ePrivacy and GPDR Cookie Consent by Cookie Consent
Facebook Profil der Kanzlei Brockerhoff Geiser Brockerhoff in Duisburg

Datenschutz im Gesundheitswesen

Ärzte, Apotheker und andere Angehörige von Gesundheitsberufen* verarbeiten ihrer Aufgabe entsprechend regelmäßig Gesundheitsdaten von Patienten. Gesundheitsdaten genießen als sensible Daten im Sinne von Art. 9 DSGVO besonderen Schutz. Ärzte und andere Angehörige von Gesundheitsberufen sollten sich daher sorgfältig mit den Vorgaben der DSGVO auseinandersetzen.

Die Verarbeitung sensibler Daten durch Ärzte ist aufgrund von § 22 Abs. 1 Nr. 1 lit. b BDSG neu auch ohne eine gesonderte Einwilligung der Patienten zulässig. Es ist also auch in diesem Fall nicht notwendig, von jedem Patienten eine Einwilligungserklärung unterschreiben zu lassen. Davon zu unterscheiden sind die Informationspflichten: Jeder Verantwortliche ist verpflichtet, die Betroffenen, im konkreten Fall also vor allem die Patienten, über die Verarbeitung ihrer Daten und ihre Rechte zu informieren. Dies kann z.B. durch ein Informationsblatt geschehen, das dem Patienten gemeinsam mit dem Erhebungsbogen übergeben wird.

Aufgrund der regelmäßigen Verarbeitung sensibler Gesundheitsdaten ist auch verpflichtend ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Fraglich war vor dem Inkrafttreten der DSGVO, ob auch kleinere Arztpraxen zwingend einen Datenschutzbeauftragten bestellen müssen. Nach Art. 37 DSGVO ist dies unter anderem dann erforderlich, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von sensiblen Daten im Sinne von Art. 9 besteht. Diese Bestimmung könnte die Vermutung nahelegen, dass auch kleine Arztpraxen mit weniger als 10 Mitarbeitern zur Bestellung eines Datenschutzbeauftragten verpflichtet sind.

Letztlich ist dies aber nicht der Fall, da keine „umfangreiche“ Verarbeitung sensibler Daten stattfindet. Dies zeigt sich in Erwägungsgrund 91 (in den Erwägungsgründen erläutert der Europäische Gesetzgeber die Bestimmungen der Rechtsakte) der DSGVO, wonach die Verarbeitung durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufes mit Blick auf die Notwendigkeit einer Datenschutz-Folgeabschätzung nicht als umfangreich gelten soll. Die Wertung kann auch für die Bestellung eines Datenschutzbeauftragten übernommen werden. Dies wurde auch von der Datenschutzkonferenz bestätigt, die im April 2018 einen Beschluss gefasst hat, der zu dieser Frage Stellung nimmt.

Die deutschen Aufsichtsbehörden haben klargestellt, dass die Bestellung eines Datenschutzbeauftragten nur dann erforderlich ist, wenn

  • in der Praxis mindestens 10 Personen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind (dies gilt auch für Praxisgemeinschaften) oder wenn
  • ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist (etwa durch den Einsatz besonderer Technologien).

Es kommt also im Ergebnis in den meisten Fällen darauf an, ob in einer Arztpraxis mindestens 10 Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.

 

* Als Angehörige von Gesundheitsberufen gelten Ärzte, Zahnärzte, Tierärzte, Apotheker, Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert, Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung, Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist, und Mitglieder oder Beauftragte einer anerkannten Beratungsstelle nach dem Schwangerschaftskonfliktgesetz.

 

Rechtsanwältin Imke Weidenbach bei der Arbeit

Brockerhoff | Geiser | BrockerhoffZivilrechtlich ausgerichtete Anwaltssozietät in Duisburg

 
#