Wann Sie eine Einwilligung des Patienten brauchen, um seine Daten zu verarbeiten
Erheben, erfassen, ordnen, speichern, löschen, übermitteln. Jede Verarbeitung von personenbezogenen Daten benötigt eine Rechtfertigung. Doch was das in der Praxis heißt, scheint nicht so klar: „Nicht wenige Ärzte im Land“ hätten wesentliche Regelungen wie die zur datenschutzrechtlichen Einwilligung „gründlich missverstanden“, moniert gerade Baden-Württembergs Datenschutzbeauftragter in seinem aktuellen Tätigkeitsbericht. Was es mit der Rechtfertigung und der Einwilligung also auf sich hat, veranschaulicht Rechtsanwalt Dr. Florian Hölzel, Wiesbaden.
Jede Verarbeitung von Daten braucht eine Legitimation
Rechtfertigungsgründe für eine Datenverarbeitung können nach DSGVO eine vertragliche Grundlage sein, eine gesetzliche Anforderung oder das Vorliegen eines Notfalls (siehe Grafik). Liegt keine dieser Legitimationen vor, benötigen Sie eine Einwilligung des Patienten. Eigentlich ganz einfach. In der konkreten Situation aber nicht immer.
Fall 1: Ein Patient kommt mit Beschwerden in Ihre Praxis. Brauchen Sie eine Einwilligung, um seine Daten zu speichern?
Nein. Es besteht ein Behandlungsvertrag zwischen Ihnen und dem Patienten und damit eine vertragliche Grundlage der für das Erfüllen des Vertrages notwendigen Verarbeitung.
Fall 2: Ein Altenheim fragt den Medikamentenplan einer Ihrer Patienten an. Holen Sie sich erst die Einwilligung des Patienten ein?
Ja. Ist der Patient nicht in der Lage, diese zu geben, tritt der Betreuer an seine Stelle.
Fall 3: Sie möchten die Daten eines Patienten an die PVS geben. Benötigen Sie die Einwilligung?
Ja. Denn die Abrechnung der Leistungen über die PVS ist nicht zwingend erforderlich fürs Erfüllen des Behandlungsvertrages und damit auch kein Bestandteil desselben.
Fall 4: Sie haben einen Patienten an den Facharzt überwiesen und dieser möchte sich kurz austauschen. Telefonieren Sie mal eben?
Nein. Auch hier benötigen Sie eine Rechtfertigung, schließlich handelt es sich um eine Übermittlung von Daten. Bis vor Kurzem (11.5.2019) brauchten Sie in dieser Situation sogar eine schriftliche Einwilligung, da der Behandlungsvertrag beim Facharzt liegt. Nach der aktuellen Fassung des § 73 Sozialgesetzbuch V reicht auch die mündliche Zustimmung.
Fall 5: Ein Patient wird aus der stationären Versorgung entlassen. Können Sie die Informationen, die Sie für die weitere Behandlung für notwendig erachten, vom Krankenhaus anfordern?
Jein. Da Sie diese Informationen nicht unbedingt zur weiteren Behandlung benötigen – auch wenn man das medizinisch anders sehen mag –, brauchen Sie eine Einwilligung. Nun ist aber Datenschutz Landesrecht: Baden-Württemberg etwa bezieht sich hier auf DSGVO Art. 14 Abs. 5 d). Der Artikel besagt, dass die Weitergabe von Daten an einen weiteren Berufsgeheimnisträger unproblematisch ist. Was sich übrigens auch auf die Weitergabe an Steuerberater und Rechtsanwälte bezieht. Andere Länder hingehen orientieren sich am Sozialrecht, das an dieser Stelle bislang sogar die schriftliche Einwilligung des Patienten wollte, sich in der aktuellen Fassung aber mit einer mündlichen begnügt – wobei eine schriftliche Einwilligung immer die sicherere Variante darstellt, da sie im Zweifelsfall nachweisbar ist.
Aber wie lange ist eine Einwilligung wirksam, muss sie erneuert werden und wenn ja, wann? Eine Rechtsprechung gibt es hierzu noch nicht. Ein praktischer Anhaltspunkt könnte jedoch sein: Solange die Rahmenbedingungen unverändert sind, ist die einmal erteilte Einwilligung gültig.
Ähnlich praxisnah muss man sich die Frage nach der schriftlichen Form der Einwilligung beantworten. Auch wenn außerhalb des Kassenbereichs eigentlich keine Schriftform erforderlich ist, müssen Sie doch in jedem Fall die Einwilligung und auch die Belehrung über die Widerrufsmöglichkeit dokumentieren können. Ob das jetzt über eine Notiz in der Patientenakte erfolgt oder über eine Unterschrift des Patienten – die im Zweifelsfall natürlich verbindlicher ist –, bedeutet was den Arbeitsaufwand betrifft wohl keinen großen Unterschied. Und dürfen Sie das Original des Dokuments dann einscannen und vernichten? Jein: Nur, wenn Ihre Praxissoftware eine revisionssichere Speicherung ermöglicht und somit eine nachträgliche Bearbeitung unmöglich macht. Also eigentlich alles ganz einfach.