Datenverarbeitung im Praxisalltag
Kein Behandlungsvertrag kommt ohne die Verarbeitung der Daten eines Patienten aus. Weil es sich bei den sogenannten Gesundheitsdaten um besondere Kategorien von personenbezogenen Daten handelt, müssen Sie bei der Datenverarbeitung die Sicherheit dieser gewährleisten. Hierzu sollten Sie die datenschutzrechtlichen Vorgaben kennen und umsetzen. An dieser Stelle wollen wir Ihnen einen kompakten Überblick über die wesentlichen Anforderungen zur Einhaltung dieser Vorgaben geben.
Grundlagen der Datenverarbeitung
Im Grundsatz geht das Gesetz davon aus, dass die Verarbeitung sensibler Gesundheitsdaten nicht erlaubt ist. Von diesem strikten Verbot der Verarbeitung bestehen jedoch Ausnahmen, nämlich immer dann, wenn eine Einwilligung der betroffenen Person vorliegt oder eine gesetzliche Grundlage dies erlaubt (sog. Verbot mit Erlaubnisvorbehalt).
Rechtsgrundlagen
Für die Arztpraxis finden sich die gesetzlichen Grundlagen zur Datenverarbeitung in der Datenschutz-Grundverordnung (DS-GVO) sowie im Bundesdatenschutzgesetz (BDSG). Die bereichsspezifischen Datenschutzgesetze (z. B. SGB V) sowie das BDSG ergänzen in Bestimmten Fällen die allgemeinen Bestimmungen der DS-GVO.
Für die ärztliche Schweigepflicht sind die Regelungen in der Berufsordnung sowie im Strafgesetzbuch (StGB) von maßgeblicher Bedeutung.
Gesetzliche Pflichten und Befugnisse zur Datenverarbeitung
Für die Datenverarbeitung in Ihrer Arztpraxis existieren zahlreiche gesetzliche Befugnisse, aber auch Pflichten, insbesondere für die Übermittlung von Patientendaten. Findet sich im Gesetz eine solche Grundlage für die Verarbeitung von personenbezogenen Daten, so bedarf es keiner Einwilligung durch die betroffene Person. Ausführlichere Informationen hierzu finden Sie in den "Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis".
Einwilligung
Im Rahmen der ärztlichen Behandlung kann die Datenverarbeitung der Gesundheitsdaten in der Regel auf eine gesetzliche Grundlage gestützt werden. In bestimmen Ausnahmefällen liegt jedoch keine gesetzliche Befugnis oder Pflicht vor, sodass die Rechtmäßigkeit der Verarbeitung von einer Einwilligung des Patienten abhängig ist. In bestimmten Fällen schreibt das Gesetz ausdrücklich die Einholung einer Einwilligung vor.
Die Einwilligung des Patienten muss in jedem Falle freiwillig erfolgen.
Hinsichtlich der Form der Einwilligungserklärung bestehen grundsätzlich keine gesetzlichen Vorgaben, sodass diese mündlich, elektronisch oder auch schriftlich erfolgen kann. Aus Beweisgründen sollte die Einwilligungserklärung in schriftlicher Form erfolgen.
Die Einwilligung muss in verständlicher, klarer und einfacher Sprache erfolgen. Der Patient muss den Zweck und den Umfang kennen, zu dem er den Arzt berechtigt, seine personenbezogenen Informationen weiterzugeben (z. B. für die Weiterbehandlung bei einem anderen Arzt).
Die Einwilligungserklärung muss einen Hinweis darauf enthalten, dass der Patient seine Einwilligung jederzeit widerrufen kann.
Bitte beachten Sie, dass eine pauschale Einwilligung in alle denkbaren Varianten der Datenverarbeitung, deren Reichweite der Patient nicht erkennen kann, nicht zulässig ist. Aus der Einwilligung muss sich für den konkreten Einzelfall ergeben, wer in welchem Umfang die personenbezogene Daten verarbeitet und aus welchem Grund (Zweck der Verarbeitung). Die Angaben sollten so präzise wie möglich erfolgen. Im Zusammenhang mit der Übermittlung von Patientendaten muss klar sein, wer der genaue Empfänger sein soll.
Bestellung eines Datenschutzbeauftragten
Der Zweck den der Gesetzgeber mit der Benennung eines Datenschutzbeauftragten verfolgt ist der, dass dem Verantwortlichen bei der Überwachung und Umsetzung der internen Vorgaben zur Einhaltung des Datenschutzes, eine weitere Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts verfügt, zur Seite steht
Ein Datenschutzbeauftragter ist zwingend zu bestellen, wenn mindestens zwanzig Personen regelmäßig Daten automatisiert (z. B. am Computer) verarbeiten. Abzustellen ist dabei auf die in der Praxis tätigen Personen. Es ist unerheblich, ob die Personen in Voll- oder Teilzeit oder als Auszubildende beschäftigt sind. Nicht mitgezählt werden der Praxisinhaber als Verantwortlicher selber oder Externe.
Für kleinere Praxis besteht in der Regel keine gesetzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat dies am 26. April 2018 beschlossen. Den entsprechenden Beschluss zur Bestellpflicht für Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs stellen wir Ihnen an dieser Stelle zur Verfügung.
Als Datenschutzbeauftragter kann entweder ein fachlich qualifizierter Mitarbeiter oder ein externer Datenschützer benannt werden. Dieser kontrolliert in der Arztpraxis die Einhaltung der datenschutzrechtlichen Anforderungen und berät und informiert den Praxisinhaber sowie das Praxisteam in Angelegenheiten des Datenschutzes.
Sofern ein Datenschutzbeauftragter in Ihrer Arztpraxis bestellt wurde, sind dessen Kontaktdaten dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit mitzuteilen.
Verzeichnis von Verarbeitungstätigkeiten
Jeder datenschutzrechtlich Verantwortliche einer Arztpraxis, z. B. dessen Inhaber, ist zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Es dient vorrangig der Datenschutzorganisation in der Arztpraxis. Darin sind alle Verfahren in der Arztpraxis zu erfassen, bei denen personenbezogene Daten verarbeitet (z. B. erhoben, gespeichert, übermittel, gelöscht) werden. Inhaltlich sind folgende Informationen erforderlich:
Name und Kontaktdaten des Verantwortlichen, ggf. des Datenschutzbeauftragten
Benennung der Verarbeitungstätigkeit (z. B. Anlegen einer Patientenakte)
Zweck der Verarbeitung
betroffene Personengruppen (z. B. Patienten)
Datenkategorien (z. B. Personenstammdaten, Gesundheitsdaten)
Empfänger der Daten (z. B. Kassenärztliche Vereinigung)
Löschfristen
allgemeine Beschreibung der technisch-organisatorischen Maßnahmen
Auf Verlangen der Aufsichtsbehörde, muss dieser das Verzeichnis von Verarbeitungstätigkeiten vorgelegt werden. Liegt das Verzeichnis nicht vor, drohen Geldstrafen.
Technisch-organisatorische Maßnahmen
In der Arztpraxis sind bestimmte technische und organisatorische Maßnahmen zu ergreifen, welche die Sicherheit der personenbezogenen Daten gemessen am Risiko gewährleisten.
Bei den technischen und organisatorischen Maßnahmen handelt es sich um Vorkehrungen, welche die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten sollen. Sie sollten schriftlich dokumentiert und in regelmäßigen Abständen auf ihre Wirksamkeit überprüft werden.
Eine abschließende Auflistung, welche Maßnahmen zu ergreifen sind, enthält das Gesetz nicht. Vielmehr sind die zu treffenden Maßnahmen von den besonderen Umständen, der Art der Daten und deren Kosten abhängig. Sie müssen ein dem Risiko angemessenes Schutzniveau gewährleisten. Auch wenn der Schutz zwingend zu gewährleisten ist, dürfen Arztpraxen die Kosten in die Auswahl der Maßnahmen einbeziehen.
Die DS-GVO gibt einige Kriterien vor, welche bei der Auswahl der Maßnahmen berücksichtigt werden müssen. So sollte darauf geachtet werden, dass die getroffenen Maßnahmen dem aktuellen Stand der Technik entsprechen. Da die Entwickelung in diesem Bereich sehr dynamisch verläuft, sollten die ergriffenen Maßnahmen regelmäßig geprüft und bei Bedarf angepasst werden.
Verpflichtung zur Wahrung der Vertraulichkeit
Als Praxisinhaber müssen Sie sicherstellen, dass die Ihnen unterstellten Personen, die in Ihrer Praxis personenbezogene Daten verarbeiten, auf die Wahrung der Vertraulichkeit von personenbezogenen Daten verpflichtet werden.
Wir empfehlen Ihnen, Ihre Mitarbeiter neben der Einhaltung der Schweigepflicht zusätzlich auch zur Wahrung der Vertraulichkeit von personenbezogenen Daten zu verpflichten. Die Verpflichtung muss bei der Aufnahme der Tätigkeit erfolgen. Sie sollte daher möglichst (spätestens) am ersten Arbeitstag vorgenommen werden. Die Beschäftigten müssen darüber informiert werden, was sie in datenschutzrechtlicher Hinsicht bei ihrer täglichen Arbeit beachten müssen.
Patienteninformation über die Datenverarbeitung
Aus Transparenzgesichtspunkten besteht nunmehr die Verpflichtung jeden Patienten über die Datenverarbeitung in der Arztpraxis zu informieren. Dabei handelt es sich um eine reine Information gegenüber dem Patienten auf welcherBasis und zu welchen Zwecken seine Daten in der Arztpraxis verarbeitet werden. Sie bildet dabei nicht die rechtliche Grundlage für die Datenverarbeitung und darf nicht mit der Einwilligungserklärung des Patienten verwechselt werden.
Für die praktische Umsetzung empfiehlt sich ein Aushang in der Arztpraxis oder die Aushändigung eines Informationsblattes an jeden Patienten.
Zu Nachweiszwecken kann ein Vermerk über die erfolgte Information in der Patientenakte vorgenommen werden. Möglich ist aber auch, dass die Arztpraxis einen konkreten Leitfaden entwickelt, in welchem dokumentiert wird, wie der Patient in der Praxis in der Regel die Informationen erhält. Eine Unterschrift des Patienten ist nicht erforderlich.
Zuständige Aufsichtsbehörde für datenschutzrechtliche Angelegenheiten
Die für die in Thüringen niedergelassenen Vertragsärzte zuständige Aufsichtsbehörde für alle datenschutzrechtlichen Belange ist der
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)
Dr. Lutz Hasse
Häßlerstrasse 8
99096 Erfurt
Weitere Informationen und Vordrucke finden Sie auf Internetseite der Aufsichtsbehörde: https://www.tlfdi.de/wir/die-dienststelle/