Informationen für Angehörige von Gesundheitsberufen zu Neuregelungen nach der Datenschutz-Grundverordnung

 

Im Folgenden beantworten wir Fragen zu Themen aus dem Bereich des Gesundheitsdatenschutzes, die aus Anfragen zahlreicher Angehöriger von Gesundheitsberufe zusammengestellt sind:


Erforderlichkeit eines Datenschutzbeauftragten
Zahlreiche Anfragen betreffen die Voraussetzungen, unter den nach der DS-GVO die Pflicht zur Bestellung einer oder eines Datenschutzbeauftragten für Arztpraxen und sonstige Angehörige eines Gesundheitsberufs besteht.

Ergänzende Informationen hierzu finden sich hier.

 
Auf grundlegende Anforderungen zur Datenschutzbeauftragten-Bestellpflicht nach Artikel 37 Abs. 1 lit. C DS-GVO verweist der Beschluss der Datenschutzkonferenz vom 26.04.2018.

Informationspflichten
Angehörige von Gesundheitsberufen (etwa Ärztinnen und Ärzte) müssen ihren Informationspflichten nach den Vorgaben der DS-GVO bei der Erhebung und weiteren Verarbeitung von Patientendaten genügen.

Als erste Orientierung hierzu dient das Kurzpapier Nr. 10 "Informationspflichten bei Dritt- und Direkterhebung" der Datenschutzkonferenz. Ihm kann entnommen werden, wie die DS-GVO insoweit angewendet werden sollte. Für eine Arztpraxis bietet sich etwa eine Patienteninformation durch einen Flyer an. Eine Informationspflicht besteht unter anderem nicht, sollten Patientinnen oder Patienten über die erhobenen Informationen bereits verfügen (Artikel 13 Abs. 4, Art. 14 Abs. 5 lit. a DS-GVO).

 

Zwischenzeitlich hat eine Arbeitsgemeinschaft, bestehend aus den nordrhein-westfälischen Heilberufskammern sowie den Kassenärztlichen Vereinigungen Nordrhein und Westfalen-Lippe, verschiedene Informationsblätter sowie mehrere ergänzende Mustertexte zu praxisrelevanten Datenschutzfragen erarbeitet. Die LDI NRW hat an der Erarbeitung dieser Informationsblätter maßgeblich mitgewirkt und diese inhaltlich mit der Arbeitsgemeinschaft abgestimmt. Hierdurch wird die Orientierung der Angehörigen der Heilberufe erleichtert.

Die Informationen sind hier abrufbar.“



Checkliste Patienteninformation zum Datenschutz

Die Patienteninformation sollte über folgende Punkte aufklären:

  1. Name und Kontaktdaten der oder des Verantwortlichen (Ärztin/Arzt, Betreiberin/Betreiber  der Praxis) sowie ggf. Vertreterin/vertreter
  2. Soweit vorhanden: Kontaktdaten der oder des Datenschutzbeauftragten - siehe Kurzpapier 12 der Datenschutzkonferenz zur Pflicht zur Benennung eines Datenschutzbeauftragten
  3. Zwecke, für die die Daten verarbeitet werden
    • Konkretisierung der Daten, die verarbeitet werden: Gesundheitsdaten wie Anamnese, Diagnose, Therapievorschläge, eigene Befunde und ggf. solche anderer Ärzte; ggf. Sozialdaten (gesetzlich Versicherte).
    • Zwecke der Verarbeitung: Durchführung des Behandlungsvertrages (Art. 9 Abs. 2 lit. h DS-GVO; § 22 Abs. 1 Nr. 1 Buchst. b) BDSG): Behandlung und Abrechnung durch den Arzt selber mit der Krankenkasse/Kassenärztliche Vereinigung (gesetzlich Versicherte) oder dem Patienten (private Abrechnung); die Datenverarbeitung ist erforderlich, um die Behandlung sachgerecht und sorgfältig durchführen zu können.
    • Empfänger der Daten: (entspricht den Empfängern/ Kategorien von Empfängern aus dem Verarbeitungsverzeichnis; so konkret wie möglich aufführen, also wenn möglich den Empfänger, nicht nur die Kategorie)
  • Behandelnder Arzt
  • Praxismitarbeiter/innen
  • Ggf. Dienstleister – Bsp.: Externe Labore, IT-Wartung (Externe Abrechnungsstellen sind keine Auftragsverarbeiter. Für deren Einschaltung ist weiterhin eine gesonderte Patienteneinwilligung notwendig. Die Information reicht als Legitimationsgrundlage nicht aus.)
  • Krankenkassen und Kassenärztliche Vereinigungen, Medizinischer Dienst der Krankenkassen auf der Grundlage der Vorschriften des Sozialgesetzbuches
  • Ggf. mitbehandelnde Ärzte/ Psychotherapeuten
  • In bestimmten Fällen können besondere gesetzliche Meldepflichten an zuständige Behörden oder Register bestehen (Bsp.: meldepflichtige Krankheiten und Krebserkrankungen). Diesbezüglich wird fallbezogen konkret aufgeklärt und informiert.
 

 4. Speicherung der Daten: gesetzliche Vorgaben der Speicherung, beispielsweise

- Regelfall Patientenakte: 10 Jahre nach Abschluss der Behandlung

- Arbeitsunfähigkeitsbescheinigungen: 1 Jahr

- Bei Bedarf praxisbezogen weitere ergänzen, insbesondere soweit abweichende Aufbewahrungsfristen gesetzlich vorgesehen sind.

5. Rechte der Betroffenen (Patient/Patientin) unter Berücksichtigung der ärztlichen Dokumentationspflichten

- Recht auf Auskunft über die Verarbeitung der personenbezogenen Daten (Art. 15 DS-GVO)

- Recht auf Berichtigung unrichtiger personenbezogener Daten (Art. 16 DS-GVO)

-  Recht auf Löschung, sofern ein Löschungsgrund vorliegt (Art. 17 DS-GVO)

-  Recht auf Einschränkung der Verarbeitung, sofern eine entsprechende Voraussetzung gegeben ist (Art. 18 DS-GVO)

-  Beschwerderecht bei der zuständigen Datenschutz-Aufsichtsbehörde: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Postfach 20 04 44, 40102 Düsseldorf.


zurück zur Übersicht