DSGVO in der Arztpraxis

Arztpraxen weisen hinsichtlich Einwilligungen, Datenübertragungen und Gesprächen einige Besonderheiten auf. Wir zeigen Ihnen im Detail, worauf Sie als Arzt achten müssen. [...]

In der Arztpraxis ist besondere Sorgfalt hinsichtlich der DSGVO anzuwenden. (c) CW
In der Arztpraxis ist besondere Sorgfalt hinsichtlich der DSGVO anzuwenden. (c) CW

Einwilligungen sind beispielsweise nur im Zusammenhang mit Datenübertragungen oder mit Einsichtnahme in die Krankengeschichte anderer Ärzte erforderlich. Patientenaufruf, Gespräche in Behandlungs-Kojen usw. erfordern eine erhöhte Diskretion. Und das Recht auf Löschen kann erst nach Ende der im Ärztegesetz geregelten Dokumentationspflicht von zumindest 10 Jahren in Anspruch geltend gemacht werden.

Um die Frage nach Zuständigkeiten zu beantworten bedarf es zunächst einer Fallunterscheidung. Ein niedergelassener Arzt hat im Regelfall die Rechtsform eines Einzelunternehmers. Somit ist der Arzt, auf dessen Namen die Ordination angemeldet ist, Verantwortlicher. Das gilt auch dann, wenn er Vertretungsärzte einbindet.

Ambulatorien sind häufig nach dem Krankenanstaltengesetz mit unterschiedlicher Gesellschaftsform eingetragen, die häufigste Form ist die GmbH. Damit ist die GmbH der Verantwortliche.

Bei einer Ordinationsgemeinschaft wiederum benutzen mehrere freiberufliche Ärzte die gleichen Ordinationsräume. So lassen sich die Raumkosten (Miete) und die damit verbundenen Nebenkosten (Heizung, Strom, Reinigung) reduzieren. Ordinationsgemeinschaften werden als GesBR gegründet. Sollten mehrere Ärztinnen oder Ärzte gemeinsam eine Ordination führen, sind diese in der Regel gemeinsam verantwortlich und haften daher auch – in der Regel – gemeinsam für etwaige Verstöße.

Bei der Apparategemeinschaft benutzen verschiedene Ärzte die gleichen medizinisch-technischen Geräte, etwa den Zahnarztstuhl (Einheit) oder das Gerät zum Sterilisieren des Bestecks (Autoklav). Angesichts der enormen Anschaffungskosten dieser Geräte macht das durchaus Sinn. Auch die Wartungskosten lassen sich so auf mehrere Schultern verteilen. Ordinations- und Apparategemeinschaft können zusammenfallen, müssen es aber nicht. Verantwortlicher ist jeweils der behandelnde Arzt / Ärztin.

Institute gibt es rechtlich gesehen nicht. Man kann davon ausgehen, dass es häufig (aber nicht immer) eine jur. Person gibt, die Eigentümer der Geräte ist, während die Befundung durch Ärzte (an derselben Adresse) erfolgt, die dann auch die Abrechnung erstellen. Beispiele sind Röntgen-Diagnosezentren. Diese bestehen häufig aus 2-3 Rechtskörper z.B. für Röntgen, CT+MR, Nuklearmedizin jeweils als OG. Im Normalfall gibt es hier gemeinsam Verantwortliche. 

Betroffene Personen

Betroffene Personen im Sinne der DSGVO sind Personen, deren personenbezogene Daten verarbeitet werden. Die spezielle Herausforderung von Gesundheitseinrichtungen besteht darin, dass lt. Art. 9 (1). ), Daten der besonderen Kategorie verarbeitet werden. Es besteht daher ein erhöhtes Schutzniveau, welches durch geeignete TOMs (Technisch-Organisatorische Maßnahmen) zu gewährleisten ist. Beispiel für eine technische Maßnahme ist z.B. die verschlüsselte Datenübertragung bei der Befund-Zustellung per Mail (gemäß Gesundheitstelematikgesetz). Beispiel für eine organisatorische Maßnahme ist die Verschwiegenheit bei „medizinischen“ Gesprächen mit Patienten in Anwesenheit anderer Patienten (z.B. bei durch Vorhang abgetrennte Kojen eines Behandlungsraumes bei Infusionen).

Einwilligung erforderlich?

In vielen Arztpraxen müssen die Patienten bei der Anmeldung Einwilligungserklärungen unterschreiben. Es stellt sich jedoch die Frage, ob dies wirklich erforderlich ist. Die Autoren vertreten nach Rücksprache mit Juristen folgende Position:

  1. Betritt ein Patient zur Beratung oder Behandlung eine Arztpraxis, kommt ein Behandlungsvertrag zwischen Arzt und Patient zustande, der die rechtliche Grundlage für die Verarbeitung der Daten darstellt. Somit ist eine Einwilligung nach Art. 6 lit a) nicht erforderlich, da ein Vertragsverhältnis entsprechend Art 6 Abs 1 lit. b) besteht. Der Zweck der Erhebung der Daten muss dabei sehr genau eingehalten werden. Sollte beispielsweise die E-Mailadresse erhoben werden, um ihn an einen Termin zu erinnern, dürfen diese E-Mailadresse nicht für die Zusendung von weiteren Informationen bspw. über ein neues Medikament verwendet werden.
  2. Anders ist die Situation u.U. bei Ordinationsgemeinschaften und Instituten, vor allem dann, wenn eine gemeinsame Patienten-DB Verwendung findet. Dann verarbeiten mehrere Rechtskörper dieselben personenbezogenen Daten. Diese Daten werden also zwischen den Rechtskörpern ausgetauscht, was einer Datenübertragung an Dritte im Sinne des Art 4 Z 9 (Empfänger) bzw Z 10 (Dritter) entspricht – siehe auch § 51 Abs 2 ÄrzteG. Gemäß Art 13 (1) lit e entsprechend ist der Patient aufzuklären.

Selbst wenn die Krankengeschichten der Patienten mandantenfähig verarbeitet werden, kann es trotzdem zum Datenaustausch zwischen Rechtskörpern kommen. In allen diesen Fällen ist eine Einwilligung erforderlich, die den Datentransfer mit abdeckt. Dasselbe gilt für Ordinationsgemeinschaften, bei denen z.B. ein Internist Zugriff auf die beim Praktische Arzt gespeicherte Krankengeschichte erhält.

Betroffenenrechte

Art. 15 DSGVO regelt die Betroffenenrechte. Dazu gehören:

  1. Recht auf Auskunft
  2. Recht auf Berichtigung
  3. Recht auf Löschung
  4. Widerspruchsrecht
  5. Recht auf Datenübertragbarkeit

Punkt 3) besteht in der Arztpraxis de facto nicht, da die im Ärztegesetz geregelte Aufbewahrungspflicht (§ 51 ÄrzteG => 10 Jahre & Recht auf Einsicht in die Patientenkartei) dem entgegensteht, es sei denn, die Aufbewahrungspflicht ist bereits abgelaufen.

Ob es wirklich Sinn macht, eine Patientenkartei zu löschen ist fraglich, da es immer sein kann, dass ein Patient nach langer Pause eine Arztpraxis wieder betritt. Die Dokumentationspflicht gemäß dem Ärztegesetz verpflichtet zur Speicherung der personenbezogenen Daten für zumindest zehn Jahre. Da die Dokumentationspflicht vorsieht, dass die Unterlagen „mindestens“ zehn Jahre aufzubewahren sind, besteht die Möglichkeit die Daten auch länger zu speichern. Allerdings ist die Löschung nach dem Grundsatz der Datenminimierung zwingend. Ausnahme ist z.B. die Haftung für Kunstfehler und hier beträgt die Frist 3 Jahre für Schadenersatz ab Kenntnis des Schadens  und Schädiger.

Punkt 4) ist strittig und muss im Einzelfall von Juristen geklärt werden.

Zusätzlich zu den o.a. Betroffenenrechten nach DSGVO gibt es noch das Recht auf Verschwiegenheit, welches im $54 ÄrzteG geregelt ist.

Datenschutzbeauftragter

Eine Einzelpraxis benötigt gemäß DSGVO grundsätzlich keinen Datenschutzbeauftragten. Es sollte jedoch auf das Vorliegen einer sogenannten „umfangreiche Datenverarbeitung“ geprüft werden. Als Richtwert empfiehlt die Ärztekammer beim Vorliegen von mehr als 5.000 verschiedene Patientinnen bzw. Patienten pro Jahr, die Bestellung eines Datenschutzbeauftragten.

Für Gruppenpraxen und Primärversorgungseinrichtungen (PVE) wird von der Ärztekammer die Bestellung eines Datenschutzbeauftragten empfohlen, da sich diese Interpretation  aus den Erläuterungen zur DSGVO, in denen „nur“ Einzelärztinnen/Einzelärzte von der Verpflichtung ausgenommen sind, ergebenabgeleitet werden könnte.

Checkliste für Arztpraxen

Das Tagebuch wird zur Verfügung gestellt von 

DSGVO Datenschutz Ziviltechniker GmbH

www.dsgvo-zt.at


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*