Abo

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (15): Datenschutz in der Arztpraxis : aus der RDV 5/2014, Seite 259 bis 261

Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*

Prof. Peter Gola
Lesezeit 7 Min.

Allgemeines

Patientendaten zählen bereits dann zu den speziellen Datenschutz genießenden Gesundheitsdaten (besondere Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG), wenn nur eine indirekte Aussage über die Gesundheit dadurch gemacht wird, dass jemand bei einem Arzt in Behandlung ist. Zudem unterliegen sie der besonderen Schweigepflicht des § 203 Abs. 1 Nr. 1 StGB. Neuen bereichsspezifischen Datenschutz enthalten zudem die mit dem Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten vom 20.2.2013 (BGBl. I, S. 277; vgl. Reif, RDV 2013, 193) in das BGB eingefügten Vorschriften der §§ 630a–630h über den „Behandlungsvertrag“. Aber auch hier sehen die Aufsichtsbehörden, da der Gesetzgeber ihre Vorschläge (Beschluss des Düsseldorfer Kreises vom 23.5.2012; u.a. Anlage 13 zum XI. TB, 2011/3.2013, des LfD Sachsen-Anhalt) weitgehend nicht berücksichtigte, noch Datenschutzmängel (LDA Brandenburg, TB 2012/2013, Ziff. 6.1; LfD Sachsen-Anhalt XI TB, 2011/3,2013, Ziff. 10.1.8).

Die elektronische Patientenakte

§ 630f Abs. 1 S. 1 BGB sieht vor, dass die die Behandlung dokumentierende Patientenakte in Papierform oder in elektronisch geführt werden kann. Damit ergeben sich für die elektronische Speicherung die gleichen Fragen der Gewährleistung der Richtigkeit und Vertraulichkeit, wie sie bei der Digitalisierung von Personalakten erörtert werden (HessDSB 42. TB, 2013, Ziff. 4.9.1.2). § 630f Abs. S. 2 BGB schreibt dazu vor, dass Berichtigungen und Änderungen von Eintragungen nur zulässig sind, wenn neben dem ursprünglichen Inhalt erkennbar bleibt, wann sie vorgenommen worden sind. Auch hier stellt sich Frage der Vernichtung von Originalunterlagen mit der Konsequenz des Wegfalls des Urkundenbeweises nach § 419 ZPO. So kann beispielsweise beim Einscannen ohne weiteres ein neues „Dokument“ entstehen, das sich aus dem Inhalt und der Unterschrift verschiedener Dokumente zusammensetzt. Zumindest muss durch eine möglichst fälschungssichere, dem Gericht nachweisbare Organisation der elektronischen Dokumentation das Prozessrisiko minimiert werden.

Das Foto in der Patientenakte

Zur ordnungsmäßen Dokumentation der Behandlung in der Patientenakte ist es regelmäßig nicht erforderlich, ein bei dem Beginn der Behandlung gefertigtes Foto des Patienten der Patientenakte beizufügen (HessDSB, 42. TB, 2013, Ziff. 4.9.1).

Der Eingriff in das Recht am eigenen Bild kann nicht durch den Wunsch nach späterer Identifikation des Patienten und zur Vermeidung von Verwechslungen begründet werden (LfDI Mecklenburg-Vorpommern, 11. TB, 2012/2013, Ziff. 6.6.1) und ist daher von der freiwilligen und widerrufbaren, den Anforderungen des § 4a BDSG entsprechenden, d.h. dem Patienten freigestellten, Einwilligung abhängig (HessDSB, 42. TB, 2013, a.a.O.). Eine Ablehnung der Behandlung kommt jedenfalls im Hinblick auf den zuvor genannten Speicherungsgrund nicht in Betracht. Anders kann es sein, wenn bestimmte Krankheitsbilder per Foto dokumentiert werden sollen. So hat es der HessDSB (42. TB, 2013, Ziff. 4.9.1.5) als zulässig angesehen, wenn der Arzt bei einem Hausbesuch behandlungsbegleitende Fotos auf seinem Mobiltelefon oder iPad speichert, um sie alsbald auf den Praxisrechner zu überspielen.

Vorlage des Personalausweises und Aufnahme einer Kopie in die Patientenakte

Regelmäßig nicht als erforderlich sieht es der BlnBDI (JB 2013, Ziff. 8.7) an, dass ein Patient sich vor Abschluss des Behandlungsvertrages durch Vorlage des Personalausweises identifizieren soll. Ohne Vorliegen besonderer Anhaltspunkte ist ein solches Verlangen unzulässig. Ausreichend ist, dass sich die Person mit ihrer Krankenversichertenkarte ausweist. Ohne auf die Zulässigkeit nach dem Personalausweisgesetz einzugehen, wird in jedem Falle die Anfertigung einer Kopie des Ausweises und deren Ablage in der Patientenakte als unzulässig verneint.

Mitnahme von Krankenhauspatientendaten in die neue eigene Praxis

Nicht beanstandet es der HessDSB (42. TB, 2013, Ziff. 4.9.1.6), wenn ein liquidationsberechtigter Krankenhausarzt, der sich selbständig macht, die Patientenunterlagen über die von ihm erbrachten und abgerechneten Leistungen nunmehr in seiner Praxis aufbewahrt und den Patienten über seinen neuen Wirkungsort und die dort angebotenen Therapien informiert. Der DSB äußert sich jedoch nicht zu der Rechtsgrundlage, die die diesbezügliche Nutzung der Patientenakte rechtfertigt. Wahrscheinlich stellt er noch auf die Zweckbestimmung des ehemaligen Behandlungsvertrages (§ 28 Abs. 1 S. 1 Nr. 1 BDSG) ab, wenn er wie folgt ausführt: „Letztlich dürfen Patientendaten in dem Umfang genutzt werden, wie dies dem Behandlungsvertrag zwischen Arzt und Patient dient. …. Das Schreiben trug dazu bei, über die neue Wirkungsstätte des Arztes zu informieren, damit bei Bedarf eine Weiterbehandlung erfolgen kann“. Das setzt aber voraus, dass der Behandlungsvertrag zumindest noch Nachwirkungen hat. Eher zutreffend ist es, dieses Schreiben als nach § 28 Abs. 3 BDSG zulässige Werbung zu bewerten.

Übersendung von Patientendaten per Telefax

Eine Übermittlung personenbezogener Daten per Telefax birgt Risiken hinsichtlich der Wahrung der Vertraulichkeit der übermittelten Daten (vgl. die von verschiedenen Aufsichts behörden erhältliche Orientierungshilfe Datenschutz und Telefax). Diesen ist auch speziell bei der Übersendung von Arzt zu Arzt Rechnung zu tragen (LfDI Mecklenburg-Vorpommern, 11. TB, 2012/2013, Ziff. 6.6.1). Der Berliner BDI (JB 2013, Ziff. 5.13) führt dazu wie folgt aus: „Beim Faxversand ist zu bedenken dass jeder, der Zugang zum Empfangsgerät hat, Einblick in die übermittelten Daten nehmen kann. Eine aus datenschutzrechtlicher Sicht sichere Anonymisierung vor dem Versand birgt jedoch bei dem Empfänger häufig die gerade im Gesundheitswesen ggf. schwerwiegende Gefahr einer Verwechselung mit sich. Um somit datenschutz- und berufsrechtliches Fehlverhalten durch unbefugtes Offenbaren zu vermeiden, sollten in der Regel folgende schriftlich zu fixierende Kommunikationsregeln beachtet werden:

  • Personenbezogene Gesundheitsdaten sollten nur dann gefaxt werden, wenn eine schnelle Übermittlung erforderlich ist; soweit risikolos möglich, sollten die Unterlagen anonymisiert werden.
  • Vor dem Versenden muss geprüft werden, ob die Faxnummer des Empfängers noch aktuell ist.
  • Es muss sichergestellt sein, dass die richtige Faxnummer des Empfängers eingegeben wurde; regelmäßig sollten daher die gespeicherten Kurzwahlnummern auf Richtigkeit überprüft werden. Zur Absicherung sollte hierbei das Vier-Augen-Prinzip eingehalten werden.
  • Das eigene Faxgeräte muss so aufgestellt sein, dass nur Berechtigte Einblick in und Zugriff auf eingehende Faxe haben.
  • Im Zweifel oder z.B. bei einem längere Zeit nicht angewählten Empfänger sollte vor dem Versenden (telefonisch) geklärt werden, ob und dass auch beim Empfänger die datenschutz- und berufsrechtlichen Anforderungen eingehalten werden und das Fax angekündigt wird.
  • Um sicher zu gehen, dass der allein Berechtigte das Fax in Empfang nimmt, sollte mit dem Empfänger vor der Versendung bei Bedarf ein bestimmter Übermittlungszeitpunkt vereinbart werden.
  • Die Faxvorlage darf nach dem Versenden nicht im Faxgerät liegengelassen werden.

Schweigepflichtentbindungserklärungen in AGBs

Mit dem Passus im Anmeldebogen: „Es gelten unsere allgemeinen Geschäftsbedingungen (AGB, siehe Aushang)“ können keine nach § 4a BDSG erforderlichen schriftliche Einwilligungserklärungen eingeholt werden. Das gilt umso mehr, wenn zugleich mehrere nach unterschiedlichen Kriterien zu betrachtende Einverständnisse erteilt werden sollen, wie ein von dem HessDSB (42. TB, 2013, Ziff. 4.9.1.3) zu beurteilender Fall belegt. Dabei ging es nicht nur um die Übermittlung von Behandlungsdaten an andere an der Behandlung beteiligte Ärzte, Krankenhäuser oder medizinische Labore, sondern zum einen um die „ausdrückliche“ Einwilligung, zu informations-, termin-, recall- und medizinischen Zwecken von der Praxis schriftlich, fernmündlich oder per Telefax, SMS oder E-Mail kontaktiert zu werden, und zum anderen um die Weitergabe der Daten zum Zwecke der Rechnungslegung an die der Schweigepflicht unterliegende privatärztliche Verrechnungsstelle XY.

Beide Erklärungen scheitern auch u.a. auch schon daran, dass ihr Inhalt zu pauschal und unbestimmt ist. Ein Patient muss, bevor er sich entscheidet, ob er der Weitergabe seiner Daten an eine ärztliche Verrechnungsstelle zustimmt, eine konkrete Vorstellung haben, wer welche Daten wozu erhält, d.h. er muss u.a. wissen, ob der Arzt für seine Daten weiter verantwortlich bleibt, d.h. ob ein Fall der Auftragsdatenverarbeitung vorliegt oder ob die Rechnungsstelle als Funktionsübernehmer verantwortlich wird (LfD Baden-Württemberg, 31. TB, 2012/2013, Ziff. 7.9).

Gleiches gilt, wenn der Arzt die Möglichkeit haben will, ein Inkassobüro einzuschalten. Inkassounternehmen benötigen, jedenfalls wenn kein Forderungsübergang gewollt ist, zur außergerichtlichen Beitreibung der offenen Forderung keine kompletten Befund- und Therapieberichte, sondern nur die die sich aus der Rechnung ergebenden Informationen über durchgeführte Behandlungsmaßnahmen. Keiner schriftlichen Einwilligung des Patienten zur Einschaltung des Inkassounternehmens bedarf es dann, wenn der Arzt bereits in einem zweiten Mahnschreiben wiederholt die Einschaltung des Inkassobüros angekündigt hat (HessDSB, 42. TB, 2013, Ziff. 4.9.1.4.2).

Zulässig ist es auch, vor der Aufnahme der Behandlung die Einwilligung in eine Bonitätsanfrage einzuholen, wobei ein die Anfrage rechtfertigendes Kreditgeschäft bei gesetzlich Versicherten besteht, wenn z.B. ein Zahnarzt über den gesetzlichen Leistungsumfang hinaus besondere privatärztlich abzurechnende Leistungen vereinbart. Die Einwilligung darf erst eingeholt werden, wenn der Patient über die insoweit auf ihn zukommenden Kosten aufgeklärt ist. Wie der HambBfDI (24. TB, 2012/2013, III. Ziff. 5.6) festhält, darf die Einwilligung nicht durch die Androhung der Behandlungsverweigerung erzwungen werden. Dem Patienten muss ggf. auch angeboten werden, sie durch Vorkasse oder Sicherheitsleistung abzuwehren.

Weitergabe der Patientenakte an einen Praxisnachfolger

Beanstandet hat der HessDSB (42. TB, 2013, Ziff. 4.9.1.3) auch eine wohl vorsorglich eingeholte Erklärung, mit der die Weitergabe der Behandlungsunterlagen an einen möglichen Praxisnachfolger akzeptiert werden sollte. Die Erklärung ist keine „informierte“ Einwilligung, da der Umfang der Bewerbungsunterlagen, der Zeitpunkt der Übergabe und insbesondere der konkrete Empfänger noch völlig offen sind.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.