Datenschutz 2018 (EU-DSGVO)

(Art. 9 Abs. 2 h) DSGVO erlaubt die Vera­r­bei­tung von Gesund­heits­da­ten u. a. dann, wenn diese für Zwecke der Gesund­heits­vor­sorge, für die medi­zi­ni­sche Diagno­s­tik, die Versor­gung oder Behand­lung im Gesund­heits­be­reich oder aufgrund eines Vertra­ges mit einem Ange­hö­ri­gen eines Gesund­heits­be­ru­fes erfor­der­lich ist. Diese Daten müssen gemäß Art. 9 Abs. 3 DSGVO von Fach­per­so­nal oder unter dessen Verant­wor­tung vera­r­bei­tet werden und dieses Fach­per­so­nal muss dem Berufs­ge­heim­nis unter­lie­gen.

Diese Voraus­set­zun­gen sehen wir – in Abstim­mung mit dem Baye­ri­schen Landes­amt für Daten­schutz­auf­sicht – in einer Arzt­pra­xis als erfüllt an, so dass eine Einwil­li­gung des Betrof­fe­nen / Pati­en­ten nicht erfor­der­lich ist. Zum einen ist die Vera­r­bei­tung perso­nen­be­zo­ge­ner Daten für die medi­zi­ni­sche Diagno­s­tik notwen­dig, zum ande­ren besteht zwischen Arzt und Pati­ent ein Behand­lungs­ver­trag, weshalb die Date­n­er­he­bung (Vera­r­bei­tung) auch durch § 630 f BGB zwin­gend vorge­schrie­ben ist.

Der Betriebs­a­rzt eines betrieb­s­ärzt­li­chen Diens­tes wird vom Unter­neh­mer schrift­lich bestellt (exter­ner Arzt oder Ange­stell­ter des Unter­neh­mens) und ist diesem direkt unter­stellt. Eine Weisungs­be­fug­nis gegen­über den Mita­r­bei­tern ergibt sich hier­aus nicht, sodass keine Auftrags­da­ten­ver­a­r­bei­tung gemäß Art. 28 EU-DSGVO vorliegt und somit auch kein Verzeich­nis von Vera­r­bei­tungs­tä­tig­kei­ten (Art. 30 EU-DSGVO) geführt werden muss.

Es ist drin­gend zu empfeh­len, bei der Kommu­ni­ka­tion mit den Pati­en­ten via E-Mail eine Verschlüs­se­lung vorzu­se­hen, da andern­falls die sensi­blen Pati­en­ten­da­ten nicht End-zu-End verschlüs­selt und damit letzt­end­lich wie eine Post­karte für Dritte einseh­bar sind. Es sollte daher streng darauf geach­tet werden, welche Infor­ma­ti­o­nen über den „nor­ma­len“ E-Mail-Weg verschickt werden. Unpro­ble­ma­tisch sind sicher­lich Inhalte zur Praxis­or­ga­ni­sa­tion, die even­tu­ell auch auf der Website der Arzt­pra­xis auffind­bar sind. Auch Termi­ner­in­ne­run­gen oder reine Termin­ver­ein­ba­run­gen sind weni­ger kritisch, wenn sie keine Hinweise auf die Art der Unter­su­chung enthal­ten und zuvor das Einver­ständ­nis des Pati­en­ten einge­holt wurde. Deshalb ist auch in solchen Fällen zu beach­ten, dass Termin­ver­ein­ba­run­gen, aus denen der Grund des Arzt­be­su­ches hervor­geht, vertrau­lich sind. Daher sollte insbe­son­dere auch das Praxis­per­so­nal für einen daten­schutz­kon­for­men Umgang mit Pati­en­ten­da­ten sensi­bi­li­siert werden.

Grund­sätz­lich ist auch bei der Versen­dung von Pati­en­ten­da­ten per Fax eine beson­dere Sorg­falt anzu­wen­den, da es sich auch hier­bei um eine Art „offene Zustel­lung“ handelt. Soweit dennoch im Einzel­fall Pati­en­ten­da­ten per Fax versandt werden sollen, muss zwin­gend beim Versen­den der Pati­en­ten­da­ten sicher­ge­stellt sein, dass nur der Empfän­ger selbst oder ausdrü­ck­lich dazu ermäch­tigte Dritte Kennt­nis vom Inhalt des Schrei­bens erhal­ten. Dies gilt insbe­son­dere dann, wenn ärzt­li­che Mittei­lun­gen an den Pati­en­ten gefaxt werden (in dessen Wohnung bezie­hungs­weise an dessen Arbeits­platz). Diese Siche­rung kann zum Beispiel durch Ankün­di­gung der Über­sen­dung beim Empfän­ger erreicht werden. Wich­tig ist eben­falls, dass regel­mä­ßig gespei­cherte Fax-Rufnum­mern über­prüft werden.

Bitte beach­ten Sie: Eine Fehl­zu­stel­lung bei der Über­tra­gung von Tele­fa­xen mit beson­ders schutz­wür­di­gem Inhalt, wie beispiels­weise medi­zi­ni­sche Daten, kann gravie­rende Folgen für den Absen­der, Empfän­ger und den Betrof­fe­nen haben. Deshalb sollte zumin­dest in diesen Fällen eine unver­schlüs­selte Daten­über­tra­gung unter­blei­ben. Auch der Kommu­ni­ka­ti­ons­weg über Whats­App ist nicht zu empfeh­len. Laut der neuen Richt­li­nie dürfen Ärzte und Arbeit­ge­ber Messen­ger-Dienste nur anwen­den, wenn die Daten­si­cher­heit und der Schutz vor unbe­rech­tig­ten Daten­zu­grif­fen sicher­ge­stellt sind. Dies ist bei Whats­App gerade nicht der Fall, da die App sich den Zugang zu den Kontak­ten bezie­hungs­weise zum Adress­buch der User verschafft.

Soll­ten Sie alter­na­tive Kommu­ni­ka­ti­ons-Apps verwen­den wollen ist drin­gend zu empfeh­len, sich vor Nutzung mit dem zustän­di­gen Baye­ri­schen Landes­amt für Daten­schutz­auf­sicht (BayLDA), Prome­nade 27, 91522 Ansbach, Tel. 0981 53 1300, Fax 0981 53 98 1300, E-Mail: post­stel­le@lda.bayern.de, in Verbin­dung zu setzen, um dies über­prü­fen zu lassen.

Die DSGVO enthält zwar keine ausdrü­ck­li­che Rege­lung zur Verpflich­tung von Mita­r­bei­tern auf das Daten­ge­heim­nis, jedoch hat jeder Verant­wort­li­che die Pflicht, seine Mita­r­bei­ter entspre­chend anzu­wei­sen. Das Landes­amt für Daten­schutz­auf­sicht empfiehlt deshalb, die Mita­r­bei­ter nach­weis­bar über ihre Pflich­ten nach der DSGVO zu unter­rich­ten.
Die Kassen­ärzt­li­che Verei­ni­gung Bayerns (KVB) hat hierzu im Inter­net unter www.kvb.de ein entspre­chen­des Muster „Ver­pflich­tung zur Einhal­tung der daten­schutz­recht­li­chen Anfor­de­run­gen nach der Daten­schutz-Grund­ver­ord­nung (DS-GVO)“ veröf­fent­licht, das auf die Belange einer Arzt­pra­xis ange­passt wurde.

Die Daten­schutz­kon­fe­renz (DSK) hat ein Kurz­pa­pier heraus­ge­ge­ben, das als Hilfe­stel­lung für eine Verein­ba­rung nach Art. 26 DSGVO dienen soll. Daraus geht hervor, dass insbe­son­dere folgende Punkte in einer solchen Verein­ba­rung zwin­gend mitauf­ge­nom­men werden müssen:

» Fest­hal­ten der Vertrags­par­teien
» Aufga­ben­be­schrei­bung mit Abgren­zung, welcher Verant­wort­li­che welche Aufgabe über­nimmt
» Fest­le­gung des Zwecks und der Mittel der Daten­ver­a­r­bei­tung
» Pflich­ten der jewei­li­gen Vertrags­par­tei

Die Verein­ba­rung sollte außer­dem zwin­gend die tatsäch­li­chen Funk­ti­o­nen und Bezie­hun­gen der gemein­sa­men Verant­wort­li­chen gegen­über der betrof­fe­nen Person wider­spie­geln. Des Weite­ren sollte eine interne Ausgleichs­re­ge­lung für den Fall getrof­fen werden, dass ein Verant­wort­li­cher wegen des Fehlers des ande­ren von der betrof­fe­nen Person aufgrund von Art. 26 Abs. 3 DSGVO in Anspruch genom­men wird.

Nein.
Nach Art. 9 Abs. 2 h DSGVO ist die Vera­r­bei­tung von Gesund­heits­da­ten u. a. dann erlaubt, wenn diese für Zwecke der Gesund­heits­vor­sorge, für die medi­zi­ni­sche Diagno­s­tik, die Versor­gung oder Behand­lung im Gesund­heits­be­reich oder aufgrund eines Vertra­ges mit einem Ange­hö­ri­gen eines Gesund­heits­be­ru­fes erfor­der­lich ist. Diese Daten müssen gemäß Art. 9 Abs. 3 DSGVO von Fach­per­so­nal oder unter dessen Verant­wor­tung vera­r­bei­tet werden und dieses Fach­per­so­nal muss dem Berufs­ge­heim­nis unter­lie­gen. Diese Voraus­set­zun­gen sehen wir – in Abstim­mung mit dem Baye­ri­schen Landes­amt für Daten­schutz­auf­sicht – in einer Arzt­pra­xis als erfüllt an, so dass eine Einwil­li­gung des Betrof­fe­nen / Pati­en­ten nicht erfor­der­lich ist. Zum einen ist die Vera­r­bei­tung perso­nen­be­zo­ge­ner Daten für die medi­zi­ni­sche Diagno­s­tik notwen­dig, zum ande­ren besteht zwischen Arzt und Pati­ent ein Behand­lungs­ver­trag, weshalb die Date­n­er­he­bung (Vera­r­bei­tung) auch durch § 630 f BGB zwin­gend vorge­schrie­ben ist.

Ja, in diesen Fällen müssen Praxen nach­wei­sen können, dass die Pati­en­ten eine Einwil­li­gungs­er­klä­rung zur Daten­wei­ter­gabe unter­schrie­ben haben. Zu beach­ten ist, dass seit dem 25. Mai 2018 Einwil­li­gungs­er­klä­run­gen den Hinweis erhal­ten müssen, dass der Pati­ent sein Einver­ständ­nis jeder­zeit wider­ru­fen kann.

Nein.
Der Abschluss eines Vertra­ges zur Auftrags­ver­a­r­bei­tung ist immer nur dann notwen­dig, wenn Dritte als Dienst­leis­ter die perso­nen­be­zo­ge­nen Daten im Auftrag des Verant­wort­li­chen vera­r­bei­ten, z. B. die Praxis­soft­ware warten oder Akten- und Daten­trä­ger nach Ablauf der Aufbe­wah­rungs­frist vernich­ten.

Für die Weiter­gabe an Dritte ist auf das Infor­ma­ti­ons­blatt der Bunde­s­ärz­te­kam­mer und der KBV hinzu­wei­sen. Darin finden Sie unter Punkt 2.4.1 die Voraus­set­zun­gen für eine Einwil­li­gung zur Daten­wei­ter­gabe. Im Grund­satz gilt hier, dass eine Weiter­gabe nur mit Einwil­li­gung erfol­gen kann, wobei eine Schrift­form nicht in jedem Fall notwen­dig ist und konklu­den­tes Verhal­ten ausrei­chen kann. In Zwei­fels­fäl­len ist zu Beweis­zwe­cken eine schrift­li­che Einwil­li­gung empfeh­lens­wert.

Nein.
Der behan­delnde Arzt beauf­tragt das Labor mit still­schwei­gen­der Voll­macht (sog. Innen­voll­macht) des Pati­en­ten mit Labor­un­ter­su­chun­gen. Der Vertrag über die Labor­un­ter­su­chung wird also unmit­tel­bar zwischen Pati­ent und Labor­a­rzt geschlos­sen, d. h. nicht der behan­delnde Arzt schließt den Vertrag mit dem Labor, sondern der Pati­ent, vertre­ten durch den behan­deln­den Arzt. Der behan­delnde Arzt über­mit­telt die Pati­en­ten­da­ten daher nicht selbst als verant­wort­li­che Stelle, sondern als Vertre­ter des Pati­en­ten. Da es nicht zu einer Daten­über­mitt­lung durch den behan­deln­den Arzt im recht­li­chen Sinne kommt, benö­tigt der behan­delnde Arzt auch keine daten­schutz­recht­li­che Einwil­li­gung des Pati­en­ten. Es bedarf daher auch keines Vertrags zur Auftrags­da­ten­ver­a­r­bei­tung nach Art. 28 DSGVO. Bei der Ertei­lung von Labor­auf­trä­gen handelt es sich nicht um eine Auftrags­ver­a­r­bei­tung, weil es sich bei der labo­r­ärzt­li­chen Tätig­keit um eine Tätig­keit „höhe­rer Art“ handelt, die der stren­gen Weisungs­ge­bun­den­heit der Auftrags­da­ten­ver­a­r­bei­tung fremd ist. Die unab­hän­gi­gen Daten­schutz­be­hör­den des Bundes und der Länder (Daten­schutz­kon­fe­renz, DSK) stel­len hierzu in ihrem Kurz­pa­pier Nr. 13 aller­dings fest, dass ein Austausch zwischen Berufs­ge­heim­nis­trä­gern (§ 203 StGB) keine Auftrags­da­ten­ver­a­r­bei­tung nach Art. 28 DSGVO darstellt. Die Über­wei­sung der Labor­tä­tig­keit ist für Kassen­pa­ti­en­ten wie bisher nach SGB V mit den Über­wei­sungs­schei­nen abschlie­ßend gere­gelt. Für Pati­en­ten ist weiter­hin eine schrift­li­che Infor­ma­tion zur Proben- und Daten­wei­ter­gabe an das Labor erfor­der­lich.

Baye­ri­sches Landes­amt für Daten­schutz­auf­sicht (BayLDA)

Haus­an­schrift:
Prome­nade 18
91522 Ansbach
Deut­sch­land

Erreich­bar­keit:
Tele­fon +49 (0) 981 180093–150
Tele­fax +49 (0) 981 180093–850
E-Mail: post­stel­le@lda.bayern.de
Inter­net: www.lda.bayern.de

Das BayLDA über­wacht die Einhal­tung des Daten­schutz­rechts im nicht-öffent­li­chen Bereich in Bayern, das heißt, in den priva­ten Wirt­schafts­un­ter­neh­men, bei den frei­be­ruf­lich Täti­gen, in Verei­nen und Verbän­den sowie im Inter­net.

Gemäß § 17 Abs. 5 Apothe­ken­be­triebs­ord­nung (ApBe­trO) müssen die abge­ge­be­nen Arznei­mit­tel den Verschrei­bun­gen und den damit verbun­de­nen Vorschrif­ten des Sozi­al­ge­setz­buch V (SGB V) zur Arznei­mit­tel­ver­sor­gung entspre­chen. Enthält eine Verschrei­bung einen für den Abge­ben­den erkenn­ba­ren Irrtum, ist sie nicht lesbar oder erge­ben sich sons­tige Beden­ken, so darf das Arznei­mit­tel nicht abge­ge­ben werden, bevor die Unkla­r­heit besei­tigt ist.

Daher dürfen auch weiter­hin Anfra­gen von Apothe­ken zu ausge­stell­ten Rezep­ten beant­wor­tet werden, auch dann, wenn diese tele­fo­nisch erfol­gen. In einem solchen Fall ist aber sicher­zu­stel­len, dass die Nach­frage auch tatsäch­lich aus der Apotheke kommt, die der Pati­ent zur Einlö­sung der Verord­nung aufge­sucht hat. Einer Schwei­ge­pflich­tent­bin­dungs­er­klä­rung bedarf es nicht.

Weitere Infor­ma­ti­o­nen finden Sie auf Seite 145 der KVB INFOS 10/2018.

In Abstim­mung mit dem Baye­ri­schen Landes­amt für Daten­schutz­auf­sicht kann die Frage dann klar bejaht werden, wenn sich der Pati­ent gegen­über dem ZBFS einver­stan­den erklärt, dass es bei den von ihm benann­ten Ärzten Befund­be­richte einho­len darf und das ZBFS im Zwei­fels­fall dem Arzt das Vorlie­gen dieser Einver­ständ­nis­er­klä­rung bestä­tigt (vgl. dazu Baye­ri­sches Ärzte­blatt 10/2018, S. 511).

In Abstim­mung mit dem Baye­ri­schen Landes­amt für Daten­schutz­auf­sicht kann die Frage dann bejaht werden, wenn die betref­fen­den Pati­en­ten hier­über aufge­klärt und ihre ausdrü­ck­li­che Einwil­li­gung erklärt haben (Art. 9 Abs. 1 lit. a, Art. 6 Abs. 1 lit. a und Art. 7 DS-GVO). Wich­tig ist hier­bei, dass selbst­ver­ständ­lich auch die Prak­ti­kan­ten zur Einhal­tung der daten­schutz­recht­li­chen Anfor­de­run­gen nach der Daten­schutz-Grund­ver­ord­nung (DS-GVO) verpflich­tet werden.

In Abstim­mung mit dem Baye­ri­schen Landes­amt für Daten­schutz­auf­sicht (BayLDA) kann die Frage nur dann bejaht werden, wenn die daten­schutz­recht­li­chen Vorga­ben von Art. 28 Daten­schutz-Grund­ver­ord­nung (DS-GVO) und Art. 35 DS-GVO – wie nach­fol­gend kurz darge­stellt – beach­tet werden.
Nach den „Hin­weise und Empfeh­lun­gen zur ärzt­li­chen Schwei­ge­pflicht, Daten­schutz und Daten­ver­a­r­bei­tung“ der Bunde­s­ärz­te­kam­mer und der Kassen­ärzt­li­chen Bundes­ver­ei­ni­gung ist eine externe Vera­r­bei­tung (u. a. Spei­che­rung, Archi­vie­rung etc.) von Pati­en­ten­da­ten außer­halb des eige­nen Praxis­ver­wal­tungs­sys­tems grund­sätz­lich als möglich erach­tet worden. Dabei sind aber, wie unter Punkt 5.2. der tech­ni­schen Anla­gen aufge­führt, sehr strenge recht­li­che Vorga­ben zu beach­ten (vgl. § 203 Abs. 3 S. 2 StGB und ggf. Arti­kel 28 DS-GVO).

1. Art. 28 DS-GVO

Es ist davon auszu­ge­hen, dass in der Regel eine Fall­kon­stel­la­tion vorliegt, die den Abschluss eines Vertrags zur Auftrags­ver­a­r­bei­tung im Sinne des Art. 28 DS-GVO erfor­dert. Proble­ma­tisch im Hinblick auf den Abschluss eines DS-GVO konfor­men Vertra­ges zur Auftrags­ver­a­r­bei­tung im Sinne des Art. 28 DS-GVO erscheint dabei insbe­son­dere die Fest­stel­lung der Zuver­läs­sig­keit sowie die Durch­füh­rung wirk­sa­mer Kontrol­len. Jeden­falls solange keine sinn­vol­len, ausrei­chend umfas­sen­den Zerti­fi­zie­run­gen in diesem Sektor vorlie­gen, kann sich dies, je nach Dienst­leis­tung, schwie­rig gestal­ten. Gefähr­dungs­po­ten­zial ist hier unter ande­rem dann vorhan­den, wenn der Auftrags­ver­a­r­bei­ter in einem Dritt­land nieder­ge­las­sen ist. Eine beson­ders sorg­fäl­tige Auswahl der Auftrags­ver­a­r­bei­ter ist hier gerade auch im Hinblick auf die Art der vera­r­bei­te­ten Daten unab­kömm­lich. Zurück­hal­tung ist auch gebo­ten in Bezug auf die von Dienst­leis­tern häufig verspro­che­nen angeb­li­chen Anony­mi­sie­run­gen, welche sich nach unse­rer Erfah­rung häufig als Pseud­ony­mi­sie­run­gen entpup­pen und darüber hinaus insbe­son­dere bei vielen Arten ärzt­li­cher Doku­men­ta­tion tech­nisch schwie­rig umsetz­bar sind.

2. Art. 35 DS-GVO

Das BayLDA ist der Auffas­sung, dass je nach einge­setz­tem Produkt, durch­aus häufig von einem hohen Risiko bei dem Einsatz von Cloud-Diens­ten ausge­gan­gen werden muss, weshalb der Einsatz von Cloud-Lösun­gen häufig die Durch­füh­rung einer Daten­schutz­fol­ge­n­ab­schät­zung auslöst.
Das Thema wurde aber bislang noch nicht abschlie­ßend beur­teilt und das BayLDA hat uns mitge­teilt, dass es sich dies­be­züg­lich mit den ande­ren deut­schen Aufsichts­be­hör­den austauscht.

Arti­kel 13 der DSGVO defi­niert, welche erfor­der­li­chen Infor­ma­ti­o­nen in der Daten­schut­z­er­klä­rung enthal­ten sein müssen. Hierzu zählen:

Infor­ma­ti­o­nen zur Iden­ti­tät des Verant­wort­li­chen (Art. 13 Abs. 1 DSGVO)

• Name und Kontakt­da­ten des Verant­wort­li­chen sowie gege­be­nen­falls seines Vertre­ters;
• gege­be­nen­falls die Kontakt­da­ten des Daten­schutz­be­auf­trag­ten;
• die Zwecke, für die die perso­nen­be­zo­ge­nen Daten vera­r­bei­tet werden sollen, sowie die Rechts­grund­lage für die Vera­r­bei­tung;
• wenn die Vera­r­bei­tung auf Arti­kel 6 Absatz 1 f ) beruht, die berech­tig­ten Inter­es­sen, die von dem Verant­wort­li­chen oder einem Drit­ten verfolgt werden;
• gege­be­nen­falls die Empfän­ger oder Kate­go­rien von Empfän­gern der perso­nen­be­zo­ge­nen Daten und
• gege­be­nen­falls Über­mitt­lung in Dritt­staa­ten

Infor­ma­ti­o­nen zur fairen und trans­pa­ren­ten Vera­r­bei­tung (Art. 13 Abs. 2 DSGVO)

• Dauer der Spei­che­rung
• Rechte der Betrof­fe­nen auf Auskunft über die betref­fen­den perso­nen­be­zo­ge­nen Daten sowie auf Berich­ti­gung oder Löschung oder auf Einschrän­kung der Vera­r­bei­tung oder eines Wider­spruchs­rechts gegen die Vera­r­bei­tung sowie des Rechts auf Daten­über­trag­bar­keit;
• Wider­ruf­bar­keit von Einwil­li­gun­gen
• das Beste­hen eines Beschwer­de­rechts bei einer Aufsichts­be­hörde
• Verpflich­tung zur Bereit­stel­lung perso­nen­be­zo­ge­ner Daten
• Infor­ma­ti­o­nen über auto­ma­ti­sierte Entschei­dungs­fin­dung und Profi­ling

Welche der aufge­zähl­ten Punkte für die eigene Webseite rele­vant werden, hängt von den erho­be­nen Daten ab. Nach Art. 12 DSGVO sind die Infor­ma­ti­o­nen in präzi­ser, trans­pa­ren­ter, verständ­li­cher und leicht zugäng­li­cher Form zu ertei­len.

Ergän­zend zu den gesetz­li­chen Grund­la­gen, regeln die zwischen der Kassen­ärzt­li­chen Bundes­ver­ei­ni­gung (KBV) und den Spit­zen­ver­bän­den der Kran­ken­kas­sen geschlos­se­nen Bundes­man­tel­ver­träge (BMV), einschließ­lich der Vordruck­ver­ein­ba­run­gen, die Moda­li­tä­ten zur Auskunft­s­er­laub­nis und -verpflich­tung gegen­über Kran­ken­kas­sen.
Danach ist der Vertrags­a­rzt grund­sätz­lich berech­tigt und verpflich­tet, den Kran­ken­kas­sen für die Erfül­lung ihrer gesetz­li­chen Aufga­ben Auskünfte zu ertei­len.

Die Kassen­ärzt­li­che Verei­ni­gung Bayerns (KVB) hat sich ausführ­lich mit dem Thema befasst und hierzu ein Infor­ma­ti­ons­pa­pier veröf­fent­licht, dass insbe­son­dere auch die Frage klärt, wann Praxen berech­tigt sind, die Auskunft zu verwei­gern.