Logo - Klinikum Leverkusen Klinikum Leverkusen - Mittelpunkt im Gesundheitspark

Die Krux mit den personenbezogenen Daten

Was die europäische Datenschutz-Grundverordnung in Klinik und Praxis ändert

Die wesentlichen Veränderungen der DSGVO im Alltag von niedergelassenen Urologen und Kliniken gelten für den Datenschutz und die Verschlüsselung, für die Dokumentation der Datenverarbeitung, aufwändigere Einwilligungserklärungen zur Datennutzung sowie die Löschungs- und Transparenzrechte der Patienten.


Ein Verzeichnis von Verarbeitungstätigkeiten für personenbezogene Daten in der Arztpraxis und im Krankenhaus gehört zu den neuen Pflichten der DSGVO. Ohne ein Datenverarbeitungsprotokoll drohen Geldstrafen, warnt die Kassenärztliche Bundesvereinigung.


Wie Bertram Raum aus dem Büro des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit auf dem Fachkongress conhIT in Berlin ergänzte, ist die „revisionssichere Aufbewahrung von Daten an die Dokumentationspflicht der niedergelassenen Ärzte bzw. der Krankenhäuser gebunden“. Diese Pflicht zur Dokumentation sei in vollem Umfang erhalten geblieben. Wenn ein Anspruch auf Datenlöschung vorliege, erfolge diese erst einmal im Primärsystem.


Das Problem der Backup-Datensicherung
Was aber ist mit Backup-Datenkopien? „Ein Löschungsanspruch muss zunächst einmal in der primären Datenspeicherung umgesetzt werden. Grundsätzlich sind Sicherungskopien zweckgebunden und nicht mehr für die weitere Datenverarbeitung vorgesehen. Diese Daten gelten dann als gelöscht, obwohl sie tatsächlich noch vorhanden sind. Sie müssen aber zwingend aus dem primären Datensatz gelöscht werden, sodass sie nicht mehr Teil der nächsten Sicherungskopie werden können“, erklärte Raum.


Hände weg von WhatsApp
Deutlich wurde Datenschützer Raum im Hinblick auf Messenger-Dienste wie WhatsApp: „Als verantwortlicher Arzt sollten Sie die Finger von WhatsApp lassen, auch wenn der Patient das gerne möchte. Wenn dabei Daten übermittelt werden, die der ärztlichen Schweigepflicht unterliegen, ist der kommunizierende Arzt verantwortlich und nicht der Patient.“


Grundsätzlich ist die Verwendung personenbezogener Daten immer an die schriftlich erteilte Einwilligung des Patienten gebunden. Die Einwilligungserklärungen von Patienten müssen in der Praxis zum Beispiel für Zwecke der privatärztlichen Verrechnung angepasst werden. Die Verarbeitung der Patientendaten ist in der Arztpraxis aufgrund des Behandlungsvertrages gesetzlich erlaubt. Sollen die Daten nun auch für andere Zwecke genutzt werden, z. B. für private Abrechnungsstellen, Patienten-Newsletter oder Terminerinnerungen per SMS – also Dinge, die für die ärztliche Behandlung nicht erforderlich wären – bedarf es einer zusätzlichen Einwilligung des Patienten.


Unbedingte Einsichtsrechte und ein Aushang im Wartezimmer
Unter dem Stichwort „Transparenz“ erhalten die Patienten erweiterte Informations-, Auskunfts-, Widerspruchs und Widerrufsrechte (Artikel 12 bis 17 der DSGVO). Sie können jederzeit Einsicht in ihre Patientenakte verlangen. Um alle Patienten zu erreichen, empfiehlt sich ein Aushang oder ein Informationsblatt im Wartezimmer. Die Patienteninformation kann zusätzlich auf der Website der Praxis veröffentlicht werden.


Größere Praxen und MVZ benötigen einen Datenschutzbeauftragten. Wie bisher ist dies Pflicht, wenn mindestens zehn Personen regelmäßig Daten automatisiert verarbeiten. Angesichts der erheblichen Bußgeldrisiken empfiehlt es sich auch für alle Berufsausübungsgemeinschaften (ab zwei Ärzten), Praxisgemeinschaften, Medizinischen Versorgungszentren und Arztpraxen mit mindestens einem angestellten Arzt einen Datenschutzbeauftragten zu benennen.