Datenschutz & Schweigepflicht

Datenschutz hat schon immer eine große Rolle bei Ärzten und Psychotherapeuten gespielt. Die neue von der Europäischen Union vorgegebene Datenschutzgrund­verordnung (DSGVO), die seit 25. Mai 2018 wirksam ist, unterstreicht die Bedeutung des Datenschutzes noch einmal und führt einige neue Regelungen ein.

Weil Ärzte und Psychotherapeuten sensible Gesundheitsdaten verarbeiten, gelten für sie erhöhte Anforderungen:

• Datenschutzorganisation in der Praxis (u. a. Erstellung eines Verzeichnisses für Verarbeitungstätigkeiten)
• ggf. interner oder externer Datenschutzbeauftragter
• Meldepflichten bei Datenpannen
• Auskunftsrechte von Patienten
• Verhältnis zu externen Dienstleistern und Dritten (Auftragsdatenverarbeitung)

Wesentliche Anforderungen des Datenschutzes werden durch die Schweigepflicht realisiert. An der Schweigepflicht hat sich durch die DSGVO nichts geändert: Sämtliche Informationen, die im Zusammenhang mit der ärztlichen oder psychotherapeutischen Behandlung stehen, unterliegen der ärztlichen Schweigepflicht. Auf den Punkt gebracht bedeutet dies in der Praxis, dass der Arzt oder Psychotherapeut all diese Informationen nicht unbefugt Dritten gegenüber offenbaren darf.

Unbefugte Dritte sind nicht nur andere Praxen, sondern zum Beispiel auch Familienangehörige, privatärztliche Verrechnungsstellen, private Versicherungen oder Praxisübernehmer.

Die Schweigepflicht darf nur gebrochen werden, wenn

• gesetzliche Offenbarungsbefugnisse oder Übermittlungspflichten gegeben sind
  oder
• der Patient damit einverstanden ist.

Die KVBW hat eine Informationsbroschüre „Um Antwort wird gebeten“ zur Schweigepflicht erarbeitet, die erläutert, wie die Schweigepflicht in bestimmten Situationen zu handhaben ist, hierzu gehören beispielsweise Anfragen von Krankenkassen oder Auskünfte gegenüber Minderjährigen im Verhältnis zu deren Eltern.

Weitere Informationen zu diesem wichtigen Thema finden Sie auch in dem von der KBV und der Bundesärztekammer aktuell überabeiteten Papier „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“.

Worüber müssen Praxen ihre Patienten informieren? Welche Rechte hat der Patient nach der der DSGVO und dem neuen Bundesdatenschutzgesetz?

Praxen müssen Patienten darüber informieren, was mit deren persönlichen Daten in der Praxis passiert (Ziel: Transparenz). Dies muss in der Regel „zum Zeitpunkt der Datenerhebung“ erfolgen. Eine persönliche Information, zum Beispiel bei der ersten Kontaktaufnahme am Telefon, ist nicht erforderlich.

Die Information muss in erster Linie Angaben zum Zweck sowie zur Rechtsgrundlage der Datenverarbeitung enthalten. Auch die Kontaktdaten der Praxis, gegebenenfalls des Datenschutzbeauftragten (sofern eine Pflicht zur Benennung vorliegt bei größeren Praxen, siehe Datenschutzbeauftragter) und des/der Labors/e, mit dem die Praxis zusammenarbeitet, sind anzugeben.

Wie kann die Praxis dem Patienten diese Informationen zur Verfügung stellen? Wie kommt die Praxis ihren Informations- und Nachweispflichten also am besten nach?

Die DSGVO schreibt keine bestimmte Form vor. Die Informationen müssen leicht wahrnehmbar, präzise, transparent, verständlich und in leicht zugänglicher Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung geben. Es bietet sich an, einen gut sichtbaren Aushang der „Informationen zur Erhebung personenbezogener Daten“ im Empfangsbereich anzubringen und/oder einige Informationsblattblätter (z. B. fünf bis zehn Stück je nach Praxisgröße, laminiert) den Patienten am Empfang vorzulegen, um alle Patienten zu erreichen. Die Patienteninformation kann zusätzlich auf der Website der Praxis veröffentlicht werden.

Eine Unterschrift des Patienten zur Bestätigung der Kenntnisnahme ist nicht notwendig. Um den Rechenschaftspflichten (= Dokumentation als Nachweis) aus der DSGVO für Praxen nachzukommen, wäre eine Möglichkeit, einen Vermerk (Bsp. Häkchen etc.) in der Patientenakte/PVS über die erfolgte Information aufzunehmen.

Muster „Patienteninformation zum Datenschutz“

Zur Unterstützung der Praxen haben wir ein Muster „Patienteninformation zum Datenschutz“ erarbeitet, das Sie in Ihrer Praxis verwenden (aushängen/auslegen) können. Bitte beachten: Es handelt sich hierbei um eine Mustervorlage, passen Sie also bitte das Muster an die individuellen Gegebenheiten in Ihrer Praxis an (Ausfüllen der Textbausteine zum Verantwortlichen, Datenschutzbeauftragten und zum Labor, mit dem die Praxis zusammenarbeitet). Sofern Sie mit mehreren Laboren zusammenarbeiten, empfiehlt es sich, am Empfang eine Übersicht (z. B. laminiert) bereit liegen zu haben, die bei Nachfrage dem Patienten vorgelegt werden kann.

Patientendaten zu erfassen, zu bearbeiten und zu speichern ist für Vertragsärzte und Vertrags­psycho­therapeuten gesetzlich erlaubt, die Basis hierzu ist der Behandlungs­vertrag zwischen Patient und Praxis.

Wenn Patientendaten aus der Praxis herausgegeben werden sollen, betrifft das die ärztliche Schweigepflicht. Diese gilt grundsätzlich auch zwischen Ärzten. Allerdings dürfen Daten weitergegeben werden, wenn gesetzliche Offenbarungsbefugnisse oder Übermittlungspflichten gegeben sind (z. B. Infektionsschutzgesetz, IfSG).

Sofern diese erlaubten Gründe zur Datenweitergabe nicht vorliegen, benötigen Sie die Zustimmung des Patienten. Diese kann unter Umständen still­schweigend/kon­klu­dent, mutmaßlich oder mündlich erfolgen.

Sollten Sie dennoch die Schriftform bevorzugen, haben wir zur Unterstützung der Praxen zwei Muster einer Zustimmung  nach den Vorgaben des § 73 Abs. 1b SGB V erarbeitet – ein Muster für Hausärzte und ein Muster für Fachärzte.

Bitte beachten: Es handelt sich hierbei um Mustervorlagen. Bitte passen Sie das zutreffende Muster an Ihre individuellen Praxisgegebenheiten an.

Bei der Praxisorganisation sollten Sie auf eine datenschutzkonform gestalten. Wir wollen Ihr Augenmerk hierfür auf vier Schwerpunktebereiche lenken:

1. Trennung von Empfangs-, Warte- und Behandlungsbereich
2. Diskretion bei Gesprächen und Telefonaten
3. Schutz vor Einsichtnahme Dritter in Patientenunterlagen, Briefe, Telefaxe oder in Computer-Bildschirme,
4. Zugriffsschutz der Praxiscomputer durch Passworte und Bildschirmschutz

Checkliste Praxisorganisation

Folgende Fragen können Sie beim Check-up unterstützen, ob Ihre Praxisorganisation datenschutzkonform gestaltet ist:

• Wird durch eine ausreichende Diskretionszone oder durch organisatorische Maßnahmen sichergestellt, dass die Patientinnen und Patienten ihr Anliegen schildern können, ohne dass neugierige Ohren mithören können?
• Kann das Praxispersonal Telefongespräche führen, ohne dass wartende Patientinnen und Patienten dadurch von Daten anderer Personen Kenntnis erlangen?
• Sind Patientenakten und Karteikarten vor dem Zugriff Unbefugter geschützt?
• Können Behandlungsräume so abgeschottet werden, dass neugierige Augen und Ohren ausgeschlossen werden?
• Erfolgen vertrauliche Arzt-Patienten-Gespräche in geschlossenen Räumen?
• Sind Patientendaten in den Behandlungsräumen gegen unbefugte Kenntnisnahme geschützt?
• Haben alle Mitarbeiter (MFA, Ärzte, Praktikanten) und Personen, die für Fremdfirmen (z. B. Berater oder Handwerker) in der Praxis arbeiten, eine Verpflichtungserklärung auf die Schweigepflicht ausgefüllt?
• Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für das Thema Datenschutz?

Möchten Sie Ihren Patienten besondere Serviceangebote wie Praxismailings oder Terminerinnerungen anbieten, geht dies über die erlaubte Datenverarbeitung hinaus und Sie benötigen eine gesonderte Zustimmung des Patienten. Hierfür haben wir für Sie ebenfalls eine Mustervorlage zum individuellen Anpassen erstellt. Bitte prüfen Sie im Einzelnen für Ihre Praxis, für welche weiteren Zwecke Sie außerdem eine Zustimmung Ihrer Patienten benötigen und passen Sie die Mustervorlage entsprechend an.

Ab einer Anzahl von zwanzig Personen (Ärzte + Praxispersonal) müssen Sie einen Datenschutzbeauftragten benennen.

Patienten haben ein Recht darauf, dass ihre Daten datenschutzkonform vernichtet werden, wenn diese nicht mehr gebraucht werden. Über die Aufbewahrungsfristen, die für die Aufbewahrung und somit auch die Löschung von Daten und Unterlagen in der Praxis gelten, haben wir ein Merkblatt erstellt.

Die DSGVO verlangt von Ihnen als Praxisverantwortlichen das Führen eines sogenannten Verzeichnisses von Verarbeitungstätigkeiten (Verfahrensverzeichnis) als Nachweis dafür, dass die Verarbeitung von personenbezogenen Daten in Ihrer Praxis den Vorgaben des Datenschutzes entspricht. Dieses Verzeichnis muss dem Landesbeauftragten für Datenschutz und Informationsfreiheit auf Verlangen vorgelegt werden.

Ausgangspunkt für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten sind folgende Fragen:

• Bei welchen Tätigkeiten und zu welchem Zweck werden in Ihrer Praxis personenbezogene Daten verarbeitet?
• Und welche Schutzmaßnahmen werden jeweils getroffen und umgesetzt?

Somit dient Ihnen dieses Verzeichnis gleichzeitig als Überblick dafür, bei welchen Verarbeitungstätigkeiten in Ihrer Praxis mit personenbezogenen Daten gearbeitet wird und wie der Datenschutz eingehalten wird.

In der Regel dürfte es sich dabei insbesondere um folgende Tätigkeiten handeln:

• Patientenbehandlung
• Lohnabrechnung, Personalakten
• Betrieb einer Webseite mit Möglichkeit der Online-Terminbuchung
• Verarbeitung von Patientendaten zur Abrechnung

Muster für ein Verzeichnis von Verarbeitungstätigkeiten

Zur Unterstützung der Praxen haben wir ein Muster für ein Verzeichnis von Verarbeitungstätigkeiten erarbeitet, das Sie in Ihrer Praxis verwenden können. Bitte beachten: Es handelt sich hierbei um eine Mustervorlage, passen Sie also bitte das Muster an die individuellen Gegebenheiten in Ihrer Praxis an (Ersetzen der Eintragungsbeispiele). Bitte führen Sie alle Verarbeitungstätigkeiten in dem Verzeichnis auf, in denen Sie personenbezogene Daten in der Praxis verarbeiten.

Wenn Sie eine Webseite betreiben, müssen Sie neben dem Impressum in einer eigenen Rubrik („Datenschutzerklärung”) auf datenschutzrechtliche Bestimmungen hinweisen. Der Umfang hängt davon ab, welche Informationen oder Interaktionen Sie auf Ihrer Homepage anbieten (z. B. Kontaktformular, Online-Terminvergabe etc.).

Die notwendigen Angaben hängen auch davon ab, über welchen Provider Sie Ihre Homepage betreiben, da die Provider aus statistischen Gründen häufig Daten über die Nutzer erheben. Der Anbieter erhebt und speichert automatisch Informationen in so genannten Server-Log Files, die der Browser automatisch übermittelt. Außerdem werden von Providern häufig sogenannte Cookies oder Tracking-Technologien eingesetzt (z. B. um das Angebot nutzerfreundlicher zu gestalten). Diese bedürfen einer vorherigen Einwilligung durch den Nutzer, sofern sie für den Betrieb der Webseite technisch nicht notwendig sind.

Auch bei Einhaltung aller Regeln kann es vorkommen, dass der Datenschutz verletzt wird, etwa durch Cyberkriminalität. In einem solchen Fall gibt es Meldepflichten: Innerhalb von 72 Stunden, nachdem der Vorfall bekannt wurde, müssen Sie eine Meldung an die Aufsichtsbehörde (den Landesdaten­schutz­beauftragten) geben. Der Praxisinhaber ist dafür zuständig, dass die Meldung erfolgt.

Mindestinhalt der Meldung von Datenschutzverletzungen nach Art. 33 Abs. 3 EU-DSGVO:

Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:

1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die Polizei und das Landeskriminalamt bieten bei Hacker-Angriffen und Cyber-Vorfällen mit der Zentralen Ansprechstelle Cybercrime für Unternehmen und Behörden (ZAC) Unterstützung an. Erreichbar ist die ZAC unter Telefon 0711 5401-2444 und per E-Mail unter cybercrime@polizei.bwl.de.

Beispiele und Tipps für Praxen zum Umgang mit Cyber-Kriminalität finden Sie auch bei der Kassenärztlichen Bundesvereinigung:

Trotz Sicherungsmaßnahmen und hoher technischer Schutzstandards können erfolgreiche Angriffe nicht komplett ausgeschlossen werden. Wir empfehlen Ihnen daher, einen Notfallplan für Ihre Praxis zu erstellen, auf den Sie im Falle eines Angriffs zurückgreifen können, z. B. eine Notfallkarte mit abzuarbeitenden Stichpunkten und allen relevanten Kontaktdaten.

Für einen Verstoß gegen die Bestimmungen der DSGVO ist ein Sanktions­mechanismus festgelegt. Dieser reicht von einer Rüge bis hin zu einem Bußgeld. Auch Schadensersatzforderungen, zum Beispiel von Patienten, sind möglich.

Die neuen Regelungen zum Datenschutz bergen das Risiko, dass Ihre Praxis eine sogenannte Abmahnung erhält. Spezialisierte Anwaltskanzleien suchen gezielt nach vermeintlichen Rechtsverstößen (z. B. unzureichende Datenschutzerklärung auf der Praxis-Homepage) und verlangen Abmahngebühren – zumindest  fordern sie Anwaltsgebühren ein.

Um unseriöse Abmahnaktionen einzudämmen, hat die Bundesregierung eine Gesetzesänderung angekündigt, die Abmahngebühren im Zusammenhang mit der neuen DSGVO zumindest für eine Übergangszeit aussetzt. Das ist aber noch nicht beschlossen.

Falls Ihnen eine Abmahnung zugestellt wird, empfehlen wir Ihnen, diese auf keinen Fall einfach zu bezahlen. Ebenso sollten Sie keinesfalls die Unterlassungserklärung unterzeichnen, die in der Regel immer mit einer Abmahnung versendet wird. Übergeben Sie den Fall Ihrem Anwalt.

Wir gehen davon aus, dass diese Form der Abmahnungen rechtswidrig sind. Die KVBW darf Sie in diesen Fällen jedoch nicht vertreten, da wir hierzu keine Rechtsberatung vornehmen dürfen. Melden Sie sich aber in einem solchen Fall dennoch gerne unter recht@kvbawue.de. Wir können Ihnen zumindest eine Empfehlung geben, wie Sie weiter verfahren können.