-Zentrum zu. Externer DSB ist für kleine bis mittlere Betreiber meist die wirtschaftlichere Lösung (1.500–4.500 EUR pro Jahr je nach Größe), entlastet die Geschäftsführung von Haftungsrisiken und liefert in der Regel sofort verwertbare Vorlagen für Verzeichnis, AVV-Prüfung und TOM.