EU-Datenschutzgrundverordnung / Bundesdatenschutzgesetz

Bis spätestens zum 25. Mai 2018 müssen alle in Europa ansässigen Unternehmen ihre Verarbeitungspraxis den Regelungen der 2016 verabschiedeten neuen Datenschutz-Grundverordnung der Europäischen Union (DS-GVO) angepasst haben. Was bedeutet das ganz konkret für Ihren beruflichen Alltag? Der Hartmannbund möchte Sie gerne grundsätzlich für die Thematik sensibilisieren, über datenschutzrechtliche Neuregelungen aufklären und zu einigen Aspekten bereits praktische Hilfestellungen geben, um Ihnen die Überprüfung ihres Umgangs mit Gesundheits- und Personaldaten zu erleichtern.

Am 25. Mai 2016 trat die neue Datenschutz-Grundverordnung der Europäischen Union (DS-GVO) unmittelbar in allen Mitgliedsstaaten der Europäischen Union in Kraft. Bis zum 25. Mai 2018 müssen alle in Europa ansässigen Unternehmen ihre Verarbeitungspraxis den neuen Regelungen angepasst haben. Dies gilt dementsprechend auch für Arztpraxen, MVZ und Kliniken. Ziel der DS-GVO ist es, eine europaweite Vereinheitlichung des Datenschutzrechts zu erreichen, die Rechte der von der Datenverarbeitung betroffenen Personen zu stärken und die Verantwortlichen bei Datenschutzverstößen empfindlich zu treffen. Trotz ihrer unmittelbaren Wirkung und damit nicht erforderlicher Umsetzungsrechtsakte der Mitgliedsstaaten enthält die DS-GVO eine erhebliche Menge an Öffnungsklauseln, die auf nationaler Ebene zu einer Konkretisierung ermächtigen. Die Bundesrepublik Deutschland hat daher das 40 Jahre alte deutsche Datenschutzrecht an die neue Rechtslage angepasst und ein neues Bundesdatenschutzgesetz (BDSG-neu) geschaffen, das zeitgleich mit dem Ablauf der in der DS-GVO verankerten Übergangsfrist in Kraft tritt und sich im Hinblick auf die Anzahl seiner Artikel nahezu verdoppelt hat. Kritische Stimmen beanstanden, das deutsche Datenschutzrecht stehe teilweise nicht in Einklang mit dem Europäischen und gehe über dessen Regelungsrahmen weit hinaus. Zudem sei es insbesondere wegen der zahlreichen Verweisungen zu komplex. Mit diesen Fragen werden sich zukünftig die zuständigen Behörden und Gerichte auseinanderzusetzen haben. Datenschutzexperten und auch die ärztlichen Selbstverwaltungskörperschaften ringen derzeit noch mit diversen Auslegungsfragen, für die zusätzlich auch noch die 173 Erwägungsgründe der DS-GVO herangezogen werden müssen.

Sicher ist die endende Umsetzungsfrist zu Ende Mai 2018 und sicher ist auch, dass der bislang eher zahnlose Tiger Datenschutzrecht aufgrund der inhaltlichen Verschärfungen und empfindlich hohen Bußgelder auch in Deutschland nicht mehr länger als solcher gesehen werden sollte.

Der Hartmannbund möchte daher mit diesen Erläuterungen für die Thematik grundsätzlich sensibilisieren, über datenschutzrechtliche Neuregelungen aufklären und zu einigen Aspekten bereits praktische Hilfestellungen geben, um einen Beitrag dazu zu leisten, betroffenen Ärztinnen und Ärzten[1] die Überprüfung ihres Umgangs mit Gesundheits- und Personaldaten zu erleichtern.

[1] Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für beiderlei Geschlecht.

Die bereits bestehenden Grundsätze bzw. Anforderungen an eine Datenverarbeitung wie beispielsweise die Rechtmäßigkeit der Datenverarbeitung, das Transparenzgebot und die Erfordernisse von Zweckbindung und Datenminimierung behalten auf europäischer und nationaler Ebene ihre Gültigkeit und Relevanz
(Art. 5 DS-GVO, § 47 BDSG-neu).

Trotz der Beibehaltung auf der Grundlage der bisher geltenden EU-Richtlinie 95/46 und dem alten Bundesdatenschutzgesetz werden die genannten Grundsätze durch erhöhte Vorgaben künftig konkreter ausgestaltet. Neue Organisations- und Informationsverpflichtungen in Kombination mit einer deutlich verschärften Sanktionierung zwingen nun auch Arztpraxen, MVZ und Kliniken zu größerer Sorgfalt und einem systematischeren Vorgehen in Bezug auf die Einhaltung datenschutz-rechtlicher Vorgaben.

Einige Begriffe des bislang geltenden Datenschutzrechts wurden neu definiert. Wichtig ist in diesem Zusammenhang die künftige Interpretation des Begriffs der „Verarbeitung von Daten“. Der ursprüngliche Dreiklang „Erhebung, Verarbeitung und Übermittlung“ von Daten ist überholt. Vielmehr werden sämtliche Maßnahmen unter den Begriff „Verarbeitung“ gefasst. Verarbeitung nach der DS-GVO meint „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ (Art. 4 Nr. 2 DS-GVO).

Gesundheitsdaten von Patienten gehören als so genannte „sensiblen Daten“ nach wie vor besonders geschützt, da sie im datenschutzrechtlichen Sinne als besonders gefährdet gelten. Sie dürfen nur verarbeitet werden, wenn dies zur Aufgabenerfüllung unbedingt erforderlich ist und ihre Verarbeitung muss bestimmten Garantien für die Rechtsgüter der betroffenen Patienten unterliegen. Geeignete Garantien können insbesondere die Pseudonymisierung, Verschlüsselung oder getrennte Verarbeitung von Daten, die Zugangsbeschränkung oder die Festlegung von besonderen Aussonderungsprüffristen sein (vgl. § 48 BDSG-neu).

Es bleibt im Rahmen des Arzt-Patienten-Verhältnisses beim so genannten Erlaubnisvorbehalt, dem Grundsatz, dass personenbezogene Daten wie Gesundheitsdaten nur verarbeitet werden dürfen, wenn dies durch eine Einwilligung der betroffenen Person oder eine Erlaubnisvorschrift zugelassen wird (Art. 6 DS-GVO, § 51 BDSG-neu).

Datenverarbeitende Stellen müssen nach neuer Rechtslage neben den bereits bekannten Organisationspflichten (Implementierung geeigneter Datenschutzmaßnahmen) nun auch jederzeit nachweisen können, dass sie bei der Verarbeitung personenbezogener Daten sowohl die in der Verordnung verankerten Datenschutzgrundsätze als auch die technisch-organisatorischen Anforderungen einhalten. Diese explizit eingeführte Rechenschaftspflicht (Art. 5 Abs. 2, 24 Abs. 1 DS-GVO) wird als das Prinzip der Accountability bezeichnet und ist insofern von großer Bedeutung, weil es nach hiesiger Einschätzung im Ergebnis zu einer Beweislastumkehr gegenüber Datenschutzbehörden und Gerichten führt. Denn die Rechenschaftspflicht erzeugt auch die Pflicht der Verantwortlichen zu einer entsprechenden Dokumentation, welche wiederum im Falle vermeintlicher Datenschutzverletzungen die Beweislast gravierend verändert. Der Verantwortliche in Praxis, MVZ und Klinik hat künftig den Nachweis darüber zu führen, dass Daten mit erforderlicher Rechtsgrundlage verarbeitet und ausreichende Sicherheitsvorkehrungen implementiert wurden.

Ein risikoangemessenes Datenschutz-Managementsystem sollte vor dem Hintergrund der erhöhten Rechenschaftspflicht daher insbesondere folgende Punkte berücksichtigen:

Zusammenstellung aller datenschutzrelevanten Vorgänge samt ihrer jeweiligen Datenschutzrisiken
Datenschutzdokumentation (z. B. Verarbeitungsvorgänge, Verstöße, Maßnahmen)
Implementierung interner Datenschutz- und IT-Sicherheitsrichtlinien (Kontrolle, Optimierung, regelmäßige Datenschutzschulungen der Mitarbeiter)

Nach den europarechtlichen Vorgaben ist – anders als bislang im deutschen Datenschutzrecht – nicht vom Datenschutzbeauftragten, sondern vom verantwortlichen Praxis- bzw. MVZ-Inhaber ein Verzeichnis aller Verarbeitungstätigkeiten von Daten zu führen. Neben den Patientendaten sollte diesbezüglich unbedingt auch an die Personaldatenverwaltung gedacht werden. Auch wenn Art. 30 Abs. 5 DS-GVO für Unternehmen mit weniger als 250 Mitarbeitern eine Ausnahme von der Verzeichnungspflicht macht, soll diese wiederum nicht für die Datenverarbeitung von Gesundheitsdaten gemäß Art. 9 DS-GVO entfallen. Einerseits sollen durch die Einschränkung kleinere und mittlere Unternehmen vor übermäßiger Bürokratie geschützt werden, andererseits bleibt die Verzeichnungspflicht für Arztpraxen und MVZ aufgrund der Sensibilität von Gesundheitsdaten bestehen. Die Verzeichnisvoraussetzungen des Art. 30 Abs. 1 S. 2 DS-GVO können beispielsweise in elektronischer Form (Word, Excel) geführt werden und sind für jedes Datenverarbeitungsverfahren (z. B. elektronische Patienten- oder Personalakte, Adressdatenbanken, Terminverwaltung) folgende:

Name und Kontaktdaten

des Verantwortlichen
seines Vertreters sowie
ggf. Datenschutzbeauftragten

Zweck der Datenverarbeitung
Kategorisierung betroffener Personen (z. B. Patienten und Arbeitnehmer) und personenbezogener Daten
Kategorisierung weiterer Empfänger der Daten (bei Gesundheitsdaten z. B. KK oder PVS)
wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherheit (Art. 32 Abs. 1 DS-GVO: z. B. Stand der Technik, Implementierungskosten, Pseudonymisierung und Verschlüsselung; Wiederherstellungsmaßnahmen bei Datenpannen; Regelmäßigkeit der Überprüfung usw.)

Die so genannte Datenschutz-Folgenabschätzung ersetzt die bislang im deutschen Datenschutzrecht vorgesehene Vorabkontrolle. Es handelt sich um Datenverarbeitungstätigkeiten mit hohem Gefährdungspotential, die einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten unterliegen sollen. Datenschutz-Folgenabschätzungen sind dann durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zweck der Verarbeitung voraussichtlich ein hohes Risiko für die Rechtsgüter betroffener Personen zur Folge hat. Die konkreten Voraussetzungen einer Datenschutz-Folgenabschätzung regeln unter anderem Art. 35 Abs. 1 DSGVO und § 67 BDSG-neu. An dieser Stelle wird auf weitere Ausführungen zur Datenschutz-Folgenabschätzung verzichtet, da zumindest in den üblichen Strukturen von Berufsausübungsgemeinschaften die Datenschutz-Folgenabschätzung nicht von hoher Relevanz sein wird. In Kliniken, großen Versorgungszentren oder Netzen könnte die Datenschutz-Folgenabschätzung jedoch sehr wohl eine Rolle spielen, da eine umfangreiche Verarbeitung sensibler Gesundheitsdaten zumindest nicht von vornherein auszuschließen ist.

Zukünftig wird die Entscheidung darüber, ob Datenschutz-Folgenabschätzungen zu erfolgen haben, möglicherweise dadurch erleichtert, dass die nationalen Datenschutzbehörden über das europäische Recht verpflichtet wurden, Listen mit kritischen Verarbeitungsvorgängen zu veröffentlichen (Art. 35 Abs. 4 DS-GVO). Den Behörden wird zusätzlich freigestellt, auch Listen mit unkritischen Datenverarbeitungsvorgängen zu veröffentlichen, für die keine Datenschutz-Folgeabschätzung zu erfolgen hat (Art. 35 Abs. 5 DS-GVO).

Die folgende Aufzählung konzentriert sich auf die Änderungen im Bereich der Patientenrechte und ist damit nicht als abschließend anzusehen. Bereits bestehende Patientenrechte, die sich aus den Grundsätzen des bislang einschlägigen Datenschutzrechts ergeben, wie etwa das Recht auf Zweckbindung der Daten oder auf Datenminimierung bleiben bestehen und werden nicht gesondert ausgeführt.

Das bereits bestehende Transparenzprinzip des deutschen und europäischen Datenschutzrechts erfährt eine Erweiterung, denn der Katalog der den Patienten mitzuteilenden Inhalte wurde erheblich aufgestockt. Die Patienten dürfen jederzeit Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen. Sie sind zu informieren über ihre Rechte auf Zugang, Berichtigung, Löschung, Sperrung und ihre Widerspruchsrechte. Zusätzlich müssen dem Patienten künftig Informationen zur Rechtsgrundlage für die Datenverarbeitung erteilt werden. Im Gesundheitsbereich schließt das Recht betroffener Patienten auf Auskunft über gesundheitsbezogene Daten ein, sämtliche Daten in ihren Patientenakten zu kennen, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen zu enthalten (Erwägungsgrund 63 zur DS-GVO). Neu ist auch die Angabe zur Dauer der Speicherung oder – falls die Dauer nicht konkretisierbar ist – zumindest Kriterien zur Festlegung der Dauer der Datenspeicherung. Jede Weiterverarbeitung der Daten zu einem anderen Zweck bedarf einer erneuten Information des Betroffenen (Art. 13-15 DSGVO). Ausnahmen von der äußerst umfangreichen Informationspflicht werden nur für die seltenen Fälle zugelassen, in denen den Patienten die Informationen bereits nachweislich vorliegen oder die Daten einem (anderen) Berufsgeheimnis unterliegen (Erwägungsgrund 62).

Patienten haben nunmehr das Recht, ihre Daten „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“. Wichtig und neu ist in diesem Zusammenhang vor allem auch die Verpflichtung der Verantwortlichen, die vom Patienten selbst zur Verfügung gestellten Daten in gängigem Format wieder zur Verfügung zu stellen und auf Wunsch so auch an Dritte zu übermitteln (Art. 20 DS-GVO). Insofern sollten über eine geeignete Software interoperable Formate entwickelt werden, die die Datenübertragbarkeit ermöglichen und damit das Erfüllen des Auskunftsersuchens erleichtern.

Der Patient hat das Recht, seine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen (Art. 7 Abs. 3 DS-GVO). Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein, darf nicht nur jederzeit, sondern auch ohne Begründung erfolgen. Wird ein solcher Widerruf vorgelegt, muss dieser unbedingt Beachtung finden. Praxen, MVZ und Kliniken können die Daten dann nur noch weiterverarbeiten, wenn sie geltend machen können, dass ohne die Verarbeitung der Daten schwerwiegende Nachteile entstünden (denkbar im Falle der Zahlungssäumigkeit).

Wichtig in diesem Zusammenhang ist jedoch, dass durch den Widerruf die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird; darüber muss der Patient vor Abgabe der Einwilligung in Kenntnis gesetzt werden.

Die rasanten digitalen Entwicklungen unserer Zeit haben zu scheinbar unbegrenzten Speicherungsmöglichkeiten von Informationen geführt. Das Recht auf Vergessenwerden bzw. auf Löschung von Daten ist damit in den Fokus des Datenschutzrechts gerückt (Art. 17 DS-GVO, § 35 BDSG-neu). Praxen, MVZ und Kliniken müssen nun durchaus gründlicher sein bei der Frage, unter welchen Umständen welche Informationen gelöscht werden dürfen oder gar müssen. Im ärztlichen Bereich steht das Recht auf Löschung von Daten im Kontext zu den berufs- und zivilrechtlich vorgeschriebenen Dokumentations- und Aufbewahrungspflichten. Insbesondere sollte an die Nachweispflicht im Rahmen medizinischer Haftpflichtprozesse gedacht werden. Es besteht vor Ablauf der erforderlichen Aufbewahrungsfristen nach wie vor kein Anspruch auf Löschung bzw. Sperrung von personenbezogenen Daten. Nach Ablauf der Aufbewahrungsfristen sind die Daten auch für die Erfüllung der ärztlichen Aufgaben nicht mehr erforderlich und damit unbedingt datenschutzgerecht zu vernichten. Möchten Ärzte im Einzelfall die Unterlagen länger aufbewahren (z. B. bei Erbkrankheiten), ist hierfür die ausdrückliche Einwilligung des Patienten erforderlich; dies sollten jedoch Ausnahmefälle bleiben.

Insofern gewinnt das Instrument der softwareunterstützten Sperrung von Daten an Bedeutung, weil damit in einer möglichen „Übergangszeit“ der Spagat zwischen dem Recht auf Vergessenwerden und dem Recht des Arztes auf Zugriff im Haftungsfall erreicht werden kann.

Die Patienten haben ein Beschwerderecht gegenüber den zuständigen Behörden (Art. 77 Abs. 1 DS-GVO), über das sie ebenfalls zu informieren sind.

Wie bereits erwähnt, gilt auch im neuen Datenschutzrecht das so genannte Verbot mit Erlaubnisvorbehalt. Patienten müssen nach wie vor vollständig und verständlich über die Verarbeitung der eigenen Daten informiert werden und in diese einwilligen.

Die folgenden Inhalte muss gemäß der europarechtlichen und nationalen Vorgaben deshalb jede Einwilligungserklärung abbilden (Art. 6, 7, 8 DS-GVO, §§ 51, 26 BDSG-neu):

Erkennbarkeit als Einwilligungserklärung / eindeutige Überschrift
(z. B. „Einwilligungserklärung Datenschutz oder „Datenschutzrechtliche Einwilligungsklausel“ /
nicht aber z. B.: „Datenschutz“ oder „Hinweis zum Datenschutz“)
Freiwilligkeit der Einwilligungserklärung
(Erwägungsgründe 32,34 / „Kopplungsverbot“ Art. 7 Abs. 4: keine Abhängigkeit von der weiteren Datenverarbeitung für den Abschluss eines Vertrages, sofern für die eigentliche Vertragsdurchführung gar nicht nötig)
Ausführliche und hinreichend bestimmte Information
(u. a. Zweckbindung der Verarbeitung inklusive aller weiteren für den konkreten Fall entscheidungsrelevanten Informationen, Datenweitergabe inklusive Zweck)
Widerruflichkeit der Einwilligungserklärung deutlich erwähnen

Die Einwilligungserklärung muss in allgemein verständlicher Form erfolgen. Von Streich- und Abwahlmöglichkeiten, also der Entscheidung zwischen vorgegebenen Zustimmungsoptionen oder Textblöcken ist im Sinne der Eindeutigkeit und Verständlichkeit abzuraten. Auch hier sollten technische oder juristische Fachbegriffe und Formulierungen -sofern nicht erforderlich- vermieden werden. Den Nachweis darüber, ob eine Einwilligung abgegeben wurde, haben Praxis, MVZ und Klinik zu führen, so dass an der schriftlichen Form kaum ein Weg vorbei führt.

Sollte der Weg über den Anamnesebogen gewählt werden, muss darauf geachtet werden, dass die Einwilligung in die Datenverarbeitung klar von sämtlichen anderen Erklärungen des Patienten (z. B. medizinischer Art oder zu Einwilligung in Recall-Systeme oder der Datenschutzerklärung s. u.) abgegrenzt wird. Eine zusätzliche Unterschrift des Patienten wird dringend empfohlen.

Die Datenschutzerklärung ist zu unterscheiden von der individuellen Einwilligungs-erklärung des Patienten in die Verarbeitung seiner Daten (s. o.). Der Überblick der im medizinischen Bereich relevanten Pflichtinformationen einer Datenschutzerklärung – auch gegenüber mitwirkenden Dritten wie z. B. Softwareunternehmen- stellt sich wie folgt dar:

Name / Praxis und Adresse („Verantwortlicher“ + ggf. Vertreter)
Kontaktangaben, beispielsweise E-Mail-Adresse
ggf. Kontaktdaten des Datenschutzbeauftragten (inkl. E-Mail-Adresse)
Zweck der Datenverarbeitung (Angaben zu einzelnen Verarbeitungstätigkeiten)
Rechtsgrundlagen der Datenverarbeitung (Einwilligung oder gesetzlicher Erlaubnistatbestand)
Dauer der Speicherung (falls nicht möglich: Kriterien für die Festlegung dieser Dauer) bzw. Zeitpunkt der Löschung personenbezogener Daten
Sämtliche Betroffenenrechte des Patienten u. a.:

Auskunftsrecht (gegenüber dem Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DS-GVO)
Widerspruchsrecht gegen die Verarbeitung „ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird“ (Art. 21 DS-GVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung (Art. 16 -18 DS-GVO)
Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 Abs. 1 DS-GVO)

gegebenenfalls:

Daten nicht vom Patienten selbst mitgeteilt, dann Benennung Datenquelle
Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich (Pflicht zur Bereitstellung und mögliche Folgen die Nichtbereitstellung)
Weiterverarbeitung der Daten für einen anderen Zweck als den der Erhebung: Info vor Weiterverarbeitung über diesen anderen Zweck und alle anderen maßgeblichen Informationen
Datenverwendung auf Basis berechtigter Interessen wie Werbemaßnahmen, Interessen benennen (z. B. Marketingmaßnahmen „wirtschaftliche Interessen“)
gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten bei Weitergabe

Auch die Erklärung zum Datenschutz muss in allgemein verständlicher Form, also „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“, übermittelt werden. Technische oder juristische Fachbegriffe und Formulierungen sollten nach Möglichkeit vermieden werden. Die Schriftform muss nicht, sollte jedoch schon aus Gründen der Nachweisbarkeit eingehalten werden.

Sollte eine Verbindung mit dem Anamnesebogen hergestellt werden, muss die Datenschutzerklärung klar von sämtlichen anderen Erklärungen des Patienten und des Behandlers abgegrenzt werden.

Neben den Gesundheitsdaten von Patienten sollte auch an die personenbezogenen Daten von Beschäftigten gedacht werden. Diese dürfen nur verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (§ 26 BDSG-neu, Öffnungsklausel in Art. 88 DS-GVO). Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person zu berücksichtigen. Auch in Bezug auf die Einwilligung von Beschäftigten empfiehlt sich aus Gründen der Nachweisbarkeit die Schriftform. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht aufzuklären. Besonders sensible personenbezogene Daten (z. B. Gesundheitsdaten) von Beschäftigten dürfen nur verarbeitet werden, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht oder dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Es darf zudem kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse des Arbeitnehmers an dem Ausschluss der Verarbeitung überwiegt. Die datenschutzrechtlichen Vorgaben erfassen auch Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist.

Künftig müssen Datenschutzverletzungen unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis an den Bundesdatenschutzbeauftragten gemeldet werden (Art. 33 Abs. 1 DS-GVO, § 65 Abs. 1 BDSG-neu). Datenschutzverletzungen sind unbedingt zu dokumentieren. Zusätzlich müssen die Patienten – ebenfalls unverzüglich – informiert werden, wenn es wahrscheinlich ist, dass sich aus dem Datenleck Nachteile für sie ergeben (Art. 34 Abs. 1 DS-GVO, § 66 Abs. 1 BDSG-neu); dies war zumindest in Bezug auf Gesundheitsdaten auch schon vorher der Fall.

Die Verpflichtung der Verantwortlichen in Praxis, MVZ und Klinik, Technik vorzuhalten, die den datenschutzrechtlichen Vorgaben gerecht wird, wird im neuen Datenschutzrecht noch deutlicher hervorgehoben. Über die datenverarbeitenden Systeme sollen geeignete technische und organisatorische Maßnahmen getroffen werden, die dafür ausgelegt sind, die Datenschutzgrundsätze wie beispielsweise die Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen (Art. 25, 32 DS-GVO, § 64 BDSG-neu). Als geeignete Maßnahmen sind explizit die Pseudonymisierung oder Verschlüsselung von Daten genannt. Auch sind der Stand der Technik, Implementierungskosten sowie Art, Umfang, Umstände und Zweck der Verarbeitung sowie unterschiedliche Eintrittswahrscheinlichkeiten und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten der Patienten bei der Entscheidung über die Auswahl geeigneter technischer und organisatorischer Maßnahmen zu berücksichtigen. Es geht somit um ein angemessenes und nicht um ein lückenloses Schutzniveau.

Im Fall einer automatisierten Verarbeitung sollten sich der Verantwortliche und ggf. auch der Auftragsverarbeiter unter anderem an folgenden Punkten orientieren:

Zugangskontrolle für Unbefugte
Datenträgerkontrolle (Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern)
Speicherkontrolle (Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten)
Benutzerkontrolle (Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte)
Zugriffskontrolle (Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben)
Übertragungskontrolle (Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können)
Eingabekontrolle (Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind)
Transportkontrolle (Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden)
Wiederherstellbarkeit (Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können)
Zuverlässigkeit (Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden)
Datenintegrität (Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können)
Auftragskontrolle (Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können)
Verfügbarkeitskontrolle (Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind)
Trennbarkeit (Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können)

Viele der genannten Punkte werden Sache der Softwareanbieter sein. Da den verantwortlichen Arzt jedoch auch in Bezug auf die Datensicherheit eine erhöhte Nachweispflicht trifft, wird empfohlen, die Datensicherungsmechanismen der Praxissoftware (Aktualität Betriebssystem, Virenscanner, Firewall) regelmäßig überprüfen zu lassen und diese Überprüfungen hinreichend zu dokumentieren. Zusätzlich könnte vom Praxissoftwareanbieter oder EDV-Dienstleister die schriftliche Bestätigung eingeholt werden, dass die Software den Anforderungen des aktuellen europäischen und nationalen Datenschutzrechts entspricht. Als ein Maßstab kann nach europäischem Recht auch die Einhaltung behördlich genehmigter Zertifizierungsverfahren dienen, die sich etablieren sollen (Art. 32 Abs. 3, 42, 25 Abs. 3 DS-GVO).

Es können künftig deutlich höhere Strafen für Datenschutzverstöße verhängt werden. Die Obergrenze für Geldbußen beträgt nun 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens (Art. 83 Abs. 5 DS-GVO). Arztpraxen, MVZ und Kliniken sollten die gestärkten Eingriffsbefugnisse der Datenschutzbehörden und die verschärften Bußgeldvorschriften als Signal verstehen, dass Datenschutzverletzungen zunehmend ihren Bagatellcharakter verlieren.

Künftig haften – zumindest im Außenverhältnis – alle an der Datenverarbeitung Beteiligte. Um einen wirksamen Schadensersatz für die betroffene Person sicherzustellen, kann jeder Verantwortliche oder jeder Auftragsverarbeiter vom Betroffenen für den gesamten Schaden zunächst in Anspruch genommen werden (Art. 82 Abs. 4, 5 DS-GVO).

Neu ist gemäß § 83 Abs. 2 BDSG-neu ein Schmerzensgeldanspruch für Verbraucher. Anders als nach der DS-GVO kann nunmehr ein betroffener Patient auch wegen eines Schadens, der kein Vermögensschaden ist, eine angemessene Entschädigung in Geld verlangen.

Ebenfalls neu ist, dass Verbraucherschutzverbände künftig auf Auskunft, Löschung oder Schadensersatz klagen können. Die DS-GVO enthält eine Öffnungsklausel, die den Mitgliedstaaten das Recht einräumt, Beschwerde- und Klagemöglichkeiten von Einrichtungen, Organisationen oder Vereinigungen gesetzlich zu regeln (Art. 80 Abs. 2 DS-GVO). Diese Rechte sollen sowohl im Auftrag der von der Datenschutz-verletzung betroffenen Person, aber auch unabhängig von ihr durchgesetzt werden können. Bereits im Februar 2016 wurde in Deutschland hierzu das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ erlassen und mit ihm die neuen Verbandsklagerechte eingeführt.

Erstmalig wird auch auf europäischer Ebene die in Deutschland schon seit langem bestehende Pflicht zur Bestellung eines Datenschutzbeauftragten eingeführt. Eine zentrale Frage von Ärzten zum neuen Datenschutzrecht ist, ab welcher Praxisgröße zwingend ein Datenschutzbeauftragter benannt werden muss. Dies wird derzeit von Datenschutzrechtlern kontrovers diskutiert und auch von Datenschutzbehörden und den ärztlichen Selbstverwaltungskörperschaften noch sehr unterschiedlich ausgelegt. Die nun folgenden Ausführungen dürfen daher lediglich als eines von mehreren Auslegungsergebnissen verstanden werden. Sofern es offizielle Verlautbarungen zum Thema gibt, werden die Mitglieder des Hartmannbundes selbstverständlich zeitnah informiert.

Die DS-GVO gilt vorrangig und unmittelbar. EU-Rat und Europäisches Parlament haben jedoch keine konkreten Zahlen dazu festgelegt, ab welcher Größe ein Unternehmen einen Datenschutzbeauftragten zu benennen hat. Einschlägige Regelungen zur Benennung eines Datenschutzbeauftragten sind die Art. 37 Absatz 1 c und 35 Absatz 3 c DS-GVO. Danach ist zwingend ein Datenschutzbeauftragter in einer Arztpraxis unter anderem dann zu benennen, wenn die Kerntätigkeit in der umfangreichen Verarbeitung der besonderen Kategorien von Daten gemäß Art. 9 DS-GVO besteht, zu denen gemäß Art. 4 Nr. 15 DS-GVO auch die Gesundheitsdaten zählen. Schon das Erheben und Speichern, aber auch das Abfragen und Verwenden dieser Daten ist als Verarbeitung gemäß Art. 4 Nr. 2 DS-GVO zu sehen.

Es stellt sich daher zunächst die Frage, ob es sich bei der üblichen Verarbeitungspraxis von Patientendaten auch um eine „umfangreiche“ Verarbeitung im Sinne der DS-GVO handelt. Hierzu gibt der Wortlaut der DS-GVO leider nichts her und auch seine Erwägungsgründe (insbesondere Erwägungsgrund 97) schweigen diesbezüglich. Da sich der Rechtsbegriff der „umfangreichen Verarbeitung“ von Daten allerdings auch an anderen Stellen der Verordnung wiederfindet, dürfen insofern auch anderweitige Erwägungsgründe zur Auslegung herangezogen werden. So beispielsweise die der Datenschutz-Folgenabschätzung in Art. 35 DS-GVO (Erwägungsgrund 91):

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten (…) betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes (…) erfolgt.“

Danach ist jedenfalls in einer Einzelpraxis in der Regel die umfangreiche Verarbeitung von Gesundheitsdaten zu verneinen. Heißt dies aber auch im Umkehrschluss, dass man unabhängig von der Anzahl der Beschäftigten nach künftigem EU-Recht zumindest bereits in einer Gemeinschaftspraxis einen Datenschutzbeauftragten zu benennen hat?

Genau um diese Frage wird derzeit gerungen, da es sich beim Begriff „einzelner Arzt“ lediglich um die deutsche Übersetzung des „individual physician“ in der englischen Version der DS-GVO handelt. Gemeint sein könnte also auch der individuelle Behandler, der in einer Gemeinschaftspraxis tätig ist. Da jedoch Sinn und Zweck der Datenschutz-Folgenabschätzung ist, Rechte und Freiheiten „einer großen Zahl von Personen“ zu schützen, deren Daten in Prozesse einfließen, „die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene“ zu verarbeiten (Erwägungsgrund 91), wird man in einer Praxis mit einer eher geringen Zahl an Ärzten und Mitarbeitern wohl nicht von einer umfangreichen Datenverarbeitung im Sinne der DS-GVO sprechen können. Insofern unterscheidet sich die Arztpraxis klar von Krankenhäusern, Krankenkassen oder größeren Laboren. Zusätzlich auslegungsrelevant ist die Frage nach der Kerntätigkeit des Arztes i. S. d. Art. 37 Abs. 1 b DS-GVO. Diese Kerntätigkeit liegt -von klinischen Studien evtl. abgesehen- in Arztpraxis und MVZ eher in der ärztlichen Behandlung als in der Datenverarbeitung selbst. Die Article 29 Working Party hat zu dieser Frage bereits Ende 2016 eine Stellungnahme veröffentlicht. Im Zusammenhang mit Erwägungsgrund 97 sei unter der Kerntätigkeit jede Tätigkeit zu verstehen, die essentiell für die Erreichung der Ziele des Unternehmens sind. Die Verarbeitung von Gesundheitsdaten in einem Krankenhaus könnte daher vermutlich erfasst sein.

Die oben genannte Auslegung europäischer Vorgaben deckt sich im Großen und Ganzen mit den künftigen Regelungen des BDSG. Nach § 38 Absatz 1 Satz 1 BDSG-neu ist von der Arztpraxis ein Datenschutzbeauftragter unter anderem dann zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder in der Arztpraxis Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung i. S. d. Artikel 35 DSGVO unterliegen. In Bezug auf das Merkmal „ständig“ ist der Rechtsprechung zum BDSG-alt zu folgen, nach der die Datenverarbeitung nicht die Hauptaufgabe zu sein braucht und es ausreicht, dass die betreffende Person die Aufgabe nur gelegentlich wahrnimmt.

In kleineren Arztpraxen ist ein Datenschutzbeauftragter erforderlich, wenn die Arztpraxis Datenverarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung unterliegen. Wie bereits zur DS-GVO ausgeführt, ist eine Datenschutz-Folgenabschätzung bei umfangreichen Verarbeitungen vonnöten, für die wiederum nur der Einzelarzt bzw. „individuell physician“ explizit ausgenommen ist (s. o.).

Bleibt die Frage, wie sich eine Praxisgemeinschaft aus mehreren Einzelpraxen und mit als zehn Mitarbeitern in Bezug auf die Benennung eines gemeinsamen Datenschutzbeauftragten zu entscheiden hat. Gegen eine Benennung spricht die klare Trennung der Patientenakten und der Abrechnungen und damit die getrennte Datenverarbeitung. Für die Benennung eines Datenschutzbeauftragten spricht -sofern gelebt- die gemeinsame Nutzung der Infrastruktur (Empfangstresen, Computer) und des Personals. Schon aufgrund der immensen Bußgeldrisiken wird die Benennung eines Datenschutzbeauftragten empfohlen. Im Zweifel sollte eine Rückversicherung bei der zuständigen Aufsichtsbehörde für den Datenschutz erfolgen, sofern sich gegen die Benennung eines Datenschutzbeauftragten entschieden wird.

Nach hiesiger Auslegung des europäischen Rechts besteht für ärztliche Einzel- und Gemeinschaftspraxen grundsätzlich weder eine Pflicht, einen Datenschutzbeauftragten zu benennen, noch die grundsätzliche Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Sofern mindestens zehn Personen in einer Arztpraxis mit der Datenverarbeitung betraut sind, besteht auch nach dem neuen deutschen Datenschutzrecht die Pflicht zur Bestellung eines Datenschutzbeauftragten.

Im Zweifel sollte eine Rückversicherung bei der zuständigen Aufsichtsbehörde für den Datenschutz erfolgen, sofern sich gegen die Benennung eines Datenschutzbeauftragten entschieden wird.

Nachtrag (19.04.2018): Die Datenschutzbeauftragten der Länder haben sich im Rahmen der Arbeitsgemeinschaft Gesundheit Mitte März offenbar auf eine Praxisformel zur Bestellung eines Datenschutzbeauftragten in der Arztpraxis geeinigt. Eine „standardmäßige Arztpraxis“ mit weniger als zehn Mitarbeitern (die ständig mit der automatisierten Verarbeitung von Daten beschäftigt sind) benötigt in der Regel keinen Datenschutzbeauftragten. Ab zehn Mitarbeitern oder wenn eine Datenschutzfolgenabschätzung durchzuführen ist, muss ein Datenschutzbeauftragter benannt werden.

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Er kann wie bisher sowohl Beschäftigter der Praxis oder als externer Dienstleister seine Aufgabe erfüllen. Es bleibt auch bei der Verpflichtung der Praxisinhaber, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen. Eigene Weisungs- und Eingriffsbefugnisse des Datenschutzbeauftragten bestehen nach wie vor nicht.

Erweitert wurde die Überwachungsfunktion des Datenschutzbeauftragten, die sich neben der Einhaltung der gesetzlichen Vorgaben auch auf unternehmenseigene Richtlinien bezieht. Zudem wurde seine Funktion als reiner Informationsgeber dahingehend ausgebaut, dass der Datenschutzbeauftragte die Mitarbeiter über ihre jeweiligen datenschutzrechtlichen Pflichten zu unterrichten und diesbezüglich auch zu beraten hat. Der Datenschutzbeauftragte fungiert nach europäischem Recht zudem als Ansprechpartner für die zuständige Datenschutzbehörde; er ist zur Zusammenarbeit verpflichtet (Art. 39 Abs. 1 d und e DS-GVO). Darüber hinaus ist der Datenschutzbeauftragte auch Ansprechpartner der betroffenen Personen, die ihn „zu allen mit der Verarbeitung ihrer personenbezogenen und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen“ dürfen (Art. 38 Abs. 4 DS-GVO). Die genannten Funktionen werden den Datenschutzbeauftragten als Arbeitnehmer zwangsläufig in einen Konflikt mit seinen sich aus dem Arbeitsverhältnis ergebenden Treuepflichten gegenüber dem Arbeitgeber bringen.

Ohne, dass es nach europäischem Recht explizit gefordert oder ein entsprechender Gestaltungsspielraum durch eine Öffnungsklausel vorgegeben wird, behält das deutsche Datenschutzrecht den umfassenden Kündigungsschutz von Datenschutzbeauftragten aufrecht (§ 6 Abs. 4 BDSG-neu).

Bei der Beurteilung der Eignung eines Datenschutzbeauftragten sollte auch berücksichtigt werden, dass beispielsweise leitende Tätigkeiten im Bereich IT oder Personal einer Bestellung zum Datenschutzbeauftragten entgegenstehen könnten, da diese Tätigkeiten zu einem Interessenkonflikt führen könnten (vgl. Art. 38 Abs. 6 DS-GVO).

Die genannten Funktionen und Pflichtenerweiterungen sollten bei der Entscheidung der MVZ- und Praxisinhaber, welcher Mitarbeiter als geeignet erscheint, die Aufgaben des Datenschutzbeauftragten gewissenhaft wahrzunehmen, oder ob ein externer Beauftragter bestellt wird, unbedingt berücksichtigt werden.

Bundesbeauftragter für Datenschutz und Informationssicherheit

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragter) ist eine oberste Bundesbehörde in Sachen Datenschutz. Auf der Homepage unter https://www.bfdi.bund.de/DE/Home/home_node.html sind jede Menge Informationsmaterial, Orientierungshilfen, Musterschreiben, Entschließungen der nationalen oder europäischen Datenschutzkonferenz und weiterführende Links abrufbar (z.B. BfDI Info 6 zur Datenschutz-Grundverordnung).

Düsseldorfer Kreis

Der Düsseldorfer Kreis dient als Gremium in der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder der Kommunikation, Kooperation und Koordinierung der Aufsichtsbehörden im nicht-öffentlichen Bereich. Er berät über die Entwicklung des Datenschutzes und des Datenschutzrechts und veröffentlicht entsprechend dazu. Die Entschließungen des Düsseldorfer Kreises, die zum Teil sehr praxisbezogen sind, können unter anderem auf der Homepage des Bundesbeauftragten für Datenschutz und Informationssicherheit abgerufen werden: https://www.bfdi.bund.de/DE/Infothek/Entschliessungen/DuesseldorferKreis/functions/DKreis_table.html

Landesämter für Datenschutz

Auch die Landesämter für Datenschutz bzw. auf Landesebene übergeordnete Aufsichtsbehörden beraten kompetent zu datenschutzrechtlichen Themen. Auf den jeweiligen Homepages werden regelmäßig aktuelle Informationen und Beiträge zum Datenschutzrecht zur Verfügung gestellt (z.B. Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein unter https://www.datenschutzzentrum.de oder Bayrisches Landesamt für Datenschutz unter http://www.lda.bayern.de).

Europäischer Datenschutzausschuss

Als zentrales Datenschutzgremium auf europäischer Ebene wird der Europäische Datenschutzausschuss eingerichtet (Art. 68 DS-GVO, § 17 BDSG-neu). Der Ausschuss verfügt über eine eigene Rechtspersönlichkeit und besteht aus einem Leiter der Aufsichtsbehörde jedes Mitgliedstaats (für Deutschland der Bundesbeauftragte für Datenschutz) und dem Europäischen Datenschutzbeauftragten.

Article 29 Working Party

Vornehmlich Vertreter der Datenschutzbehörden der Mitgliedstaaten bilden diese europäische Datenschutzgruppe, die bereits im Rahmen der Richtlinie 95/46/EG eingerichtet wurde und die unter anderem Stellungenahmen und Interpretations-leitfäden herausgibt ec.europa.eu/newsroom/just/item-detail.cfm

Die Aufgaben auch der Article 29 Working Party wird auf lange Sicht der Europäische Datenschutzausschuss (s. o.) übernehmen.

Der Europäische Datenschutzbeauftragte („EDPS“)

Der Europäische Datenschutzbeauftragte konntrolliert die Einhaltung der Datenschutzregeln bei der Verarbeitung personenbezogener Daten durch die EU-Verwaltung. Er berät die EU-Organe und -Einrichtungen zu sämtlichen Aspekten der Verarbeitung personenbezogener Daten, bearbeitet Beschwerden und führt Untersuchungen durch. Der Europäische Datenschutzbeauftragte soll zudem Bindeglied zu den nationalen Behörden der EU-Länder werden, um eine einheitiche Datenschutzpolitik zu gewährleisten. Im Rahmen seiner Tätigkeit spielt selbstverständlich auch die Beobachtung der Entwicklung neuer Technologien, die sich auf den Datenschutz auswirken könnten, eine große Rolle.

https://edps.europa.eu/edps-homepage_de

Geplant ist eine enge Zusammenarbeit mit dem EU-Datenschutzausschuss.

IWGDPT / Berlin Group

Die Arbeitsgruppe für den Datenschutz in der Telekommunikation (IWGDPT) – auch bekannt als „Berlin Group“ – beschäftigt sich mit Themen im Bereich der Telekommunikation und vor allem mit Fragen des Datenschutzes im Internet. Die IWGDPT hat zahlreiche Arbeitspapiere erarbeitet, die weltweit Beachtung finden. Zu finden z. B. unter http://www.datenschutz-berlin.de.

EU-Datenschutzgrundverordnung / Bundesdatenschutzgesetz

Individuelle Rechtsberatung

Weitere Informationen