DSGVO & Arztpraxis

Auch niedergelassene Ärzte werden von der Datenschutzgrundverordnung naturgemäß erfasst. Das bedeutet, dass auch Ärzte beispielsweise ein Verzeichnis von Verarbeitungstätigkeiten erstellen und ihren Informationspflichten nachkommen und Betroffenenrechte einhalten müssen. Damit der Ordinationsalltag durch die neuen Datenschutzbestimmungen nicht ins Wanken gerät, sollten spezielle Abläufe geschaffen und entsprechende Dokumente erstellt werden.

Die Verarbeitung personenbezogener Daten:

Nach der DSGVO ist jede Verarbeitung personenbezogener Daten grundsätzlich verboten. Sie ist nur dann erlaubt, wenn es einen Erlaubnistatbestand gibt, der die jeweilige Datenverarbeitung rechtfertigt.

Was ist zulässig:

Ärzte können sich für die Datenverarbeitung grundsätzlich auf den Behandlungsvertrag oder auf gesetzliche Verpflichtungen berufen. Die Verarbeitung von Gesundheitsdaten als sensible Daten ist nach der DSGVO im Gesundheitsbereich erlaubt.

Eine gesetzliche Konkretisierung zur DSGVO findet sich beispielsweise im österreichischen Ärztegesetz, wonach Ärzte Aufzeichnungen über jede zur Beratung oder Behandlung übernommene Person führen müssen. Zudem sind Ärzte nach dem Ärztegesetz zur Übermittlung dieser Daten an die Sozialversicherungsträger und Krankenfürsorgeanstalten berechtigt.

Was ist nicht zulässig:

Gibt es keine Rechtfertigung für die Verarbeitung personenbezogener Daten, so ist diese nur zulässig, wenn der Patient vorab seine Einwilligung erteilt hat. Das gilt nach dem Ärztegesetz beispielsweise für die Weitergabe von personenbezogenen Daten an andere Ärzte. Sogar die Weitergabe von Gesundheitsdaten und Befunden an den Patienten selbst, beispielsweise mittels unverschlüsselter Email, sollte nur erfolgen, wenn der Patient vorab seine ausdrückliche Einwilligung erteilt hat. Große Vorsicht ist auch bei der beruflichen Nutzung von Messaging-Diensten wie WhatsApp etc. geboten, da man durch die Zustimmung der Nutzungsbedingungen möglicherweise einem Zugriff des jeweiligen Dienstes auf personenbezogene Daten von Patienten zustimmt.

Informationspflichten:

Nach der DSGVO müssen Ärzte als Verantwortliche umfassende Informationspflichten erfüllen. Der Patient muss beim ersten Kontakt mit dem Arzt darüber informiert werden, welche konkreten Daten, auf welcher Grundlage und zu welchem Zweck erhoben werden sowie an welche Empfänger diese Daten weitergegeben und wie lange seine Daten aufbewahrt werden. Außerdem muss der Patient auf seine Betroffenenrechte (z.B. Auskunftsrecht) hingewiesen werden. Diese Informationspflicht wirkt nicht zurück, das bedeutet, dass bestehende Patienten nicht informiert werden müssen.

Dem Patienten sollte daher beim ersten Arztbesuch im Zuge der Anmeldung ein Informationsblatt ausgehändigt werden.

Abschluss von Auftragsverarbeitervereinbarungen:

Ärzte sind Verantwortliche und müssen daher mit ihren Auftragsverarbeitern sogenannte Auftragsverarbeitervereinbarungen schließen. Auftragsverarbeiter sind beispielsweise IT-Support Unternehmen oder Arztsoftwarehersteller, wenn diese Zugriff auf personenbezogene Daten haben.

Mit anderen Verantwortlichen wie etwa anderen Ärzten, Apotheken oder Krankenhäusern müssen keine Auftragsverarbeitervereinbarungen geschlossen werden.

Ist ein Datenschutzbeauftragter zu bestellen?

Verantwortliche haben einen Datenschutzbeauftragten zu benennen, wenn ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (z.B. Gesundheitsdaten) besteht.

Die Kerntätigkeit einer Arztpraxis besteht jedoch jedenfalls nicht in der umfangreichen Verarbeitung sensibler Daten. Darüber hinaus ist die Verarbeitung sensibler Daten nach der DSGVO nicht als umfangreich einzustufen, wenn personenbezogene Daten von Patienten durch einen einzelnen Arzt verarbeitet werden. Daraus lässt sich folgern, dass die Verarbeitung sensibler Daten durch eine Arztpraxis keine Benennung eines Datenschutzbeauftragten verlangt.