newsletter

Arzt Spezial

Arzt Spezial

Arzt Spezial

Arzt Spezial

Arzt Spezial

Arzt Spezial

FAQs und Muster

Fragen und Antworten zur EU-DSGVO

 

1. Meine Patienten müssen nun über den Datenschutz in meiner Praxis informiert werden. Müssen wirklich alle Patienten eine Unterschrift leisten?

Die Patienten müssen nunmehr vor der Datenerhebung über die Zwecke der Verarbeitung, der möglichen Empfänger, der Dauer der Speicherung usw. informiert werden (vgl. insbesondere Art. 13 DSGVO). Diese Informationen müssen den Patienten zur Verfügung gestellt werden. Arbeits- und zeitsparend kann dies am besten durch einen geeigneten Aushang in der Praxis geschehen. Die KBV hat insoweit eine Muster-Information erarbeitet, welche unter diesem Link abgerufen werden kann.

Es ist nicht erforderlich, dass die Patienten alle eine Unterschrift leisten und hierin einwilligen müssen. Die DSGVO verlangt in diesem Fall lediglich die reine Information. Auf Wunsch ist dem Patienten eine Ablichtung der Information zu übergeben.

2. Wer ist die für den Datenschutz zuständige Aufsichtsbehörde?

In Niedersachsen ist dies die Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstr. 5, 30159 Hannover, 0511/120-4500, www.lfd.niedersachsen.de, poststelle@lfd.niedersachsen.de

3. Muss ich einen Datenschutzbeauftragten (DSB) benennen?

Nach der DSGVO sowie ergänzend dem BDSG besteht eine Verpflichtung zur Benennung eines DSB, wenn

  • die Verarbeitung von Patientendaten durch 10 oder mehr Personen erfolgt (die Berechnung erfolgt dabei nach Köpfen und auch der/die Praxisinhaber ist/sind einzuberechnen.)

ODER

  • eine umfangreiche Verarbeitung von Patientendaten erfolgt;
  • eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO zu erstellen ist.

Die Aufsichtsbehörde vertritt die Auffassung, dass in der Regel bei einer Datenverarbeitung von bis zu 9 Personen nicht von einer umfangreichen Verarbeitung auszugehen ist. Auch eine Datenschutzfolgenabschätzung ist in einer durchschnittlichen Arztpraxis regelmäßig nicht vorzunehmen. Die Landesdatenschutzbeauftragte für den Datenschutz hat nunmehr auf ihrer Website eine Liste veröffentlicht, für welche Verarbeitungsvorgänge eine Datenschutzfolgenabschätzung zwingend erfolgen muss. Ärzte müssen danach beispielsweise eine Datenschutzfolgenabschätzung vornehmen, wenn sie eine Telefonsprechstunde über ein Webportal oder eine App anbieten. Damit hat jeder Arzt, der eine Videosprechstunde nach Anl. 31b BMV-Ä anbietet, eine Datenschutz-Folgenabschätzung vorzunehmen. Ebenfalls erfordert die umfangreiche Weitergabe anonymisierter Daten im Rahmen der medizinischen Forschung die Durchführung einer Datenschutzfolgenabschätzung.

Nähere Informationen zur Bestellung eines DSB finden Sie auch in dem Merkblatt der Landesdatenschutzbeauftragten.

4. Wen kann ich als DSB bestellen? Darf diese Tätigkeit auch ein Angestellter der Praxis übernehmen? Muss ich die Bestellung melden?

Als DSB kann jede Person bestellt werden, die über die erforderlichen Fachkenntnisse im Datenschutzrecht verfügt. Dies kann eine extern zu beauftragende Person aber auch ein Mitarbeiter der Praxis sein. Der Praxisinhaber sowie IT-Verantwortliche können nicht zum DSB bestellt werden. Der Ehegatte kann nur dann zum DSB bestellt werden, wenn er über keinerlei Entscheidungsbefugnisse in der Praxis verfügt.

Erforderliche Fachkenntnisse im Datenschutzrecht können durch Selbststudium und ergänzende Fortbildungen erworben werden.

Der DSB ist der Aufsichtsbehörde zu melden. Dies erfolgt per Onlineformular unter www.lfd.niedersachsen.de.

5. Kann ich Patientendaten verarbeiten oder weitergeben oder muss der Patient hierin stets schriftlich einwilligen?

Bei der ärztlichen Behandlung erfolgt die Datenverarbeitung und ggf. Weitergabe zumeist aufgrund einer gesetzlichen bzw. vertraglichen Grundlage. Eine Einwilligung ist nur erforderlich, wenn es an einer gesetzlichen oder vertraglichen Grundlage fehlt.

Einzelfälle:

  • Patientenversorgung / Behandlung: Rechtsgrundlage für die Datenverarbeitung ist der Behandlungsvertrag
  • Überweisung und in diesem Zusammenhang Datenaustausch / Bericht: Behandlungsvertrag sowie § 24 Abs. 6 BMV-Ä, § 7 Abs. 7 Berufsordnung der ÄKN
  • Informationsaustausch Haus- und Fachärzte: das Einverständnis des Patienten ist nach § 73 Abs. 1b SGB V erforderlich
  • Krankenhauseinweisung und in diesem Zusammenhang Datenaustausch / Bericht: Behandlungsvertrag, § 7 Abs. 7 Berufsordnung der ÄKN
  • Laborleistungen und in diesem Zusammenhang Datenaustausch / Bericht: Behandlungsvertrag
  • Häusliche Krankenpflege: Behandlungsvertrag und § 27 Abs. 4 BMV-Ä
  • Heimpatienten: Behandlungsvertrag, zudem enthalten die Heimverträge regelmäßig Schweigepflichtentbindungserklärungen für die behandelnden Ärzte
  • Rezeptübermittlung an Apotheken: generell ist dies nur im Notfall, bei Zytostatikazubereitungen und gehunfähigen Patienten wie z.B. auch bei Heimpatienten zulässig. Liegt ein Heimversorgungsvertrag zwischen Apotheke und Heim vor und möchte der Patient von dieser Bezugsmöglichkeit Gebrauch machen, ist kein erneutes Einverständnis nötig.
  • Abholung von Rezepten / Überweisungen durch Ehepartner oder Angehörige: erforderlich ist das Einverständnis / die Vollmacht des Patienten. Eine solche kann auch mündlich erteilt und in der Patientendokumentation vermerkt werden.
  • Auskünfte über die Behandlung an Ehepartner und Angehörige: Einwilligung
  • Übermittlung von Daten an die KVN: SGB V
  • Übermittlung von Daten an die privaten Verrechnungsstellen: nur mit Einwilligung

6. Muss eine Einwilligung schriftlich vorliegen?

Nach der DSGVO wird bei der Verarbeitung von Gesundheitsdatensystem eine ausdrückliche Einwilligung gefordert, die Schriftform wird jedoch nicht verlangt. Es kann daher genügen, wenn Sie in Ihrer Dokumentation vermerken, dass der Patient mit der Datenverarbeitung im Einzelfall einverstanden ist. Im Streitfall müssen Sie das Vorliegen einer Einwilligung jedoch beweisen. Hierfür eignet sich am besten die Schriftform. Bei der Datenübermittlung nach § 73 Abs. 1b SGB V wird die Schriftform explizit gefordert.

Hier finden Sie Muster für Einwilligungserklärungen:

7. Ich habe gehört, dass die DSGVO fordert, dass bei der Behandlung von Kindern immer die Eltern in die Datenverarbeitung einwilligen müssen. Stimmt das?

Die DSGVO enthält bei Kindern einen Einwilligungsvorbehalt der Eltern bei Nutzung von (kostenpflichtigen) Informationsdiensten. Hierunter fällt nicht die ärztliche Behandlung. Allgemein erfolgt auch bei der Behandlung von Kindern die Datenverarbeitung regelmäßig auf einer vertraglichen bzw. gesetzlichen Grundlage. Eine Einwilligung für die Datennutzung brauchen Sie hier - außer in den Fällen der Einbindung privater Verrechnungsstellen - nicht. Ganz generell müssen aber natürlich bei einwilligungsunfähigen Kindern und Jugendlichen die sorgeberechtigten Eltern(teile) in die Behandlung an sich einwilligen.

8. Muss ich von Kollegen und anderen Erklärungen einholen, dass sie die Datenschutzvorgaben einhalten?

In Art. 5 Abs. 1 f) DSGVO ist normiert, dass personenbezogene Daten in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit"). Diese Anforderungen haben Sie als Praxisinhaber und damit Verantwortlicher für den Datenschutz in Ihrer eigenen Praxis sicherzustellen wie auch andere Einrichtungen / Kollegen etc. dies für ihren eigenen Bereich sicherzustellen haben. Eine Einholung entsprechender Bestätigungen ist diesbezüglich nicht erforderlich.

9. Darf ich für berufliche Belange Fax, E-Mail oder WhatsApp oder andere Messenger-Dienste  nutzen?

Die Versendung von Faxen ist unproblematisch, wenn organisatorische Sicherheitsmaßnahmen eingehalten werden (richtige Faxnummer, Fax steht außerhalb von Patientenzugriff etc.).

Die Versendung von Daten per E-Mail darf nur verschlüsselt erfolgen. Verlangt der Patient nach Hinweis für die erheblichen Risiken des unverschlüsselten Emailversands gleichwohl die Übersendung per Mail, kann dies auf sein Risiko erfolgen.

Die Nutzung von WhatsApp ist unzulässig, da WhatsApp Ihr gesamtes Telefonbuch ausliest und die Daten in die USA übermittelt.

Die Datenschutzkonferenz hat jüngst ein Papier zum Einsatz von Messenger Diensten als "White-Paper", also zunächst ohne Wertung, veröffentlicht.
 
https://www.datenschutzkonferenz-online.de/media/oh/20191106_whitepaper_messenger_krankenhaus_dsk.pdf
 
Danach und nach Auffassung der Landesbeauftragten für den Datenschutz Niedersachsen müssten ein Messenger und das eingesetzte Gerät sehr viele Voraussetzungen erfüllen, um eine datenschutzgerechte Kommunikation zu ermöglichen.

Ein Einsatz ohne eine vorherige und regelmäßige Datenschutzfolgenabschätzung (mit der Folge des Erfordernisses der Bestellung eines Datenschutzbeauftragten) sei nicht denkbar.

10. Ein Patient fordert von mir die Löschung seiner Daten? Kann bzw. muss ich diesem Wunsch nachkommen?

Dem Wunsch des Patienten können Sie als Arzt nicht nachkommen, da Sie gesetzlich (z.B. § 630f BGB, Berufsordnung der ÄKN) zur Aufbewahrung der Behandlungsdokumentation verpflichtet sind. Die Aufbewahrungsfrist beträgt regelmäßig 10 Jahre, nach bspw. dem Strahlenschutzgesetz sogar 30 Jahre. Ebenso kann das Erhalten von Beweismitteln für rechtliche Auseinandersetzungen aufgrund der zivilrechtlichen Verjährungsfristen von bis zu 30 Jahren eine über 10 Jahre hinausgehende Aufbewahrung nach sich ziehen.

11. Darf ich meine Patienten im Wartezimmer noch namentlich aufrufen?

Aus Patientensicht ist es gelebte Praxis, beim Arzt mit Namen angesprochen und aufgerufen zu werden. Niemand möchte eine bloße Nummer sein. Weisen Sie ggf. Ihre Patienten per Aushang auf diesen Umstand hin. Wünscht ein Patient abweichend von dem üblichen namentlichen Aufruf eine unpersönliche Ansprache, ist diesem Wunsch jedoch nachzukommen.


Der folgende Link verweist auf die Internetseite der Datenschutzbeauftragten des Landes Niedersachsen.

Dort finden Sie ebenfalls Antworten auf die häufigsten Fragen zur Auswirkung der Datenschutz-Grundverordnung (DSGVO) im Gesundheitsbereich. Sie gelten für alle Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Physiotherapeutinnen und Physiotherapeuten sowie sonstige heilberuflich tätige Personen.

http://www.lfd.niedersachsen.de/startseite/datenschutzreform/dsgvo/faq/ds-gvo-im-gesundheitsbereich-166950.html

 

 

Dokument erstellt am 26. Oktober 2018, zuletzt aktualisiert am 16. Januar 2020