„Übliche Arztpraxen“ bleiben von Datenschutzbeauftragtem und Folgeabschätzung weitgehend verschont
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat erstmals konkrete Aussagen dazu getroffen, wie es sich eine Auslegung der am 25. Mai europaweit in Kraft tretenden Datenschutzgrundverordnung (DSGVO) in Arztpraxen vorstellt. In seinen Ausführungen interpretiert das Zentrum zunächst das Thema Informationspflichten. In der Arztpraxis gelte in der Regel der Behandlungsvertrag als Rechtsgrundlage, auf der die zur Begründung, Durchführung und Beendigung des Vertrags notwendigen Daten verarbeitet werden dürfen. Dazu gehören Name, Anschrift, Versicherungsnummer des Patienten, die ärztliche Dokumentation von Anamnese und Behandlung, Arztbriefe, Laborberichte.
Würden jedoch zusätzliche Dienste angeboten, wie z.B. ein Recall-Service, sei die Einwilligung des Patienten einzuholen. Diese muss zwar nicht schriftlich erfolgen, da der Arzt im Zweifel allerdings nachweisen muss, dass die Einwilligung gegeben wurde, biete sich ein unterschriebenes Formular an. Eine Einwilligung ist auch erforderlich für die Weitergabe der Daten an eine private Verrechnungsstelle sowie bei Abtretung der Honorarforderung oder bei Bonitätsüberprüfung von potenziellen Privatpatienten.
Was heißt „zum Zeitpunkt der Erhebung“ in der Praxis?
Interessant ist die Auslegung des ULD zur Ausführung der Informationspflichten: „Diese Informationen müssen den Patienten im zeitlichen Zusammenhang mit der Erhebung der Daten zur Verfügung gestellt werden.“ Denn Art. 13 DSGVO sieht den Moment zur Erteilung der Information eigentlich „zum Zeitpunkt der Erhebung“ vor. Das sieht das ULD gewährleistet, wenn das z.B. über einen Handzettel geschieht, der den Patienten standardmäßig bei der Aufnahme gegeben wird, und entsprechend im Praxissystem vermerkt wird. Dabei genügt es, wenn der Zettel nur die wichtigsten Informationen zusammenfasst und im Übrigen auf die Homepage der Praxis verweist.
Dagegen hält es das ULD nicht für notwendig, den Patienten „die Informationen schon am Telefon vorzulesen“, sie sollten allerdings auf der Homepage leicht auffindbar sein. Nicht ausreichend sei es allerdings, die Informationen lediglich in der Praxis auszuhängen. Die Bundesärztekammer habe angekündigt, eine Musterinformation für Arztpraxen zu erstellen.
Das ULD liefert außerdem eine konkrete Interpretation zur Notwendigkeit eines Datenschutzbeauftragten. So ist dieser zu benennen, wenn in der Praxis mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unklar war bisher noch die Auslegung dazu, dass ein Datenschutzbeauftragter auch dann zu bestellen ist, wenn es um die „Verarbeitung von Gesundheitsdaten im großen Maßstab“ geht.
MVZ können höheren Anforderungen unterliegen
Das ULD fomuliert hierzu, dass in den meisten Fällen in einer Arztpraxis nicht von einer Verarbeitung im „großen Maßstab“ auszugehen sei, und befreit damit „übliche Arztpraxen“ von dieser Pflicht. Eine entsprechende Auslegung verfolgt das ULD bei der Anforderung der Durchführung einer Datenschutzfolgeabschätzung, deren Notwendigkeit es dagegen z.B. in Krankenhäusern, MVZ oder stationären Pflegeeinrichtungen als gegeben ansieht.
Mit ihrem Beitrag stellt das ULD eine realitätsnahe Auslegung jener Anforderungen bereit, deren Umsetzung jetzt durch die DSGVO unweigerlich auf die Praxen zukommt – und mit denen diese endlich konkret arbeiten können.
Quelle: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein; bit.ly/2HMrsgn