Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

14. August 2018

Datenverarbeitung in der Arztpraxis

Auch Arztpraxen können Auftragsverarbeiter beauftragen
Bild: metamorworks / iStock / Getty Images
5,00 (1)
Verarbeitung medizinischer Daten
Gesundheitsdaten unterliegen den Anforderungen für besondere Kategorien von Daten. Schon allein daraus ergaben sich Fragen, die noch nicht alle geklärt sind. Informationen verschiedener Datenschutz-Aufsichtsbehörden unterstützen nun Arztpraxen und andere Gesundheitsberufe.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) hat FAQs herausgebracht, die zu einzelnen Fragen aus dem Gesundheitsbereich Position beziehen.

Die Liste wird in loser Reihe weiter ausgebaut. Die Themen umfassen unter anderem

  • die Frage, ob für die ärztliche Behandlung eine Einwilligung erforderlich ist, und
  • die Frage, welche Konsequenzen es für die ärztliche Behandlung hat, wenn eine betroffene Person nicht in die Verarbeitung einwilligt.

Fachlicher Austausch mit anderen Ärzten

Nach den FAQs des LfDI BW dürfen sich Ärzte unter Wahrung des Berufsgeheimnisses über medizinisch problematische Fälle austauschen. Darüber hinaus dürfen sie im Rahmen der Behandlung die Fachexpertise von anderen Kollegen einholen.

Als Rechtsgrundlage für eine Übermittlung der personenbezogenen Daten dient der Behandlungsvertrag (Art. 9 Abs. 2 Buchst. h und Abs. 3 in Verbindung mit Art. 6 Abs. 1 Satz 1 Buchst. b DSGVO).

Der angefragte Arzt muss den Betroffenen gemäß Art. 14 Abs. 5 Buchst. d DSGVO nicht darüber informieren, dass er Daten nicht bei ihm direkt erhoben hat. Denn die übermittelten personenbezogenen Daten unterliegen dem Berufsgeheimnis und müssen daher vertraulich behandelt werden.

Datenschutzbeauftragter in Arztpraxis

Für die Benennung eines Datenschutzbeauftragten nach § 38 Abs. 1 BDSG ist es erforderlich, dass mindestens zehn Personen „ständig mit der Verarbeitung personenbezogener Daten beschäftigt“ sind.

Das BayLDA führt hierzu in einem Infoblatt aus: „Ständig“ bedeute, dass dies ein Schwerpunkt der Tätigkeit einer Person sei.

Dabei bringt es zusätzlich Beispiele aus den Bereichen von kleinen Unternehmen und Vereinen:

  • Weder Handwerker, die sich meist weit überwiegend mit ihrer handwerklichen Tätigkeit beschäftigen,
  • noch Übungsleiter in Vereinen, die regelmäßig und weit überwiegend mit ihrer Übungstätigkeit zu tun haben,

sind danach bei der Berechnung der 10-Personen-Grenze mitzuzählen.

Denn sie sind nur untergeordnet mit der automatisierten Verarbeitung personenbezogener Daten der Kunden oder Vereinsmitglieder befasst.

Ein weiteres Infoblatt zu Datenschutzbeauftragten im medizinischen Bereich erläutert  die Tatbestands-Voraussetzungen der Benennungspflicht aus § 38 Abs. 1 BDSG speziell für Gesundheitsberufe.

So stellt das BayLDA klar, dass (wie bisher) auch der Verantwortliche selbst bei der Berechnung der Personenzahl mitzurechnen ist. Und dass beispielsweise ein Zahntechniker oder ein Physiotherapeut in der Regel nicht ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst ist.

Für eine normale Arztpraxis sei darüber hinaus in der Regel keine Datenschutz-Folgenabschätzung durchzuführen.

Hinsichtlich des Merkmals der „umfangreichen Verarbeitung“ verweist die Aufsicht auf die Entschließung der Datenschutzkonferenz vom 26.04.2018. Sie hat sich ebenfalls zur Bestellpflicht bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs geäußert.

Abrechnung über eine private Abrechnungsstelle

Das Sozialgesetzbuch V (SGB V) regelt detailliert, welche Voraussetzungen und Anforderungen an die Abrechnung über eine Kassenärztliche Vereinigung und die Einschaltung des Medizinischen Dienstes der Krankenversicherung (MDK) gelten. Daher bedarf es für eine Datenweitergabe keiner Einwilligung der betroffenen Patienten.

Da diese Stellen auch eigene Aufgaben wahrnehmen, liegt nach Auffassung des BayLDA keine Auftragsverarbeitung vor.

Bei der datenschutzrechtlichen Beurteilung der Einschaltung eines Labors differenziert das BayLDA, ob in dem Labor ein Laborarzt tätig wird, mit dem der Patient einen Vertrag gemäß Art. 9 Abs. 3 DSGVO schließt, oder nicht.

Im ersten Fall ist keine Einwilligung erforderlich. Betreibt das Labor kein Berufsgeheimnisträger, sei eine Einwilligung nach Art. 9 Abs. 1 Buchst. a DSGVO nötig.

Interessanterweise lehnt das BayLDA in beiden Fällen die Einstufung als Auftragsverarbeitung ab.

Denn eine Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nach Ansicht des BayLDA nur dann vor, wenn der Schwerpunkt der Beauftragung in der Verarbeitung personenbezogener Daten liegt.

Es ist aber zu empfehlen, dass sich Ärzte und Labore bei ihrer jeweiligen Aufsichtsbehörde informieren, ob sie diese Einschätzung mittragen.

Letztendlich wäre eine Meinung, die innerhalb der Datenschutzkonferenz abgestimmt ist, für die vielfältigen Gestaltungen, bei denen die Verarbeitung nicht zumindest einen (Kern-)Bestandteil ausmacht, wünschenswert.

Schutzkonzept für Befragungs-Projekt zu Patientendaten

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) hat für das Projekt „Umgang mit Patientendaten in den Krankenhäusern Mecklenburg-Vorpommerns“ (UPDK) ein Pseudonymisierungs-Konzept erstellt.

Das Datenschutzkonzept umfasst neben einem Zugriffskonzept mit Zugriffsberechtigungen eine doppelte Pseudonymisierung und Löschung der Zuordnungstabellen der befragten Personen der beteiligten Krankenhäuser. Das soll die Pseudonymisierung und Anonymisierung der Teilnehmer am Projekt UPDK garantieren.

Die beteiligten Mitarbeiter des LfDI M-V werden darüber hinaus für einen Zeitraum von drei Jahren keine Kontrollbesuche bei den beteiligten Bereichen in den Krankenhäusern vornehmen.

Das hier vorgestellte Vorgehen, um eine Anonymisierung sicherzustellen, könnte sich auch für andere Verfahren außerhalb des medizinischen Bereichs eignen.

Löschpflichten in der Arztpraxis

Auch bei der Verarbeitung von Gesundheitsdaten richten sich die Anforderungen an die Datenlöschung nach Art. 17 DSGVO.

Das BayLDA stellt fest, dass auch nach Ende einer gesetzlichen Aufbewahrungsfrist das Interesse des Berechtigten an der Speicherung das an der Löschung überwiegt, beispielsweise in den Bereichen der Medikamentenunverträglichkeiten.

Das BayLDA weist auch darauf hin, dass die Aufbewahrungsfrist bei Behandlungen spezialgesetzlich geregelt sein kann, wie in § 630f Abs. 3 BGB, der eine Aufbewahrung der Dokumentation der Behandlung von 10 Jahren vorschreibt, sofern nicht nach anderen Vorschriften andere Aufbewahrungsfristen bestehen.

Wertvolle Hilfen

Die Hilfsmittel und Informationsblätter, die verschiedene Aufsichtsbehörden mittlerweile anbieten, sind hilfreiche Quellen für drängende Fragen der Praxis. Sie geben dem Verantwortlichen und seinem Datenschutzbeauftragten eine belastbare Grundlage für datenschutzrechtliche Einschätzungen.

Es ist erfreulich, dass Aufsichtsbehörden diese Möglichkeit nutzen, um ihrem Aufklärungs- und Sensibilisierungs-Auftrag nachzukommen.

Rudi Kramer

Rudi Kramer
Verfasst von
DP
Rudi Kramer
Rudi Kramer ist Syndikusanwalt in Nürnberg und engagiert sich als Dozent bei der Initiative „Datenschutz geht zur Schule“ des BvD e.V.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.