In einer Praxis ist der Patientendatenschutz eine der wichtigsten Aufgaben, zumindest aus Sicht des Datenschutzes.
Denn Patient:innen sind wirksam vor einer unzulässigen Verarbeitung ihrer personenbezogenen Daten, insbesondere über ihren Gesundheitszustand, zu schützen.
Patient:innen sollen sich für eine Untersuchung oder Behandlung stets vertrauensvoll an eine:n Ärzt:in wenden können, ohne dabei befürchten zu müssen, dass die Informationen, welche diese über sich offenlegen, zu ihrem Nachteil oder Schaden genutzt werden.
Die rechtliche Verankerung dieses Schutzes findet sich zum einen in der standesrechtlichen und strafbewehrten Schweigepflicht der Angehörigen der Heilberufe (Berufsgeheimnis).
Zum anderen in den Regelungen des allgemeinen und spezifischen Datenschutzrechts auf Bundes- und auf Landesebene wie zum Beispiel:
- Sozialgesetzbücher V und X
- Infektionsschutzgesetz
- Röntgenverordnung
- Krebsregistergesetze
- Gesundheitsdienstgesetze
- und natürlich der europäischen Datenschutz-Grundverordnung (DSGVO).
Angesichts eines zunehmenden digitalen Einsatzes von Informations- und Kommunikationstechnologien in der Gesundheitsversorgung und umfassender organisatorischer Veränderungen bedingt durch neue Versorgungsformen sowie eine stärkere Vernetzung der Akteure des Gesundheitswesens und die zunehmende Etablierung von Qualitätsmanagement steht der Schutz des Patientengeheimnisses vor ständig neuen Herausforderungen.
Das Recht auf Einsicht in die Patientenakte
Patient:innen haben grundsätzlich das Recht, auf Verlangen unverzüglich Einsicht in ihre vollständige Patientenakte zu erhalten.
Das Einsichtsrecht stellt eine besondere Form der Auskunftserteilung dar und ist seit dem Jahr 2013 für zivilrechtliche Behandlungsverhältnisse ausdrücklich in § 630g Bürgerliches Gesetzbuch (BGB) geregelt.
Weiterhin findet sich das Recht auf Akteneinsicht in den Berufsordnungen der Ärztekammern und Zahnärztekammern wieder (vgl. § 10 Abs. 2 der Berufsordnung der Ärztekammer Berlin).
Das Recht auf Einsicht in die Patientendokumentation besteht, ohne dass dafür ein besonderes Interesse erklärt oder nachgewiesen werden müsste.
Eine Verweigerung der Einsicht geht nur, soweit der Einsichtnahme erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen (vgl. § 630g Abs. 1. Satz 1 BGB).
Die Ablehnung der Einsichtnahme ist zu begründen.
Patientendaten und die DSGVO
Die DSGVO erlaubt die Verarbeitung von personenbezogenen Daten nur, wenn dafür eine Rechtsgrundlage zur Verfügung steht.
Im Fall einer Arztpraxis, Apotheke etc. ist die Rechtsgrundlage in der Regel der Vertrag mit dem Patienten.
Denn eine Verarbeitung ist zur Begründung, Durchführung und Beendigung des Vertrags erforderlich.
Patient:innen von Arztpraxen, Apotheken etc. müssen über bestimmte Umstände bei der Verarbeitung ihrer Daten informiert sein (Informationspflicht gem. Art. 13 DS-GVO).
Am einfachsten geschieht dies zum Beispiel mit einem Flyer oder Handzettel.
Soweit zusätzliche Dienste angeboten werden, wie zum Beispiel eine Mailerinnerung an einen Termin, ist die Verarbeitung von personenbezogenen Daten für diesen Zweck nicht auf den Behandlungsvertrag gestützt.
Hier ist die Einwilligung der Betroffenen einzuholen.
Die DSGVO verlangt als Teil der Dokumentationspflichten, dass die Verantwortlichen ein Verzeichnis der Verarbeitungstätigkeiten führen.
Darin werden die einzelnen Tätigkeiten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten dokumentiert, darunter auch solche, die nur teilweise automatisiert oder sogar gänzlich manuell durchgeführt werden.
Die DSGVO sieht vor, dass vor dem Einsatz von bestimmten, für die Rechte der Betroffenen besonders riskanten Verfahren zudem eine „Datenschutz-Folgenabschätzung“ (englisch: „Data protection impact assessment“) durchzuführen ist.
Damit soll der Grad der Gefährdung genauer bestimmt und festgestellt werden, ob hinreichende Schutzmechanismen getroffen worden sind.
Die meisten Arztpraxen haben bereits einen externen oder internen Datenschutzbeauftragten bestellt.
Ist dieses nicht der Fall, müssen dennoch alle genannten Anforderungen erfüllt werden.
Dieses dann jeweils vom Verantwortlichen, also dem Arzt oder der Ärztin.
Es ist wie in vielen Arbeitsfeldern und Bereichen: der Datenschutz stellt auch hier für viele weiterhin eine Herausforderung und zusätzliche Belastung dar.
Also lassen Sie sich gut beraten.