(10.1.2018) In diesem Jahr greift die Datenschutz-Grundverordnung der Europäischen Union ein (kurz: DSGVO). Damit werden die Regeln zur Verarbeitung personenbezogener Daten - insbesondere Erfassung, Schutz und Weitergabe - durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht. Inwiefern gilt dies auch für Ärzte und was ändert sich für diese nun?

Behandlungsunterlagen des PatientenGilt die DSGVO auch für Arztpraxen?

Ja, die DSGVO gilt auch für Arztpraxen. In den Arztpraxen werden viele, sogar besonders sensible Daten verwaltet, nämlich die sog. Gesundheitsdaten (vgl. Artikel 9 DSGVO).

Was will die DSGVO vom Arzt?

Diese Norm will kurz gesagt sicher stellen, dass keine (Patienten-)Daten in falsche Hände geraten, dass Klarheit herrscht, welche Daten der Arzt über den Patienten speichert und dass keine Daten verloren gehen und dass Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung der Daten und die Übertragbarkeit der Daten z.B. von Arzt zu Arzt gewährleistet sind.

Sind kleine Arztpraxen mit nur einem oder zwei Ärzten von der DSGVO ausgenommen?

Nein, alle Arztpraxen unterfallen der DSGVO.

Was muss ich tun, um die DSGVO in meiner Praxis umzusetzen?

Vereinfacht gesagt:

  1. Lassen Sie mehrere Datensicherungssysteme installieren, z.B. indem Sie die Patientendaten sowohl auf den Rechnern der Praxis (dort am besten auf mehreren Festplatten) und auch (verschlüsselt) in der sog. cloud d.h. auf einem externem Speicher (server), der in deutschland steht, sichern.
  2. Schließen Sie mit externen Dienstleistern, die Daten ihrer Patienten erhalten (z.B. Abrechnungsdienste/Inklassodienstleister), Verträge zur Auftragsdatenverarbeitung. In diesen Verträgen muss dem Dienstleister (sprich z.B. dem Abrechnungsdienst) auch ein angemessenes Informationssicherheitsniveau vorgeschrieben werden (z.B. Verschlüsselung) und es ist zu klären, wann und wie diese Daten beim Dienstleister gelöscht werden, wenn sie nicht mehr für die Ausführung des Auftrages benötigt werden. Die Einhaltung der Verträge zur ADV muss durch den Arzt (bzw. ab einer bestimmten Größe der Arztpraxis durch dessen Datenschutzbeauftragten) regelmäßig überprüft werden.
    Aufgrund des immens gestiegenen Haftungs- und Bußgeldrisikos sind alle Verträge zur Auftragsdatenverarbeitung neu zu bewerten.
  3. Bereiten Sie sich darauf vor, in der Lage zu sein, einem Patienten ab dem 25. Mai diesen Jahres auf dessen Anfrage kurzfristig einen Satz aller Daten zu geben, die Sie über ihn gespeichert haben. Das beinhaltet die gesamten Behandlungsunterlagen - zusätzlich aber auch interne Patientenstammblätter, auf denen z.B. alle Abrechnungsdaten erfasst sind. Sorgen Sie dafür, dass diese so erfasst sind, dass sie kurzfristig kopiert und dem Patienten übergeben werden können. Meinungen und Werturteile des Arztes über den Patienten gehören aber nicht dazu.

Zertifizierungsverfahren zu diesen Vorgängen (Datensicherung, Auftragsdatenverarbeitung, Datenauskunft etc.) sind derzeit in Arbeit, so dass die niedergelassenen Ärzte die Abläufe in ihrer Praxis wahrscheinlich ab Ende 2018 werden zertifizieren lassen können.

Muss ich jetzt auch noch eine gesonderte Einwilligung (zur allgemeinen Datennutzung) von meinen Patienten einholen?

Nein, die DSGVO priviligiert Ärzte insofern. Ärzte müssen keine Einwilligungen einholen (Art. 6 DSGVO in Verbindung mit Art. 9 Absatz 2 lit. h) DSGVO). Alte Einwilligungen gelten im Übrigen fort. 

Bedarf ich einer Einwilligung meiner Patienten für die Datenweitergabe an eine privatärztliche Verrechnungsstelle?

Die Weitergabe von Daten an privatärztliche Verrechnungsstellen bedarf keiner gesonderten Einwilligung. Gesundheitsdaten dürfen nach Artikel 9 Abs. 2 lit. h) in Verbindung mit Abs. 3 zu Zwecken der medizinischen Behandlung verarbeitet werden, wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt. Seit der letzten Änderung des Strafgesetzbuches unterliegen in Deutschland auch privatärztliche, steuerberaterliche oder anwaltliche Verrechnungsstellen einer solchen Geheimhaltungspflicht (Strafgesetzbuch § 203 Abs. 1 Nr. 7).

Ab welcher Größe der Arztpraxis braucht die Praxis einen Datenschutzbeauftragten?

Ab mehr als neun Mitarbeitern (Ärzte und medizinisches Personal zusammengezählt), § 4f BDSG. Dann müssen Sie den bestellten Beauftragten auch noch der zuständigen Aufsichtsbehörde melden. Wer Aufsichtsbehörde ist (Artikel 55 DSGVO), ist je nach Bundesland spezifisch geregelt. Eine Übersicht finden Sie unter:
https://www.datenschutz.hessen.de/adr_priv.htm

Der Patient hat nach der DSGVO auch einen Anspruch auf Berichtigung seiner Daten. Bedeutet das, dass ich die Angaben in der Behandlungsakte z.B. zu medizinischen Wertungen verändern muss, wenn der Patient diese für falsch hält?

Nein, berichtigen müssen Sie nur offensichtliche Tatsachenfehler, z.B. also eine falsche Adresse, eine falsche Altersangabe etc. Medizinische Wertungen sind davon nicht erfasst.

Ab wann gelten die Regeln der DSGVO?

Ab dem 25. Mai 2018.

Werde ich mit Strafen rechnen müssen, wenn ich zum Mai 2018 die Vorgaben noch nicht einhalte?

Eher nein. Es ist zu erwarten, dass die Aufsichtsbehörden den Ärzten noch Zeit geben werden, um sich mit der unübersichtlichen Rechtslage auseinander zu setzen und die Prozesse umzustellen. Ab Ende 2018 sollten die Prozesse in Ihrer Praxis aber umgestellt sein. Sonst drohen sehr empfindliche Bußgelder.

Details zu der DSGVO finden Sie hier:

http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE

Rechtsanwalt und Fachanwalt für Medizinrecht Philip Christmann
Vertretung und Beratung im Medizinrecht und Arztrecht
Witzlebenstraße 3 - 14057 Berlin - Tel: (030) 536 47 749
E-mail: mail@christmann-law.de