22. Dezember 2020 Wolfgang Fiala und Peter Gelber *)

DSGVO in der Arztpraxis

Arztpraxen weisen hinsichtlich Einwilligungen, Datenübertragungen und Gesprächen einige Besonderheiten auf. Wir zeigen Ihnen im Detail, worauf Sie als Arzt achten müssen. [...]

In der Arztpraxis ist besondere Sorgfalt hinsichtlich der DSGVO anzuwenden. (c) CW
In der Arztpraxis ist besondere Sorgfalt hinsichtlich der DSGVO anzuwenden. (c) CW

Einwilligungen sind beispielsweise nur im Zusammenhang mit Datenübertragungen oder mit Einsichtnahme in die Krankengeschichte anderer Ärzte erforderlich. Patientenaufruf, Gespräche in Behandlungs-Kojen usw. erfordern eine erhöhte Diskretion. Und das Recht auf Löschen kann erst nach Ende der im Ärztegesetz geregelten Dokumentationspflicht von zumindest 10 Jahren in Anspruch geltend gemacht werden.

Um die Frage nach Zuständigkeiten zu beantworten bedarf es zunächst einer Fallunterscheidung. Ein niedergelassener Arzt hat im Regelfall die Rechtsform eines Einzelunternehmers. Somit ist der Arzt, auf dessen Namen die Ordination angemeldet ist, Verantwortlicher. Das gilt auch dann, wenn er Vertretungsärzte einbindet.

Ambulatorien sind häufig nach dem Krankenanstaltengesetz mit unterschiedlicher Gesellschaftsform eingetragen, die häufigste Form ist die GmbH. Damit ist die GmbH der Verantwortliche.

Bei einer Ordinationsgemeinschaft wiederum benutzen mehrere freiberufliche Ärzte die gleichen Ordinationsräume. So lassen sich die Raumkosten (Miete) und die damit verbundenen Nebenkosten (Heizung, Strom, Reinigung) reduzieren. Ordinationsgemeinschaften werden als GesBR gegründet. Sollten mehrere Ärztinnen oder Ärzte gemeinsam eine Ordination führen, sind diese in der Regel gemeinsam verantwortlich und haften daher auch – in der Regel – gemeinsam für etwaige Verstöße.

Bei der Apparategemeinschaft benutzen verschiedene Ärzte die gleichen medizinisch-technischen Geräte, etwa den Zahnarztstuhl (Einheit) oder das Gerät zum Sterilisieren des Bestecks (Autoklav). Angesichts der enormen Anschaffungskosten dieser Geräte macht das durchaus Sinn. Auch die Wartungskosten lassen sich so auf mehrere Schultern verteilen. Ordinations- und Apparategemeinschaft können zusammenfallen, müssen es aber nicht. Verantwortlicher ist jeweils der behandelnde Arzt / Ärztin.

Institute gibt es rechtlich gesehen nicht. Man kann davon ausgehen, dass es häufig (aber nicht immer) eine jur. Person gibt, die Eigentümer der Geräte ist, während die Befundung durch Ärzte (an derselben Adresse) erfolgt, die dann auch die Abrechnung erstellen. Beispiele sind Röntgen-Diagnosezentren. Diese bestehen häufig aus 2-3 Rechtskörper z.B. für Röntgen, CT+MR, Nuklearmedizin jeweils als OG. Im Normalfall gibt es hier gemeinsam Verantwortliche. 

Betroffene Personen

Betroffene Personen im Sinne der DSGVO sind Personen, deren personenbezogene Daten verarbeitet werden. Die spezielle Herausforderung von Gesundheitseinrichtungen besteht darin, dass lt. Art. 9 (1). ), Daten der besonderen Kategorie verarbeitet werden. Es besteht daher ein erhöhtes Schutzniveau, welches durch geeignete TOMs (Technisch-Organisatorische Maßnahmen) zu gewährleisten ist. Beispiel für eine technische Maßnahme ist z.B. die verschlüsselte Datenübertragung bei der Befund-Zustellung per Mail (gemäß Gesundheitstelematikgesetz). Beispiel für eine organisatorische Maßnahme ist die Verschwiegenheit bei „medizinischen“ Gesprächen mit Patienten in Anwesenheit anderer Patienten (z.B. bei durch Vorhang abgetrennte Kojen eines Behandlungsraumes bei Infusionen).

Einwilligung erforderlich?

In vielen Arztpraxen müssen die Patienten bei der Anmeldung Einwilligungserklärungen unterschreiben. Es stellt sich jedoch die Frage, ob dies wirklich erforderlich ist. Die Autoren vertreten nach Rücksprache mit Juristen folgende Position:

  1. Betritt ein Patient zur Beratung oder Behandlung eine Arztpraxis, kommt ein Behandlungsvertrag zwischen Arzt und Patient zustande, der die rechtliche Grundlage für die Verarbeitung der Daten darstellt. Somit ist eine Einwilligung nach Art. 6 lit a) nicht erforderlich, da ein Vertragsverhältnis entsprechend Art 6 Abs 1 lit. b) besteht. Der Zweck der Erhebung der Daten muss dabei sehr genau eingehalten werden. Sollte beispielsweise die E-Mailadresse erhoben werden, um ihn an einen Termin zu erinnern, dürfen diese E-Mailadresse nicht für die Zusendung von weiteren Informationen bspw. über ein neues Medikament verwendet werden.
  2. Anders ist die Situation u.U. bei Ordinationsgemeinschaften und Instituten, vor allem dann, wenn eine gemeinsame Patienten-DB Verwendung findet. Dann verarbeiten mehrere Rechtskörper dieselben personenbezogenen Daten. Diese Daten werden also zwischen den Rechtskörpern ausgetauscht, was einer Datenübertragung an Dritte im Sinne des Art 4 Z 9 (Empfänger) bzw Z 10 (Dritter) entspricht – siehe auch § 51 Abs 2 ÄrzteG. Gemäß Art 13 (1) lit e entsprechend ist der Patient aufzuklären.

Selbst wenn die Krankengeschichten der Patienten mandantenfähig verarbeitet werden, kann es trotzdem zum Datenaustausch zwischen Rechtskörpern kommen. In allen diesen Fällen ist eine Einwilligung erforderlich, die den Datentransfer mit abdeckt. Dasselbe gilt für Ordinationsgemeinschaften, bei denen z.B. ein Internist Zugriff auf die beim Praktische Arzt gespeicherte Krankengeschichte erhält.

Betroffenenrechte

Art. 15 DSGVO regelt die Betroffenenrechte. Dazu gehören:

  1. Recht auf Auskunft
  2. Recht auf Berichtigung
  3. Recht auf Löschung
  4. Widerspruchsrecht
  5. Recht auf Datenübertragbarkeit

Punkt 3) besteht in der Arztpraxis de facto nicht, da die im Ärztegesetz geregelte Aufbewahrungspflicht (§ 51 ÄrzteG => 10 Jahre & Recht auf Einsicht in die Patientenkartei) dem entgegensteht, es sei denn, die Aufbewahrungspflicht ist bereits abgelaufen.

Ob es wirklich Sinn macht, eine Patientenkartei zu löschen ist fraglich, da es immer sein kann, dass ein Patient nach langer Pause eine Arztpraxis wieder betritt. Die Dokumentationspflicht gemäß dem Ärztegesetz verpflichtet zur Speicherung der personenbezogenen Daten für zumindest zehn Jahre. Da die Dokumentationspflicht vorsieht, dass die Unterlagen „mindestens“ zehn Jahre aufzubewahren sind, besteht die Möglichkeit die Daten auch länger zu speichern. Allerdings ist die Löschung nach dem Grundsatz der Datenminimierung zwingend. Ausnahme ist z.B. die Haftung für Kunstfehler und hier beträgt die Frist 3 Jahre für Schadenersatz ab Kenntnis des Schadens  und Schädiger.

Punkt 4) ist strittig und muss im Einzelfall von Juristen geklärt werden.

Zusätzlich zu den o.a. Betroffenenrechten nach DSGVO gibt es noch das Recht auf Verschwiegenheit, welches im $54 ÄrzteG geregelt ist.

Datenschutzbeauftragter

Eine Einzelpraxis benötigt gemäß DSGVO grundsätzlich keinen Datenschutzbeauftragten. Es sollte jedoch auf das Vorliegen einer sogenannten „umfangreiche Datenverarbeitung“ geprüft werden. Als Richtwert empfiehlt die Ärztekammer beim Vorliegen von mehr als 5.000 verschiedene Patientinnen bzw. Patienten pro Jahr, die Bestellung eines Datenschutzbeauftragten.

Für Gruppenpraxen und Primärversorgungseinrichtungen (PVE) wird von der Ärztekammer die Bestellung eines Datenschutzbeauftragten empfohlen, da sich diese Interpretation  aus den Erläuterungen zur DSGVO, in denen „nur“ Einzelärztinnen/Einzelärzte von der Verpflichtung ausgenommen sind, ergebenabgeleitet werden könnte.

Checkliste für Arztpraxen

Das Tagebuch wird zur Verfügung gestellt von 

DSGVO Datenschutz Ziviltechniker GmbH

www.dsgvo-zt.at


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

21. November 2024 Andrea Wörrlein *

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

21. November 2024

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

21. November 2024 Wolfgang Franz

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*