Zentrales Anliegen der Europäischen Datenschutzgrundverordnung (DSGVO) ist es, Transparenz im Umgang mit Daten zu erzeugen. In der Arztpraxis heißt das: Die Patienten müssen darüber informiert werden, welche Daten von ihnen zu welchem Zweck erhoben und verarbeitet werden. Und wie lange diese Daten gespeichert werden. Zusätzlich hat der Verordnungsgeber ein umfassendes Rechtepaket für die Betroffenen, also in diesem Fall für die Patienten, geschnürt. Es beinhaltet neben dem Recht auf Auskunft über die erhobenen und verarbeiteten Daten unter anderem auch das Recht auf Berichtigung oder Löschung und ein Widerspruchsrecht gegen die Verarbeitung. Auch über diese Rechte muss der Patient ins Bild gesetzt werden. Genau geregelt ist die Informationspflicht in Art. 13 DSGVO. Als Praxisinhaber haben Sie also als erstes eine Patienteninformation zusammenzustellen. Zwar reicht es aus, wenn man diese Information auslegt, aushängt oder an die Patienten verteilt. Die Privatärztlichen Verrechnungsstellen raten aber, die Information nach Art. 13 DSGVO von allen Patienten unterschreiben zu lassen. „Als Praxisinhaber ist man in der Nachweispflicht. Man muss dokumentieren können, dass der Patient die vorgeschriebenen Informationen zur Kenntnis nehmen konnte“, erläutert Olga Faust, Datenschutzbeauftragte der PVS Baden-Württemberg. „Den Patienten die Information datieren und unterschreiben zu lassen, ist häufig der einfachste und sicherste Weg.“
Einwilligung statt Einverständnis
Bislang erklärten die Patienten per Unterschrift ihr Einverständnis, dass die zur Erstellung der Rechnung notwendigen Daten an die PVS weitergegeben werden. Mit der DSGVO tritt an die Stelle der Einverständniserklärung die Einwilligung. Eine Einwilligung muss immer dann eingeholt werden, wenn es gesetzlich vorgeschrieben ist und die Verarbeitung oder Weiterleitung der Daten nicht mehr von der Erforderlichkeit des Behandlungsvertrages gedeckt ist. Die Datenschutzbehörden gehen aktuell noch davon aus, dass Patientendaten zu Zwecken der Abrechnung und der Forderungsabtretung nur mit der Einwilligung des Patienten an die PVS übergeben werden dürfen. „Viele Praxen fragen uns, ob sie die Einwilligungserklärung auch von den Patienten unterschreiben lassen müssen, die bereits eine Einverständniserklärung unterzeichnet haben“, berichtet Olga Faust. „Das ist unbedingt notwendig. Denn die Einwilligung ist sozusagen die auf Basis der neuen Rechtslage aktualisierte Einverständniserklärung. Neu ist unter anderem, dass der Patient über Widerrufsmöglichkeiten
und die Freiwilligkeit der Einwilligungserklärung informiert werden muss.“ Wichtig sei auch, die Einwilligung bei jedem stationären Aufenthalt abzeichnen zu
lassen. „Im ambulanten Bereich empfehlen wir, die Einwilligungserklärung mindestens einmal im Jahr signieren zu lassen“, so Faust. „Damit ist die Praxis dann immer auf der sicheren Seite.“
Tatsächlich kommt es vor, dass Patienten die Einwilligung nicht unterschreiben wollen. „In diesem Fall gilt es, das Gespräch mit dem Patienten zu suchen“, sagt Markus Edinger, Datenschutzbeauftragter der PVS Südwest. „Dann kann man Missverständnisse aus dem Weg räumen.“ Hilfreich sei es auch, darauf hinzuweisen, dass die PVS eine ärztliche Gemeinschaftseinrichtung sei und die Mitarbeiter dort genauso der Schweigepflicht unterliegen wie der Arzt selbst. „Das schafft Vertrauen“, sagt Edinger. Die Einwilligungserklärungen sind übrigens Bestandteil der Patientenakte und sollten deshalb genauso lange aufbewahrt werden wie die Akte selbst. Wer angesichts der Papierflut darüber nachdenkt, die Formulare zu digitalisieren, der sei darauf hingewiesen, dass das zwar grundsätzlich möglich ist, aber unbedingt revisionssicher zu erfolgen hat. „Revisionssicher heißt, dass die Dokumente unveränderbar sein müssen“, erläutert Faust. Aktuelle Datenmanagementsysteme stellen von Haus aus Revisionssicherheit her. Aber auch wer kein Datenmanagementsystem verwendet, kann verfälschungssicher archivieren. Hierfür wurde das PDF-A-Format entwickelt. PDF-A-Dokumente sind grundsätzlich unveränderbar. Sollte es dennoch gelingen, die Datei zu verändern, wird ein Hinweis auf diese Veränderung gespeichert.
Auftragsverarbeitung oder Joint Controllership?
Die DSGVO hat zu der Klarstellung geführt, dass das Verhältnis zwischen der PVS und der Praxis oder dem Krankenhaus keine Auftragsdatenverarbeitung, sondern vielmehr ein Joint Controllership ist. Beim Joint Controllership legen mehrere Verantwortliche gemeinsam die Zwecke und Mittel der Datenverarbeitung fest. Während es bei der Auftragsdatenverarbeitung typischerweise lediglich um eine Hilfs- und Unterstützungsfunktion geht, bei der der Auftragsnehmer keinen inhaltlichen Entscheidungsspielraum hat, tragen im Joint Controllership die Beteiligten die Verantwortung für die ihnen zugeordneten Datenverarbeitungsvorgänge. Und genau das ist im Verhältnis von PVS und Praxis oder Klinik der Fall. Die PVS hat deshalb entsprechende Verträge aufgesetzt, in denen die Verantwortlichkeiten beschrieben werden.
Die große Abmahnwelle blieb bisher aus
Nicht ohne Grund war befürchtet worden, dass mit Inkrafttreten der DSGVO eine Abmahnmaschinerie in Gang gesetzt werden würde. Die CDU/CSU-Bundestagsfraktion hatte deshalb eine Initiative gestartet, nach der Anwälte vorübergehend bei missbräuchlichen Abmahnungen auf Basis der DSGVO keine teuren Gebühren mehr verlangen können sollten. Damit ist sie gescheitert. Denn der Koalitionspartner SPD drängte darauf, das Problem grundlegender
anzugehen. Ende Juli beantwortete das Bundesjustizministerium eine Kleine Anfrage der FDP-Bundestagsfraktion zu Maßnahmen gegen den Abmahnmissbrauch. Darin heißt es, die Bundesregierung würde schnellstmöglich einen Gesetzentwurf vorlegen, der geeignete und wirkungsvolle Maßnahmen zur Eindämmung von Abmahnmissbrauch vorsehen werde. Das ist wenig konkret. Dennoch bestehe eigentlich für Arztpraxen kein großer Grund zur Sorge, ist Jan Mönikes, auf IT- und Wettbewerbsrecht spezialisierter Fachanwalt aus Berlin, überzeugt. „Wenn man die Grundregeln beachtet, die Patienten in der Praxis transparent informiert, die eigenen Mitarbeiter für den Datenschutz sensibilisiert, ein Verfahrensverzeichnis führt und auf seiner Internetseite eine rechtskonforme Datenschutzinformation bereithält, ist man im Großen und Ganzen schon auf der sicheren Seite.“
Die PVS hat für ihre Mitglieder Transparenzerklärungen erstellt und steht bei allen Fragen rund um die Umsetzung der DSGVO mit Rat und Tat zur Seite. „Bei den niedergelassenen Ärzten und in den Kliniken hat die DSGVO zunächst wieder ein Mehr an Bürokratie mit sich gebracht. Das hat natürlich auch Verärgerung hervorgerufen“, resümiert Edinger die aktuelle Situation in der Praxis. „Vieles ist bei näherem Hinschauen aber gar nicht so neu und wir sind zuversichtlich, dass sich schon bald eine gewisse Routine einspielen wird.“
Text: Ulrike Scholderer
Die vollständige Ausgabe der Zifferdrei erhalten Sie hier zum download.
Weitere Informationen zum Thema Datenschutzgrundverordnung erfahren Sie in unserem kostenfreien Seminar.