4.6 Schutz des Patientengeheimnisses
4.6.1 Die neue DSGVO – so können Heilberufler die Vorgaben umsetzen
Das ULD hat unter
einen ausführlichen Informationsbeitrag veröffentlicht. Folgende zentrale Punkte müssen bekannt sein und beachtet werden:
Wer ist Verantwortlicher?
Die Betreiberin oder der Betreiber der Praxis, Apotheke usw. ist die oder der Verantwortliche im Sinne der Rechtsvorschriften. Ihr bzw. ihm obliegt die „Rechenschaftspflicht“.
Was sind die Rechtsgrundlagen für die Verarbeitung von Patientendaten ?
Werden personenbezogene Daten (Patientendaten) zum Zwecke der Gesundheitsversorgung verarbeitet, ist regelhaft der (Behandlungs-)Vertrag die Rechtsgrundlage (siehe Art. 9 Abs. 2 Buchst. h DSGVO und § 22 Abs. 1 Nr. 1 Buchst. b BDSG). Zusätzliche Dienste, wie z. B. ein Recall-Service, erfordern eine gesonderte Einwilligung des Betroffenen.
Muss ein Datenschutzbeauftragter benannt werden?
Ein Datenschutzbeauftragter ist in jedem Fall zu benennen, wenn in der Regel mindestens zehn Personen ständig, d. h. nicht nur gelegentlich, mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hierzu gehören auch die Heilberufler selbst, Verwaltungskräfte und Teilzeitbeschäftigte.
Wie erfülle ich die Informationspflichten ?
Werden zum ersten Mal, z. B. von einer Patientin oder einem
Patienten, Daten in einer Arztpraxis erhoben, so hat diese oder dieser
Anspruch darauf, dass ihr oder ihm von dem Verantwortlichen die in Artikel 13
DSGVO benannten Informationen mitgeteilt werden. Der Verantwortliche muss die
Erfüllung seiner Informationspflicht nachweisen können. Wir empfehlen, neuen Patientinnen
oder Patienten einen Flyer bzw. Handzettel (Datenschutz-Steckbrief)
auszuhändigen. Muss die Patientin oder der Patient bei ihrer oder seiner ersten
Vorsprache einen Anamnesebogen ausfüllen, kann in diesem ein entsprechender
Hinweis aufgenommen werden. Es ist nicht zwingend erforderlich, dass die
Patientin oder der Patient die Aushändigung mit ihrer oder seiner Unterschrift
bestätigt, wenn z. B. das Praxissystem vorsieht, dass die Mitarbeiterin oder
der Mitarbeiter die Aushändigung zwingend vermerkt.
Muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden?
Ja! Das Verzeichnis der Verarbeitungstätigkeiten umfasst sowohl konventionelle als auch automatisierte Verarbeitungstätigkeiten und stellt einen wichtigen Bestandteil der Dokumentationspflicht des Verantwortlichen dar. Das ULD hat unter
https://www.datenschutzzentrum.de/dsgvo
Vorlagen veröffentlicht.
Muss eine Datenschutz-Folgenabschätzung durchgeführt werden?
Eine Datenschutz-Folgenabschätzung ist u. a. erforderlich, wenn Gesundheitsdaten in großem Maßstab verarbeitet werden. Dies dürfte insbesondere dann der Fall sein, wenn mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, also immer dann, wenn auch ein Datenschutzbeauftragter zu benennen ist.
Weitere Pflichten:
- Festlegung von Aufbewahrungsfristen für personenbezogene Daten und die fristgerechte Löschung von personenbezogenen Daten,
- technische und organisatorische Maßnahmen treffen, damit Unbefugte keinen Zugang zu den Daten haben,
- Abschluss von Verträgen mit Dienstleistern, wenn diese Daten im Auftrag für die Praxis verarbeiten (z. B. mit IT oder Aktenvernichtungsunternehmen usw.),
- Beachtung der Datenschutzrechte der Patienten,
- Meldung von Datenschutzverletzungen bzw. Datenpannen.
Wir empfehlen unseren aktuellen für Arzt- und Zahnarztpraxen entwickelten „Selbst-Check“:
https://www.datenschutzzentrum.de/medizin-soziales/
4.6.2 Patientendaten nach zehn Jahren löschen?
Das weiß doch jeder: Ärzte müssen Patientenunterlagen zehn Jahre lang aufbewahren. Stimmt das wirklich, und wenn ja, bedeutet dies, dass die Patientendaten nach Ablauf der zehn Jahre zwingend gelöscht werden müssen?
Ein Arzt hat nicht nur das Recht, sondern auch die Pflicht, die Behandlung eines Patienten zu dokumentieren. Entsprechende Vorgaben finden sich nicht nur im Art. 9 Abs. 2 Buchst. h DSGVO bzw. § 22 Abs. 1 Nr. 1 Buchst. b BDSG, sondern auch im § 630f Abs. 1 BGB und § 10 der Berufsordnung der Ärztekammer Schleswig-Holstein.
Art. 17 Abs. 1 Buchst. a DSGVO definiert auch für Patienten das „Recht auf Vergessenwerden“. Personenbezogene Daten sind unverzüglich zu löschen, sofern diese für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Dennoch darf die Patientendokumentation nicht sofort nach Behandlungsende vernichtet werden.
Die Patientendokumentation muss aufbewahrt werden, wenn dies zur Erfüllung einer rechtlichen Pflicht erforderlich ist (Art. 17 Abs. 3 Buchst. b DSGVO) oder einer Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen (§ 35 Abs. 3 BDSG).
Aus § 630f Abs. 3 BGB bzw. § 10 Abs. 3 der Berufsordnung der Ärztekammer Schleswig-Holstein ergibt sich die Pflicht zur Aufbewahrung der Patientendokumentation für einen Zeitraum von mindestens zehn Jahren nach Abschluss der Behandlung.
Ein Verstoß gegen diese Dokumentations- und Aufbewahrungspflicht kann nach § 630f BGB zu einer Beweislastumkehr führen. Hat der Behandelnde eine medizinisch gebotene wesentliche Maßnahme und ihr Ergebnis entgegen § 630f Abs. 1 oder Abs. 2 BGB nicht in der Patientenakte aufgezeichnet oder hat er die Patientenakte entgegen § 630f Abs. 3 BGB nicht aufbewahrt, so wird vermutet, dass er diese Maßnahme nicht getroffen hat (§ 630h Abs. 3 BGB). Eine unterlassene oder lückenhafte Dokumentation einer aus medizinischer Sicht zu dokumentierenden Maßnahme führt jedoch zunächst nur zu der Vermutung, dass die Maßnahme unterblieben ist. Der Bundesgerichtshof ging in der Vergangenheit davon aus, dass dennoch im Grundsatz die Beweislast bei dem Patienten liegt. Er oder sie muss den Schaden, eine Fehlbehandlung und die Kausalität der Fehlbehandlung für den Schaden beweisen. Zu einer Beweislastumkehr (d. h., der Arzt muss nachweisen, dass kein Fehler vorlag) kann es nur kommen, wenn eine gänzlich unterlassene oder unvollständige Dokumentation einen groben Behandlungsfehler oder das Unterlassen einer Diagnostik mit behandlungspflichtigem Ergebnis indiziert.
Ist die Zehnjahresfrist erfüllt, sollte geprüft werden, ob die Unterlagen vernichtet werden können. Allerdings gibt es für bestimmte Patientenunterlagen längere Fristen. So sieht z. B. die Strahlenschutzverordnung Aufbewahrungsfristen von 30 Jahren vor.
§ 199 Abs. 2 BGB sieht vor, dass Schadensersatzansprüche, die auf der Verletzung des Lebens, des Körpers oder der Gesundheit beruhen, ohne Rücksicht auf ihre Entstehung und die Unkenntnis oder grob fahrlässige Kenntnis in 30 Jahren von der Begehung der Handlung, der Pflichtverletzung oder dem sonstigen, dem Schaden auslösenden Ereignis an verjähren. Nach unserer Kenntnis werden daher insbesondere im stationären Bereich Patientenunterlagen in der Regel 30 Jahre lang aufbewahrt. Zwar stellt diese lange Aufbewahrung von Patientenunterlagen im Hinblick auf § 199 Abs. 2 BGB nicht zwangsläufig einen Datenschutzverstoß dar. Es gilt jedoch zu beachten, dass nach Ablauf der in § 630f Abs. 3 BGB definierten Zehnjahresfrist die zuvor dargestellte Beweislastumkehr nicht mehr greift. Wenn also nach Ablauf der Zehnjahresfrist keine Unterlagen mehr vorhanden sind, muss der Patient den Beweis für den Schaden, die Fehlbehandlung und Kausalität erbringen. Solange noch Unterlagen vorhanden sind, hat der Patient nach § 630g BGB das Recht auf Einsicht und Kopien und kann diese auch vor Gericht verwerten. Sind keine Unterlagen mehr vorhanden, so läuft dieser Anspruch naturgemäß ins Leere.
Vor diesem Hintergrund hat das ULD in der Vergangenheit die Aufbewahrungsfrist von zehn Jahren regelhaft für geboten, aber auch für hinreichend erachtet.
4.6.3 Neu – Auftragsverarbeitung ohne Einwilligung der Patienten möglich!
IT-Systemadministration, Aktenvernichtung – manche Aufgaben können externe Dienstleister kompetent übernehmen. Damit jedoch ein externer Dienstleister mit der Verarbeitung personenbezogener Daten (Auftragsverarbeitung) beauftragt werden darf, bedarf es zunächst eines schriftlichen Vertrages zwischen Auftraggeber und Auftragnehmer. Artikel 28 DSGVO gibt dezidiert vor, welche Inhalte dieser Vertrag haben muss.
Ärzte, Apotheker und andere Berufsgruppen, die einer besonderen berufsrechtlichen Schweigepflicht unterliegen, benötigten bislang zudem die schriftliche Einwilligung (Schweigepflichtentbindungserklärung) der Patienten, um deren Gesundheitsdaten durch Dienstleister verarbeiten zu lassen. Dies ist seit November 2017 durch eine Änderung im § 203 Abs. 3 Satz 2 Strafgesetzbuch (StGB) nicht mehr erforderlich.
Heilberufler usw. dürfen seitdem ihren Dienstleistern bzw.
den dort tätigen Personen („mitwirkenden Personen“) Patientendaten offenbaren,
soweit dies für die Erbringung der Dienstleistung erforderlich ist. Allerdings
muss der Auftraggeber Sorge dafür tragen, dass sein Dienstleister und die dort
tätigen Personen zur Geheimhaltung verpflichtet werden.
4.6.4 Übermittlung von
Patientendaten von Kurkliniken
an die Gemeinde?
In einem Erholungsort in Schleswig-Holstein hatte die Kommune unter Hinweis auf die Kurabgabesatzung von ortsansässigen Kliniken verlangt, den Namen der dort untergebrachten Patienten und die Dauer des Aufenthalts zu übermitteln. Auf dieser Grundlage wollte die Kommune dann einen Kurabgabebescheid erstellen. Die Kliniken sollten sodann die Kurabgabe bei den Patienten erheben und an die Kommune abführen. Die Kliniken hielten dieses Vorgehen für unvereinbar mit der ärztlichen Schweigepflicht und wandten sich an das ULD.
Auf Nachfrage des ULD verwies die Kommune auf § 10 Abs. 4 Kommunalabgabengesetz (KAG) als Rechtsgrundlage für ihr Vorgehen. Danach dürfen Kommunen diejenigen, die Personen beherbergen, dazu verpflichten, die beherbergten Personen zu melden und die Kurabgabe einzuziehen und abzuführen. Dies gelte auch für Kliniken. Die vom ULD vorgeschlagene anonymisierte Datenübermittlung könne der vorgesehenen Meldepflicht nicht gerecht werden, da nur unter Angabe der geforderten Daten die Angaben nachgeprüft und ein Kurabgabebescheid erlassen werden könne.
Nach Auffassung des ULD war schon zweifelhaft, ob die Kliniken überhaupt unter die Meldepflicht des KAG bzw. der kommunalen Satzung fallen. Die Meldepflicht trifft diejenigen, die Personen beherbergen oder ihnen Wohnraum zu Erholungszwecken überlassen. Bereits bauplanungsrechtlich unterscheidet sich das „Beherbergen“ von der „Unterbringung“. Kliniken oder Krankenhäuser werden nicht als Betriebe des Beherbergungsgewerbes aufgefasst. Selbst Erholungsheime gehören nur dann zu den Beherbergungsbetrieben, wenn diese der Unterbringung im Urlaub und nicht der Heilbehandlung dienen.
Noch deutlicher wird die Unterscheidung mit Blick auf Abschnitt 4 des Bundesmeldegesetzes (BMG). Das BMG unterscheidet zwischen der besonderen Meldepflicht in Beherbergungsstätten und der besonderen Meldepflicht in Krankenhäusern, Heimen und ähnlichen Einrichtungen. Beherbergungsstätten sind in § 29 Abs. 1 BMG definiert als „Einrichtungen, die der gewerbs- oder geschäftsmäßigen Aufnahme von Personen dienen“. Aus der Systematik ergibt sich, dass damit Krankenhäuser gerade nicht erfasst sind. Nur für die Meldepflicht in Beherbergungsstätten („Hotelmeldepflicht“) erlaubt das BMG, dass durch Landesrecht bestimmt werden kann, dass für die Erhebung von Fremdenverkehrs- und Kurbeiträgen weitere Daten auf dem Meldeschein erhoben werden dürfen (§ 30 Abs. 3 BMG). Eine vergleichbare Regelung findet sich zur Meldepflicht in Krankenhäusern gerade nicht. Eine Auslegung des KAG und der kommunalen Satzung, wonach auch Krankenhäuser der Meldepflicht zum Zwecke der Erhebung der Kurabgabe nachzukommen haben, verstößt daher gegen höherrangiges Bundesrecht.
In jedem Fall erwächst das Verbot für die Kommunen, Patientendaten bei der Klinik zu erheben, aus § 203 Abs. 1 Strafgesetzbuch („ärztliche Schweigepflicht“) in Verbindung mit §§ 102 Abs. 1 Nr. 3, 104 Abs. 1 der Abgabenordnung (die Vorschriften der Abgabenordnung gelten ergänzend zum KAG). Danach kann ein Berufsgeheimnisträger die Vorlage von Unterlagen über das, was ihm in dieser Eigenschaft anvertraut worden oder bekannt geworden ist, im Steuerverfahren verweigern. Offenbart er gleichwohl solche Unterlagen, macht er sich strafbar. Der Bundesfinanzhof hat dazu festgehalten, dass ein Berufsgeheimnisträger alle mandantenbezogenen Informationen zurückhalten darf, auch wenn es in dem Verfahren um seine eigenen steuerlichen Belange geht. Der Kommune steht im Verfahren zur Erhebung der Kurabgaben also keine Befugnis zur Erhebung von Daten zu, die unter die ärztliche Schweigepflicht fallen.
Zu den durch die ärztliche Schweigepflicht geschützten Informationen gehören nicht erst detaillierte Angaben zu Diagnose und Behandlung. Bereits die Information über das bloße Bestehen des Patientenverhältnisses ist von der Schweigepflicht umfasst. Damit scheidet schon die Übermittlung der Namen der Patienten aus.
Was ist zu tun?
Die ärztliche Schweigepflicht bietet
einen starken Schutz. Sie kann von den Gemeinden in der Regel auch im
Zusammenhang mit der Erhebung von Kurabgaben nicht durchbrochen werden.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |