Datenschutz 2018 (EU-DSGVO)

(Art. 9 Abs. 2 h) DSGVO erlaubt die Verarbeitung von Gesundheitsdaten u. a. dann, wenn diese für Zwecke der Gesundheitsvorsorge, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheitsbereich oder aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufes erforderlich ist. Diese Daten müssen gemäß Art. 9 Abs. 3 DSGVO von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal muss dem Berufsgeheimnis unterliegen.

Diese Voraussetzungen sehen wir – in Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht – in einer Arztpraxis als erfüllt an, so dass eine Einwilligung des Betroffenen / Patienten nicht erforderlich ist. Zum einen ist die Verarbeitung personenbezogener Daten für die medizinische Diagnostik notwendig, zum anderen besteht zwischen Arzt und Patient ein Behandlungsvertrag, weshalb die Datenerhebung (Verarbeitung) auch durch § 630 f BGB zwingend vorgeschrieben ist.

Der Betriebsarzt eines betriebsärztlichen Dienstes wird vom Unternehmer schriftlich bestellt (externer Arzt oder Angestellter des Unternehmens) und ist diesem direkt unterstellt. Eine Weisungsbefugnis gegenüber den Mitarbeitern ergibt sich hieraus nicht, sodass keine Auftragsdatenverarbeitung gemäß Art. 28 EU-DSGVO vorliegt und somit auch kein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 EU-DSGVO) geführt werden muss.

Es ist dringend zu empfehlen, bei der Kommunikation mit den Patienten via E-Mail eine Verschlüsselung vorzusehen, da andernfalls die sensiblen Patientendaten nicht End-zu-End verschlüsselt und damit letztendlich wie eine Postkarte für Dritte einsehbar sind. Es sollte daher streng darauf geachtet werden, welche Informationen über den „normalen“ E-Mail-Weg verschickt werden. Unproblematisch sind sicherlich Inhalte zur Praxisorganisation, die eventuell auch auf der Website der Arztpraxis auffindbar sind. Auch Terminerinnerungen oder reine Terminvereinbarungen sind weniger kritisch, wenn sie keine Hinweise auf die Art der Untersuchung enthalten und zuvor das Einverständnis des Patienten eingeholt wurde. Deshalb ist auch in solchen Fällen zu beachten, dass Terminvereinbarungen, aus denen der Grund des Arztbesuches hervorgeht, vertraulich sind. Daher sollte insbesondere auch das Praxispersonal für einen datenschutzkonformen Umgang mit Patientendaten sensibilisiert werden.

Grundsätzlich ist auch bei der Versendung von Patientendaten per Fax eine besondere Sorgfalt anzuwenden, da es sich auch hierbei um eine Art „offene Zustellung“ handelt. Soweit dennoch im Einzelfall Patientendaten per Fax versandt werden sollen, muss zwingend beim Versenden der Patientendaten sichergestellt sein, dass nur der Empfänger selbst oder ausdrücklich dazu ermächtigte Dritte Kenntnis vom Inhalt des Schreibens erhalten. Dies gilt insbesondere dann, wenn ärztliche Mitteilungen an den Patienten gefaxt werden (in dessen Wohnung beziehungsweise an dessen Arbeitsplatz). Diese Sicherung kann zum Beispiel durch Ankündigung der Übersendung beim Empfänger erreicht werden. Wichtig ist ebenfalls, dass regelmäßig gespeicherte Fax-Rufnummern überprüft werden.

Bitte beachten Sie: Eine Fehlzustellung bei der Übertragung von Telefaxen mit besonders schutzwürdigem Inhalt, wie beispielsweise medizinische Daten, kann gravierende Folgen für den Absender, Empfänger und den Betroffenen haben. Deshalb sollte zumindest in diesen Fällen eine unverschlüsselte Datenübertragung unterbleiben. Auch der Kommunikationsweg über WhatsApp ist nicht zu empfehlen. Laut der neuen Richtlinie dürfen Ärzte und Arbeitgeber Messenger-Dienste nur anwenden, wenn die Datensicherheit und der Schutz vor unberechtigten Datenzugriffen sichergestellt sind. Dies ist bei WhatsApp gerade nicht der Fall, da die App sich den Zugang zu den Kontakten beziehungsweise zum Adressbuch der User verschafft.

Sollten Sie alternative Kommunikations-Apps verwenden wollen ist dringend zu empfehlen, sich vor Nutzung mit dem zuständigen Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach, Tel. 0981 53 1300, Fax 0981 53 98 1300, E-Mail: poststelle@lda.bayern.de, in Verbindung zu setzen, um dies überprüfen zu lassen.

Die DSGVO enthält zwar keine ausdrückliche Regelung zur Verpflichtung von Mitarbeitern auf das Datengeheimnis, jedoch hat jeder Verantwortliche die Pflicht, seine Mitarbeiter entsprechend anzuweisen. Das Landesamt für Datenschutzaufsicht empfiehlt deshalb, die Mitarbeiter nachweisbar über ihre Pflichten nach der DSGVO zu unterrichten.
Die Kassenärztliche Vereinigung Bayerns (KVB) hat hierzu im Internet unter www.kvb.de ein entsprechendes Muster „Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DS-GVO)“ veröffentlicht, das auf die Belange einer Arztpraxis angepasst wurde.

Die Datenschutzkonferenz (DSK) hat ein Kurzpapier herausgegeben, das als Hilfestellung für eine Vereinbarung nach Art. 26 DSGVO dienen soll. Daraus geht hervor, dass insbesondere folgende Punkte in einer solchen Vereinbarung zwingend mitaufgenommen werden müssen:

» Festhalten der Vertragsparteien
» Aufgabenbeschreibung mit Abgrenzung, welcher Verantwortliche welche Aufgabe übernimmt
» Festlegung des Zwecks und der Mittel der Datenverarbeitung
» Pflichten der jeweiligen Vertragspartei

Die Vereinbarung sollte außerdem zwingend die tatsächlichen Funktionen und Beziehungen der gemeinsamen Verantwortlichen gegenüber der betroffenen Person widerspiegeln. Des Weiteren sollte eine interne Ausgleichsregelung für den Fall getroffen werden, dass ein Verantwortlicher wegen des Fehlers des anderen von der betroffenen Person aufgrund von Art. 26 Abs. 3 DSGVO in Anspruch genommen wird.

Nein.
Nach Art. 9 Abs. 2 h DSGVO ist die Verarbeitung von Gesundheitsdaten u. a. dann erlaubt, wenn diese für Zwecke der Gesundheitsvorsorge, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheitsbereich oder aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufes erforderlich ist. Diese Daten müssen gemäß Art. 9 Abs. 3 DSGVO von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal muss dem Berufsgeheimnis unterliegen. Diese Voraussetzungen sehen wir – in Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht – in einer Arztpraxis als erfüllt an, so dass eine Einwilligung des Betroffenen / Patienten nicht erforderlich ist. Zum einen ist die Verarbeitung personenbezogener Daten für die medizinische Diagnostik notwendig, zum anderen besteht zwischen Arzt und Patient ein Behandlungsvertrag, weshalb die Datenerhebung (Verarbeitung) auch durch § 630 f BGB zwingend vorgeschrieben ist.

Ja, in diesen Fällen müssen Praxen nachweisen können, dass die Patienten eine Einwilligungserklärung zur Datenweitergabe unterschrieben haben. Zu beachten ist, dass seit dem 25. Mai 2018 Einwilligungserklärungen den Hinweis erhalten müssen, dass der Patient sein Einverständnis jederzeit widerrufen kann.

Nein.
Der Abschluss eines Vertrages zur Auftragsverarbeitung ist immer nur dann notwendig, wenn Dritte als Dienstleister die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten, z. B. die Praxissoftware warten oder Akten- und Datenträger nach Ablauf der Aufbewahrungsfrist vernichten.

Für die Weitergabe an Dritte ist auf das Informationsblatt der Bundesärztekammer und der KBV hinzuweisen. Darin finden Sie unter Punkt 2.4.1 die Voraussetzungen für eine Einwilligung zur Datenweitergabe. Im Grundsatz gilt hier, dass eine Weitergabe nur mit Einwilligung erfolgen kann, wobei eine Schriftform nicht in jedem Fall notwendig ist und konkludentes Verhalten ausreichen kann. In Zweifelsfällen ist zu Beweiszwecken eine schriftliche Einwilligung empfehlenswert.

Nein.
Der behandelnde Arzt beauftragt das Labor mit stillschweigender Vollmacht (sog. Innenvollmacht) des Patienten mit Laboruntersuchungen. Der Vertrag über die Laboruntersuchung wird also unmittelbar zwischen Patient und Laborarzt geschlossen, d. h. nicht der behandelnde Arzt schließt den Vertrag mit dem Labor, sondern der Patient, vertreten durch den behandelnden Arzt. Der behandelnde Arzt übermittelt die Patientendaten daher nicht selbst als verantwortliche Stelle, sondern als Vertreter des Patienten. Da es nicht zu einer Datenübermittlung durch den behandelnden Arzt im rechtlichen Sinne kommt, benötigt der behandelnde Arzt auch keine datenschutzrechtliche Einwilligung des Patienten. Es bedarf daher auch keines Vertrags zur Auftragsdatenverarbeitung nach Art. 28 DSGVO. Bei der Erteilung von Laboraufträgen handelt es sich nicht um eine Auftragsverarbeitung, weil es sich bei der laborärztlichen Tätigkeit um eine Tätigkeit „höherer Art“ handelt, die der strengen Weisungsgebundenheit der Auftragsdatenverarbeitung fremd ist. Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) stellen hierzu in ihrem Kurzpapier Nr. 13 allerdings fest, dass ein Austausch zwischen Berufsgeheimnisträgern (§ 203 StGB) keine Auftragsdatenverarbeitung nach Art. 28 DSGVO darstellt. Die Überweisung der Labortätigkeit ist für Kassenpatienten wie bisher nach SGB V mit den Überweisungsscheinen abschließend geregelt. Für Patienten ist weiterhin eine schriftliche Information zur Proben- und Datenweitergabe an das Labor erforderlich.

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Hausanschrift:
Promenade 18
91522 Ansbach
Deutschland

Erreichbarkeit:
Telefon +49 (0) 981 180093-150
Telefax +49 (0) 981 180093-850
E-Mail: poststelle@lda.bayern.de
Internet: www.lda.bayern.de

Das BayLDA überwacht die Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern, das heißt, in den privaten Wirtschaftsunternehmen, bei den freiberuflich Tätigen, in Vereinen und Verbänden sowie im Internet.

Gemäß § 17 Abs. 5 Apothekenbetriebsordnung (ApBetrO) müssen die abgegebenen Arzneimittel den Verschreibungen und den damit verbundenen Vorschriften des Sozialgesetzbuch V (SGB V) zur Arzneimittelversorgung entsprechen. Enthält eine Verschreibung einen für den Abgebenden erkennbaren Irrtum, ist sie nicht lesbar oder ergeben sich sonstige Bedenken, so darf das Arzneimittel nicht abgegeben werden, bevor die Unklarheit beseitigt ist.

Daher dürfen auch weiterhin Anfragen von Apotheken zu ausgestellten Rezepten beantwortet werden, auch dann, wenn diese telefonisch erfolgen. In einem solchen Fall ist aber sicherzustellen, dass die Nachfrage auch tatsächlich aus der Apotheke kommt, die der Patient zur Einlösung der Verordnung aufgesucht hat. Einer Schweigepflichtentbindungserklärung bedarf es nicht.

Weitere Informationen finden Sie auf Seite 145 der KVB INFOS 10/2018.

In Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht kann die Frage dann klar bejaht werden, wenn sich der Patient gegenüber dem ZBFS einverstanden erklärt, dass es bei den von ihm benannten Ärzten Befundberichte einholen darf und das ZBFS im Zweifelsfall dem Arzt das Vorliegen dieser Einverständniserklärung bestätigt (vgl. dazu Bayerisches Ärzteblatt 10/2018, S. 511).

In Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht kann die Frage dann bejaht werden, wenn die betreffenden Patienten hierüber aufgeklärt und ihre ausdrückliche Einwilligung erklärt haben (Art. 9 Abs. 1 lit. a, Art. 6 Abs. 1 lit. a und Art. 7 DS-GVO). Wichtig ist hierbei, dass selbstverständlich auch die Praktikanten zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DS-GVO) verpflichtet werden.

In Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) kann die Frage nur dann bejaht werden, wenn die datenschutzrechtlichen Vorgaben von Art. 28 Datenschutz-Grundverordnung (DS-GVO) und Art. 35 DS-GVO – wie nachfolgend kurz dargestellt – beachtet werden.
Nach den „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung“ der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung ist eine externe Verarbeitung (u. a. Speicherung, Archivierung etc.) von Patientendaten außerhalb des eigenen Praxisverwaltungssystems grundsätzlich als möglich erachtet worden. Dabei sind aber, wie unter Punkt 5.2. der technischen Anlagen aufgeführt, sehr strenge rechtliche Vorgaben zu beachten (vgl. § 203 Abs. 3 S. 2 StGB und ggf. Artikel 28 DS-GVO).

1. Art. 28 DS-GVO

Es ist davon auszugehen, dass in der Regel eine Fallkonstellation vorliegt, die den Abschluss eines Vertrags zur Auftragsverarbeitung im Sinne des Art. 28 DS-GVO erfordert. Problematisch im Hinblick auf den Abschluss eines DS-GVO konformen Vertrages zur Auftragsverarbeitung im Sinne des Art. 28 DS-GVO erscheint dabei insbesondere die Feststellung der Zuverlässigkeit sowie die Durchführung wirksamer Kontrollen. Jedenfalls solange keine sinnvollen, ausreichend umfassenden Zertifizierungen in diesem Sektor vorliegen, kann sich dies, je nach Dienstleistung, schwierig gestalten. Gefährdungspotenzial ist hier unter anderem dann vorhanden, wenn der Auftragsverarbeiter in einem Drittland niedergelassen ist. Eine besonders sorgfältige Auswahl der Auftragsverarbeiter ist hier gerade auch im Hinblick auf die Art der verarbeiteten Daten unabkömmlich. Zurückhaltung ist auch geboten in Bezug auf die von Dienstleistern häufig versprochenen angeblichen Anonymisierungen, welche sich nach unserer Erfahrung häufig als Pseudonymisierungen entpuppen und darüber hinaus insbesondere bei vielen Arten ärztlicher Dokumentation technisch schwierig umsetzbar sind.

2. Art. 35 DS-GVO

Das BayLDA ist der Auffassung, dass je nach eingesetztem Produkt, durchaus häufig von einem hohen Risiko bei dem Einsatz von Cloud-Diensten ausgegangen werden muss, weshalb der Einsatz von Cloud-Lösungen häufig die Durchführung einer Datenschutzfolgenabschätzung auslöst.
Das Thema wurde aber bislang noch nicht abschließend beurteilt und das BayLDA hat uns mitgeteilt, dass es sich diesbezüglich mit den anderen deutschen Aufsichtsbehörden austauscht.

Artikel 13 der DSGVO definiert, welche erforderlichen Informationen in der Datenschutzerklärung enthalten sein müssen. Hierzu zählen:

Informationen zur Identität des Verantwortlichen (Art. 13 Abs. 1 DSGVO)

• Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
• wenn die Verarbeitung auf Artikel 6 Absatz 1 f ) beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
• gegebenenfalls Übermittlung in Drittstaaten

Informationen zur fairen und transparenten Verarbeitung (Art. 13 Abs. 2 DSGVO)

• Dauer der Speicherung
• Rechte der Betroffenen auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
• Widerrufbarkeit von Einwilligungen
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
• Verpflichtung zur Bereitstellung personenbezogener Daten
• Informationen über automatisierte Entscheidungsfindung und Profiling

Welche der aufgezählten Punkte für die eigene Webseite relevant werden, hängt von den erhobenen Daten ab. Nach Art. 12 DSGVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen.

Ergänzend zu den gesetzlichen Grundlagen, regeln die zwischen der Kassenärztlichen Bundesvereinigung (KBV) und den Spitzenverbänden der Krankenkassen geschlossenen Bundesmantelverträge (BMV), einschließlich der Vordruckvereinbarungen, die Modalitäten zur Auskunftserlaubnis und -verpflichtung gegenüber Krankenkassen.
Danach ist der Vertragsarzt grundsätzlich berechtigt und verpflichtet, den Krankenkassen für die Erfüllung ihrer gesetzlichen Aufgaben Auskünfte zu erteilen.

Die Kassenärztliche Vereinigung Bayerns (KVB) hat sich ausführlich mit dem Thema befasst und hierzu ein Informationspapier veröffentlicht, dass insbesondere auch die Frage klärt, wann Praxen berechtigt sind, die Auskunft zu verweigern.