Mit dieser FAQ-Liste wollen wir die baden-württembergischen Arztpraxen bei der Umsetzung der Datenschutzgesetze sowie der Umstellung auf die Datenschutz-Grundverordnung unterstützen. Sie soll einen Beitrag zum Verständnis des neuen Rechts leisten.

Sollten Sie darüber hinaus eine Frage haben, welche sich nicht in der Liste findet, dann wenden Sie sich gerne an uns unter poststelle@lfdi.bwl.de.

Müssen zum Zwecke der ärztlichen Behandlung von Patienten Einwilligungserklärungen eingeholt werden?
Nein. Die ärztliche Behandlung wird aufgrund eines Behandlungsvertrages durchgeführt. Diese vertragliche Grundlage stellt eine Befugnis für die Datenverarbeitung gemäß Artikel 9 Abs. 2 Buchstabe h) und Absatz 3 in Verbindung mit Artikel 6 Absatz 1 Satz 1 Buchstabe b) Datenschutz-Grundverordnung (DS-GVO) dar. Alle Verarbeitungen, die zur Erfüllung des Behandlungsvertrages notwendig sind, können auf dieser Rechtsgrundlage durchgeführt werden. Eine Einwilligung ist für die Verarbeitung von personenbezogenen Daten zur Erfüllung des Behandlungsvertrages daher nicht erforderlich. In die Erhebung von Gesundheitsdaten im Zuge einer Anamnese kann im Übrigen durch die Teilnahme an der Untersuchung konkludent eingewilligt werden. Die Weitergabe der Patientendaten an eine private Abrechnungsstelle ist – wie bisher auch – vom Behandlungsvertrag nicht abgedeckt. Hierfür ist eine entsprechende Einwilligung einzuholen.
Darf die ärztliche Behandlung verweigert werden, wenn der Patient nicht in die Verarbeitung personenbezogener Daten einwilligt?
Für die Verarbeitung personenbezogener Daten zum Zwecke der ärztlichen Behandlung muss grundsätzlich keine Einwilligung eingeholt werden (siehe dazu Frage 1). Die ärztliche Behandlung darf daher auf keinen Fall unter Berufung auf die Nichterteilung einer datenschutzrechtlichen Einwilligung verweigert werden.
Wie wirkt sich der Grundsatz der Datenminimierung im Verhältnis von Arzt zu Patient bei der Erstellung einer Anamnese aus? Dürfen hierbei nur noch wenige Daten erhoben werden?
Der Grundsatz der Datenminimierung aus Artikel 5 Absatz 1 Buchstabe c) DS-GVO besagt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sein müssen. Demnach können im Rahmen einer Anamnese sämtliche für die Erstellung einer Diagnose notwendigen Daten erhoben werden.

Im Übrigen schützt die Grundrechtecharta (GRCh) der Europäischen Union in Artikel 2 Absatz 1 GRCh und Artikel 3 Absatz 1 GRCh die Rechte auf Leben und körperliche sowie geistige Unversehrtheit. Die Datenschutz-Grundverordnung ist im Lichte dieser hochrangigen Grundwerte auszulegen. Bei der ärztlichen Anamnese dürfen auch angesichts dieser Schutzgüter sämtliche personenbezogene Daten erhoben werden, die für eine fachmännische Beurteilung erforderlich sind. Bei einer nach den Regeln der Kunst durchgeführten Anamnese ist daher auch eine Angemessenheit der Datenverarbeitung anzunehmen.

Dürfen Ärzte sich unter Wahrung des Berufsgeheimnisses über medizinisch problematische Fälle austauschen und im Rahmen der Behandlung die Fachexpertise von anderen Kollegen einholen?
Im Rahmen eines Behandlungsvertrags kann auch der Rat von Kollegen eingeholt werden, solange die rechtliche Befugnis aus dem (Behandlungs-)Vertragsverhältnis nicht überschritten wird. Rechtsgrundlage für eine Übermittlung der personenbezogenen Daten ist hier der Behandlungsvertrag nach Artikel 9 Abs. 2 Buchstabe h) und Absatz 3 in Verbindung mit Artikel 6 Absatz 1 Satz 1 Buchstabe b) DS-GVO. Gemäß Artikel 14 Abs. 5 Buchstabe d) DS-GVO muss der Betroffene vom angefragten Arzt nicht darüber informiert werden, dass Daten nicht vom Betroffenen direkt erhoben wurden, wenn die übermittelten personenbezogenen Daten dem Berufsgeheimnis unterliegen und daher vertraulich behandelt werden müssen.
Dürfen Gesundheitsdaten von Patienten per Fax oder per E-Mail verschickt werden?
Gesundheitsdaten von Patienten sollten am besten per Briefpost oder mit verschlüsselter E-Mail verschickt werden.

Bei der Versendung von Patientendaten per Fax ist besondere Vorsicht geboten. Faxfehlversand durch Wählfehler und Irrläufer sind im Zweifel meldepflichtige Datenpannen.

Soweit die Versendung mittels Fax aus organisatorischen Gründen geboten ist und im Einzelfall Patientendaten gefaxt werden sollen, muss beim Versenden sichergestellt sein, dass nur der Empfänger selbst oder ein ausdrücklich dazu ermächtigter Dritter Kenntnis vom Inhalt des Schreibens erhält. Dies gilt insbesondere dann, wenn ärztliche Mitteilungen an den Patienten selbst gefaxt werden.

Diese Sicherung kann zum Beispiel durch Abstimmung der Übersendung mit dem Empfänger sowie regelmäßige Überprüfung der gespeicherten Rufnummern erreicht werden. Anfragen von Dritten sowie Auskünfte an Krankenkassen, die nicht auf den vereinbarten Vordrucken erteilt werden, dürfen nur mit schriftlicher Einwilligung des Patienten per Fax übersandt werden. Es ist dabei sicherzustellen, dass beim Empfänger der Daten nur der Auskunftsberechtigte Kenntnis von den Daten nehmen kann. Bei Absendung ist deshalb ggf. eine entsprechende telefonische Rückversicherung beim Empfänger notwendig.

Sende- und Empfangsprotokolle sind zwecks Dokumentation gesichert aufzubewahren (Fernmeldegeheimnis).

Jeder Sendung sollte ein Vorblatt vorangestellt werden, welches den Absender, dessen Telefax- und Telefonnummer sowie die Anzahl der insgesamt gesendeten Seiten ausweist, sowie die deutliche Bitte, das ggf. fehlgeleitete Fax beim Absender umgehend anzuzeigen und zu vernichten, sofern man nicht der berechtigte Empfänger ist.

Welche Wege eine E-Mail im Internet nimmt und wer diese Kommunikation dabei zu Kenntnis nehmen kann, ist weder vom Absender noch vom Empfänger beeinflussbar. Vertrauliche Informationen wie Arztbriefe, Befunde etc. dürfen deshalb über das Internet per E-Mail nur versandt werden, wenn Maßnahmen zum Schutz vor unbefugter Kenntnisnahme ergriffen werden. Eine geeignete technische Maßnahme ist hier die Verschlüsselung. Diese ist bei Kommunikation mit externen Dritten notwendig und sollte auch bei Kontaktformularen im Internet bedacht werden. Gesundheitsdaten dürfen nicht beim Provider im Klartext vorliegen.

Idealerweise wird dies mittels eines über die bloße Transportverschlüsselung hinausgehenden Schutzes, also einer Ende-zu-Ende-Verschlüsselung zwischen Absender und Empfänger über die Standards GPG oder S/MIME realisiert.

Beispiel: Sofern die Möglichkeit der Erreichbarkeit des Empfängers durch sog. E-POST mit der Deutschen Post als Dienstleister besteht, müsste der Absender ebenfalls bei diesem Dienst angemeldet sein. Wobei bei vertraulichen Inhalten nur der voll-elektronische Versandweg genutzt werden darf (nicht der sog. Hybridbrief). Beim Versand von Daten mit besonders hohem Schutzbedarf (bspw. Gesundheitsdaten) sind diese als eigens verschlüsselter Anhang zum E-Postbrief zu versenden. Eine separate Verschlüsselung des Mailinhalts kann bspw. mit Hilfe eines geeigneten Packprogramms erfolgen. Das dazugehörige Passwort ist dann auf einem anderen sicheren Kommunikationsweg zu übermitteln.

Wann muss in einer Arztpraxis ein Datenschutzbeauftragter bestellt werden?
Die Datenschutzkonferenz hat hierzu am 26. April 2018 einen Beschluss gefasst, der die Kriterien für die Benennungspflicht bei Gesundheitsberufen beschreibt. Diesen Beschluss finden Sie auf unserer Internetseite unter folgender Adresse:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/04/DSB-Bestellpflicht.pdf

Fragen sind die Wurzel aller Antworten.

Fragen Sie nach und wir bringen Licht ins Dunkel.