Datenschutz in der Arztpraxis: Alles Wichtige im Überblick

Es ist Erkältungszeit – die wohl passende Zeit, sich mit dem Datenschutz in Arztpraxen auseinanderzusetzen. Dort, wo das Verarbeiten hoch sensibler Gesundheitsdaten zur täglichen Kernaufgabe gehört, ist Datenschutz schließlich besonders wichtig. Nicht nur, um das besondere Vertrauen zu den Patienten zu wahren, sondern auch sich selbst vor möglichen Bußgeldern. Das Wichtigste zum Datenschutz in Arztpraxen erhalten Sie im Überblick in diesem Beitrag.

Was macht den Datenschutz in der Arztpraxis so wichtig?

Ob wegen einer Erkältung, einem schmerzenden Zahn oder schwerwiegenderen gesundheitlichen Problemen: Als Patient sucht man den Rat seiner Ärztin oder seines Arztes auf, wenn man gesundheitliche Anliegen hat. Im Rahmen des besonderen Vertrauensverhältnisses werden Gesundheitsdaten verarbeitet – Daten, die teils hoch sensibel sind, nicht jedermann zugänglich sein sollten und daher besonderen Schutz bedürfen.

Der besondere Schutz dieser Daten spiegelt sich bspw. in der strafbewehrten Schweigepflicht für Ärztinnen und Ärzte wider (§ 203 StGB), sowie dem Datenschutzrecht. So ist die Verarbeitung von Gesundheitsdaten gesondert in Art. 9 DSGVO geregelt und nur rechtmäßig, wenn mindestens einer der dort genannten Tatbestände erfüllt ist.

Datenschutz-Stolperfallen bereits beim Empfang einer Arztpraxis

Ob mit oder ohne Termin – die erste Station beim Besuch einer Arztpraxis ist in der Regel die Anmeldung beim Empfang.

Bereits hier lauern auch schon die ersten Datenschutz-Stolperfallen. Oftmals wird Patienten die Frage gestellt, was der Anlass des Besuchs sei. Grenzt der Empfangsbereich an einem offenen Wartebereich oder bildet sich vor dem Empfang eine längere Schlange ohne ausreichend Diskretionsabstand zu gewährleisten, können Inhalte dieser Antwort ganz einfach von weiteren Personen mitgehört werden. Und das kann – je nachdem – auch sehr unangenehm sein.

Am Empfang werden neben der Anmeldung von Patienten auch oftmals Telefonanrufe entgegengenommen. Nicht nur Termine werden hier koordiniert, sondern auch gesundheitliche Themen per Telefon besprochen. Fehlt dann die räumliche Trennung zum Warte- und/oder Behandlungsbereich, können weitere Patienten die Inhalte der Gespräche ganz leicht mithören.

Um solche und ähnliche Umstände zu vermeiden, sollten neben der räumlichen Beschaffenheit von Praxisräumen weitere Maßnahmen getroffen werden, um unbefugten Dritten den Zugriff auf die Gesundheitsdaten von Patienten zu verwehren.

Die Vorgaben der DSGVO beim Umgang mit Patientendaten

Grundsätzlich muss sich jeder Verantwortliche bei der Verarbeitung von personenbezogenen Daten an die Vorgaben der DSGVO halten. Zur Kernaufgabe von Arztpraxen gehört aber die Verarbeitung von Gesundheitsdaten. Im Umgang mit diesen sensiblen Patientendaten muss sich an besondere Vorgaben der DSGVO gehalten werden.

Rechtsgrundlagen für den Umgang mit Gesundheitsdaten

Die Verarbeitung von Gesundheitsdaten durch einen Arzt/eine Ärztin kann in aller Regel auf Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO bzw. Art. 6 Abs. 1 lit. b) DSGVO gestützt werden. Gesundheitsdaten sind in Art. 4 Nr. 15 DSGVO legaldefiniert und sind solche Daten,

die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;

Der Name der Patienten, ihre Anschrift und die ärztliche Dokumentation der jeweiligen Behandlung sind u.a. hiervon erfasst. Die Daten sind für die Begründung und Durchführung des Behandlungsvertrages notwendig.

Für zusätzliche Leistungen, die nicht unmittelbar mit dem Behandlungsvertrag in Verbindung stehen, bedarf es jedoch einer Einwilligung der Patienten nach Art. 9 Abs. 2 lit. a) DSGVO bzw. nach Art. 6 Abs. 1 lit. a) DSGVO. Hierunter fällt bspw. eine schriftliche oder telefonische Terminerinnerung bzw. der sog. Recall-Service. Werden Patientendaten an eine (private) Verrechnungsstelle übermittelt, bedarf es zuvor ebenfalls einer Einwilligung bzw. einer Schweigepflichtentbindungserklärung der betroffenen Patienten. Die freiwillige Einwilligung muss dabei den gesetzlichen Anforderungen entsprechen, insbesondere müssen Patienten hinreichend informiert werden (Art. 13 DSGVO).

Lediglich in den Fällen, in denen Ärztinnen und Ärzte gesetzlich befugt sind, Daten von Patienten an Dritte zu übermitteln, bedarf es keiner Einwilligung. Solche Befugnisse können bspw. Meldungen nach dem Infektionsschutzgesetz sein, oder die Abrechnung bei gesetzlich versicherten Patienten über die Kassenärztlichen Vereinigungen betreffen (siehe weiter unten).

Online-Terminvereinbarung in Arztpraxen

Wird Patienten die Möglichkeit angeboten, online Termine zu vereinbaren, kommt in aller Regel Terminbuchungssoftware durch Dritte zum Einsatz. Diese Methode gewinnt gegenüber der klassischen, telefonischen Terminvereinbarung an große Beliebtheit, birgt aber zugleich auch gewisse Risiken. So geriet bspw. das wohl bekannteste Ärzteportal für Online-Terminvergabe Doctolib bereits in den Fokus der Berliner Aufsichtsbehörde (Gutachten August 2022).

Arztpraxen sollten hier daher darauf achten, dass sie selbst und der Dienstleister die erforderlichen technischen und organisatorischen Maßnahmen treffen, um die Sicherheit der sensiblen Daten gewährleisten zu können (Art. 32 DSGVO). So sollte bspw. die Übertragung der Daten sicher verschlüsselt sein, damit unbefugte Dritte nicht auf die Informationen zugreifen können, wann ein Patient aus welchen Gründen einen Termin vereinbart.

Arztpraxen müssen außerdem einen Auftragsverarbeitungsvertrag i.S.d. Art. 28 Abs. 3 DSGVO mit dem externen Dienstleister schließen, wenn die Software nicht rein lokal betrieben wird.

Versand von sensiblen Daten an den Patienten per E-Mail

Sollten sensible Gesundheitsdaten an Patienten selbst oder an Dritte per E-Mail versendet werden, muss die Arztpraxis dafür Sorge tragen, dass unbefugte Dritte keinen Zugriff auf diese Daten erhalten und die Übermittlung der E-Mails verschlüsselt geschieht. Kann eine sichere Übermittlung nicht gewährleistet werden, sollte von dieser Methode sicherheitshalber Abstand genommen werden. Nach Auffassung der österreichischen Aufsichtsbehörde können Patienten nämlich nicht wirksam in eine unverschlüsselte und damit unsichere Datenübermittlung einwilligen. Die Verpflichtung zur verschlüsselten Übermittlung stelle hiernach eine Datensicherheitsmaßnahme nach Art. 32 DSGVO dar, von der nicht zum Nachteil der Betroffenen abgewichen werden könne – auch nicht per datenschutzrechtlicher Einwilligung. Ähnlich sehen es auch die meisten deutschen Aufsichtsbehörden, die aber im Gegensatz dazu in Einzelfällen, wenn der Wunsch vom Betroffenen ausgeht, die nicht Anwendung bestimmter, vorzuhaltender technischer und organisatorischer Maßnahmen in vertretbarem Umfang erlauben.

Datenweitergabe der Arztpraxis an Krankenkassen

Die Daten der Patienten werden schließlich im Rahmen der medizinischen Versorgung an die jeweilige Krankenkasse weitergegeben. Neben den üblichen Stammdaten, wie Name, Anschrift und Geburtsdatum werden auch Krankheitsdiagnosen und Abrechnungen übermittelt und bei den Krankenkassen entsprechend gespeichert. Rechtsgrundlage für die Datenverarbeitung der Krankenversicherungen ist § 284 SGB V.

Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA)?

Mit Einführung der DSGVO stellten sich viele Arztpraxen die Frage, ob sie eine Datenschutz-Folgenabschätzung durchzuführen haben. Das Gesetz sieht nämlich bei einer umfangreichen Verarbeitung von Gesundheitsdaten nach Art. 35 Abs. 3 lit. b) DSGVO die Pflicht zur Durchführung einer DSFA vor. Bei Krankenhäusern und stationären Pflegeeinrichtungen mit einer Vielzahl an Patienten dürfte eine umfangreiche Verarbeitung schnell anzunehmen sein, eine Pflicht zur Durchführung einer DSFA also bestehen.

Bei der Verarbeitung von Gesundheitsdaten kann zwar generell von einem erhöhten Risiko für die Betroffenen ausgegangen werden. Das bedeutet aber nicht, dass bei ihrer Verarbeitung immer automatisch auch ein hohes Risiko besteht. Erwägungsgrund 91 Satz 4 liefert hierzu Aufschluss:

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.

Bei kleinen Arztpraxen, die im erforderlichen und üblichen Umfang Gesundheitsdaten der Patienten verarbeiten, ist ein hohes Risiko daher eher der Ausnahmefall, in der Regel damit eine DSFA nicht durchzuführen.

Daneben war lange Zeit zwischen gematik und Ärzteschaft umstritten, wer für die verpflichtende Telematikinfrastruktur Verantwortlicher ist und die Datenschutz-Folgenabschätzung durchzuführen hat. Schließlich hat dies das Bundesgesundheitsministerium gesetzlich im § 307 SGB V geregelt und ihm als Anlage eine DSFA beigefügt.

Braucht jede Arztpraxis einen Datenschutzbeauftragten?

Eine daran anknüpfende Frage, die sich viele Arztpraxen stellen sollten, ist die nach der Pflicht zur Benennung eines Datenschutzbeauftragten.

Besteht die Kerntätigkeit eines Verantwortlichen nämlich in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO, wie sie Gesundheitsdaten sind, hat er nach Art. 37 Abs. 1 lit. c) DSGVO einen Datenschutzbeauftragten zu benennen.

Dass die Verarbeitung von Gesundheitsdaten der Patienten zur Kerntätigkeit von Ärztinnen und Ärzten gehört, dürfte unstreitig sein. Schließlich gehört die Verarbeitung von Gesundheitsdaten zur unmittelbaren Hauptaufgabe von Verantwortlichen im Gesundheitsbereich, um Diagnosen erstellen und entsprechend behandeln zu können.

Aber auch hier bedarf es – wie bei der Erforderlichkeit einer DSFA – einer umfangreichen Verarbeitung dieser Datenarten. Bei einem einzelnen Arzt kann von einer „umfangreiche Verarbeitung“ noch nicht ausgegangen werden. Wenn hingegen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist – auch wie bei jedem Unternehmen – nach § 38 Abs. 1 Satz 1 BDSG ein Datenschutzbeauftragter zu bestellen. Dazwischen ist es eine Frage des Einzelfalls, die u.U. durch Konsultation der für einen zuständigen Aufsichtsbehörde zu klären ist. Aufgrund der konkreten Verarbeitungstätigkeiten sensibler Gesundheitsdaten und den damit verbundenen Bußgeldrisiken schadet es aber nicht, auch bei geringerer Praxisgröße einen (externen) DSB zu benennen, der bei der Umsetzung datenschutzrechtlicher Maßnahmen berät.

Zudem muss eine Arztpraxis nach § 38 Abs. 1 Satz 2 BDSG einen DSB bestellen, wenn Datenverarbeitungsvorgänge vorgenommen werden, die einer DSFA nach Art. 35 DSGVO unterliegen. Dies gilt nach § 307 SGB V Abs. 1 Satz 4 nicht für die DSFA der Telematikinfrastruktur.

Datenschutzerklärung für die Arztpraxis

Wer kennt es nicht, man kommt als Neupatient in eine Arztpraxis und soll noch immer recht häufig zunächst vor der Behandlung eine Datenschutzerklärung unterschreiben. Aber warum muss man diese Erklärung überhaupt unterschreiben? Oder muss man das gar nicht?

Grundsätzlich hat die Arztpraxis als verantwortliche Stelle ihre Informationspflichten nach Art. 12 ff. DSGVO zu erfüllen. Erfolgt die Datenerhebung direkt beim Patienten, ergeben sich die Mindestanforderungen aus Art. 13 DSGVO; erfolgt sie bei Dritten, bspw. bei vorbehandelnden Ärztinnen oder Ärzten, richten sich die Anforderungen nach Art. 14 DSGVO. Aufsichtsbehörden empfehlen die Datenschutzhinweise grundsätzlich schriftlich auszuhändigen. Zwar könne die Information auch durch einen Aushang in den Praxisräumen erfolgen, vor Verarbeitung der Patientendaten müssen diese aber auf den Aushang hingewiesen werden und auf Wunsch auch eine schriftliche Kopie erhalten.

Enthalten die Datenschutzhinweise bloß die erforderlichen Informationen nach Art. 13 und/oder Art. 14 DSGVO, bedarf es grundsätzlich keiner Unterschrift oder anderweitigen Bestätigung, dass Patienten die Informationen auch erhalten und zur Kenntnis genommen haben. Es genügt, dass die Aushändigung der relevanten Dokumente durch die Arztpraxis entsprechend dokumentiert wird, bspw. in der jeweiligen Patientenakte.

Oftmals sollen mit der schriftlichen Bestätigung der Datenschutzerklärung aber zugleich auch Einwilligungen in die Datenverarbeitung eingeholt und dokumentiert werden. Da die meisten Datenverarbeitungstätigkeiten vom (nicht notwendigerweise schriftlich) abgeschlossenen Behandlungsvertrag abgedeckt sind, hat sich in der Praxis häufig gezeigt, dass die Unterschrift der Patienten unter die Datenschutzerklärung vielfach überflüssig eingeholt wird. Erst wenn der beabsichtigte Verarbeitungsvorgang tatsächlich nicht auf eine anderweitige Rechtsgrundlage gestützt werden kann, bedarf es der Einwilligung der Patienten, bspw., wenn die Daten an eine Verrechnungsstelle übermittelt werden sollen. Hier muss im jeweiligen Dokument aber klar und verständlich auf diesen Umstand hingewiesen werden (Art. 7 DSGVO).

Betreiben Arztpraxen auch eine Website, muss diese ebenfalls eine Datenschutzerklärung enthalten. Sie ist ihrem Inhalt nach aber auf die Datenerhebung beim Besuch und der weiteren Interaktion mit der Website zu verfassen und nicht auf die Datenerhebung im Rahmen einer Behandlung zu beziehen.

Immer wieder Mängel beim Datenschutz und erste Bußgelder

Halten sich Arztpraxen nicht an die allgemeinen Pflichten aus dem Datenschutzrecht, sind auch sie nicht vor der Verhängung eines satten Bußgeldes sicher. Behandlungen von Patienten bei offener Türe oder Wartestühle vor den Behandlungsräumen, sodass vertrauliche Gespräche von weiteren Patienten mitgehört werden können, sollten strikt vermieden werden.

Aber nicht nur die Erhebung hoch sensibler Patientendaten muss fachgerecht und dem hohen Schutzbedarf entsprechend sicher stattfinden. Auch die anschließende Aufbewahrung und spätere Vernichtung der Daten muss datenschutzkonform durchgeführt werden.

Das ULD Schleswig-Holstein verhängte bereits ein Bußgeld, weil eine Arztpraxis Patientenunterlagen in einem einfachen Papiercontainer entsorgte und schließlich Dritte auf diese Unterlagen zugriffen. Eine weitere Ärztin betrieb eine Arztpraxis in ihrem Wohngebäude und lagerte Patientenunterlagen in einem offenen Schuppen. Auch gegen sie wurde ein Bußgeld verhängt.

Die rheinland-pfälzische Aufsichtsbehörde verhängte 2019 ein Bußgeld von 105.000 € gegen die Uniklinik Mainz. Hintergrund war eine Verwechslung von Patienten, sodass Gesundheitsdaten an eine falsche Person übermittelt wurden.

Sensible Daten erfordern besonderen Umgang

Gesundheitsdaten sind hoch sensible Daten, die ihren Schutz durch Arztpraxen besonders wichtig macht. Stolperfallen sollten hier von vornherein vermieden werden. Die Praxisgestaltung kann bei der Umsetzung der Vorgaben der DSGVO helfen, bspw. indem ausreichend Diskretionsabstand geschaffen wird. Als Verantwortliche, deren Kerntätigkeit das Verarbeiten von Gesundheitsdaten ist, müssen zumindest kleinere Arztpraxen in aller Regel weder eine Datenschutz-Folgenabschätzung durchführen noch einen Datenschutzbeauftragten benennen. Doch auch sie sollten sich an die entsprechenden Vorgaben der DSGVO halten, um nicht nur ihre Patienten und das Vertrauensverhältnis zu ihnen zu schützen, sondern sich selbst vor möglichen Bußgeldern.