4.5         Schutz des Patientengehimnisses

4.5.1       Taskforce Forschungsdaten – Sachstand

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat im November 2021 die Taskforce Forschungsdaten unter der gemeinsamen Leitung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit und des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit eingerichtet. Das Arbeitsgremium soll als einheitlicher Ansprechpartner für die Technologie- und Methodenplattform für die vernetzte medizinische Forschung (TMF) dienen und sich mit länderübergreifenden Datenschutzfragen der Verbundforschung befassen. Das ULD ist Mitglied der Taskforce Forschungsdaten und beteiligt sich an den maßgeblichen Erörterungen.

Im Jahr 2022 nahm die Taskforce Forschungsdaten ihre Arbeit auf. Dabei sind insbesondere folgende Themen Gegenstand der Erörterung:

  • aktuelle Entwicklungen zu Gesetzgebungsverfahren,
  • Verarbeitung personenbezogener Daten im Rahmen von Forschungsprojekten,
  • Fragen zu Einwilligungslösungen,
  • Anonymisierung von personenbezogenen Daten,
  • Erarbeitung von Veröffentlichungen der DSK.

Zuletzt erbrachte die Taskforce Forschungsdaten Vorarbeiten für die Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung. Die Petersberger Erklärung skizziert das Spannungsverhältnis, einerseits die Verarbeitung von Gesundheitsdaten zu im öffentlichen Interesse liegenden wissenschaftlichen Forschungszwecken zu ermöglichen und ihre Vorzüge nutzbar zu machen. Andererseits ist den damit verbundenen Risiken für die allgemeinen Persönlichkeitsrechte konsequent zu begegnen, um den betroffenen Personen einen angemessenen Grundrechtsschutz zu gewähren.

Die entsprechende Entschließung der DSK beinhaltet Empfehlungen für den Gesetzgeber und Forschungsstellen, welche auf den bestehenden Gesetzgebungsbedarf und Handlungspflichten von Verantwortlichen bei der Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung eingehen.

Die Petersberger Erklärung ist unter folgendem Link abrufbar:

https://www.datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf
Kurzlink: https://uldsh.de/tb41-4-5-1

 

4.5.2       Pflicht zur Benennung von Datenschutzbeauftragten in Arztpraxen

Wann muss in einer Arztpraxis eine Datenschutzbeauftragte bzw. ein Datenschutzbeauftragter benannt werden?

Die Pflicht zur Benennung einer bzw. eines Datenschutzbeauftragten besteht immer dann, wenn entweder in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder eine umfangreiche Verarbeitung besonderer Kategorien von Daten (Gesundheitsdaten) erfolgt. Nur wann ist eine Verarbeitung von Patientendaten umfangreich? Dies hat der Gesetzgeber nicht abschließend definiert.

In dem Erwägungsgrund 91 zur DSGVO findet sich der Hinweis, dass, wenn die Datenverarbeitung durch eine einzelne Ärztin oder einen einzelnen Arzt erfolgt, davon ausgegangen werden kann, dass keine umfangreiche Verarbeitung von Patientendaten erfolgt. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat hierzu ergänzend in einem Beschluss vom 26.04.2018 ausgeführt, dass von einer umfangreichen Verarbeitung von Patientendaten ausgegangen werden kann, wenn hiermit in der Arztpraxis mindestens zehn Personen beschäftigt sind.

Wir haben diese Fragestellung anlässlich unserer Sommerakademie 2022 in einem Workshop mit Ärzten, anderen Aufsichtsbehörden und weiteren Fachleuten diskutiert und vertreten folgende Einschätzung:

  • Sind in einer Arztpraxis mindestens 20 Personen mit der Verarbeitung von personenbezogenen Daten von Patientinnen und Patienten und/oder Beschäftigten beschäftigt, muss eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter benannt werden.
  • Sind in einer Arztpraxis zwischen 10 und 19 Personen mit der Verarbeitung von Patientendaten beschäftigt, muss von der jeweiligen Arztpraxis geprüft und entschieden werden, ob die Verarbeitung umfangreich ist. Hierbei ist u. a. die Anzahl der Patientenfälle sowie der Inhalt und der Umfang der Patientenunterlagen (auch von bereits abgeschlossenen bzw. archivierten Patientenfällen) einzubeziehen. Diese Prüfung und Entscheidung sind von der Arztpraxis zu dokumentieren.
  • Sind in einer Arztpraxis weniger als zehn Personen mit der Verarbeitung von Patientendaten beschäftigt, besteht nicht pauschal eine Pflicht zur Benennung einer bzw. eines Datenschutzbeauftragten. Aber auch in diesen Fällen ist zu prüfen, ob nicht gleichwohl eine umfangreiche Verarbeitung von Patientendaten erfolgt.

Unabhängig davon haben wir für jede Arztpraxis folgenden Rat: Das Patientengeheimnis ist für jede einzelne Patientin bzw. jeden einzelnen Patienten zu gewährleisten. Eine Datenschutzbeauftragte bzw. ein Datenschutzbeauftragter hilft dabei, die Verarbeitung von Patientendaten rechtmäßig und sicher zu gestalten, und das bereits ab der ersten Patientenakte. Warum sollte man also auf diese Hilfe verzichten?

Was ist zu tun?
Jede Arztpraxis muss als verantwortliche Stelle prüfen und entscheiden, ob sie die Voraussetzungen für die Pflicht zur Benennung einer Datenschutzbeauftragten bzw. eines Datenschutzbeauftragten erfüllt. Arztpraxen, die keine Datenschutzbeauftragte bzw. keinen Datenschutzbeauftragten benennen, müssen gleichwohl die Anforderungen des Datenschutzes und der ärztlichen Schweigepflicht beachten.

 

4.5.3       Artikel 15 DSGVO kontra § 630g BGB – ist eine Patientenauskunft kostenpflichtig?

Patientinnen und Patienten haben den Anspruch, von ihren Ärzten eine Kopie der Patientenakte zu bekommen. Aber müssen sie dafür auch bezahlen? Wir sagen weiterhin Nein! Nicht für die erste Kopie.

Gemäß § 630g Abs. 2 Satz 2 Bürgerliches Gesetzbuch (BGB) und § 10 Abs. 2 Satz 2 der Berufsordnung der Ärztekammer Schleswig-Holstein können Ärztinnen und Ärzte von den Patientinnen und Patienten die Erstattung der für die Anfertigung von Kopien entstandenen Kosten verlangen. Hingegen sieht Art. 15 Abs. 3 DSGVO vor, dass Verantwortliche, zu denen auch die Arztpraxen, Krankenhäuser usw. gehören, die erste Kopie kostenfrei aushändigen müssen. Was gilt?

In unserem 39. Tätigkeitsbericht (Tz. 4.5.3) haben wir darauf hingewiesen, dass nach unserer Einschätzung die (erste) Auskunft kostenfrei zu erteilen ist, wenn betroffene Personen ihr Auskunftsersuchen auf Artikel 15 DSGVO stützen, und auf ein entsprechendes Urteil des Landgerichtes Dresden hingewiesen. Nun hat sich auch der Bundesgerichtshof (BGH) mit der Frage beschäftigt, wie Artikel 15 DSGVO auszulegen ist. Das Verfahren wurde jedoch ausgesetzt und mit Beschluss vom 29.03.2022 (VI ZR 1352/20) dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vorgelegt. Die Antwort aus Brüssel steht noch aus. So viel sei aber schon verraten, dem Beschluss des BGH ist nicht zu entnehmen, dass der BGH eine andere Einschätzung vertritt als wir. Das lässt darauf hoffen, dass auch der EuGH die Rechte der Patientinnen und Patienten stärken wird.

Was ist zu tun?
Weiterhin gilt, dass Patientinnen und Patienten in Schleswig-Holstein die erste Kopie der Patientenunterlagen kostenfrei zu überlassen ist, wenn das Auskunftsersuchen auf Artikel 15 DSGVO gestützt wird.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel