Datenschutz in der Arztpraxis
Zwischen Arzt und Patient werden naturgemäß sehr sensible personenbezogene Daten ausgetauscht. Daher spielt gerade in der Arztpraxis der Schutz von Patientendaten eine wichtige Rolle. Im Folgenden werden einige der Themen aufgegriffen, zu denen das Unabhängige Datenschutzzentrum Saarland in diesem Zusammenhang Anfragen und Beschwerden erhalten hat.
Zwischen Arzt und Patient besteht ein Behandlungsvertrag, der regelmäßig mündlich zu Stande kommt. Zur Erfüllung dieses Vertrages ist es erforderlich, dass der Arzt und seine direkten Mitarbeiter personenbezogene Daten des Patienten verarbeiten. Dabei handelt es sich meist um Gesundheitsdaten, die zu den besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO zählen. Der Behandlungsvertrag stellt nach Art. 9 Abs. 2 lit. h 2. Hs. DSGVO die rechtliche Grundlage für die Verarbeitung dieser sensiblen Daten dar. In diesem Rahmen ist z. B. auch eine Übermittlung von Patientendaten an die kassenärztliche Vereinigung oder an ärztliche Labore, die zur Diagnostik in die Behandlung einbezogen werden, zulässig. Eine Einwilligung ist insoweit nicht erforderlich und sollte auch nicht „vorsorglich“ eingeholt werden.
In einigen Fällen ist eine Datenübermittlung durch den behandelnden Arzt sogar gesetzlich vorgeschrieben. Dazu zählen z. B. Meldungen an das zuständige Krebsregister oder im Rahmen des Infektionsschutzgesetzes an das Gesundheitsamt.
Eine Einwilligung des Patienten muss nur dann eingeholt werden, wenn ein Gesetz sie ausdrücklich vorsieht (z.B. im Rahmen der hausarztzentrierten Versorgung nach § 73 Abs. 1b SGB V) oder die Verarbeitung über das hinausgeht, was zur Erfüllung des Behandlungsvertrages notwendig ist. Letzteres ist z.B. regelmäßig dann der Fall, wenn die Daten zwecks Abrechnung an eine private Abrechnungsstelle übermittelt werden sollen.
Auch Ärzte trifft die Verpflichtung des Art. 13 DSGVO, wonach die betroffene Person, hier der Patient, über die Verarbeitung seiner personenbezogenen Daten zu informieren ist. Die Verpflichtung kann durch einen Aushang der Informationen in den Praxisräumlichkeiten in Verbindung mit dem Auslegen von Infoblättern, z. B. am Empfangstresen oder im Wartebereich, erfüllt werden. Betreibt die Praxis eine eigene Internetseite, ist eine Veröffentlichung dort ebenfalls sinnvoll. Die Patienten sollten beim ersten Besuch in der Praxis auf die Informationen hingewiesen werden.
Diese Vorgehensweise genügt regelmäßig der Dokumentationspflicht auch gegenüber der datenschutzrechtlichen Aufsichtsbehörde.
Der Patient muss den Erhalt der Informationen nach Art. 13 DSGVO nicht durch Unterschrift bestätigen. Die Verweigerung der Unterschrift in diesem Zusammenhang darf erst recht nicht zu einer Verweigerung der Behandlung führen. Da es diesbezüglich in der Vergangenheit häufig zu Missverständnissen gekommen ist, hat die Datenschutzkonferenz (DSK) einen entsprechenden Beschluss gefasst, der unter nachfolgendem Link aufrufbar ist:
Grundsätzlich gilt auch zwischen Ärzten die ärztliche Schweigepflicht. Die Berufsordnung für die Ärztinnen und Ärzte des Saarlandes sieht aber eine Lockerung vor, wenn mehrere Ärzte gleichzeitig oder nacheinander denselben Patienten untersuchen oder behandeln. In diesem Fall sind sie untereinander insoweit von der Schweigepflicht befreit, als das Einverständnis des Patienten vorliegt oder anzunehmen ist. Teilt der Patient den Namen des mit- oder vorbehandelnden Arztes mit, kann in der Regel davon ausgegangen werden, dass er mit einem Austausch einverstanden ist.
Aus datenschutzrechtlicher Sicht lässt sich der Informationsaustausch unter mit- oder nacheinander behandelnden Ärzten rechtfertigen, wenn er zur erfolgreichen Behandlung des Patienten erforderlich ist. Rechtsgrundlage ist dann wiederum der Behandlungsvertrag nach Art. 9 Abs. 2 lit. h 2. Hs. DSGVO.
Es bietet sich an, Patienten im Rahmen der Information nach Art. 13 DSGVO über einen beabsichtigten Datenaustausch vorab zu unterrichten.
Sofern im Rahmen eines Konsils lediglich eine zweite Meinung zu einem Krankheitsbild eingeholt werden soll, ist zu prüfen, ob dies auch ohne Nennung des Namens des Patienten möglich ist.
In Fällen, in denen der Patient in eine Datenverarbeitung einwilligen muss, ist die Einwilligung zu dokumentieren. Zwar fordert die DSGVO nicht zwingend eine schriftliche Erklärung. Allerdings muss die verantwortliche Stelle, also der Arzt, das Vorliegen der Einwilligung im Zweifel nachweisen können (Art. 7 Abs. 1 DSGVO). Zudem spricht Art. 9 Abs. 2 lit. a DSGVO von einer ausdrücklichen Einwilligung, wenn besondere Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, verarbeitet werden. Daher sollte die Einwilligung des Patienten immer schriftlich eingeholt werden.
Wenn die Patientenakten noch in Papierform geführt werden, ist die unterschriebene Erklärung zur Akte zu nehmen. Soweit eine elektronische Patientenakte geführt wird, die den Vorgaben von Art. 32 DSGVO genügt (z.B. Integrität der Daten), ist es aus datenschutzrechtlicher Sicht nicht erforderlich, das Original zur eingescannten Einwilligung gesondert in Papierform aufzubewahren.
Bei der Versendung von Patientendaten per Fax ist besondere Vorsicht geboten. Kommt es zu einem Fehlversand durch Wählfehler oder Irrläufer, können Unbefugte Zugang zu diesen sensiblen Daten erhalten. Dies kann eine gegenüber der Aufsichtsbehörde und gegebenenfalls gegenüber der betroffenen Person meldepflichtige Datenschutzverletzung darstellen. Daher sollte eine Versendung per Fax möglichst nur in dringenden Fällen erfolgen.
Soweit eine Übermittlung mittels Fax aus organisatorischen Gründen angezeigt ist, muss sichergestellt sein, dass nur der Empfänger selbst Kenntnis vom Inhalt des Faxes erhält. Dazu gehören die regelmäßige Kontrolle gespeicherter Nummern sowie die Prüfung von Sende- und Empfangsprotokollen. Sinnvoll ist es auch, jedem Fax ein Deckblatt voranzustellen, welches den Absender sowie dessen Fax- und Telefonnummer enthält mit der Bitte, einen möglichen Irrläufer beim Absender anzuzeigen und die Nachricht zu vernichten, sofern man nicht der berechtigte Empfänger ist. Das Faxgerät ist in der Praxis so aufzustellen, dass nur berechtigte Personen darauf zugreifen können.
Eine unverschlüsselte E-Mail ist vergleichbar mit einer Postkarte, deren Inhalt leicht von Dritten mitgelesen werden kann. Patientendaten sollten daher nur per verschlüsselter E-Mail versendet werden. Dabei muss das Verschlüsselungsverfahren dem aktuellen Stand der Technik entsprechen (Ende-zu-Ende-Verschlüsselung zwischen Absender und Empfänger statt bloßer Transportverschlüsselung). Die Arztpraxis als verantwortliche Stelle ist dazu verpflichtet, durch technisch-organisatorisch Maßnahmen eine sichere Kommunikation zu gewährleisten. Dieser Verpflichtung kann sich die verantwortliche Stelle auch nicht dadurch entziehen, dass der Patient in eine Übermittlung per einfacher, unverschlüsselter E-Mail einwilligt.
Patientendaten sollten keinesfalls per WhatsApp übermittelt werden. Sie unterliegen in Deutschland einem besonders strengen Schutz. Selbst für Zwecke der Strafverfolgung dürfen Ärzte nicht ohne weiteres gezwungen werden, Patientendaten herauszugeben. Dieser Schutz – auch vor behördlichem Zugriff – ist bei der Nutzung von WhatsApp nicht gewährleistet (Übermittlung der Daten in die USA, Speicherung auf dortigen Servern). Zudem werden bei der Nutzung von WhatsApp die im Handy gespeicherten Kontaktdaten an den Messenger-Dienst übermittelt, unabhängig davon, ob die Kontakte selbst WhatsApp nutzen. Die Verantwortung für die Rechtmäßigkeit der Übermittlung trägt nach Auffassung von WhatsApp der Nutzer, vorliegend also der Arzt. Oft erfolgt diese Übermittlung ohne Rechtsgrundlage, so dass der Nutzer rechtswidrig handelt.
Durch verschiedene organisatorische Maßnahmen lassen sich die Praxisräumlichkeiten datenschutzfreundlich gestalten.
So ist darauf zu achten, dass Patienten und Besucher keinen Zugriff auf Geräte wie Kopierer und Faxgerät haben. PC und Bildschirm sind ebenso vor dem Einblick Unberechtigter zu schützen wie Patientenakten in Papierform oder Karteikarten. Am Empfangstresen müssen die Patienten die Möglichkeit haben, sich anzumelden und den Grund ihres Besuchs zu schildern, ohne dass andere Patienten zuhören können. Im Idealfall wird dies durch eine ausreichend große Diskretionszone umgesetzt. Warte- und Empfangsbereich sollten voneinander getrennt sein. Ist dies aufgrund der räumlichen Gegebenheiten nicht möglich, sind die Beschäftigten anzuweisen, abhängig von der Situation vor Ort die Patienten leise anzusprechen, ohne die jeweilige Erkrankung oder Behandlungsmethode zu nennen.
In den Behandlungsräumen dürfen nur die Daten des jeweiligen Patienten vorhanden sein. Ein PC ist zu sperren, bis der Arzt das Zimmer betritt. Werden in einem größeren Behandlungsraum mehrere Patienten gleichzeitig versorgt (z.B. Dialyse, mehrere Plätze zur Blutabnahme nebeneinander), so dass ein Mithören Dritter nicht vermieden werden kann, sollten nach Möglichkeit keine vertraulichen Dinge besprochen bzw. der Patient gefragt werden, ob er damit einverstanden ist, im Beisein anderer über seine Behandlung zu sprechen oder ob er ein Vier-Augen-Gespräch zu einem späteren Zeitpunkt wünscht.
Das Ansprechen der Patienten mit Namen verstößt aus Sicht des UDZ weder gegen datenschutzrechtliche Vorgaben noch gegen die ärztliche Schweigepflicht; diese gelebte Praxis gehört zum normalen Umgang zwischen Arzt und Patient. Dennoch sollte auch hier mit der nötigen Sensibilität verfahren werden und ggf. in einzelnen Fällen, wie beispielsweise in besonders sensiblen medizinischen Fachbereichen oder bei besonderen räumlichen Gegebenheiten, auf einen namentlichen Aufruf verzichtet werden. Auch sind entgegenstehende Wünsche der Patienten zu berücksichtigen. Ein entsprechender Hinweis kann z.B. durch ein Schild im Empfangsbereich erfolgen.
Arztpraxen gehen mit vielen personenbezogenen Daten um, insbesondere mit sensiblen Daten von Patienten. Deshalb besteht auch für Ärzte die gesetzliche Verpflichtung, ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO zu führen. Aus diesem ist dann ersichtlich, welche Daten zu welchem Zweck verarbeitet werden. Ein unter den Datenschutzaufsichtsbehörden abgestimmtes Formular sowie Ausfüllhinweise können unter folgendem Link aufgerufen werden:
https://www.datenschutz.saarland.de/datenschutz/fuer-verantwortliche#c2197
Seit der Novellierung des § 203 Strafgesetzbuch (StGB), aus dem sich die ärztliche Schweigepflicht ergibt, dürfen Ärzte Daten, die dem Berufsgeheimnis unterliegen, gegenüber Dritten offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Person erforderlich ist. Durch diese Regelung kann nunmehr auch ein Arzt beispielsweise einen externen IT-Dienstleister einschalten, ohne sich strafbar zu machen.
Neben der strafrechtlichen Bewertung stellt sich auch aus datenschutzrechtlicher Sicht die Frage nach der Zulässigkeit einer Inanspruchnahme eines IT-Dienstleisters.
Ein IT-Dienstleister, der Wartung und Betreuung der Hardware und/oder der in der Praxis eingesetzten Verwaltungssoftware übernimmt, ist als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 i.V.m. Art. 28 DSGVO einzuordnen. Daher muss zwischen dem Arzt und der IT-Firma ein entsprechender Vertrag abgeschlossen werden.
Sozialdatenschutz
„Sozialdaten“ im Sinne des Sozialgesetzbuchs sind personenbezogene Daten, die von einem Sozialleistungsträger im Hinblick auf seine Aufgaben verarbeitet werden. Sozialleistungsträger in diesem Sinne sind z. B. Behörden wie Sozialämter und Jobcenter, aber auch die gesetzliche Kranken-, Pflege- und Rentenkassen. Da man hier regelmäßig von einer gewissen Abhängigkeit bzw. einem Ungleichgewicht zwischen der datenverarbeitenden Stelle und der betroffenen Person ausgeht (Über-Unterordnungsverhältnis), unterliegen diese Daten besonderen Schutzvorschriften.
Bereits lange vor Geltung der Datenschutz-Grundverordnung (DSGVO) hat der deutsche Gesetzgeber in den Büchern des Sozialgesetzbuchs (SGB, insbesondere SGB I und SGB X) den Schutz für Sozialdaten gesondert geregelt. Die entsprechenden Vorschriften gelten überwiegend auch nach Anwendbarkeit der DSGVO weiter, wobei zum Teil Anpassungen der Begrifflichkeiten erfolgt sind und Verweise auf die DSGVO-Vorschriften aufgenommen wurden. Soweit das Sozialgesetzbuch keine speziellen Vorgaben enthält, gelten darüber hinaus grundsätzlich die allgemeinen Regelungen der DSGVO auch für Sozialleistungsträger. Als Beispiel ist hier die Informationspflicht nach Art. 13 DSGVO zu nennen, die auch Sozialleistungsträger trifft.
Häufig wenden sich Bezieher von Sozialleistungen an das UDZ mit der Frage, ob die Behörde zu Recht Unterlagen von Ihnen anfordert. Die wichtigste gesetzliche Regelung in diesem Zusammenhang findet sich in § 67a Abs. 1 SGB X. Danach dürfen Sozialdaten erhoben werden, wenn sie für die Erfüllung der Aufgaben des Leistungsträgers erforderlich sind (Grundsatz der Erforderlichkeit). Spezielle Vorschriften, beispielsweise zu den Befugnissen der gesetzlichen Krankenkassen, finden sich in den einzelnen Sozialgesetzbüchern (für die Krankenkasse im SGB V).
Oft sind im Rahmen von Bedürftigkeitsprüfungen die Einkommensverhältnisse des Antragstellers/Versicherten entscheidend für den Anspruch auf eine Leistung. Zwei Beispiele hierzu:
- Jobcenter und Sozialämter dürfen zur Überprüfung des Leistungsanspruchs die Kontoauszüge der letzten drei Monate von Leistungsempfängern anfordern, in begründeten Fällen auch für längere Zeiträume (Rechtsprechung des Bundessozialgerichts). Denn nur wer seine Bedürftigkeit nachweisen kann, hat Anspruch auf Sozialhilfe durch den Staat.
- Krankenkassen dürfen sich Einkommensunterlagen wie z. B. Einkommensteuerbescheide von Versicherten und ggf. auch von deren Familienangehörigen vorlegen lassen, um beispielsweise über den Anspruch auf Familienversicherung entscheiden zu können (Regelungen im SGB V).
In beiden Fällen hat der Sozialleistungsträger allerdings darauf hinzuweisen, dass Informationen, die nicht für die Prüfung des Anspruchs erforderlich sind, durch die Betroffenen geschwärzt werden dürfen. So dürfen auf Kontoauszügen beispielsweise Mitgliedsbeiträge an eine Partei oder auf dem Einkommensteuerbescheid die Religionszugehörigkeit geschwärzt werden.
Detaillierte Informationen zum Thema Sozialdatenschutz stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in der Broschüre Info 3: Sozialdatenschutz – Rechte der Versicherten zur Verfügung, die unter folgendem Link aufgerufen werden kann:
https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO3.html