Blogserie Datenschutz in der Arztpraxis - Teil 2: Patienteneinwilligung und -information

Patienteneinwilligung und Patienteninformation - es kommt auf die Details an

Es gibt nicht viele neue Aspekte, welche mit der EU-Datenschutz-Grundverordnung eingeführt wurden. Ein wesentlicher Punkt ist jedoch die Informationspflicht vor der Erhebung von personenbezogenen Daten (nach Art. 13 DSGVO) der Ärzte gegenüber Patienten. Diese Informationspflicht besteht nicht nur bei Ärzten und sie besteht gegenüber alle „Kategorien betroffener Personen“ - also nicht nur gegenüber Patienten. Sie besteht auch gegenüber Nutzer Ihres Internetauftritts oder gegenüber ihren Mitarbeitern.

Mein Blogartikel ist in zwei Teile gesplittet: Erstens die reine Information über Patienteneinwilligung und Patienteninformation (Was ist zu tun?) und zweitens eine persönliche, kritische Auseinandersetzung mit den Informationspflichten und den Reaktionen verschiedener Stakeholder (Was ist passiert?).

Patienteneinwilligung und -information: Was ist zu tun?

Vor der Erhebung personenbezogener Daten müssen Sie Ihre Patienten über 14 verschiedene Punkte informieren. Das ist zum Beispiel der Name der verantwortlichen Stelle, der Zweck der Datenverarbeitung, die Rechtsgrundlage der Datenverarbeitung, die Kategorien der verarbeiteten Daten etc. pp. Dafür gibt mal gut, mal weniger gute Vorlagen bei Ihren Interessenvertretungen. Diese müssen Sie auf Ihre Praxis und die Datenverarbeitung in Ihrer Praxis anpassen. Wenn Sie als eine private Verrechnungsstelle nutzen, dann muss das da rein. Wenn Sie die Daten in einer externen Cloud sichern (externe Auftragsverarbeitung), müssen Sie ihre Patienten darüber angemessen informieren. Auch die Beauftragung eines IT-Supports, der sich bei Ihnen um die IT kümmert, sollten Sie benennen. Das kann keine Vorlage der Welt alles berücksichtigen, deswegen müssen Sie die Roh-Vorlagen anreichern mit diesen Informationen.

Diese Informationen müssen Sie Ihren Patienten teilweise mitteilen (Art. 13 Abs. 1 DSGVO) und teilweise zur Verfügung stellen (Art. 13 Abs. 1 DSGVO). Das ist ein Unterschied und diesen sollten Sie auch geschickt nutzen. Nicht geschickt wäre es wenn Sie diese Informationen auf ein Blatt schreiben und im Warteraum ohne Hinweis auslegen oder aushängen. Je nach Bundesland ist Ihre Interessenvertretung da anderer Meinung. Wenn Ihnen diese Meinung begegnet, dann fragen Sie mal nach einer Haftungsübernahme durch die Kammer/Vereinigung.

Es gibt andere Möglichkeiten:

100% sicher wäre es, wenn Sie sich den Erhalt der Informationspflichten unterschreiben lassen. Dabei würden Sie jedoch mit Kanonen auf Spatzen schießen. Wenn die Unterschrift versagt wird, können Sie übrigens trotzdem behandeln.
Angemessen ist es, wenn Sie einen Flyer mit den erforderlichen Informationen (nach Art. 13 Abs. 1 DSGVO) am Empfang auslegen und jeden Bestandskunden beim nächsten Besuch auf diese Informationen persönlich aufmerksam machen. Neupatienten erhalten diese Information zusammen mit dem Anamnesebogen. Dokumentieren Sie diese Vorgabe in eine Arbeitsanweisung für die Rezeption und kontrollieren Sie die Umsetzung der Arbeitsanweisung stichprobenhaft (ebenfalls mit Dokumentation). Die Informationen nach Art. 13 Abs. 2 DSGVO passen dabei nicht mehr auf den Flyer – deswegen liegen diese auf Anfrage am Empfang bereit. Fertig. Keine Unterschrift, keine Unterbrechung der Praxisprozesse, keine Bürokratie.
Apropos Anamnesebogen: Das ist der ideale Ort, um die notwendigen Einwilligungserklärungen unterzubringen. Neu mit der DSGVO sind einige Anforderungen an die Transparenz und den Inhalt der Einwilligungen, weswegen Sie ihre alten Einwilligungen nicht mehr nutzen können. Das bedeutet nicht zwangsläufig, dass Sie bei Ihren kompletten Patientenbestand neue Einwilligungen einfordern müssen - Sie müssten im Idealfall nur die bestehenden Formulierungen überarbeiten.

Dabei sollten Sie sich auch die Frage stellen welche Einwilligungen Sie Ihren Patienten abverlangen. Dies hängt von Ihren betrieblichen Prozessen ab. Regelmäßig in Frage kommen folgende Einwilligungen:

Weitergabe von Daten an andere Ärzte (auch im Rahmen der hausarztzentrierten Behandlung)
Recall zu Kontrolluntersuchungen
Terminerinnnerungen
Nutzung einer privaten Abrechnungsstelle (kriegen Sie meist von dieser seperat)
Weitergabe von Daten an Dritte („mein Enkel holt das Rezept morgen ab“) und
je nach Konstellation auch Weitergabe von Daten an Labore

An Einwilligungen sind nach Art. 7 DSGVO einige Bedingungen geknüpft. So müssen sie nachweisbar sein, sie müssen freiwillig durch den Patienten/Betroffenen erteilt worden sein und sie sins jederzeit (mit Wirkung für die Zukunft) widerrufbar - um nur die wichtigsten Punkte zu nennen. Nehmen Sie sich Zeit bei der Formulierung der Einwilligungen und nutzen Sie nicht irgendeine Vorlage. Denn eine nicht korrekt erteilte Einwilligung macht die darauf basierende Datenverarbeitung illegal.

Patienteneinwilligung und -information: Was ist passiert?

Lange Zeit haben die Ärztekammern und die Berufsverbände auf Landes- und Bundesebene ihre Mitglieder nicht unterstützt. Was dann kurz vor dem Wirksamwerden der EU-DSGVO passierte, kann am treffendsten mit der Überschrift „Aktionismus“ bezeichnet werden. Alle genannten Interessenvertretungen warfen mit Vorlagen um sich und veröffentlichten Artikel in ihren Hausmagazinen, in denen auf den sofortigen Handlungsdruck hingewiesen wurde. Viel zu spät und ohne rechtlich geprüfte, im Einzelfall angepasste Vorlagen machten sich dann die Angehörigen der Heilberufe daran, ihre datenschutzrechtlichen Hausaufgaben zu erledigen. Dass die Vorlagen nicht mit den Landesdatenschutzbehörden (LDSB) abgestimmt sind und keinerlei Haftung übernommen werden kann, wurde dabei bei den Interessenvertretungen deutlich auf ihrer Webseiten gekennzeichnet. Natürlich ist es keine Pflicht diese Vorlagen mit LDSB abzustimmen, aber wieso wird so getan als ob und wieso werden zahlende Mitglieder mit einer solchen rechtlichen Unsicherheit alleine gelassen?

Ich persönlich finde die Informationspflichten nicht gelungen. Der Gedanke dahinter, nur informierte Leute können ihre Rechte angemessen wahrnehmen, ist natürlich gut. Was dann folgte hat aber nicht dazu beigetragen, eine angemessene Aufklärung bei den Betroffenen zu betreiben. Erinnern Sie sich noch an die Mails, die Sie um den 25.05.2018 erhalten haben? Im Minutentakt wurde mein persönliches eMail-Postfach vollgespamt und ich wunderte mich wer alles meine Mailadresse hat. Seitdem habe ich zum Beispiel ca. 800 Mal erfahren, dass ich ein Recht auf Beschwerde bei „einer“, „genau der“, „der zuständigen“, „der für uns zuständigen“ oder war es „jeder anderen“ Aufsichtsbehörde habe. Genützt hat es mir nichts, denn die Aufsichtsbehörden sind hoffnungslos überlastet mit Beschwerden –ein Aktenzeichen zu erhalten dauert je nach Behörde ca. 4-8 Wochen. Informationspflichten schön und gut – eine angemessene, personelle Ausstattung der Aufsichtsbehörden wurde die Rechte der Betroffenen besser schützen als tonnenweise Altpapier.

Eine letzte Frage muss ich mir gefallen lassen: Wieso schreibe ich das jetzt und nicht früher? Auch ich habe gehofft, dass die Interessenvertretungen ihre Mitglieder nicht im Regen stehen lassen und die Ärzte die DSGVO angemessen umsetzen. Diese Hoffnung hat sich zum größten Teil aber zerschlagen. Deswegen diese Blogserie. Besser zu spät als nie. Das gilt auch für die Umsetzung der DSGVO.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen