Köln. Die Pflicht des datenschutzrechtlich Verantwortlichen, jeden einzelnen Betroffenen umfassend über Art und Umfang der Verarbeitung seiner persönlichen Daten zu informieren ergibt sich unmittelbar aus Artikel 13 der Datenschutzgrundverordnung (DSGVO). Diese Verpflichtung soll dafür sorgen, dass die Datenverarbeitung fair und transparent vonstatten geht. Betroffene können ja nur dann von den ihnen zustehenden Einspruchsrechten Gebrauch machen, wenn sie wissen, dass und zu welchen Zwecken ihre persönlichen Daten verarbeitet werden. Nur so kann dem Recht auf informationelle Selbstbestimmung genüge getan werden. Zwar dürften sich die meisten Patienten, die sich in ärztliche Behandlung begeben, bewusst sein, dass im Zuge dessen auch eine Datenverarbeitung stattfindet. Gleichwohl erfordert das Transparenzgebot der DSGVO, den Patienten hinsichtlich Umfang und Zweck der Datenverarbeitung zu informieren.

Was sich jetzt geändert hat

Gegenüber den bisherigen datenschutzrechtlichen Vorgaben wurde mit Inkrafttreten der europäischen Datenschutzgrundverordnung im Mai dieses Jahres der Umfang der anlässlich einer Datenverarbeitung zu erteilenden Informationen deutlich erweitert. Die Patienten haben nunmehr einen Anspruch darauf, aktiv durch den verantwortlichen Praxis- oder MVZ-Inhaber sowie in nachvollziehbarer Weise über die Verarbeitung ihrer (Gesundheits-)Daten informiert zu werden. Dabei unterscheidet die DSGVO grundsätzlich zwischen

- jenen Daten, die direkt bei der betroffenen Person erhoben werden („Direkterhebung“ gemäß Artikel 13 DSGVO),

- und solchen Daten, die aus anderen Quellen stammen (Artikel 14 DSGVO).

In der Arztpraxis kommen beide Formen der Datenerhebung vor, wobei Patientendaten regelmäßig „direkt“ erhoben werden. Anders verhält es sich beispielsweise, wenn der Hausarzt – mit Einwilligung des Patienten – Behandlungsdaten und Befunde bei Fachärzten erhebt (nach Paragraf 73 Absatz 1b SGB V). Im Folgenden werden die wichtigsten Informationspflichten anlässlich der Direkterhebung dargestellt. Die Informationspflichten in Fällen der Datenerhebung bei Dritten unterscheiden sich nur in wenigen Punkten (siehe unten).

A & O Verarbeitungsverzeichnis

Die DSGVO verkennt nicht, dass es dem datenschutzrechtlich Verantwortlichen nahezu unmöglich ist, jede betroffene Person individuell zu informieren. Vielmehr besteht die Möglichkeit, der Informationsverpflichtung auch dadurch nachzukommen, dass wiederkehrende Verarbeitungssituationen zusammengefasst aufbereitet und den Patienten in vorformulierter Darstellung zur Kenntnis gegeben werden. Orientieren kann sich der Verantwortliche dabei an dem Inhalt dessen, was er bereits in dem Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO verpflichtend niedergelegt hat.

Die Orientierung am Verarbeitungsverzeichnis erleichtert die inhaltliche Gestaltung der Patienten-Information erheblich, da in dieser Dokumentation alle wesentlichen Inhalte der weiterzugebenden Informationen bereits aufgeführt sind. Wie in dieser Artikelserie bereits thematisiert (bit.ly/2PS9r3U), stellt das Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO eine unbedingt notwendige Auflistung dar, die dem Verantwortlichen als wesentliche Grundlage zu einer strukturierten Datenschutzdokumentation dient.

Anhand der hier abzuhandelnden Informationspflichten zeigt sich einmal mehr, wie sinnvoll und nützlich der Überblick sein kann, den das Verarbeitungsverzeichnis dem Praxisinhaber aber auch einem eventuell eingesetzten Datenschutzbeauftragten verschafft.

Wie zu informieren ist

- Die erforderlichen Informationen sollten den Patienten schriftlich zur Verfügung gestellt werden. Die Informationen müssen aber nicht jedem Patienten zwingend ausgehändigt werden. Ausreichend ist vielmehr, dass den Patienten im Einzelfall eine Kenntnisnahme der datenschutzrechtlichen Informationen in zumutbarer Art und Weise möglich ist.

- Dies kann etwa durch deutlich sichtbaren Aushang in der Praxis erfolgen. In diesem Fall sollte man dafür sorgen, dass jeder Patient um die Existenz und Einsichtnahmemöglichkeit der Informationen weiß – dies kann durch einen Hinweis im Empfangsbereich der Praxis gewährleistet werden.

- Darüber hinaus besteht die Möglichkeit, einige Exemplare der datenschutzrechtlichen Informationen in ausgedruckter Form vorzuhalten und den Patienten auf deren Verlangen hin auszuhändigen. Ob die Darstellung in Form einer überblickartigen Aufbereitung oder aber als Fließtext realisiert wird, ist der Entscheidung des Verantwortlichen überlassen.

In der Vergangenheit haben sich Praxisinhaber oftmals den Erhalt ausgehändigter „Datenschutz-Informationen“ von Patienten durch Unterschrift bestätigen lassen. Zwingend notwendig ist eine solche Bestätigung allerdings auch nach Inkrafttreten der Datenschutzgrundverordnung nicht.

Zu welcher Zeit informieren?

Die Informationen nach Artikel 13 DSGVO müssen zum Zeitpunkt der Erhebung mitgeteilt werden. Nach übereinstimmender Expertenmeinung heißt das, dass grundsätzlich informiert werden muss, bevor der „tatsächliche Datenfluss“ einsetzt. Um zu verhindern, dass ein Patient den Einwand erhebt, nicht hinreichend informiert worden zu sein, sollte die vorgenannte Einsichtnahmemöglichkeit also unbedingt bereits gewährleistet sein.

Inhalte der Patienteninformation

- Erstellen Sie analog zum Verzeichnis der Datenverarbeitungstätigkeiten eine Aufstellung mit allgemeinen Angaben, wie Name und Kontaktdaten der Praxis und des datenschutzrechtlich Verantwortlichen; unter Kontaktdaten sind Anschrift, Telefon- und Telefaxnummer, E-Mail-Adresse etc. zu verstehen.

.

- Die Patienteninformation muss einen Hinweis auf den betrieblichen oder externen Datenschutzbeauftragten enthalten. Hierzu bedarf es – anders als im Verarbeitungsverzeichnis – jedoch nicht der namentlichen Nennung. Ausreichend ist etwa auch nur die Angabe einer gesonderten E-Mail-Adresse, zum Beispiel „datenschutzbeauftragter@...“ oder „datenschutz@)...“.

- Erstellen Sie eine Übersicht der verschiedenen Verarbeitungstätigkeiten in Ihrer Praxis, folgen Sie dabei den Angaben, die Sie in Ihrem Verarbeitungsverzeichnis aufführen. Eine kleinteilige Ausdifferenzierung der jeweiligen Verarbeitungstätigkeit ist nicht verlangt. Vielmehr können Sie allgemeine Kategorien bilden.

- Der Zweck der Datenverarbeitung muss immer angegeben werden. Beispiele: um eine elektronischen Patientenakte anzulegen, zur ärztlichen Dokumentation oder zur Abrechnung ärztlicher Leistungen, zur Terminverwaltung.

- Zudem müssen in der Information Empfänger oder Empfängerkategorien der jeweils erhobenen Personendaten genannt werden (zum Beispiel „Krankenkassen“, „Kassenärztliche Vereinigung“, „privatärztliche Abrechnungsstellen“, „Sozialversicherungsträger“) .

- Bei jeder Verarbeitungstätigkeit ist die Rechtsgrundlage aufzunehmen, auf der die Datenverarbeitung zulässigerweise erfolgen darf. So ist beispielsweise anlässlich der Datenverarbeitung im Rahmen der Erfüllung des Behandlungsvertrages auf Artikel 6 Absatz 1 lit. b der DSGVO hinzuweisen. Anlässlich der Verarbeitung von Gesundheitsdaten im Zusammenhang mit einer medizinischen Behandlung wäre auf Artikel 9 Absatz 1 lit. h der DSGVO hinzuweisen.

- Auch über die Dauer der Datenaufbewahrung müssen Patienten in Kenntnis gesetzt werden: Nennen Sie die Löschfristen der jeweiligen Datenkategorien (z. B. für Patientendaten zehn Jahre nach Abschluss der Behandlung).

- Soweit ein Datentransfer in Drittstaaten außerhalb der Europäischen Union erfolgt, sind Sie verpflichtet, die betroffenen Personen über diesen Umstand zu informieren. Das kann beispielsweise bei zahntechnischen Leistungen der Fall sein („Zahnersatz aus China“) oder aber, wenn Ihre IT-Dienstleister Serverfarmen außerhalb der EU nutzen.

- Stellen Sie die Betroffenenrechte überblickartig dar. Hierzu gehört insbesondere der Hinweis auf das Widerrufrechts, soweit die Datenverarbeitung aufgrund ausdrücklichen Einwilligung des Patienten erfolgt! Zudem sind die Abwehr- und Auskunftsrechte des Patienten zu nennen: Recht auf Berichtigung (Artikel 16 DSGVO) und Löschung (Artikel 17), Recht auf Einschränkung der Verarbeitung (Artikel 18), Widerspruchsrecht (Artikel 21), Datenübertragbarkeit (Artikel 20).

- Ebenfalls Teil der Informationspflichten ist der Hinweis auf das Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde. Die Nennung einer konkreten Behörde ist aber nicht Bestandteil dieser Verpflichtung, sodass ein abstrakter Hinweis auf das Beschwerderecht reicht.

Datenerhebung bei Dritten

Wie bereits oben erwähnt, müssen bei Datenerhebung an anderer Stelle den betroffenen Patienten die gleichen Informationen bereitgestellt werden, wie bereits zuvor aufgeführt. Zusätzlich praxisrelevant sind folgende Informationspflichten gemäß Artikel 14 DSGVO:

- Die Angabe der Kategorien personenbezogener Daten, die verarbeitet werden,

- sowie die Angabe der Quellen, aus welchen die personenbezogenen Daten stammen (zum Beispiel Fachärzte oder Krankenhäuser) und gegebenenfalls auch, ob sie aus öffentlich zugänglichen Quellen stammen.

Wann erneut zu informieren ist

Die DSGVO verpflichtet den Verantwortlichen nicht, die „Datenschutz-Informationen“ regelmäßig zu erneuern. Es ist jedoch angezeigt, regelmäßig zu prüfen, ob sich beispielsweise der Zweck der Datenverarbeitung geändert hat oder aber zwischenzeitlich eine Datenweitergabe an andere, bisher noch nicht ausdrücklich benannte Empfängergruppen erfolgt.

Rechtsanwalt Joachim Schütz ist Justiziar des Deutschen Hausärzteverbandes und Partner der Medizinrechtskanzlei Dr. Halbe in Köln.

Professor Bernd Halbe ist Fachanwalt für Medizinrecht und Honorarprofessor der Universität zu Köln.