Nach wie vor stellt die Umsetzung der datenschutzrechtlichen Vorgaben in Bezug auf die Weitergabe von Gesundheitsdaten Arztpraxen vor große Probleme. Die Weitergabe von Gesundheitsdaten erfordert in der Regel sowohl eine umfassende Information, als auch die Einwilligung der betroffenen Patienten. Klassischerweise sind dabei folgende Probleme zu beobachten:
- Patientinnen und Patienten können wegen unübersichtlicher Formulare nicht zwischen Patienteninformation und Einwilligungserklärung unterscheiden.
- Die verwendeten Formulare entsprechen nicht den Vorgaben der DSGVO.
- Den Patientinnen und Patienten wird die Behandlung verweigert, falls sie die Patienteninformation und/oder eine Einwilligungserklärung nicht unterschreiben.
Einwilligungserklärung
Die Verarbeitung von Gesundheitsdaten als besondere Kategorie von Daten muss den Grundsätzen des Art. 9 DSGVO genügen. Ausnahmen von dem grundsätzlichen Verbot der Verarbeitung von Gesundheitsdaten sind in Art. 9 Abs. 2 DSGVO abschließend geregelt. Die Übermittlung der Gesundheitsdaten darf unter anderem auf der Grundlage einer Einwilligungserklärung erfolgen (vgl. Art. 9 Abs. 2 Buchstabe a DSGVO). Nach Art. 7 DSGVO muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, sofern die Verarbeitung auf einer Einwilligung beruht. Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Stillschweigen oder Untätigkeit der betroffenen Person reichen daher nicht aus.
Darüber hinaus darf die Erfüllung eines Vertrags nach Art. 7 Abs. 4 DSGVO nicht von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig gemacht werden, wenn die Datenverarbeitung für die Erfüllung des Vertrags nicht erforderlich ist (sog. Koppelungsverbot). Beispielhaft ist hier die Abrechnung von Behandlungsleistungen zu nennen: Zur Erfüllung des Behandlungsvertrages ist eine Einverständniserklärung zur Weitergabe der Patientendaten an ein externes Abrechnungsunternehmen nicht erforderlich, da die Abrechnung der Behandlungsleistungen im Falle einer fehlenden Einwilligung alternativ vom Arzt selbst durchgeführt werden kann.
In vielen Eingaben an die Datenschutzaufsichtsbehörden wurde geschildert, dass Ärztinnen und Ärzte die Behandlung verweigerten, wenn Patienten die Unterschrift unter die Patienteninformation ablehnten. Daher fasste die Datenschutzkonferenz schon im Jahr 2018 dazu einen Beschluss, der klarstellt, dass sich aus der Verweigerung der Akzeptanz der Datenschutzinformationen kein Grund für eine Ablehnung der Behandlung ergibt.
Patienteninformationen
Die DSGVO gibt keine konkreten Maßgaben vor, mittels derer den Betroffenen die verpflichtenden Informationen nach Art. 12 ff. DSGVO mitgeteilt werden sollen. Vielmehr enthält sie lediglich die Anforderung, dass die Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln sind. Die Wahl des Mittels ist damit grundsätzlich dem Verantwortlichen überlassen, solange sämtliche Informationen mitgeteilt werden, die in Art. 13 und 14 DSGVO aufgeführt sind. Neben der Aushändigung entsprechender Patienteninformationen an die einzelnen Patienten, besteht die Möglichkeit, diese in den Praxisräumen gut sichtbar auszuhängen und im Rahmen der Einwilligungserklärung hierauf zu verweisen. Beide Wege führen zu einer ausreichenden Information der Patienten.
Praxistipp
Die für die Weitergabe von Gesundheitsdaten in Arztpraxen erforderliche Einwilligung sollte aufgrund der Dokumentations- und Nachweispflicht seitens des Verantwortlichen durch ein eigenständiges Formular eingeholt werden, welches auf die ausgehängten Patienteninformationen in den Praxisräumen verweist.
Weiterer interessanter Artikel zum Thema: Technische und organisatorische Maßnahmen in Arztpraxen