Anzeige
Recht 26.04.2019

Keine Panik: Patientenrechte nach EU-DSGVO

Keine Panik: Patientenrechte nach EU-DSGVO

Die Stärkung der sogenannten Betroffenenrechte – also der Rechte jener, deren Daten erhoben, gespeichert und verarbeitet werden – ist eine der zentralen Neuerungen der EU-DSGVO gegenüber den Regelungen vor Mai 2018. Ziel dieser Rechte ist es insbesondere, die Transparenz und Hoheit über die Daten wieder dem Betroffenen zuzuweisen, anstatt den datensammelnden Unternehmen. Hier zeigt sich am deutlichsten der ursprüngliche Gedanke der EU-DSGVO, nämlich den Handlungsweisen der internationalen Großkonzerne einen Gegenpunkt zu setzen. Wer diesen Grundgedanken im Hinterkopf behält, wird schnell zwischen Panikmache in manchen Internetforen und tatsächlichem Recht unterscheiden können.

Aus der EU-DSGVO ergeben sich umfassende Rechte, die dem Betroffenen zustehen und deren Missachtung mit hohen Geldstrafen bedroht ist. Was können Patienten auf dieser Basis nun verlangen? Die gute Nachricht: Der Gesetzgeber kennt die Grenzen des Machbaren. Die Rechte setzen die Mündigkeit des Patienten voraus, d. h. der Patient muss seine Betroffenenrechte aktiv einfordern, und die Praxen müssen nicht proaktiv tätig werden. Einzig die Information über die Datenverarbeitung in der Praxis muss proaktiv, z. B. bei der Anmeldung oder durch Aushang in der Praxis, dem Patienten bereitgestellt werden. Somit kann grundsätzlich zwischen der (proaktiven) Informationspflicht und den weiteren Betroffenenrechten unterschieden werden.

Die Informationspflicht

Die Informationspflicht ergibt sich aus Art. 13 EU-DSGVO, der die Information über die Erhebung personenbezogener Daten zum Zeitpunkt der Erhebung vorschreibt. In der Praxis erfordert diese Informationspflicht die Aufklärung des Patienten über die Datenverarbeitung in der Regel beim ersten Besuch in der Praxis, z. B. im Rahmen des Anmeldebogens bzw. -formulars.

Vorsicht ist allerdings geboten, wenn die Datenschutzinformation ausschließlich digital oder online vorliegt. Denn nach Auffassung der deutschen Datenschutzkonferenz reicht ein Verweis auf eine Information, beispielsweise im Internet, nicht aus, sofern die Datenerhebung in schriftlicher Form erfolgt.

Grundsätzlich muss die Praxis nachweisen können, dass sie der Informationspflicht nachgekommen ist. Nach anfänglich sehr großer Verwirrung zur Umsetzung der Informationspflicht haben die Datenschutzbehörden in Deutschland zwischenzeitlich Klarheit geschaffen und festgestellt, dass eine Zustimmung der Datenschutzinformation durch Unterschrift nicht erforderlich ist.1 So reicht eine entsprechende Arbeitsanweisung zur Aushändigung dieser Information oder ein interner Vermerk, dass die Information ausgehändigt wurde, z. B. auf dem Anmeldebogen oder in der Patientenakte. Für Bestandspatienten ist hingegen ein Aushang der Datenschutzinformation an gut zugänglicher Stelle in der Praxis, z. B. im Wartezimmer oder als Ausleger an der Rezeption, ausreichend.

Eine weitere Ausprägung der Informationspflicht ist die Datenschutzinformation, die auf Webseiten bereitgestellt wird. Hier ist das gängige Verständnis, dass diese Datenschutzhinweise getrennt vom Impressum auf einer eigenen Seite dargestellt werden müssen. Ähnlich dem Impressum muss die Seite leicht zugänglich sein, daher empfiehlt sich eine Verlinkung im Menü oder der Fußzeile der Website, sodass der Link auf jeder besuchten Seite verfügbar ist.Eine Besonderheit in der Informationspflicht liegt sicherlich vor, wenn die Praxis auf die Behandlung von Patienten anderer Nationen spezialisiert ist. In solchen Fällen sollte rechtssicher geprüft werden, ob der Informationspflicht auch in anderen Sprachen nachzukommen ist. In der Regel sollte die Bereitstellung der Datenschutzinformation in deutscher Sprache jedoch ausreichen.

Der Widerruf zur Datenverarbeitung

Sofern der Patient seine Einwilligung zur Datenverarbeitung gegeben hat, steht ihm auch die Möglichkeit zu, diese Einwilligung wieder zurückzuziehen. Typische Beispiele für eingeholte Einwilligungen in der Praxis sind die Nutzung von Telefonnummer oder E-Mail für den Recall-Service der Praxis oder zur Terminerinnerung. Auf die genauen Anforderungen einer wirksamen und gesetzeskonformen Einwilligungserklärung soll an dieser Stelle nur hingewiesen werden. Der wirksame Widerruf bedarf keiner speziellen Form, wobei sich zu Dokumentationszwecken für beide Parteien die Schriftform anbietet. Der Widerruf ist jedoch nur für die Zukunft gültig, d. h. Datenverarbeitungen ab dem Zeitpunkt des Widerrufs sind nicht legitimiert, vergangene Verarbeitungen bleiben erlaubt.

Das Auskunftsrecht

Ein weiteres zentrales Betroffenenrecht ist das Auskunftsrecht nach Art. 15 EU-DSGVO, das durch weitere Regelungen im neuen Bundesdatenschutzgesetz (BDSG) ergänzt wird. Durch das Patientenrechtegesetz ist ein solches Auskunftsrecht in den Praxen bereits bekannt. Da Patientenrechtegesetz und EU-DSGVO unterschiedliche Regelungen zum Inhalt der Auskunft oder den Kosten der Auskunftserteilung enthalten, empfiehlt sich, die Anfrage des Patienten dahingehend zu prüfen, um auf Basis der entsprechenden Rechtsgrundlage richtig zu reagieren.

Für die Anforderung der Auskunft gelten keine Formvorschriften, die Praxis muss jedoch die Identität der Person, die die Auskunft erhält, sicherstellen. Ebenso muss ein angemessenes Sicherheitsniveau bei der Datenübermittlung gewährleistet werden, um einer Datenschutzverletzung zum Zeitpunkt der Auskunft vorzubeugen. Praktischerweise wird die Auskunft in den meisten Fällen also schriftlich erfolgen, z. B. an die in der Praxis gespeicherte Postadresse des Patienten.

Wichtig ist, dass die Praxis die Frist zur Erteilung der angeforderten Auskunft innerhalb eines Monats berücksichtigt. Hier sollte vorbereitend bereits eine Arbeitsanweisung definiert sein, wie der Auskunftspflicht nachgekommen wird – dies fordert sogar die EU-DSGVO. Grundsätzlich ist die Auskunft nach EU-DSGVO regelmäßig unentgeltlich, nur in speziellen Fällen ist eine Kostenerstattung möglich. Dem Patienten werden nur Kopien der Daten zur Verfügung gestellt, die originale Patientenakte verbleibt also in der Praxis. Sofern keine Daten des Betroffenen in der Praxis gespeichert werden, ist eine sogenannte Negativauskunft sinnvoll.

Foto: Jirsak - Shutterstock.com

Weitere Rechte der Patienten

Neben der Informationspflicht, dem Widerrufsrecht zu Einwilligungen und dem Auskunftsrecht billigt die EU-DSGVO den Patienten und Betroffenen noch eine Reihe weiterer Rechte zu. Die Berichtigung gem. Art. 16 EU-DSGVO erlaubt die Korrektur unrichtiger oder unvollständiger Daten.

Auch die Löschung von nicht mehr erforderlichen Daten kann gem. Art. 17 EU-DSGVO vom Patienten verlangt werden, jedoch gilt hier eine Einschränkung durch das BDSG aufgrund von Aufbewahrungspflichten. Alternativ zur Löschung haben Betroffene auch das Recht auf Einschränkung der Verarbeitung in bestimmten Fällen gem. Art. 18 EU-DSGVO. In diesen Fällen ist nur noch die Speicherung der Daten erlaubt, eine weitere Verarbeitung ist jedoch ausgeschlossen. Die Archivierungsfunktion gängiger Praxisverwaltungssysteme erfüllt meist diese Anforderung, aber ein kurzer Check mit der Hotline schafft schnell Klarheit.

Insbesondere um die Datenhoheit, also das Recht an den eigenen Daten zu sichern, billigt die EU-DSGVO den Betroffenen auch ein Recht auf Datenübertragbarkeit gem. Art. 20 zu, d. h. digitale Daten müssen in einem strukturieren, gängigen und maschinenlesbaren Format bereitgestellt werden. Der Patient kann sogar verlangen, dass diese Daten direkt an einen von ihm bestimmten Dritten übergeben werden. Zielsetzung dieser Regelung ist der einfache Anbieterwechsel. Im ärztlichen Umfeld fehlen heute jedoch meist mangels interoperabler Formate und Standards die technischen Möglichkeiten, um Daten in einem Format weiterzugeben, das beispielsweise ein Weiterbehandler problemlos in sein Praxisverwaltungssystem einlesen kann. Hier kann zurzeit hilfsweise auf die übliche Weitergabe von PDF-Formaten oder Bilddateien für Röntgenaufnahmen zurückgegriffen werden, was aber bei strenger Auslegung der gesetzlichen Anforderung nicht genau entspricht.

Alles, was Recht ist – was Patienten nicht dürfen

Da die Datenverarbeitung rund um die Behandlung üblicherweise nicht durch Einwilligung, sondern durch andere gesetzliche Grundlagen legitimiert ist, steht dem Patienten hier auch kein Widerrufsrecht oder Widerspruchsrecht zur Datenverarbeitung zu. Hier ist es also sinnvoll für die Praxis, die Gesetzesgrundlagen zur Datenverarbeitung in der Praxis zu verstehen, um entsprechenden Forderungen der Patienten sicher zu begegnen.

Auch das Recht auf Löschung kennt klare Grenzen, die insbesondere in den Aufbewahrungspflichten liegen. Wer also Daten in Erfüllung seiner gesetzlichen, satzungsgemäßen oder vertraglichen Aufbewahrungspflichten speichert, bleibt vom Löschungsrecht unberührt. Sofern ein Patient von seinem Recht auf Löschung Gebrauch machen möchte, sollte dieses Ansuchen aber mit Verweis auf die zutreffende Aufbewahrungspflicht beantwortet werden.

Mit Einführung der EU-DSGVO und Novellierung des BDSG im Mai 2018 ist das sogenannte „Jedermannsverzeichnis“ als eine wesentliche Regelung der davor gültigen deutschen Datenschutzgesetzgebung verschwunden und durch die Betroffenenrechte ersetzt worden. Demnach ist es nicht mehr erforderlich, dass die Praxis den Patienten oder anderen Betroffenen Einsicht in das Verzeichnis der Verarbeitungstätigkeiten und die zugehörigen Maßnahmen zum Schutz der Daten gewährt. Diese Informationen müssen auf Aufforderung nur noch den Datenschutzaufsichtsbehörden zur Verfügung gestellt werden und bleiben ansonsten interne Dokumente.

Fazit

Mit dem Ziel, mehr Transparenz zu schaffen und die Datenhoheit der Betroffenen zu stärken, werden durch die EU-DSGVO den Patienten umfangreiche Rechte gewährt. Die Praxis sollte sich darauf vorbereiten, um entsprechende Anfragen sicher zu beantworten und sich nicht dem Risiko der hohen Bußgeldandrohungen auszusetzen. Facebook-Gruppen und Internetforen sind selten der geeignete Weg, um sich im Fall der Fälle zu informieren – hier zeigen sich immer wieder panikmachende Kommentare und große Unsicherheit über die Rechte und auch die Grenzen dieser Rechte. Mit einem Verständnis der Rechtslage, in Zusammenarbeit mit dem Datenschutzbeauftragten und durch Antwortvorlagen kann sich die Praxis jedoch gut auf Anfragen durch Patienten vorbereiten und diese ohne exzessiven Aufwand bearbeiten. Denn nicht jeder Patientenforderung muss auch nachgekommen werden – die Grenzen der Transparenz und Datenhoheit finden sich dort, wo Praxen auch noch rechtssicher arbeiten müssen und dürfen!

1 Ablehnung der Behandlung durch Ärztinnen und Ärzte bei Weigerung der Patientin oder des Patienten, die Kenntnisnahme der Informationen nach Art. 13 DSGVO durch Unterschrift zu bestätigen, vgl. Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, 05.09.2018, https://www.datenschutzkonferenz-online.de/media/dskb/20180905_dskb_aerzte.pdf

Dieser Beitrag ist in KN Kieferorthopädie Nachrichten erschienen.

Foto: santypan - Shutterstock.com

Mehr News aus Recht

ePaper

Anzeige