DSGVO aktuell: Fragen aus dem radiologischen Praxisalltag
Mit der Einführung der DSGVO sind zahlreiche Neuerungen auf die Praxen zugekommen. Datenschutzspezialistin Anette Butzmann hat einige typische Fragen aus dem Praxisalltag zusammengetragen, durch Rechtsanwältin Gabriele Holz prüfen lassen und erläutert, was seitens der Praxen zu beachten ist.
Frage: Eine Patientin ruft in der Praxis an und teilt mit, dass sie umgezogen sei und nunmehr die Löschung ihrer Daten verlange, da sie gemäß Art. 17 DSGVO ja ein Recht auf „Vergessenwerden“ habe. Müssen die Daten nun gelöscht werden?
Antwort: Die Frage ist für die Dauer von gesetzlichen Aufbewahrungspflichten mit einem klaren Nein zu beantworten, da diese einer Löschung entgegenstehen (Art. 6 Abs. 1 c) DSGVO).
In manchen Fällen sind aber zivilrechtliche Verjährungsfristen, die bei Behandlungsfehlern im Höchstfall 30 Jahre betragen können, länger als die gesetzlichen Aufbewahrungspflichten. Hier wird man eine Abwägung zwischen den Interessen des Patienten hinsichtlich Löschung und denen des Arztes, im Rahmen eines möglichen Arzthaftungsprozesses Beweis führen zu können, vornehmen müssen. Im Allgemeinen wird man hier der Speicherung und Verarbeitung der Daten zur Möglichkeit der Beweisführung den Vorrang einräumen. Dies gilt erst recht, wenn sich nach Behandlungsende Komplikationen im Behandlungsverhältnis abzeichnen.
Frage:Bedarf die Weiterleitung von Daten an einen Zuweiser der Einwilligung des Patienten?
Antwort: Generell gilt, dass für die Vertragserfüllung – hier des Behandlungsvertrags – gemäß Art. 6 Abs. 1 b) DSGVO keine Einwilligung des Patienten erforderlich ist.
Frage: Was muss bei der Weiterleitung von Daten an die Privatärztliche Verrechnungsstelle (PVS) beachtet werden?
Antwort: Ob Daten für Abrechnungszwecke an Dritte wie die PVS ohne Einwilligung des Patienten verschickt werden dürfen, wird unterschiedlich betrachtet. Nach Art. 9 Abs. 2 f) DSGVO wäre eine Weiterleitung an/ Verarbeitung durch Dritte dann möglich, wenn sie zur Geltendmachung von Rechtsansprüchen erforderlich ist. Daran dürfte die Weiterleitung von Abrechnungsdaten an die PVS also scheitern, da diese zwar für die Praxis nützlich sein mag, aber nicht unbedingt erforderlich ist. Die Weiterleitung von Abrechnungsdaten an Dritte zum Zweck der Abrechnung sollte nur mit schriftlicher Genehmigung des Patienten erfolgen.
Frage: Was muss eine Praxis bei der Zusammenarbeit mit weiteren Dienstleistern oder Geschäftspartnern beachten?
Antwort: Werden externe Dienstleister eingeschaltet, so ist in vielen Fällen, wie z.B. bei Wartungs- oder IT-Dienstleistungsverträgen oder Einschaltung eines Callcenter ein Vertrag über Auftragsverarbeitung gemäß Art. 28 DSGVO erforderlich.
Der Dienstleister wird hierbei nicht als externer Dritter betrachtet, sondern der Arztpraxis zugerechnet. Wichtig hierbei ist, dass die Verarbeitung von Daten nur zu dem vereinbarten Zweck erfolgen darf, der Dienstleister also keine eigenen Daten erheben, speichern oder nutzen darf. Zudem muss der Vertrag über die Auftragsverarbeitung eine Klausel enthalten, die den Dienstleister wie einen Berufsgeheimnisträger zur Verschwiegenheit und Beachtung der DSGVO verpflichtet.
Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, ist beispielsweise in der Regel die Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer), Inkassobüros mit Forderungsübertragung, Bankinstituts für den Geldtransfer, Postdienstes für den Brieftransport und Ähnliches.
Vorsicht aber bei Dienstleistern, die z.B. eine „smarte Gesundheits-App“ Patienten zur Verfügung stellen und deswegen Bilder und Befunde der Patienten bei Ärzten erfragen. Hier ist eine Weitergabe nur dann rechtlich zulässig, wenn der Patient eine Schweigepflichtentbindungserklärung und die Einwilligung in die Datenweitergabe schriftlich dem Arzt erteilt hat.
Tipp: Zur Sicherheit sollten diese Daten nur an den Patienten selber herausgegeben werden und nicht an den Dienstleister, da die Praxis ansonsten bei Widerruf der Einwilligung in die Situation geraten kann, die Daten beim Dienstleister zurückholen zu müssen.
Frage:Sind radiologische Präsenzen auf Facebook seit Mai strengeren Regularien unterworfen?
Antwort: Es gibt eine Richtlinie zur Nutzung von sozialen Netzwerken durch öffentliche Stellen (Laden Sie hier die Richtlinie als PDF.)
Da eine Arztpraxis aber keine öffentliche Stelle ist, müssen nicht alle Anforderungen der Richtlinie erfüllt sein. So sind ein Nutzungskonzept (Nr. 1 a) bis e) der Richtlinie) sowie das Anbieten der Informationen auf einem alternativen Weg (Nr. 4 a) und b)) nicht erforderlich. Die Einhaltung telemedienrechtlicher Pflichten (Nr. 2 a) und b)) sowie eine redaktionelle Betreuung des jeweiligen Angebots (Nr. 3) sind hingegen zwingend einzuhalten. Hierbei nicht erforderlich sind die unter Nr. 3 genannten Aktionen zur Sensibilisierung der Nutzerinnen und Nutzer (dieses Erfordernis gilt auch nur für öffentliche Stellen).
Frage: Manche Patienten sind der Meinung, dass es nunmehr auch aufgrund der DSGVO rechtlich nicht zulässig sei, sie ohne Einwilligung mit Namen anzusprechen. Inwieweit schränkt die DSGVO die Kommunikation in der Praxis ein?
Antwort: Hier muss ganz klar gesagt werden, dass es zur Erfüllung des Behandlungsvertrags erforderlich ist, eine richtige Identifizierung des Patienten vorzunehmen. Dies geht am einfachsten durch Nennung des Namens. Andere Methoden, wie z.B. die Vergabe von Nummern, sind natürlich auch möglich, sofern hierbei eine eindeutige Identifizierung sichergestellt ist. Die Nennung des Namens bei Aufruf im Wartezimmer ist daher weiter unproblematisch möglich. Beachtet werden muss allerdings, dass darüber hinaus keine weiteren Daten an Dritte (Mitpatienten) gelangen, wie z.B. die Übergabe von Überweisungen oder Rezepten im Wartezimmer unter Benennung des Facharztbereiches.
Ihre Ansprechpartnerin:
Anette Butzmann