„Die DSGVO gilt immer und für jeden“
Brauche ich bei der Anforderung von Patientenbefunden aus einer Klinik oder einer anderen Praxis immer eine Schweigepflichtsentbindung des Patienten?
Bertram Raum: Ja – die andere Stelle darf die Informationen nicht weitergeben, wenn keine Erklärung der Schweigepflichtsentbindung vorliegt! Als Mediziner bin ich gegenüber meinen Patienten geheimhaltungsbedürftig: Das Verhältnis besteht von Patient zu Arzt und nicht von Patient zu Ärzteschaft.
Jan Mönikes: Ein Ausnahmefall ist es, wenn die Anfrage lebenswichtig ist und man von dem Betroffenen keine Einwilligung bekommen kann, z.B. wenn er im Koma liegt. Wichtig ist dann, dass sowohl der Arzt, der fragt, als auch derjenige, der die Informationen herausgibt die Situation dokumentieren. Und wir müssen hier unterscheiden: Sofern es zur Behandlung gehört, dürfen Sie durchaus andere Ärzte informieren und involvieren! Also: Beim vorbehandelnden Arzt nach Befunden zu fragen, geht nur mit Einverständnis des Patienten. Informationen an mitbehandelnde Ärzte oder das Labor weiterzugeben, ist über den Behandlungsvertrag abgedeckt und Sie benötigen keine Schweigepflichtsentbindung.
Muss ein Patient generell eine Erlaubnis zur Datenverarbeitung unterschreiben?
Mönikes: Nein. Und machen Sie bitte auch nicht den Fehler und holen sich Einwilligungen ein nach dem Motto „Es schadet doch nichts“: Sie begeben sich damit rechtlich in ein unübersichtliches Gebiet. Sofern Sie eine Rechtsgrundlage wie den Behandlungsvertrag haben, beziehen Sie sich darauf. Dabei müssen wir aber die Einwilligung unterscheiden von der Information. Informieren darüber, was mit seinen Daten passiert, müssen Sie den Patienten immer! Gehen die Daten des Patienten in Erfüllung des Behandlungsvertrages nach Außen, brauchen Sie keine Einwilligungserklärung.
Zum Recht auf Datenportabilität: Was muss der Arzt in welcher Form wem zur Verfügung stellen?
Mönikes: Das ist eben genau eine der Rechtsfolgen, die ich mit einer unnötigen Einwilligungserklärung auslösen kann: Ist diese erstmal unterzeichnet, gilt sie als neue Rechtsgrundlage Ihrer Datenverarbeitung. Damit entsteht der Anspruch auf Datenportabilität erst. Datenportabilität ist etwas anderes als das Recht auf Auskunft. In beiden Fällen hat der Patient das Recht, alles in Kopie zu bekommen, was in der Praxis über ihn gespeichert ist. Bei der Datenportabilität sind die Daten jedoch darüber hinaus so vorzuhalten, dass sie in einem gängigen Format für einen anderen Datenverarbeiter „mitgenommen“ bzw. direkt an eine andere Praxis übertragen werden können. Das Recht auf Auskunft darüber, welche Daten über meine Person gespeichert sind, hat der Patient dagegen jeder Stelle gegenüber. Und es konterkariert die Möglichkeit, die Kopie zu berechnen. Fragt der Patient also nicht nach einer kopierten Akte, sondern er macht seinen Anspruch nach Artikel 15 geltend, müssen Sie ihm das kostenlos zur Verfügung stellen. Das ist bitter.
Raum: Die Datenschutz-Grundverordnung sagt, wenn der Betroffene Anspruch auf eine Kopie seiner Patientenakte hat, dann muss das auch umsonst sein. Macht er das Recht auf Auskunft allerdings erneut geltend, kann man Geld für die weitere Kopie verlangen. Die Ergänzungen, die seitdem in der Patientenakte vorgenommen wurden, muss man ihm allerdings wiederum kostenlos überlassen.
Ein Datenschutzbeauftragter ist bei mehr als zehn Personen Pflicht. Kann er auch bei weniger Mitarbeitern nötig oder ratsam sein?
Raum: Richtig, Praxen mit weniger als zehn Personen müssen keinen Datenschutzbeauftragten benennen. Mitgezählt werden hier nur Mitarbeiter, die tatsächlich mit personenbezogenen Daten zu tun haben. Die MFA gehört also dazu, nicht aber die Putzfrau. Und zu Ihrer Frage – dass Sie nicht müssen, heißt nicht, dass Sie nicht können: Ich halte es auf jeden Fall für sinnvoll, jemanden zu bestimmen, der vor Ort bestimmte Fragen beantworten kann.
Mönikes: Einer der größten Irrtümer, die gerade rumgehen, ist: Wenn ich keinen Datenschutzbeauftragten stelle, gelten auch die Vorschriften der DSGVO nicht für mich. Richtig ist dagegen: Wenn Sie keinen Datenschutzbeauftragten bestellen, müssen Sie es halt irgendwie selbst machen. Raum: Die DSGVO gilt immer und für jeden, auch für Einzelpraxen. Und Sie als Praxischef sind der Verantwortliche im Sinne des Gesetzes. Das heißt übrigens auch: Wenn tatsächlich mal etwas passiert, sind sowieso Sie der Verantwortliche, auch wenn Sie einen Datenschutzbeauftragten haben.
rauchen nicht alle Praxen eine Datenschutzfolgeabschätzung, weil sie mit sensiblen Daten umgehen?
Mönikes: Es gab am Anfang Berater, die gesagt haben: Jeder Arzt geht mit sensiblen Daten um, also muss jeder Arzt auch eine Datenschutzfolgeabschätzung machen. Das würde heißen, dass auch jeder einen Datenschutzbeauftragten benötigt, da hier ein Zusammenhang besteht. Das ist aber Quatsch: Eine Datenschutzfolgeabschätzung ist nur von Belang bei Ärzten, die etwa mit Apps, Telemedizin oder innovativen Projekten arbeiten, in denen Gesundheitsdaten eine Rolle spielen, bzw. in Praxen mit wissenschaftlichem Forschungsbereich.
Raum: Das ergibt sich übrigens auch aus den Erwägungsgründen zur DSGVO, in denen ausdrücklich gesagt wird, dass Ärzte für ihren Bereich keine Datenschutzfolgeabschätzung durchführen müssen. Dem Verordnungsgeber war klar, dass es sozusagen nur zwei oder drei Ärzte zwischen dem Nordkap und Gibraltar gibt, in deren Praxen eine Folgeabschätzung nötig ist.
Ein Verfahrensverzeichnis benötigt jede Praxis. Was gehört dazu?
Mönikes: Ich betreue viele Niedergelassene und es ist immer das Gleiche: Da hat man endlich alles gemacht, was zwingend nötig ist – und dann kommt noch so ein blödes, bürokratisches Verfahrensverzeichnis dazu. Der aktuelle Trend – zu dem ich nicht rate – ist, sich erst daran zu setzen, wenn man schon die Aufforderung hat, es der Behörde vorzulegen. Nehmen Sie sich lieber beizeiten eines der hervorragenden Muster, die es kostenlos bei den Aufsichtsbehörden gibt, als Vorlage. Aber Vorsicht: Nicht einfach den eigenen Namen auf das Muster setzen. Das fliegt Ihnen um die Ohren, wenn Sie das vorlegen! Denn das reine Kopieren würde ja dokumentieren, dass Sie sich keine Gedanken gemacht haben zur Thematik – und darum geht es schließlich. Dann möchte ich noch auf einen Punkt hinweisen, der gerne unterschätzt wird: Ihre größte Schwachstelle ist die IT. Es droht das sehr einträgliche Geschäftsmodell, in Praxen einzudringen, Datenträger zu klauen, und dann „Finderlohn“ zu verlangen. Datenklau passiert also nicht nur virtuell, sondern auch ganz real. Und die schlimmste Konsequenz daraus ist: Sie müssen dann alle Patienten darüber informieren, dass bei Ihnen die Daten nicht sicher verschlüsselt waren.