Beschwerde über Notfalldatensatz auf der elektronischen Gesundheitskarte
Eine Patientin beschwerte sich beim Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), weil sie glaubte, dass Ärzte und eine Klinik ohne ihre Einwilligung einen Notfalldatensatz auf ihrer elektronischen Gesundheitskarte (eGK) angelegt hatten. Der TLfDI untersuchte den Fall und klärte dabei grundlegende Fragen zur datenschutzrechtlichen Zulässigkeit von Notfalldaten im deutschen Gesundheitssystem.
Rechtliche Grundlagen: Wann ist ein Notfalldatensatz zulässig?
Gesundheitsdaten sind besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DS-GVO. Ihre Verarbeitung ist grundsätzlich unzulässig und nur unter engen Voraussetzungen erlaubt. Die wichtigste Grundlage ist die Einwilligung der betroffenen Person nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO in Verbindung mit Art. 9 Abs. 2 lit. a) DS-GVO und Art. 7 DS-GVO.
In echten Notfallsituationen kann der Zugriff auf bereits gespeicherte Notfalldaten auch ohne aktive Einwilligung zulässig sein, wenn lebenswichtige Interessen der Person auf dem Spiel stehen (Art. 6 Abs. 1 S. 1 lit. d) DS-GVO in Verbindung mit Art. 9 Abs. 2 lit. c) DS-GVO). Bei einer normalen Behandlung hingegen müssen Patienten dem Datenzugriff ausdrücklich zustimmen.
Das Notfalldatenmanagement (NFDM) ist eine medizinische Anwendung der Telematikinfrastruktur. Es wurde mit § 291a SGB V als Nutzungsmöglichkeit der eGK eingeführt. Der Datensatz enthält Informationen zu wichtigen Diagnosen, zur Medikation sowie zu Allergien und Arzneimittelunverträglichkeiten. Vertragsärzte müssen die technischen Voraussetzungen dafür schaffen. Das Anlegen eines Notfalldatensatzes ist für Patienten aber freiwillig und setzt immer eine Einwilligung voraus.
Was die Abrechnung tatsächlich bedeutet
Die Beschwerdeführerin hatte auf ihren Patientenquittungen unter der Gebührenordnungsnummer 01641 den Begriff „Notfalldatensatz“ entdeckt und daraus geschlossen, dass Ärzte und Klinik ohne ihre Einwilligung entsprechende Daten angelegt hatten. Der TLfDI richtete daraufhin Auskunftsersuchen an alle genannten Verantwortlichen.
Alle befragten Stellen verneinten, einen Notfalldatensatz angelegt zu haben. Die Kassenärztliche Vereinigung Thüringen (KVT) erklärte auf Anfrage, dass die Gebührenordnungsnummer 01641 nicht durch den Arzt, sondern durch die KVT selbst in die Abrechnung eingefügt wird. Es handelt sich dabei um eine technische Aufwandspauschale für das Einrichten der erforderlichen Infrastruktur, nicht um den tatsächlichen Abschluss eines Notfalldatensatzes. Viele Ärzte wissen nach Angaben der KVT nicht einmal, dass diese Position automatisch hinzugefügt wird.
Das Ergebnis der Prüfung war eindeutig: Keiner der Verantwortlichen hatte einen Notfalldatensatz über die Beschwerdeführerin angelegt oder eine entsprechende EBM-Nummer (Einheitlicher Bewertungsmaßstab) abgerechnet. Der TLfDI stellte keinen Datenschutzverstoß fest. Allein aus dem Abrechnungskennzeichen auf einer Patientenquittung lässt sich nicht ableiten, dass tatsächlich ein Notfalldatensatz existiert.
Unsere Empfehlungen
Gesundheitseinrichtungen
Ein Notfalldatensatz darf nur mit ausdrücklicher Einwilligung des Patienten angelegt werden. Fehlt diese Einwilligung, ist die Speicherung ein Datenschutzverstoß. Arztpraxen und Kliniken sollten sicherstellen, dass ihr Praxisverwaltungssystem zwischen der technischen Infrastrukturpauschale (GOP 01641) und dem tatsächlichen Anlegen eines Notfalldatensatzes unterscheidet. Personal sollte über diesen Unterschied informiert sein, um Patientenrückfragen korrekt beantworten zu können. Einwilligungen müssen dokumentiert und revisionssicher aufbewahrt werden.
Behörden und öffentliche Stellen
Öffentliche Einrichtungen mit eigenem Gesundheitsdienst oder ärztlichem Personal sind an dieselben datenschutzrechtlichen Vorgaben gebunden. Die Verarbeitung von Gesundheitsdaten erfordert immer eine klare Rechtsgrundlage. Eigene Prozesse sollten regelmäßig daraufhin geprüft werden, ob sie die Anforderungen aus Art. 9 DS-GVO erfüllen und ob Mitarbeiter entsprechend geschult sind.
Quelle: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
- Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
- Nachweis der Datenlöschung – So dokumentieren Sie korrekt
- Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft
Dieser Absatz enthält Affiliatelinks/Werbelinks