Patientendatenschutz

Kernaufgabe des Datenschutzes im Gesundheitswesen ist der Schutz des Patientengeheimnisses. Patientinnen und Patienten müssen wirksam vor einer unzulässigen Verarbeitung ihrer personenbezogenen Daten, insbesondere über ihren Gesundheitszustand, geschützt werden. Die Betroffenen sollen sich vertrauensvoll an eine Ärztin oder einen Arzt zum Zweck einer Untersuchung oder Behandlung begeben können, ohne fürchten zu müssen, dass die Informationen, die sie über sich offenlegen, zu ihrem Nachteil oder Schaden genutzt werden.

Die rechtliche Verankerung dieses Schutzes findet sich zum einen in der standesrechtlichen und strafbewehrten Schweigepflicht der Angehörigen der Heilberufe (Berufsgeheimnis) und zum anderen in den Regelungen des allgemeinen und spezifischen Datenschutzrechts auf Bundes- und auf Landesebene (zum Beispiel Sozialgesetzbücher V und X, Infektionsschutzgesetz, Röntgenverordnung, Krebsregistergesetze, Krankenhausgesetze, Gesundheitsdienstgesetze) sowie in der europäischen Datenschutz-Grundverordnung (DS-GVO).

Angesichts eines zunehmenden Einsatzes von Informations- und Kommunikationstechnologien in der Gesundheitsversorgung (Telemedizin) und tiefgreifender organisatorischer Veränderungen bedingt durch neue Versorgungsformen, eine stärkere Vernetzung der Akteure des Gesundheitswesens und die zunehmende Etablierung von Qualitätsmanagement steht der Schutz des Patientengeheimnisses vor ständig neuen Herausforderungen.

Recht auf Einsicht in die Patientenakte

Patientinnen und Patienten haben grundsätzlich das Recht, auf Verlangen unverzüglich Einsicht in ihre vollständige Patientenakte zu erhalten. Das Einsichtsrecht stellt eine besondere Form der Auskunftserteilung dar und ist seit dem Jahr 2013 für zivilrechtliche Behandlungsverhältnisse ausdrücklich in § 630g Bürgerliches Gesetzbuch (BGB) geregelt. Weiterhin findet sich das Recht auf Akteneinsicht in den Berufsordnungen der Ärztekammern und Zahnärztekammern wieder (vgl. § 10 Abs. 2 der Berufsordnung der Ärztekammer Berlin).

Das Recht auf Einsicht in die Patientendokumentation besteht, ohne dass dafür ein besonderes Interesse erklärt oder nachgewiesen werden müsste. Es kann nur verweigert werden, soweit der Einsichtnahme erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen (vgl. § 630g Abs. 1. Satz 1 BGB). Die Ablehnung der Einsichtnahme ist zu begründen.

Patientendaten und die Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DS-GVO) erlaubt die Verarbeitung von personenbezogenen Daten nur, wenn dafür eine Rechtsgrundlage zur Verfügung steht. Im Fall einer Arztpraxis, Apotheke etc. ist die Rechtsgrundlage in der Regel der Vertrag, der mit dem Patienten geschlossen wird. Die zur Begründung, Durchführung und Beendigung des Vertrags notwendigen Daten dürfen verarbeitet werden.

Patienten von Arztpraxen, Apotheken etc. müssen über bestimmte Umstände bei der Verarbeitung ihrer Daten informiert werden (Informationspflicht gem. Art. 13 DS-GVO). Am einfachsten geschieht dies zum Beispiel mit einem Flyer oder Handzettel.

Soweit zusätzliche Dienste angeboten werden, wie zum Beispiel ein Recall-Service, kann die Verarbeitung von personenbezogenen Daten für diesen Zweck nicht auf den Behandlungsvertrag gestützt werden. Hier ist die Einwilligung des Betroffenen einzuholen.

Die DS-GVO verlangt als Teil der Dokumentationspflichten, dass die Verantwortlichen ein Verzeichnis der Verarbeitungstätigkeiten führen. Darin werden die einzelnen Tätigkeiten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten dokumentiert, darunter auch solche, die nur teilweise automatisiert oder sogar gänzlich manuell durchgeführt werden.

Unter bestimmten Voraussetzungen müssen auch Arztpraxen, Apotheken etc. einen betrieblichen Datenschutzbeauftragten bestellen. Eine Bestellung ist in jedem Fall erforderlich, wenn in der Arztpraxis, Apotheke etc. in der Regel mindestens zehn Personen ständig, also nicht nur gelegentlich, mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die DS-GVO nennt noch weitere Konstellationen, bei deren Vorliegen ein betrieblicher Datenschutzbeauftragter zu benennen ist (für ausführlichere Informationen, siehe Links).

Die DS-GVO sieht vor, dass vor dem Einsatz von bestimmten, für die Rechte der Betroffenen besonders riskanten Verfahren eine „Datenschutz-Folgenabschätzung“ (englisch: „Data protection impact assessment“) durchzuführen ist. Damit soll der Grad der Gefährdung genauer bestimmt und festgestellt werden, ob hinreichende Schutzmechanismen getroffen worden sind.

 

Diese Einführung ist auf Basis folgender Texte entstanden:

Gesundheit“ der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbstständige Heilberufler beachten“ des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Für ausführlichere Informationen können Sie unter den folgenden Links recherchieren.

 

Weiterführende Links zu diesem Thema

Info-Pflichten nach DS-GVO bei dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit


Bestellung von Datenschutzbeauftragten im Gesundheitsbereich nach DSGVO und BDSG-neu bei dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit


Checkliste zur Verhinderung der häufigsten Fehler bei der Anwendung des Art. 13 DS-GVO im Gesundheitsbereich bei dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit


Kurzpapier Nr. 1: Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO bei dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein


Datenschutz-Selbst-Check – Datenschutz als Qualitätszeichen bei dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein


Umgang mit Patientendaten in den Krankenhäusern Mecklenburg-Vorpommerns (UPDK) bei dem Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern


FAQ Datenschutz in Krankenhäusern bei dem Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern


Informationen für Angehörige von Gesundheitsberufen zu Neuregelungen nach der Datenschutz-Grundverordnung bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen


Benennung von Datenschutzbeauftragten durch Arztpraxen, Apotheken und sonstige Angehörige von Gesundheitsberufen bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Bremen


Datenschutz im Gesundheitswesen bei der Landesbeauftragten für den Datenschutz Niedersachsen


Erhebung von Gesundheitsdaten im Bewerbungsverfahren bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Bremen


Häufig gestellte Fragen zum Bereich ambulante Arztpraxen“ bei dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein


Merkblatt der Bundesärztekammer