Heilberufler kommen täglich mit besonders sensiblen Daten in Kontakt. Da liegt es auf der Hand, dass auch für Arztpraxen, Apotheken & Co die Regelungen der DSGVO gelten. Es stellt sich daher die Frage, was ist zu tun und welche Vorgaben sind zu beachten? Wichtig ist insbesondere, dass sich Regelungen für Heilberufler nicht nur in der DSGVO finden, sondern auch das neue, seit dem 25.05.2018 geltende, Bundesdatenschutzgesetz (BDSG) greift. Hierin finden sich weitere relevante Vorschriften und Konkretisierungen. Das Unabhängige Landeszentrum für Datenschutz (ULD), die Aufsichtsbehörde von Schleswig-Holstein, hat dazu einen Leitfaden veröffentlich. Hier eine Zusammenfassung der wichtigsten Aspekte:
Verantwortlicher?
Bei Heilberuflern ist Verantwortlicher der Betreiber / die Betreiberin der Praxis, Apotheke oder vergleichbaren Einrichtung. Ihnen obliegen nach der DSGVO und dem BDSG umfassende Dokumentations- und Informationspflichten.
Rechtsgrundlage – Wann ist eine Einwilligung erforderlich?
Die Verarbeitung personenbezogener Daten ist laut DSGVO nur bei ausdrücklicher Rechtsgrundlage zulässig. Eine solche kann in einem Vertrag, einer Einwilligung oder einer gesetzlichen Grundlage liegen.
In Arztpraxen, Apotheken & Co. ist diese Grundlage meist ein Vertrag mit dem Patienten. Daten, die zur ordnungsgemäßen Begründung, Durchführung und/oder Beendigung des Vertrags benötigt werden, dürfen zu diesem Zweck verarbeitet werden. Darunter fallen beispielsweise Name, Anschrift und die Versichertennummer sowie sämtliche Berichte, die Krankenakte usw.
Zusätzliche Dienste, die über die bloße Vertragserfüllung hinausgehen, bedürfen dagegen einer Einwilligung der betroffenen Person.
Praxis-Hinweis: Auch wenn die DSGVO keine Form für die Einwilligung vorschreibt, sollte der Behandelnde eine Einwilligung möglichst in Schrift- oder Textform bei dem Pateinten erfragen. Denn er trägt die Beweislast für die ordnungsgemäß erteilte Einwilligung des Betroffenen. Am besten eignet sich ein unterschriebenes Formular.
Eine Einwilligung ist ebenfalls bei der Datenweitergabe von Privatpatienten an PVS und private Verrechnungsstellen oder bei der Bonitätsprüfung von Privatpatienten erforderlich.
Informationspflichten
Ziel der Informationspflicht der DSGVO ist es, Transparenz und Verständnis zu schaffen. Deshalb muss der Patient insbesondere folgende Informationen erhalten:
- Kontaktdaten des Verantwortlichen
- Zweck der Datenerhebung
- Zugriffsberechtigte auf die personenbezogenen Daten
- Speicherdauer
- Rechte der betroffenen Person (Auskunftsrecht, Recht auf Löschung, Datenübertragbarkeit, Beschwerderecht bei der Datenschutzbehörde)
- Widerruflichkeit der Einwilligung
Werden die Daten bei einem Dritten erhoben, kommt noch hinzu:
- um welche Datenkategorie es sich handelt und
- aus welcher Datenquelle sie entnommen wurden.
Wichtig! Die Informationserteilung muss in engem zeitlichen Zusammenhang zur Datenerhebung liegen.
Praxis-Hinweis : Patienten sollten standardmäßig eine Zusammenfassung der wichtigsten Informationen übergeben und dies im System vermerkt werden. Wer auf Nummer sicher gehen will, lässt sich die Aushändigung der Information schriftlich bestätigen.
Verzeichnis von Verarbeitungstätigkeiten
Der Verantwortliche ist verpflichtet, ein Verzeichnis aller Verarbeitungsvorgänge zu führen.
Beachte! In das Verzeichnis müssen auch teil-automatisierte und gänzlich manuelle Vorgänge aufgenommen werden.
Nähere Informationen zum Verzeichnis von Verarbeitungstätigkeiten finden sich in einer Veröffentlichung der Datenschutzkonferenz (DSK), Kurzpapier Nr. 1.
Datenschutzbeauftragter
Ein Datenschutzbeauftragter in einer nichtöffentlichen Stelle muss dann benannt werden, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Im Bereich der Heilberufe fällt darunter medizinisches und Hilfspersonal, aber auch Verwaltungskräfte – also alle Personen, die Daten von Patienten verarbeiten. Handelt es sich bei der Praxis um eine öffentliche Stelle muss immer ein Datenschutzbeauftragter benannt werden.
Die Pflicht zur Benennung eines Datenschutzbeauftragten besteht außerdem auch dann, wenn die Verarbeitung von personenbezogenen Daten im Mittelpunkt der Tätigkeit des Verantwortlichen steht. Das ist z.B. in Krankenhäusern oder Pflegeeinrichtungen der Fall. Bei Arztpraxen und Apotheken muss regelmäßig eine Einzelfallentscheidung getroffen werden, wie umfangreich die Datenverarbeitung sich gestaltet.
Muss ein Datenschutzbeauftragter benannt werden, so kann dies jemand aus dem eigenen Personal oder auch ein Externer sein. Entscheidend ist, dass er die notwendige Fachkenntnis besitzt.
Die Notwendigkeit einer Datenschutz-Folgenabschätzung
Birgt ein Datenverarbeitungsverfahren besonders hohe Risiken für die Rechte der Betroffenen, verlangt die DSGVO eine sogenannte „Datenschutz-Folgenabschätzung“. Ziel ist dabei, die möglichen Gefahren, die durch das spezifische Verfahren oder sensible personenbezogene Daten entstehen, frühzeitig zu identifizieren und Lösungsansätze zu formulieren, wodurch die Risiken minimiert werden.
Das bayerische Landesamt für Datenschutzaufsicht (LDA) sieht bei Arztpraxen grundsätzlich keine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Selbst wenn es sich um Gesundheitsdaten handele, sei nicht automatisch ein erhöhtes Risiko bei der Datenverarbeitung anzunehmen.
Wichtig! Das heißt allerdings nicht, dass in Arztpraxen & Co. generell kein Erfordernis für eine Datenschutz-Folgenabschätzung besteht. Eine pauschale Abgrenzung, ab wann eine Datenschutz-Folgenabschätzung notwendig wird, ist auf Grund der Neuheit der Regelung (noch) nicht möglich. Daher sollte stets im Einzelfall geprüft werden, ob eine solche erforderlich ist!
Weitere Informationen hierzu und zur Durchführung einer Datenschutz-Folgenabschätzung sind im Kurzpapier Nr. 5 der DSK zu finden.
Allgemeine Pflichten
Neben den besonderen Bestimmungen für Heilberufler gelten aber auch die allgemeinen Pflichten. Dazu gehören insbesondere die Grundsätze der Datenminimierung, der Integrität und Vertraulichkeit, Löschungspflichten (in Arztpraxen regelmäßig 10 Jahre), Auskunftspflichten (siehe hierfür Kurzpapier Nr. 6 der DSK) und die Rechenschaftspflicht.
Als Orientierungshilfe hat das ULD einen Selbstcheck für Arztpraxen herausgegeben und die Bundesärztekammer hat ein Merkblatt für Arztpraxen veröffentlicht.
Autor: Yvonne Quad
Für Fragen rund um diese Thematik sprechen Sie uns bitte gerne an.