Er muss dafür sorgen, dass personenbezogene Daten der Patienten und der Praxismitarbeiter sowie von Bewerbern um einen Arbeitsplatz entsprechend den datenschutzrechtlichen Anforderungen verarbeitet werden.
Zulässigkeitsvoraussetzungen
Datenverarbeitungen in Arztpraxen müssen, wie alle anderen auch,
- gesetzlich erlaubt,
- zur Erfüllung eines Vertrags,
- zur Erfüllung einer rechtlichen Verpflichtung,
- zur Wahrung berechtigter Interessen notwendig oder
- auf eine Einwilligung der betroffenen Person gestützt sein.
Im Alltag kann eine Arztpraxis personenbezogene Daten von Patienten danach auf gesetzlicher Grundlage, wie z.B. Sozialgesetzbuch V (SGB) bei gesetzlich versicherten Patienten oder auf Basis des Behandlungsvertrags zwischen Arzt und Patient verarbeiten.
Aufgrund des Behandlungsvertrags werden insbesondere die Gesundheitsdaten verarbeitet. Macht ein Patient einen Termin aus oder betritt er eine Arztpraxis, muss er davon ausgehen, dass seine Daten wie Kontaktdaten, Adresse, aber auch Gesundheitsdaten verarbeitet werden.
Dies geschieht im Rahmen des Behandlungsvertrags.
Wo ist eine Einwilligung nötig?
Für das Verarbeiten solcher Daten, die für die Durchführung der Behandlung erforderlich sind (Zweckbindung), ist keine zusätzliche Einwilligung des Patienten erforderlich.
Allerdings muss der Patient einwilligen, wenn Datenverarbeitungen vorgesehen sind, die über den eigentlichen Behandlungsvertrag hinausgehen.
Das ist z.B. der Fall, wenn die Praxis ihre Patienten an bestimmte Vorsorgeuntersuchungen erinnern möchte.
Einwilligungen der Patienten müssen immer informiert und freiwillig sowie nachweisbar sein. Auf das Widerrufsrecht und die Folgen eines Widerrufs muss der Arzt hinweisen.
Diese Anforderungen lassen sich mit Formulare erfüllen, die die Gegebenheiten, die in der jeweiligen Praxis vorkommen, abdecken. Muster dazu finden Sie z.B. im Ratgeber „QM in der Zahnarztpraxis – Datenschutz nach DS-GVO“ (http://ogy.de/qm-zahnarztpraxis).
Vorsicht bei Einwilligungen von Minderjährigen
Die DSGVO stellt in Art. 8 Minderjährige unter 16 Jahren unter besonderen Schutz. Ausdrücklich gelten die Regeln, die eine Einwilligung der Sorgeberechtigten erforderlich machen, allerdings nur „für Dienste der Informationsgesellschaft“ (siehe Bauer, Heft 12/17, S. 16).
Erwägungsgrund 38 ist da etwas allgemeiner: „… Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen.“
Über das Wörtchen „insbesondere“ lässt sich argumentieren, dass der besondere Minderjährigenschutz auch in der Arztpraxis, die ja besonders sensible Daten wie Gesundheitsdaten verarbeitet, gelten sollte.
Im Übrigen sind Minderjährige in Deutschland zwischen sieben und 18 Jahren nur beschränkt geschäftsfähig (§ 106 Bürgerliches Gesetzbuch) und benötigen zum wirksamen Abschluss von Verträgen die Einwilligung der Eltern.
Bei Minderjährigen unter 16 Jahren empfiehlt es sich also, eine Einwilligung zur Datenverarbeitung immer von den Eltern oder sonstigen Sorgeberechtigten erteilen zu lassen.
Auf der datenschutzrechtlich sicheren Seite sind Ärzte, wenn sie auch bei Minderjährigen zwischen 16 und 18 Jahren die Einwilligung zusätzlich von den Eltern unterzeichnen lassen. Eine Ausnahme gilt nach Erwägungsgrund 38, wenn es sich um Präventions- oder Beratungsdienste – etwa eine Drogenberatung – handelt, die eine Praxis dem Kind unmittelbar anbietet.
Datengeheimnis und ärztliche Schweigepflicht
Die ärztliche Schweigepflicht, die sich aus dem Berufsrecht der Ärzte ergibt, und das Datengeheimnis nach der DSGVO ergänzen sich. Ärzte müssen sie nebeneinander berücksichtigen.
Die Verpflichtung auf das Datengeheimnis ist zwar nicht zwingend vorgeschrieben, aber empfehlenswert, damit der Arzt als Verantwortlicher für den Datenschutz die entsprechenden Nachweise erbringen kann.
Die Schweigepflicht umfasst neben Behandlungsdaten wie Röntgenbildern, Diagnosen, Medikamenten und Verlauf von Erkrankungen auch persönliche Daten wie Adresse und Geburtsdatum sowie familiäre oder berufliche Verhältnisse. Diese Schweigepflicht gilt über den Tod des Patienten hinaus.
Für die Weitergabe von Patientendaten ist grundsätzlich eine Erklärung des Patienten zur Entbindung von der Schweigepflicht erforderlich.
Nur in Ausnahmefällen ist eine solche Schweigepflichtentbindung verzichtbar. Das gilt z.B. bei meldepflichtigen Erkrankungen nach dem Infektionsschutzgesetz oder bei Unfallheilbehandlungen mit Beteiligung der Berufsgenossenschaften.
PRAXIS-TIPP: Im Idealfall verpflichten Ärzte ihre Mitarbeiter auf das Datengeheimnis und auf die Vertraulichkeit im Rahmen der ärztlichen Schweigepflicht.
Die Verpflichtung zur Vertraulichkeit sollten sie auch Auftragsverarbeitern auferlegen mit dem Hinweis, die eigenen Mitarbeiter ebenfalls zu verpflichten.
Bei Weitergabe von Daten streng unterscheiden
Es gibt immer wieder Fälle, in denen Praxen Daten an Externe weitergeben müssen.
Labore
Der klassische Fall ist die Weitergabe von Daten an Labore. Hierbei stellt sich die Frage, ob Einwilligungen oder Auftragsverarbeitungsverträge erforderlich sind.
Nach Einschätzung des Bayrischen Landesamts für Datenschutzaufsicht (BayLDA) liegt bei Einschaltung eines Labors keine Auftragsverarbeitung vor.
Begründung: Es handelt sich um die Beauftragung mit fachlichen Dienstleistungen und nicht um eine Dienstleistung mit Schwerpunkt auf der Verarbeitung personenbezogener Daten.
Ob für die Weitergabe von Daten an ein Labor eine Einwilligung erforderlich ist, hängt nach Auffassung des BayLDA davon ab, ob ein Arzt das Labor betreibt oder nicht.
Bei Betrieb durch einen Arzt soll keine Einwilligung erforderlich sein, da ein Vertrag zwischen Patient und Laborarzt über die Analyse von Körpermaterial zustande kommt.
Nur wenn ein Labor nicht durch einen Arzt als Berufsgeheimnisträger geführt wird, ist danach eine Einwilligung für die Datenübermittlung nötig.
Private Abrechnungsstellen
Ein weiterer häufiger Fall ist die Abrechnung bei Privatpatienten über einen externen Dienstleister, nämlich über eine private Abrechnungsstelle.
Stellt die Abrechnungsstelle nur die Arztrechnung aus, handelt es sich um eine Auftragsverarbeitung. Denn die Abrechnungsstelle wird als verlängerter Arm der Arztpraxis tätig. Eine Einwilligung des Patienten ist nicht erforderlich.
Erstellt die Abrechnungsstelle nicht nur die Rechnung, sondern zieht sie den Rechnungsbetrag als eigene Forderung ein, so ist eine Einwilligung für die Datenübermittlung notwendig.
Bei der externen Abrechnung kommt die Beachtung berufsrechtlicher Anforderungen hinzu.
Es ist zwar nicht eindeutig klar, ob nach der Änderung von § 203 Strafgesetzbuch (Verletzung von Privatgeheimnissen) noch immer eine Schweigepflichtentbindung erforderlich ist.
Auf der sicheren Seite sind Ärzte jedoch, wenn sie für Datenweitergaben eine schriftliche Einwilligung und die Schweigepflichtentbindung von ihren Patienten einholen.
Rechtsanwältin Andrea Gailus
Rechtsanwältin Andrea Gailus ist in eigener Anwaltskanzlei tätig. Sie ist u.a. Autorin für das Buch „QM in der Zahnarztpraxis – Datenschutz nach DSGVO“.
