Seit dem 25. Mai 2018 bestehen mit der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG) geänderte Anforderungen an den Datenschutz auch in der ärztlichen Praxis. Um die Umsetzung der datenschutzrechtlichen Vorgaben in der Praxis zu erleichtern, wird die Ärztekammer Niedersachsen an dieser Stelle Informationen, Empfehlungen und Muster sowie Antworten zu häufig gestellten Fragen bereitstellen.

Bitte beachten Sie, dass auch auf europäischer Ebene noch einige Detailfragen ungeklärt sind. Die Informationen, die wir Ihnen hier zur Verfügung stellen, haben wir – wenn nicht anders gekennzeichnet – mit der Landesbeauftragten für den Datenschutz Niedersachsen als zuständiger Aufsichtsbehörde abgestimmt. Dennoch ist es wahrscheinlich, dass sich auch aufgrund weiterer Gesetzesanpassungen im Laufe der Zeit Änderungen ergeben und daher Anpassungen der hier veröffentlichten Informationen erforderlich werden. Bitte informieren Sie sich daher an dieser Stelle regelmäßig, ob neue Informationen eingestellt wurden.


Fragen und Antworten zur EU-DSGVO

1. Meine Patienten müssen nun über den Datenschutz in meiner Praxis informiert werden. Müssen wirklich alle Patienten eine Unterschrift leisten?

Die Patienten müssen vor der Datenerhebung über die Zwecke der Verarbeitung, der möglichen Empfänger, der Dauer der Speicherung usw. informiert werden (vgl. insbesondere Art. 13 DSGVO). Diese Informationen müssen den Patienten schriftlich zur Verfügung gestellt werden. Arbeits- und zeitsparend kann dies am besten durch einen geeigneten Aushang in der Praxis geschehen. Die KBV hat insoweit eine Muster-Information erarbeitet, welche unter folgendem Link abgerufen werden kann: https://www.kbv.de/html/datensicherheit.php

Es ist nicht erforderlich, dass die Patienten alle eine Unterschrift leisten und hierin einwilligen müssen. Die DSGVO verlangt in diesem Fall lediglich die reine Information. Auf Wunsch ist dem Patienten eine Ablichtung der Information zu übergeben.

2. Wer ist die für den Datenschutz zuständige Aufsichtsbehörde?

In Niedersachsen ist dies die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstr. 5, 30159 Hannover, Tel.: 0511/120-4500, www.lfd.niedersachsen.de, niedersachsen.de 

3. Muss ich einen Datenschutzbeauftragten (DSB) benennen?

Nach der DSGVO sowie ergänzend dem BDSG besteht eine Verpflichtung zur Benennung eines DSB, wenn
- die Verarbeitung von Patientendaten durch 10 oder mehr Personen erfolgt (Die Berechnung erfolgt dabei nach Köpfen und auch der/ die Praxisinhaber ist/ sind einzuberechnen.)

ODER

- eine umfangreiche Verarbeitung von Patientendaten erfolgt;
- eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO zu erstellen ist.

Die Aufsichtsbehörde vertritt die Auffassung, dass in der Regel bei einer Datenverarbeitung von bis zu 9 Personen nicht von einer umfangreichen Verarbeitung auszugehen ist.

Auch eine Datenschutzfolgenabschätzung ist in einer durchschnittlichen Arztpraxis regelmäßig nicht vorzunehmen. Die Landesdatenschutzbeauftragte für den Datenschutz hat nunmehr unter
https://www.lfd.niedersachsen.de/download/131098/Liste_von_Verarbeitungsvorgaengen_nach_Art._35_Abs._4_DS-GVO.pdf
eine Liste veröffentlicht, für welche Verarbeitungsvorgänge eine Datenschutzfolgenabschätzung zwingend erfolgen muss. Ärzte müssen danach beispielsweise eine Datenschutzfolgenabschätzung vornehmen, wenn sie eine Telefonsprechstunde über ein Webportal oder eine App anbieten. Damit hat jeder Arzt, der eine Videosprechstunde nach Anl. 31b BMV-Ä anbietet, eine Datenschutz-Folgenabschätzung vorzunehmen. Ebenfalls erfordert die umfangreiche Weitergabe anonymisierter Daten im Rahmen der medizinischen Forschung die Durchführung einer Datenschutzfolgenabschätzung.

Nähere Informationen zur Bestellung eines DSB finden Sie auch in dem Merkblatt der Landesdatenschutzbeauftragten unter https://www.lfd.niedersachsen.de/startseite/themen/gesundheit/benennung_von_datenschutzbeauftragten_im_gesundheitswesen/datenschutz-im-gesundheitswesen-163647.html

4. Wen kann ich als DSB bestellen? Darf diese Tätigkeit auch ein Angestellter der Praxis übernehmen? Muss ich die Bestellung melden?

Als DSB kann jede Person bestellt werden, die über die erforderlichen Fachkenntnisse im Datenschutzrecht verfügt. Dies kann eine extern zu beauftragende Person aber auch ein Mitarbeiter der Praxis sein. Der Praxisinhaber sowie IT-Verantwortliche können nicht zum DSB bestellt werden. Der Ehegatte kann nur dann zum DSB bestellt werden, wenn er über keinerlei Entscheidungsbefugnisse in der Praxis verfügt.
Erforderliche Fachkenntnisse im Datenschutzrecht können durch Selbststudium und ergänzende Fortbildungen erworben werden. Der DSB ist der Aufsichtsbehörde zu melden. Dies erfolgt per Onlineformular unter www.lfd.niedersachsen.de

5. Kann ich Patientendaten verarbeiten oder weitergeben oder muss der Patient hie-rin stets schriftlich einwilligen?

Bei der ärztlichen Behandlung erfolgt die Datenverarbeitung und ggf. Weitergabe zumeist aufgrund einer gesetzlichen bzw. vertraglichen Grundlage. Eine Einwilligung ist nur erforderlich, wenn es an einer gesetzlichen oder vertraglichen Grundlage fehlt.

Einzelfälle:

  • Patientenversorgung / Behandlung: Rechtsgrundlage für die Datenverarbeitung ist der Behandlungsvertrag
  • Überweisung und in diesem Zusammenhang Datenaustausch / Bericht: Rechtsgrundlage sind der Behandlungsvertrag sowie § 24 Abs. 6 BMV-Ä, § 7 Abs. 7 Berufsordnung der ÄKN
  • Informationsaustausch Haus- und Fachärzte: das  Einverständnis des Patienten ist nach § 73 Abs. 1b SGB V erforderlich
  • Krankenhauseinweisung und in diesem Zusammenhang Datenaustausch / Bericht: Rechtsgrundlage sind der Behandlungsvertrag sowie § 7 Abs. 7 Berufsordnung der ÄKN
  • Laborleistungen und in diesem Zusammenhang Datenaustausch / Bericht: Rechtsgrundlage ist der Behandlungsvertrag
  • Häusliche Krankenpflege: Rechtsgrundlage sind der Behandlungsvertrag und § 27 Abs. 4 BMV-Ä
  • Heimpatienten: Rechtsgrundlage ist der Behandlungsvertrag, zudem enthalten die Heimverträge regelmäßig Schweigepflichtentbindungserklärungen für die behandelnden Ärzte
  • Rezeptübermittlung an Apotheken: generell ist dies nur im Notfall, bei Zytostatikazuberei-tungen und gehunfähigen Patienten wie z.B. auch bei Heimpatienten zulässig. Liegt ein Heim-versorgungsvertrag zwischen Apotheke und Heim vor und möchte der Patient von dieser Be-zugsmöglichkeit Gebrauch machen, ist kein erneutes Einverständnis nötig.
  • Abholung von Rezepten / Überweisungen durch Ehepartner oder Angehörige: erforderlich ist das Einverständnis / die Vollmacht des Patienten. Eine solche kann auch mündlich erteilt und in der Patientendokumentation vermerkt werden.
  • Auskünfte über die Behandlung an Ehepartner und Angehörige: die Einwilligung des Patienten ist erforderlich
  • Übermittlung von Daten an die KVN: Rechtsgrundlage sind die Regelungen SGB V
  • Übermittlung von Daten an die privaten Verrechnungsstellen: nur mit Einwilligung des Patienten möglich
6. Muss eine Einwilligung schriftlich vorliegen?

Nach der DSGVO wird bei der Verarbeitung von Gesundheitsdaten eine ausdrückliche Einwilligung gefordert, die Schriftform wird jedoch nicht verlangt. Es kann daher genügen, wenn Sie in Ihrer Dokumentation vermerken, dass der Patient mit der Datenverarbeitung im Einzelfall einverstanden ist. Im Streitfall müssen Sie das Vorliegen einer Einwilligung jedoch beweisen. Hierfür eignet sich am besten die Schriftform.
Ein Muster für eine Einwilligungserklärung finden Sie hier:

7. Ich habe gehört, dass die DSGVO fordert, dass bei der Behandlung von Kindern immer die Eltern in die Datenverarbeitung einwilligen müssen. Stimmt das?

Die DSGVO enthält bei Kindern einen Einwilligungsvorbehalt der Eltern bei Nutzung von (kostenpflichtigen) Informationsdiensten. Hierunter fällt nicht die ärztliche Behandlung. Allgemein erfolgt auch bei der Behandlung von Kindern die Datenverarbeitung regelmäßig auf einer vertraglichen bzw. gesetzlichen Grundlage. Eine Einwilligung für die Datennutzung brauchen Sie hier – außer in den Fällen der Einbindung privater Verrechnungsstellen – nicht. Ganz generell müssen aber natürlich bei einwilligungsunfähigen Kindern und Jugendlichen die sorgeberechtigten Eltern(teile) in die Behandlung an sich einwilligen.

8. Muss ich von Kollegen und anderen Erklärungen einholen, dass sie die Datenschutzvorgaben einhalten?

In Art. 5 Abs. 1 f) DSGVO ist normiert, dass  personenbezogene Daten in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit").
Diese Anforderungen haben Sie als Praxisinhaber und damit Verantwortlicher für den Datenschutz in Ihrer eigenen Praxis sicherzustellen wie auch andere Einrichtungen / Kollegen etc. dies für ihren eigenen Bereich sicherzustellen haben. Eine Einholung entsprechender Bestätigungen ist diesbezüglich nicht erforderlich.

9. Darf ich für berufliche Belange Fax, E-Mail oder WhatsApp oder andere Messenger-Dienste nutzen?

Die Versendung von Faxen ist unproblematisch, wenn organisatorische Sicherheitsmaßnahmen eingehalten werden (richtige Faxnummer, Fax steht außerhalb von Patientenzugriff etc.).
Die Versendung von Daten per E-Mail darf nur verschlüsselt erfolgen. Verlangt der Patient nach Hinweis für die erheblichen Risiken des unverschlüsselten Emailversands gleichwohl die Übersendung per Mail, kann dies auf sein Risiko erfolgen.
Die Nutzung von WhatsApp ist unzulässig, da WhatsApp Ihr gesamtes Telefonbuch ausliest und die Daten in die USA übermittelt.

Die Datenschutzkonferenz hat jüngst ein Papier zum Einsatz von Messenger Diensten als "White-Paper", also zunächst ohne Wertung, veröffentlicht.

https://www.datenschutzkonferenz-online.de/media/oh/20191106_whitepaper_messenger_krankenhaus_dsk.pdf
 
Danach und nach Auffassung der Landesbeauftragten für den Datenschutz Niedersachsen müssten ein Messenger und das eingesetzte Gerät sehr viele Voraussetzungen erfüllen, um eine datenschutzgerechte Kommunikation zu ermöglichen.
Ein Einsatz ohne eine vorherige und regelmäßige Datenschutzfolgenabschätzung (mit der Folge des Erfordernisses der Bestellung eines Datenschutzbeauftragten) sei nicht denkbar.

10. Ein Patient fordert von mir die Löschung seiner Daten? Kann bzw. muss ich diesem Wunsch nachkommen?

Dem Wunsch des Patienten können Sie als Arzt nicht nachkommen, da Sie gesetzlich (z.B. § 630f BGB, Berufsordnung der ÄKN) zur Aufbewahrung der Behandlungsdokumentation verpflichtet sind. Die Aufbewahrungsfrist beträgt regelmäßig 10 Jahre, nach bspw. dem Strahlenschutzgesetz sogar 30 Jahre. Ebenso kann das Erhalten von Beweismitteln für rechtliche Auseinandersetzungen aufgrund der zivilrechtlichen Verjährungsfristen von bis zu 30 Jahren eine über 10 Jahre hinausgehende Aufbewahrung nach sich ziehen.

11. Darf ich meine Patienten im Wartezimmer noch namentlich aufrufen?

Aus Patientensicht ist es gelebte Praxis, beim Arzt mit Namen angesprochen und aufgerufen zu werden. Niemand möchte eine bloße Nummer sein. Weisen Sie ggf. Ihre Patienten per Aushang auf diesen Umstand hin. Wünscht ein Patient abweichend von dem üblichen namentlichen Aufruf eine unpersönliche Ansprache, ist diesem Wunsch jedoch nachzukommen.

Der folgende Link verweist auf die Internetseite der Datenschutzbeauftragten des Landes Niedersachsen.

Dort finden Sie ebenfalls Antworten auf die häufigsten Fragen zur Auswirkung der Datenschutz-Grundverordnung (DSGVO) im Gesundheitsbereich. Sie gelten für alle Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Physiotherapeutinnen und Physiotherapeuten sowie sonstige heilberuflich tätige Personen.

https://www.lfd.niedersachsen.de/startseite/datenschutzreform/dsgvo/faq/ds-gvo-im-gesundheitsbereich-166950.html


Suche schließen
Drücken Sie ENTER um mit der Suche zu beginnen