Was bedeutet Datenschutz in der Arztpraxis?

Der Datenschutz in der Arztpraxis ist ein fundamentaler Bestandteil des Vertrauensverhältnisses zwischen Patienten und medizinischem Personal. Er umfasst alle Maßnahmen, Richtlinien und gesetzlichen Vorgaben, die dazu dienen, persönliche und sensible Informationen der Patienten vor unberechtigtem Zugriff, Missbrauch oder Verlust zu schützen. In der medizinischen Praxis bezieht sich dies vor allem auf Gesundheitsdaten, die zu den besonderen Kategorien personenbezogener Daten zählen und daher unter eine strengere Schutzregelung fallen.

Arzt spricht mit Patient und erhebt sensible, datenschutz-relevante  Patienteninformationen
Beim Arzt-Patienten-Gespräch muss immer Wert auf Privatsphäre im Sinne der DSGVO und der ärztlichen Schweigepflicht gelegt werden.
  • Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
  • Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
  • Patientendaten umfassen sowohl personenbezogene Daten als auch Gesundheitsdaten, die im Zusammenhang mit der Behandlung eines Patienten erhoben werden.
  • Stammdaten: Stammdaten umfassen die grundlegenden, personenbezogenen Informationen eines Patienten, die für die administrative und medizinische Dokumentation benötigt werden. Dazu gehören Name, Geburtsdatum, Adresse, Kontaktdaten, Versicherungsstatus und -nummer, sowie gegebenenfalls weitere relevante demografische Daten. Diese Daten bilden die Basis für die Patientenakte und sind essenziell für die Organisation der Praxisabläufe, die Kommunikation mit Patienten und Krankenkassen sowie die Abrechnung medizinischer Leistungen.
  • Personaldaten: Auch die Daten, die sie als Arbeitgeber von ihren Mitarbeitern benötigen (z. B. Name, Adresse, Sozialversicherungsnummer) unterliegen dem Datenschutz.

Mit der fortschreitenden Digitalisierung in Arztpraxen gewinnt der Datenschutz immer mehr an Bedeutung. Die Digitalisierung von Patientenakten, der Einsatz elektronischer Gesundheitskarten, digitale Kommunikationswege zwischen Ärzten und Patienten sowie die Nutzung von Cloud-Diensten für die Datenverarbeitung, insbesondere Cloud-Praxissoftware, stellen Praxisinhaber, Ärzte und medizinische Fachangestellte vor neue Herausforderungen. Der Schutz der Daten muss sowohl in physischer Form (Papierakten) als auch in digitaler Form gewährleistet sein. Dabei geht es nicht nur um die Sicherung der Daten vor externen Angriffen wie Hackerangriffen, sondern auch um den internen Umgang mit den Daten, um z.B. den Zugriff nur für befugtes Personal zu ermöglichen.

Für Arztpraxen bedeutet die Einhaltung des Datenschutzes nicht nur die Erfüllung gesetzlicher Anforderungen, sondern sie stärkt auch die Patientenbindung. Ein professioneller Umgang mit Patientendaten zeigt, dass die Praxis ihre Verantwortung für den Schutz dieser sensiblen Informationen ernst nimmt. Nutzen Sie den Datenschutz als strategische Praxismarketing-Maßnahme, um Ihre Corporate Identity zu schärfen und sich damit einzigartig von konkurrierenden Arztpraxen abzuheben. Darüber hinaus hilft eine klare Datenschutzstrategie dabei, potenzielle Risiken und Sicherheitslücken zu identifizieren und zu minimieren, was letztendlich der Sicherheit und dem Wohl der Patienten dient.

Welche rechtliche Grundlage hat der Datenschutz in der Arztpraxis?

Der Datenschutz in der Arztpraxis basiert auf einer Kombination aus europäischen und nationalen rechtlichen Grundlagen. Diese Regelwerke sind speziell darauf ausgerichtet, personenbezogene Daten zu schützen und den Umgang mit diesen Daten zu regeln. Im Folgenden sind die wichtigsten rechtlichen Grundlagen aufgeführt, die für den Datenschutz in der Arztpraxis relevant sind:

  • Datenschutz-Grundverordnung (DSGVO): Als zentrale rechtliche Grundlage regelt die DSGVO seit 25. Mai 2018 den Datenschutz innerhalb der gesamten Europäischen Union. Die Verordnung setzt strenge Standards für die Verarbeitung personenbezogener Daten, einschließlich Gesundheitsdaten. Sie legt die Rechte der betroffenen Personen fest und definiert Pflichten für die Verantwortlichen, die personenbezogene Daten verarbeiten. Die DSGVO gilt für alle Arztpraxen in der EU, unabhängig von ihrer Größe.
  • Bundesdatenschutzgesetz (BDSG): Das BDSG ergänzt und spezifiziert die DSGVO auf nationaler Ebene in Deutschland. Es enthält zusätzliche Regelungen, die speziell auf den deutschen Kontext zugeschnitten sind, und adressiert einige Aspekte, die in der DSGVO nicht im Detail geregelt sind. Das BDSG regelt unter anderem die Bestellung von Datenschutzbeauftragten, den Umgang mit besonderen Kategorien personenbezogener Daten und die Verarbeitung von Daten für Beschäftigungszwecke.
  • Berufsordnungen der Ärztekammern: Die Berufsordnungen der Landesärztekammern enthalten spezifische Vorschriften zum Datenschutz, die für Ärzte gelten. Diese Regelungen basieren auf dem ärztlichen Berufsrecht und betonen insbesondere die ärztliche Schweigepflicht sowie den Umgang mit Patientendaten. Die ärztliche Schweigepflicht ist ein fundamentaler Bestandteil des Vertrauensverhältnisses zwischen Arzt und Patient und wird durch die Berufsordnungen zusätzlich zum allgemeinen Datenschutzrecht geschützt.
  • Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG): Das TTDSG ist ein deutsches Gesetz, das den Datenschutz in den Bereichen Telekommunikation und Telemedien weiter präzisiert und harmonisiert. Es wurde geschaffen, um den spezifischen Anforderungen des digitalen Zeitalters gerecht zu werden und die Datenschutzregelungen für elektronische Kommunikationsdienste und Online-Angebote zu aktualisieren. Das Gesetz regelt insbesondere den Umgang mit Nutzerdaten und Cookies auf Praxiswebsites und in Apps und setzt damit konkrete Standards für den Datenschutz und die Datensicherheit im Internet. Für Arztpraxen, die digitale Dienste wie Online-Terminvereinbarungen, Telemedizin oder Patientenportale anbieten, bedeutet dies, dass sie klare und transparente Informationen über die Verwendung von Nutzerdaten bereitstellen und die Einwilligung der Nutzer in die Datenverarbeitung auf eine DSGVO-konforme Weise einholen müssen. 
  • Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG): Das PDSG, welches Teil des Digitale-Versorgung-Gesetzes (DVG) ist, konkretisiert den Umgang mit elektronischen Patientendaten in Deutschland. Es regelt unter anderem die Einführung der elektronischen Patientenakte (ePA) und setzt Rahmenbedingungen für die digitale Gesundheitsversorgung.
  • Landesdatenschutzgesetze (LDSG): Die Landesdatenschutzgesetze, die jeweils in den einzelnen Bundesländern gelten, sind insbesondere für öffentliche Stellen der Länder, wie z.B. Universitätskliniken oder Landeskrankenhäuser, relevant, finden jedoch auch in bestimmten Kontexten Anwendung auf nicht-öffentliche Stellen, die landesspezifischen Regelungen unterliegen könnten. Die Landesdatenschutzgesetze ergänzen und konkretisieren die allgemeinen Datenschutzvorgaben auf Landesebene und können besondere Vorgaben für den Datenschutz im Gesundheitswesen enthalten. Für Arztpraxen, die direkt oder indirekt mit öffentlichen Stellen zusammenarbeiten oder spezielle landesspezifische Gesundheitsdienste anbieten, ist es daher wichtig, sich auch mit den relevanten Landesdatenschutzgesetzen vertraut zu machen und deren Vorgaben zu beachten.

Was fällt alles unter den Datenschutz?

  • Personenbezogene Daten: Dies beinhaltet alle Informationen, die direkt oder indirekt einer natürlichen Person zugeordnet werden können, wie Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Sozialversicherungsnummer sowie sensible Daten wie Gesundheitszustand, Diagnosen, Behandlungsdaten und genetische Daten.
  • (Externe) Verarbeitung von Daten: Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, egal ob automatisiert oder nicht, wie das Erfassen, Speichern, Organisieren, Strukturieren, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Übermitteln durch Weitergabe, Verbreiten oder eine andere Form der Bereitstellung, das Abgleichen oder Verknüpfen, das Einschränken, Löschen oder Vernichten.
    • Art. 28 DSGVO: Externe Dienstleister einer Arztpraxis (z. B. das Arztinformationssystem, eine Anamnese Software, eine Abrechnungsstelle, eine Videosprechstunde-Software usw.) sind Auftragsverarbeiter. Auftragsverarbeiter müssen hinreichend Garantien dafür bieten, dass auch sie die Anforderungen der DSGVO erfüllen.
    • Achten Sie bei der Auswahl eines externen Dienstleisters darauf, dass dieser nach ISO/IEC 27001 zertifiziert ist. 
    • Schließen Sie mit Ihrem externen Dienstleister einen Vertrag zur Auftragsverarbeitung, wenn dieser auf Patienten- oder Mitarbeiterdaten zugreifen kann. Nach Ablauf der Aufbewahrungsfrist müssen diese Daten/Akten vernichtet werden.
    • Mit Geheimnisträgern (Steuerberater, Rechtsanwalt) oder rein technischen Wartungsdienstleistern (reparieren der Heizung, Stromzufuhr, IT-Infrastruktur) müssen Sie keinen Vertrag zur Auftragsverarbeitung schließen.
  • Datensicherheit (Art. 24 DSGVO): Technische und organisatorische Maßnahmen, die getroffen werden müssen, um die Sicherheit der Daten zu gewährleisten. Dazu gehören Maßnahmen wie Verschlüsselung, Zugangskontrollen, sichere Speicherung, regelmäßige Sicherheitsüberprüfungen und Maßnahmen zur Sicherstellung der Integrität und Verfügbarkeit der Daten.
  • Rechte der betroffenen Person: Die DSGVO und andere Datenschutzgesetze räumen den Personen, deren Daten verarbeitet werden, bestimmte Rechte ein, wie das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung ihrer Daten.
  • Kooperation mit der Aufsichtsbehörde (Art. 31 DSGVO) und Meldung von Datenschutzverletzungen (Art. 33 DSGVO): Arztpraxen müssen im Falle einer Anfrage durch die Aufsichtsbehörde kooperativ sein und Datenschutzverletzungen unverzüglich, möglichst innerhalb von 72 Stunden, melden. 
  • Datenschutzkonformität: Die Einhaltung gesetzlicher Vorgaben und Standards, einschließlich der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten, der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) bei risikoreichen Verarbeitungsvorgängen (z. B. systematische Videoüberwachung der Arztpraxis) und der Meldung von Datenschutzverletzungen an die zuständigen Aufsichtsbehörden und betroffene Personen.
    • Art. 30 DSGVO: Arztpraxen müssen ein Verzeichnis über alle Verarbeitungstätigkeiten führen. In diesem Verzeichnis werden Vorgänge dokumentiert, bei denen personenbezogene Daten verarbeitet wurden.
  • Datenschutzbeauftragter (Art. 37 DSGVO): In bestimmten Fällen, wie von der DSGVO vorgesehen, müssen Organisationen einen internen oder externen Datenschutzbeauftragten ernennen, der die Einhaltung der Datenschutzvorschriften überwacht und als Ansprechpartner für die Aufsichtsbehörden dient.
  • Einwilligung und Datenschutzerklärungen: Die Notwendigkeit, eine klare und informierte Einwilligung von den Personen einzuholen, deren Daten verarbeitet werden, insbesondere bei der Verarbeitung besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten. Datenschutzerklärungen müssen transparente Informationen darüber bereitstellen, wie personenbezogene Daten verarbeitet werden.

Technische und organisatorische Maßnahmen

Technische Maßnahmen Organisatorische Maßnahmen
Die digitale Verwaltung von Patientendaten mittels EDV muss überprüft werden. Wählen Sie ein gutes Praxisverwaltungssystem, das den Anforderungen der DSGVO gerecht wird. Anmeldung vom Wartebereich trennen, mit Schildern auf Abstand hinweisen
Verschlüsselung des E-Mailverkehrs (wird von den meisten E-Mail-Anbietern unterstützt) Patientenakten unter Verschluss halten und nur unter Aufsicht des Arztes verfügbar machen, vor anderen Patienten oder Unbefugten Einsicht verhindern
Verschlüsselung der Daten, die über die Praxis-Website erhoben werden (bspw. Online-Terminanfragen oder Übertragungen aus dem Kontaktformular) Telefonauskünfte vermeiden, in Ausnahmen nur nach erfolgreicher Identitätsprüfung durch gezielte Fragen oder über Rückruf auf der vom Patienten hinterlegten Rufnummer
Zugriffsberechtigung für interne Ordnerstrukturen und Patientendaten Gespräche zwischen Arzt und Patienten finden bei geschlossenen Türen in separaten Räumen statt
Automatische Sperrfunktion für Bildschirme und passwortgeschützte Computer Vernichtung der Patientenakten nach DIN-Norm 66399
Automatische Sperrfunktion für Bildschirme und passwortgeschützte Computer

Welche Rechte haben Patienten laut DSGVO?

  • Recht auf Auskunft: Patienten haben das Recht, von der verantwortlichen Stelle zu erfahren, ob und welche personenbezogenen Daten von ihnen verarbeitet werden. Sie können eine Kopie dieser Daten anfordern.
  • Recht auf Berichtigung: Sollten personenbezogene Daten unrichtig oder unvollständig sein, haben Patienten das Recht, deren Berichtigung oder Vervollständigung zu verlangen.
  • Recht auf Löschung („Recht auf Vergessenwerden“): Unter bestimmten Bedingungen können Patienten die Löschung ihrer personenbezogenen Daten verlangen, beispielsweise wenn die Daten für die ursprünglichen Zwecke nicht mehr notwendig sind oder die Einwilligung zur Verarbeitung widerrufen wurde.
  • Recht auf Einschränkung der Verarbeitung: In bestimmten Fällen haben Patienten das Recht, die Einschränkung der Verarbeitung ihrer Daten zu verlangen. Dies bedeutet, dass die Daten zwar gespeichert bleiben dürfen, aber nicht weiterverarbeitet werden dürfen.
  • Recht auf Datenübertragbarkeit: Patienten haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.
  • Recht auf Widerspruch: Patienten haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen.
  • Recht auf Widerruf der Einwilligung: Wenn die Verarbeitung auf einer Einwilligung beruht, haben Patienten das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt jedoch nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.
  • Rechte in Bezug auf automatisierte Entscheidungsfindung einschließlich Profiling: Patienten haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Häufige Fehler und Lösungen beim Datenschutz in der Arztpraxis

Medizinische Fachangestellte sitzen und reden im Empfangsbereich einer Arztpraxis.
Medizinische Fachangestellte sitzen und reden im Empfangsbereich einer Arztpraxis. Ein Bereich, an dem man vorsichtig sein sollte, was man und wie laut man etwas sagt.
  • Sorgen Sie für Diskretion bei (Telefon)-Gesprächen am Empfang.
    • Problem: Öffentliche Gespräche und unbeaufsichtigte Dokumente bergen das Risiko von Datenschutzverletzungen.
    • Lösung: Gewährleistung von Diskretionsabständen und durchgehende Besetzung des Empfangsbereichs zur Vermeidung unbefugter Einsichtnahme. Einsatz von Schallschutzmaßnahmen und visuellen Barrieren, um den Datenschutz weiter zu stärken.
  • Stellen Sie eine verifizierbare Datenschutzeinwilligung sicher.
    • Problem: Mündliche Zustimmungen sind schwer nachweisbar und bergen Rechtsrisiken.
    • Lösung: Einsatz von Zettel und Schreiber oder digitaler Tools für schriftliche oder elektronische Einwilligungen sichert eine nachvollziehbare Dokumentation. Bereitstellung von vorausgedruckten Datenschutzeinwilligungsformularen oder Tablets am Empfang für eine effiziente und sichere Erfassung der Einwilligung.
    • Hinweis: Alle Verarbeitungsvorgänge, die zur Erfüllung des Behandlungsvertrages notwendig sind, können auf dieser Rechtsgrundlage durchgeführt werden, ohne dass eine gesonderte Einwilligung der Patienten erforderlich ist. 
  • Führen Sie regelmäßige Mitarbeiterschulungen zum Datenschutz durch.
    • Problem: Fehlendes Datenschutzbewusstsein und Wissen unter dem Personal.
    • Lösung: Einrichtung eines fortlaufenden Schulungsprogramms, das die Bedeutung des Datenschutzes betont und praktische Richtlinien bietet. Eingliederung des Datenschutzes in das Qualitätsmanagement und die Gefährdungsbeurteilung, um eine kontinuierliche Verbesserung und Anpassung an neue Herausforderungen zu fördern.
  • Verstärken Sie Ihre technischen Sicherheitsmaßnahmen.
    • Problem: Anfälligkeit für Cyberangriffe und Datenlecks durch schwache IT-Sicherheit.
    • Lösung: Implementierung fortgeschrittener Verschlüsselungstechniken, starker Authentifizierungsverfahren und regelmäßiger Software-Aktualisierungen für eine sichere Praxis-IT. Zugriffsrechte sollten streng geregelt und regelmäßig überprüft werden.
  •  Gewährleisten Sie sichere Kommunikationswege.
    • Problem: Risiko der Offenlegung sensibler Informationen durch ungeschützte Kommunikationskanäle.
    • Lösung: Verwendung verschlüsselter Kommunikationsmittel für E-Mails und Telefongespräche. Sicherstellung, dass nur autorisiertes Personal Zugriff auf diese Kommunikationswege hat und dass eine klare Richtlinie für den Umgang mit Patienteninformationen besteht.
  • Halten Sie Ihre Datenschutzerklärung aktuell und zugänglich.
    • Problem: Veraltete oder fehlende Datenschutzerklärungen untergraben das Patientenvertrauen.
    • Lösung: Regelmäßige Überprüfung und Aktualisierung der Datenschutzerklärung auf der Praxiswebsite. Klarheit und Zugänglichkeit der Erklärung verbessern, um Patienten vollständig über ihre Rechte und den Umgang mit ihren Daten zu informieren.

Was dürfen Arzthelferinnen am Telefon sagen?

Viele Arzthelferinnen geben in Praxen Patienteninformationen wie Termine, Medikation und Befunde am Telefon preis, ohne die Identität des Anrufers eindeutig zu verifizieren. Dieses Vorgehen steht im Widerspruch zur Datenschutz-Grundverordnung. Selbst das Abfragen von persönlichen Daten wie dem Geburtsdatum oder der Versichertennummer gewährleistet keine verlässliche Bestätigung der Identität des Anrufers.

Die Expertin Ingrid Gerlach, Vorsitzende des Bildungswerks für Gesundheitsberufe (BIG), betont das mangelnde Problembewusstsein bei Ärzten und medizinischen Fachangestellten bezüglich des Datenschutzes. Sie weist darauf hin, dass Daten nur herausgegeben werden dürfen, wenn der Patient zweifelsfrei identifiziert werden kann, was in der Praxis selten der Fall ist. Als sicherere Methode wird der Rückruf unter einer bereits im System hinterlegten Telefonnummer oder das Abfragen eines Passwortes/PINs vorgeschlagen, obwohl dies im Praxisalltag als umständlich empfunden werden kann.

Auch das Thema der Schweigepflichtsentbindung ist relevant, insbesondere im Kontext von Anfragen durch Angehörige. Gerlach kritisiert die oft zu allgemein gehaltenen Vordrucke für die Entbindung von der Schweigepflicht und empfiehlt die Verwendung von spezifischeren Formularen, die eine bewusste Entscheidung der Patienten ermöglichen.

Wann müssen Ärzte Daten löschen?

Ablauf der gesetzlichen Aufbewahrungsfristen

Nach dem Abschluss einer Behandlung beginnen gesetzlich festgelegte Aufbewahrungsfristen zu laufen. In Deutschland schreibt § 630f Abs. 3 BGB vor, dass Patientenakten mindestens zehn Jahre aufbewahrt werden müssen. Sind diese Fristen abgelaufen und stehen keine weiteren rechtlichen Anforderungen einer Löschung entgegen, können die Daten gelöscht werden. Zu bedenken ist jedoch, dass zivilrechtliche Ansprüche eines Patienten gegen einen Arzt gemäß § 199 Abs. 2 BGB erst nach 30 Jahren verjähren.

Anforderungen durch die betroffene Person

Gemäß Art. 17 DSGVO haben Patienten das Recht, die Löschung ihrer Daten zu verlangen. Dies gilt insbesondere dann, wenn die Daten für die ursprünglichen Zwecke nicht mehr notwendig sind, eine erteilte Einwilligung widerrufen wurde oder personenbezogene Daten unrechtmäßig verarbeitet worden sind. Allerdings kann dieses Recht durch gesetzliche Aufbewahrungspflichten oder die Notwendigkeit zur Verteidigung von Rechtsansprüchen eingeschränkt sein.

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:


a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2
d) Widerspruch gegen die Verarbeitung ein.
e) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
f) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
g) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Art. 17 DSGVO: Recht auf Löschung (“Recht auf Vergessenwerden”)

Wann dürfen Patientendaten übermittelt werden?

Einwilligung der betroffenen Person

Die wohl deutlichste Grundlage für die Übermittlung von Patientendaten ist die ausdrückliche Einwilligung des Patienten. Gemäß Artikel 6 Absatz 1 Buchstabe a der DSGVO ist eine Verarbeitung personenbezogener Daten rechtens, wenn die betroffene Person ihre Einwilligung zu einem oder mehreren spezifischen Zwecken gegeben hat. Die Einwilligung muss freiwillig, informiert und eindeutig sein.

Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen

Datenübermittlungen können auch erforderlich sein, um einen Vertrag, an dem die betroffene Person beteiligt ist, zu erfüllen oder um auf Anfrage der betroffenen Person vorvertragliche Maßnahmen durchzuführen (Art. 6 Abs. 1 Buchstabe b DSGVO). Dies kann z.B. bei der Übermittlung von Daten an eine Krankenversicherung der Fall sein.

Rechtliche Verpflichtungen

Eine weitere Grundlage für die Übermittlung von Patientendaten bietet Artikel 6 Absatz 1 Buchstabe c DSGVO. Demnach ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung notwendig ist. Dies umfasst beispielsweise die Übermittlung von Daten an Gesundheitsbehörden im Rahmen der Meldepflicht bestimmter Erkrankungen (z. B. Geschlechtskrankheiten wie z. B.  Syphilis, Aids und Hepatits B).

Schutz lebenswichtiger Interessen

In Notfällen, wenn die Einwilligung der betroffenen Person nicht eingeholt werden kann, dürfen Daten auch ohne Einwilligung übermittelt werden, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 Buchstabe d DSGVO). Dies könnte z.B. bei einer medizinischen Notversorgung relevant sein.

Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt

Die Übermittlung kann auch gerechtfertigt sein, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 Buchstabe e DSGVO). Ein Beispiel hierfür ist die Gesundheitsüberwachung durch öffentliche Gesundheitseinrichtungen.

Berechtigte Interessen

Schließlich dürfen Daten übermittelt werden, wenn dies zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (Art. 6 Abs. 1 Buchstabe f DSGVO). Hierbei ist stets eine sorgfältige Abwägung erforderlich.

Müssen Patienten eine Datenschutzerklärung unterschreiben?

Nein, Patienten müssen keine Datenschutzerklärung unterschreiben. Die ärztliche Behandlung erfolgt auf der Grundlage eines Behandlungsvertrages. Dieser Vertrag bildet eine rechtliche Grundlage für die Verarbeitung personenbezogener Daten gemäß Artikel 9 Absatz 2 Buchstabe h) und Absatz 3 in Verbindung mit Artikel 6 Absatz 1 Satz 1 Buchstabe b) der DS-GVO.

Patient unterschreibt Datenschutzerklärung

Alle Verarbeitungsvorgänge, die zur Erfüllung des Behandlungsvertrages notwendig sind, können auf dieser Rechtsgrundlage durchgeführt werden, ohne dass eine gesonderte Einwilligung der Patienten erforderlich ist. Bei der Erhebung von Gesundheitsdaten im Rahmen einer Anamnese kann zudem von einer konkludenten Einwilligung durch die Teilnahme des Patienten an der Untersuchung ausgegangen werden.

Es ist allerdings zu beachten, dass die Weitergabe von Patientendaten an Dritte, wie zum Beispiel private Abrechnungsstellen, nicht automatisch durch den Behandlungsvertrag abgedeckt ist. Für solche Fälle ist eine explizite Einwilligung des Patienten erforderlich.
Wenn ein Patient die Datenschutzerklärung nicht unterschreibt, dann dürfen Ärzte die Behandlung nicht verweigern. Eine solche Praxis ist nicht mit der DSGVO vereinbar, so die Datenschutzaufsichtsbehörden des Bundes und der Länder.

Informationspflicht und Nachweispflicht

In der Praxis bedeutet dies, dass Patienten zwar über die Verarbeitung ihrer Daten informiert werden müssen, dies jedoch nicht zwingend durch eine schriftliche Datenschutzerklärung geschehen muss. Die Information kann auf verschiedene Weise erfolgen, beispielsweise durch einen Vermerk, konkret beschriebene Verfahrensabläufe, Informationsblätter/Merkblätter, Aushänge oder auch elektronisch. 

Darüber hinaus müssen Praxen in der Lage sein, den Nachweis zu erbringen, dass sie ihre Informationspflicht erfüllt haben. Dieser Nachweis ist jedoch nicht zwangsläufig an eine schriftliche Bestätigung durch den Patienten gebunden. 

Wie lange ist eine Datenschutzerklärung gültig?

Eine Datenschutzerklärung hat keine festgelegte Gültigkeitsdauer im Sinne eines “Verfallsdatums”. Stattdessen hängt die Gültigkeit der Einwilligung vom Kontext, dem Umfang der ursprünglichen Einwilligung und den Erwartungen der betroffenen Partei ab. Wenn sich die Verarbeitungsvorgänge beträchtlich ändern oder weiterentwickeln, wird die ursprüngliche Einwilligung als nicht länger gültig betrachtet, und es muss eine neue Einwilligung eingeholt werden. 

Der Europäische Datenschutzausschuss (EDSA) empfiehlt als bewährte Praxis, die Einwilligung in angemessenen Zeitabständen zu erneuern, um sicherzustellen, dass die betroffene Person gut darüber informiert bleibt, wie ihre Daten verwendet werden und wie sie ihre Rechte ausüben kann.

Welche Strafen können für Verstöße gegen die DSGVO in Arztpraxen verhängt werden?

Die Datenschutz-Grundverordnung ermächtigt nationale Aufsichtsbehörden, Bußgelder für Datenschutzverstöße zu verhängen. Diese Bußgelder können entweder zusätzlich zu oder anstelle von anderen Maßnahmen wie der Anordnung zur Beendigung des Verstoßes, der Anweisung zur Anpassung der Datenverarbeitung an die gesetzlichen Vorgaben oder dem Ausspruch eines zeitlich begrenzten bzw. endgültigen Verbots der Datenverarbeitung auferlegt werden. Wichtig ist, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter für Verstöße direkt belangt werden können.

Juristischer Hammer und Gesetzbuch
Fehler beim Datenschutz in der Arztpraxis können sehr schnell teuer werden und hohe Strafen nach sich ziehen.

Die Höhe der Bußgelder soll in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Bei der Festlegung der Sanktionen berücksichtigen die Aufsichtsbehörden einen gesetzlich festgelegten Kriterienkatalog. Faktoren, die zu einer Erhöhung der Strafe führen können, umfassen unter anderem die Vorsätzlichkeit des Verstoßes, das Versäumnis, Maßnahmen zur Minderung des entstandenen Schadens zu ergreifen, oder eine fehlende Zusammenarbeit mit der Aufsichtsbehörde.

Für besonders gravierende Verstöße sieht die DSGVO Bußgelder von bis zu 20 Mio. Euro oder, im Falle eines Unternehmens, bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor, je nachdem, welcher Betrag höher ist. Weniger schwerwiegende Verstöße können zu Geldbußen von bis zu 10 Mio. Euro oder, im Falle eines Unternehmens, bis zu 2% des weltweit erzielten Jahresumsatzes führen. Zusätzlich können Betroffene Schadensersatz, inklusive Schmerzensgeld für beispielsweise erlittene Rufschädigung, einfordern.

Verstöße können auf verschiedene Weisen ans Licht kommen, beispielsweise durch Überprüfungen der Aufsichtsbehörden, Beschwerden von Mitarbeitern oder Kunden, Selbstanzeigen des Unternehmens oder durch die Presse. Angesichts der potenziell hohen Bußgelder und der breiten Definition von „Unternehmen“ ist es für Arztpraxen von großer Bedeutung, die Anforderungen der DSGVO sorgfältig zu beachten und umzusetzen.

Gerichtsurteile im Kontext der Datenschutz-Grundverordnung

Nachfolgend haben wir einige datenschutzrelevante Gerichtsurteile, die für Arztpraxis von Interesse sind, kurz zusammengefasst:

Hier klicken zum Aufklappen: ECLI:EU:C:2023:811 (Patienten haben das Recht auf eine kostenlose Erstkopie ihrer Patientenakte)

Der Europäische Gerichtshof (EuGH) hat entschieden, dass Patienten das Recht auf eine kostenlose Erstkopie ihrer Patientenakte haben, was der bisherigen deutschen Regelung widerspricht. Diese Entscheidung basiert auf der europäischen Datenschutz-Grundverordnung (DSGVO), die ein unentgeltliches Recht auf eine Erstkopie vorsieht. Ärzte und Psychotherapeuten dürfen nur für weitere Kopien Gebühren verlangen. Der EuGH betont zudem, dass Patienten ihren Antrag auf eine Kopie nicht begründen müssen und dass eine vollständige Kopie der Akte erforderlich sein kann, um die Daten auf Verständlichkeit, Richtigkeit und Vollständigkeit zu überprüfen. Diese Regelung gilt auch für sensible Informationen wie Diagnosen und Behandlungsdetails. Die Entscheidung folgt aus einer Klage gegen eine Zahnärztin, die für die Kopie der Patientenakte Kosten verlangen wollte, was laut DSGVO unzulässig ist, es sei denn, es handelt sich um unbegründete oder wiederholte Anträge. Der EuGH stellt klar, dass nationale Regelungen, die wirtschaftliche Interessen über das Auskunftsrecht der Patienten stellen, nicht mit der DSGVO vereinbar sind.

Hier klicken zum Aufklappen: 4 O 275/22 (Das Anfertigen einer Kopie des Personalausweises mit Zustimmung der Klägerin ist zulässig)
  • Das Urteil des Landgerichts Bielefeld vom 07.07.2023 betrifft eine Klage gegen eine Kinderwunschpraxis aufgrund vermeintlicher Aufklärungsfehler und Verletzung datenschutzrechtlicher Vorschriften. Die Klägerin nahm die Praxis in Anspruch für eine Behandlung, die das Kryokonservieren ihrer Eizellen umfasste (“Social Freezing”). Sie behauptet, nicht ordnungsgemäß über die Risiken und insbesondere über den fehlenden Versicherungsschutz für die dauerhafte Lagerung der Eizellen aufgeklärt worden zu sein. Zudem wirft sie der Praxis vor, durch das Anfertigen einer Kopie ihres Personalausweises datenschutzrechtliche Vorschriften verletzt zu haben.
  • Das Gericht wies die Klage ab, da es keinen Aufklärungsfehler seitens der Beklagten feststellen konnte. Es fand auch, dass keine Pflichtverletzung bezüglich der Information über den Versicherungsschutz vorlag, da eine solche Aufklärungspflicht nicht besteht. Bezüglich der datenschutzrechtlichen Vorwürfe entschied das Gericht, dass das Anfertigen einer Kopie des Personalausweises mit Zustimmung der Klägerin zulässig war und die Grundsätze der DSGVO eingehalten wurden. Die Klägerin sei weder materiell noch immateriell geschädigt worden.
Hier klicken zum Aufklappen: 3 Ca 2026/19 (Anspruch von Arbeitnehmern hinsichtlich der Herausgabe personenbezogener Daten beschränkt sich auf die Übermittlung einer Liste dieser Daten und nicht auf die Aushändigung physischer Kopien der Dokumente oder Akten, in denen diese Daten enthalten sind.)

Das Arbeitsgericht Bonn hat geurteilt, dass der Anspruch von Arbeitnehmern auf Herausgabe ihrer personenbezogenen Daten nach der Datenschutz-Grundverordnung (DSGVO) sich lediglich auf die Übermittlung einer Liste dieser Daten beschränkt, nicht aber auf die Aushändigung von Kopien der Dokumente oder Akten, in denen diese Daten enthalten sind. Dieses Urteil ist insbesondere für Arbeitgeber erfreulich, da es zeigt, dass weitreichende Herausgabeanträge von Arbeitnehmern, die möglicherweise als Druckmittel in arbeitsrechtlichen Streitigkeiten eingesetzt werden, nicht zwangsläufig zur Herausgabe von Dokumenten führen. Das Gericht begründet seine Auffassung unter anderem mit der Interpretation des Begriffs „Kopie“ im Sinne von Art. 15 Abs. 3 DSGVO als ein Exemplar einer Liste von Daten, basierend auf der Wortwahl in den Originaltexten der DSGVO in Englisch und Französisch.

FAQ

Wann benötigt eine Praxis einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter ist in einer Praxis oder einem medizinischen Versorgungszentrum (MVZ) dann gesetzlich vorgeschrieben, wenn die Verarbeitung personenbezogener Daten ein gewisses Maß überschreitet. Laut Bayerischem Landesamt für Datenschutzaufsicht (BayLDA) ist die Bestellung eines Datenschutzbeauftragten erforderlich, sobald mindestens 10 Personen sich ständig mit der automatisierten Verarbeitung solcher Daten befassen.

Die Kassenärztliche Bundesvereinigung (KBV) legt die Schwelle höher: Hier wird ein Datenschutzbeauftragter erst dann für notwendig erachtet, wenn mindestens 20 Personen in der Einrichtung personenbezogene Daten automatisiert verarbeiten, was häufig an Empfangsstellen oder bei der Abrechnung der Fall ist.

Welche Voraussetzungen braucht eine MFA, um Datenschutzbeauftragte zu werden?

Um als Medizinische Fachangestellte (MFA) die Rolle einer Datenschutzbeauftragten in einer Arztpraxis oder einem anderen Bereich des Gesundheitswesens zu übernehmen, sind mehrere Voraussetzungen notwendig. Zunächst sind fundierte Kenntnisse im Datenschutzrecht und in der Datenschutzpraxis erforderlich, die durch spezialisierte Fort- und Weiterbildungen erworben werden können. Eine formelle Zertifizierung als Datenschutzbeauftragter, angeboten von diversen Bildungseinrichtungen und Datenschutzorganisationen, ist zwar nicht zwingend vorgeschrieben, wird aber dringend empfohlen. Letztlich entscheidend ist jedoch lediglich die erforderliche Fachkunde, nicht das Zertifikat. 

Darüber hinaus ist praktische Erfahrung im Umgang mit Patientendaten und im Gesundheitswesen von Vorteil, um die spezifischen Datenschutzanforderungen in diesem Bereich zu verstehen. Die Unabhängigkeit der Datenschutzbeauftragten ist ein weiterer wichtiger Aspekt, da sie ihre Aufgaben ohne Interessenkonflikte ausführen muss, um objektive Entscheidungen treffen zu können. Die offizielle Benennung durch den Praxisinhaber oder die Leitung der medizinischen Einrichtung ist ebenfalls erforderlich, um die Rolle formal zu übernehmen.

Schließlich ist es für Datenschutzbeauftragte unerlässlich, sich regelmäßig weiterzubilden, um stets auf dem aktuellen Stand der Rechtsprechung und technologischen Entwicklungen zu bleiben. Diese kontinuierliche Fortbildung sichert die Kompetenz im Datenschutz und ermöglicht eine effektive Umsetzung der Datenschutzmaßnahmen in der Praxis.

Darf jeder Arzt Patientendaten einsehen?

Nein, gemäß DSGVO dürfen Ärzte innerhalb einer Praxis nicht ohne Weiteres auf alle Patientendaten zugreifen. Ein Arzt darf nur die Daten der Patienten einsehen, die er selbst behandelt. Soll ein weiterer Arzt in der Praxis Zugriff auf Patientendaten erhalten, ist dies nur zulässig, wenn er an der Behandlung des jeweiligen Patienten beteiligt ist. Jede Weitergabe von Patientendaten ohne direkte Behandlungsbeteiligung verstößt gegen die Datenschutz-Grundverordnung, die das Prinzip der Datenminimierung vorschreibt: Es dürfen nur die für die Behandlung notwendigen Informationen geteilt werden (Art. 5 Abs. 1 c) DSGVO).

Wann handelt es sich um eine Datenschutzverletzung?

Als Datenschutzverletzung wird eine Situation definiert, bei der es durch Sicherheitslücken zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugang zu personenbezogenen Daten kommt. Zu den häufigen Ursachen zählen Cyberangriffe wie Hacking, physischer Diebstahl von Daten tragenden Geräten, unbefugter Datenzugriff, fehlerhafte Datenweitergabe sowie der Verlust von Datenträgern. Eine solche Verletzung impliziert nicht zwangsläufig den Missbrauch der betroffenen Daten, sondern verweist auf die Sicherheitslücke selbst. 

Gilt die Schweigepflicht auch für eine Arzthelferin?

Ja, die Schweigepflicht gilt auch für Arzthelferinnen. Dies regelt § 203 des Strafgesetzbuches (StGB), wo es um die Verletzung von Privatgeheimnissen geht. Insbesondere in Absatz 3 wird klargestellt, dass Ärzte ihre Geheimnisse mit ihren Mitarbeitern, zu denen auch Arzthelferinnen zählen, teilen dürfen. Diese Regelung erlaubt es, dass Arzthelferinnen als Gehilfen der Ärzte angesehen werden und somit ebenfalls die Pflicht haben, die anvertrauten Geheimnisse nicht weiterzugeben. Obwohl sie die Informationen im Rahmen ihrer Tätigkeit erhalten, sind sie verpflichtet, diese vertraulich zu behandeln.

Wo kann ich Datenschutzverstöße melden?

Datenschutzverstöße können bei der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. Die zuständige Behörde hängt in der Regel vom Sitz der Arztpraxis, die den Datenschutzverstoß begangen hat, oder vom Ort, an dem der Verstoß stattgefunden hat, ab. Jedes Bundesland hat ein eigenes Landesamt bzw. einen Landesbeauftragten für Datenschutz. Hier finden Sie eine Übersicht inkl. Kontaktmöglichkeiten über die Aufsichtsbehörden in den einzelnen Bundesländern. Alternativ können Sie sich bei einem Datenschutzverstoß an die Bundesnetzagentur wenden.

__________

Zusätzliche Quellen:

Klicken Sie, um diese Webseite zu bewerten!
[Anzahl Bewertungen: 20 Durchschnittliche Bewertung: 4.6]

Autor: Nils Buske, zuletzt aktualisiert am