newsletter

FAQs und Muster

Die Ärztekammer Niedersachsen informiert zur EU-DSGVO

Seit dem 25.5.2018 bestehen mit der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG) geänderte Anforderungen an den Datenschutz auch in der ärztlichen Praxis. Um die Umsetzung der datenschutzrechtlichen Vorgaben in der Praxis zu erleichtern, wird die Ärztekammer Niedersachsen an dieser Stelle fortlaufend Informationen, Empfehlungen und Muster sowie Antworten zu häufig gestellten Fragen bereitstellen.

Bitte beachten Sie, dass auch auf europäischer Ebene noch einige Detailfragen ungeklärt sind. Die Informationen, die wir Ihnen hier zur Verfügung stellen, haben wir - wenn nicht anders gekennzeichnet - mit der Landesbeauftragten für den Datenschutz Niedersachsen als zuständiger Aufsichtsbehörde abgestimmt. Dennoch ist es wahrscheinlich, dass sich auch aufgrund weiterer Gesetzesanpassungen im Laufe der Zeit Änderungen ergeben und daher Anpassungen der hier veröffentlichten Informationen erforderlich werden. Bitte informieren Sie sich daher an dieser Stelle regelmäßig, ob neue Informationen eingestellt wurden.

1. Meine Patienten müssen nun über den Datenschutz in meiner Praxis informiert werden. Müssen wirklich alle Patienten eine Unterschrift leisten?

Die Patienten müssen nunmehr vor der Datenerhebung über die Zwecke der Verarbeitung, der möglichen Empfänger, der Dauer der Speicherung usw. informiert werden (vgl. insbesondere Art. 13 DSGVO). Diese Informationen müssen den Patienten zur Verfügung gestellt werden. Arbeits- und zeitsparend kann dies am besten durch einen geeigneten Aushang in der Praxis geschehen. Die KBV hat insoweit eine Muster-Information erarbeitet, welche unter diesem Link abgerufen werden kann.

Es ist nicht erforderlich, dass die Patienten alle eine Unterschrift leisten und hierin einwilligen müssen. Die DSGVO verlangt in diesem Fall lediglich die reine Information. Auf Wunsch ist dem Patienten eine Ablichtung der Information zu übergeben.

2. Wer ist die für den Datenschutz zuständige Aufsichtsbehörde?

In Niedersachsen ist dies die Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstr. 5, 30159 Hannover, 0511/120-4500, www.lfd.niedersachsen.de, poststelle@lfd.niedersachsen.de

3. Muss ich einen Datenschutzbeauftragten (DSB) benennen?

Nach der DSGVO sowie ergänzend dem BDSG besteht eine Verpflichtung zur Benennung eines DSB, wenn

  • die Verarbeitung von Patientendaten durch 10 oder mehr Personen erfolgt (die Berechnung erfolgt dabei nach Köpfen und auch der/die Praxisinhaber ist/sind einzuberechnen.)

ODER

  • eine umfangreiche Verarbeitung von Patientendaten erfolgt;
  • eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO zu erstellen ist.

Die Aufsichtsbehörde vertritt die Auffassung, dass in der Regel bei einer Datenverarbeitung von bis zu 9 Personen nicht von einer umfangreichen Verarbeitung auszugehen ist. Auch eine Datenschutzfolgenabschätzung ist in einer durchschnittlichen Arztpraxis regelmäßig nicht vorzunehmen. Die Landesdatenschutzbeauftragte für den Datenschutz hat nunmehr auf ihrer Website eine Liste veröffentlicht, für welche Verarbeitungsvorgänge eine Datenschutzfolgenabschätzung zwingend erfolgen muss. Ärzte müssen danach beispielsweise eine Datenschutzfolgenabschätzung vornehmen, wenn sie eine Telefonsprechstunde über ein Webportal oder eine App anbieten. Damit hat jeder Arzt, der eine Videosprechstunde nach Anl. 31b BMV-Ä anbietet, eine Datenschutz-Folgenabschätzung vorzunehmen. Ebenfalls erfordert die umfangreiche Weitergabe anonymisierter Daten im Rahmen der medizinischen Forschung die Durchführung einer Datenschutzfolgenabschätzung.

Nähere Informationen zur Bestellung eines DSB finden Sie auch in dem Merkblatt der Landesdatenschutzbeauftragten.

4. Wen kann ich als DSB bestellen? Darf diese Tätigkeit auch ein Angestellter der Praxis übernehmen? Muss ich die Bestellung melden?

Als DSB kann jede Person bestellt werden, die über die erforderlichen Fachkenntnisse im Datenschutzrecht verfügt. Dies kann eine extern zu beauftragende Person aber auch ein Mitarbeiter der Praxis sein. Der Praxisinhaber sowie IT-Verantwortliche können nicht zum DSB bestellt werden. Der Ehegatte kann nur dann zum DSB bestellt werden, wenn er über keinerlei Entscheidungsbefugnisse in der Praxis verfügt.

Erforderliche Fachkenntnisse im Datenschutzrecht können durch Selbststudium und ergänzende Fortbildungen erworben werden.

Der DSB ist der Aufsichtsbehörde zu melden. Dies erfolgt per Onlineformular unter www.lfd.niedersachsen.de.

5. Kann ich Patientendaten verarbeiten oder weitergeben oder muss mir der Patient dies immer schriftlich erlauben?

Bei der ärztlichen Behandlung erfolgt die Datenverarbeitung und ggf. Weitergabe zumeist aufgrund einer gesetzlichen bzw. vertraglichen Grundlage. Eine Einwilligung ist nur erforderlich, wenn es an einer gesetzlichen oder vertraglichen Grundlage fehlt.

Einzelfälle:

  • Patientenversorgung / Behandlung: Rechtsgrundlage für die Datenverarbeitung ist der Behandlungsvertrag
  • Überweisung und in diesem Zusammenhang Datenaustausch / Bericht: Behandlungsvertrag sowie § 24 Abs. 6 BMV-Ä, § 7 Abs. 7 Berufsordnung der ÄKN
  • Informationsaustausch Haus- und Fachärzte: schriftliches Einverständnis des Patienten nach § 73 Abs. 1b SGB V
  • Krankenhauseinweisung und in diesem Zusammenhang Datenaustausch / Bericht: Behandlungsvertrag, § 7 Abs. 7 Berufsordnung der ÄKN
  • Laborleistungen und in diesem Zusammenhang Datenaustausch / Bericht: Behandlungsvertrag
  • Häusliche Krankenpflege: Behandlungsvertrag und § 27 Abs. 4 BMV-Ä
  • Heimpatienten: Behandlungsvertrag, zudem enthalten die Heimverträge regelmäßig Schweigepflichtentbindungserklärungen für die behandelnden Ärzte
  • Rezeptübermittlung an Apotheken: generell nur im Notfall, bei Zytostatikazubereitungen und gehunfähigen Patienten zulässig wie z.B. auch bei Heimpatienten. Liegt ein Heimversorgungsvertrag zwischen Apotheke und Heim vor und möchte der Patient von dieser Bezugsmöglichkeit Gebrauch machen, ist kein erneutes Einverständnis nötig. Im Übrigen erfolgt die Rezeptübermittlung mit (konkludentem) Einverständnis des Patienten.
  • Abholung von Rezepten / Überweisungen durch Ehepartner oder Angehörige: Einverständnis / Vollmacht des Patienten. Eine solche kann auch mündlich erteilt und in der Patientendokumentation vermerkt werden.
  • Auskünfte über die Behandlung an Ehepartner und Angehörige: Einwilligung
  • Übermittlung von Daten an die KVN: SGB V
  • Übermittlung von Daten an die privaten Verrechnungsstellen: nur mit Einwilligung

6. Muss eine Einwilligung schriftlich vorliegen?

Nach der DSGVO wird bei der Verarbeitung von Gesundheitsdatensystem eine ausdrückliche Einwilligung gefordert, die Schriftform wird jedoch nicht verlangt. Es kann daher genügen, wenn Sie in Ihrer Dokumentation vermerken, dass der Patient mit der Datenverarbeitung im Einzelfall einverstanden ist. Im Streitfall müssen Sie das Vorliegen einer Einwilligung jedoch beweisen. Hierfür eignet sich am besten die Schriftform. Bei der Datenübermittlung nach § 73 Abs. 1b SGB V wird die Schriftform explizit gefordert.

Hier finden Sie Muster für Einwilligungserklärungen:

7. Ich habe gehört, dass die DSGVO fordert, dass bei der Behandlung von Kindern immer die Eltern in die Datenverarbeitung einwilligen müssen. Stimmt das?

Die DSGVO enthält bei Kindern einen Einwilligungsvorbehalt der Eltern bei Nutzung von (kostenpflichtigen) Informationsdiensten. Hierunter fällt nicht die ärztliche Behandlung. Allgemein erfolgt auch bei der Behandlung von Kindern die Datenverarbeitung regelmäßig auf einer vertraglichen bzw. gesetzlichen Grundlage. Eine Einwilligung für die Datennutzung brauchen Sie hier - außer in den Fällen der Einbindung privater Verrechnungsstellen - nicht. Ganz generell müssen aber natürlich bei einwilligungsunfähigen Kindern und Jugendlichen die sorgeberechtigten Eltern(teile) in die Behandlung an sich einwilligen.

8. Muss ich von Kollegen und anderen Erklärungen einholen, dass sie die Datenschutzvorgaben einhalten?

In Art. 5 Abs. 1 f) DSGVO ist normiert, dass personenbezogene Daten in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit"). Diese Anforderungen haben Sie als Praxisinhaber und damit Verantwortlicher für den Datenschutz in Ihrer eigenen Praxis sicherzustellen wie auch andere Einrichtungen / Kollegen etc. dies für ihren eigenen Bereich sicherzustellen haben. Eine Einholung entsprechender Bestätigungen ist diesbezüglich nicht erforderlich.

9. Darf ich für berufliche Belange Fax, E-Mail oder WhatsApp nutzen?

Die Versendung von Faxen wird seitens der Landesbeauftragten für den Datenschutz zunehmend als problematisch erachtet. Vor dem Hintergrund der nahezu flächendeckenden Umstellung auf VoiceoverIP sei das Fax ähnlich wie eine unverschlüsselte Email zu betrachten. Die Landesbeauftragte empfiehlt daher, das Fax nur noch im eilbedürftigen Notfall einzusetzen. Bitte stellen Sie in diesem Fall ergänzend sicher, dass organisatorische Sicherheitsmaßnahmen eingehalten werden (richtige Faxnummer, Fax steht außerhalb von Patientenzugriff etc.).

Die Versendung von Daten per E-Mail darf nur verschlüsselt erfolgen. Verlangt der Patient nach Hinweis für die erheblichen Risiken des unverschlüsselten Emailversands gleichwohl die Übersendung per Mail, kann dies auf sein Risiko erfolgen.

Die Nutzung von WhatsApp ist unzulässig, da WhatsApp Ihr gesamtes Telefonbuch ausliest und die Daten in die USA übermittelt.

10. Ein Patient fordert von mir die Löschung seiner Daten? Kann bzw. muss ich diesem Wunsch nachkommen?

Dem Wunsch des Patienten können Sie als Arzt nicht nachkommen, da Sie gesetzlich (z.B. § 630f BGB, Berufsordnung der ÄKN) zur Aufbewahrung der Behandlungsdokumentation verpflichtet sind. Die Aufbewahrungsfrist beträgt regelmäßig 10 Jahre, nach bspw. der Röntgenverordnung oder der Strahlenschutzverordnung sogar 30 Jahre. Ebenso kann das Erhalten von Beweismitteln für rechtliche Auseinandersetzungen aufgrund der zivilrechtlichen Verjährungsfristen von bis zu 30 Jahren eine über 10 Jahre hinausgehende Aufbewahrung nach sich ziehen.

11. Darf ich meine Patienten im Wartezimmer noch namentlich aufrufen?

Aus Patientensicht ist es gelebte Praxis, beim Arzt mit Namen angesprochen und aufgerufen zu werden. Niemand möchte eine bloße Nummer sein. Weisen Sie ggf. Ihre Patienten per Aushang auf diesen Umstand hin. Wünscht ein Patient abweichend von dem üblichen namentlichen Aufruf eine unpersönliche Ansprache, ist diesem Wunsch jedoch nachzukommen.


Der folgende Link verweist auf die Internetseite der Datenschutzbeauftragten des Landes Niedersachsen.

Dort finden Sie ebenfalls Antworten auf die häufigsten Fragen zur Auswirkung der Datenschutz-Grundverordnung (DSGVO) im Gesundheitsbereich. Sie gelten für alle Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Physiotherapeutinnen und Physiotherapeuten sowie sonstige heilberuflich tätige Personen.

http://www.lfd.niedersachsen.de/startseite/datenschutzreform/dsgvo/faq/ds-gvo-im-gesundheitsbereich-166950.html

 

 

Dokument erstellt am 26. Oktober 2018, zuletzt aktualisiert am 26. Oktober 2018