Rechtsgrundlage der Verarbeitung in Arztpraxen
Sehr häufig werden in Arztpraxen von Patienten unnötige Einwilligungen für die Datenverarbeitung verlangt.
Zahlreiche Arztpraxen gehen davon aus, dass sie mit Geltung der DSGVO nur noch mit Einwilligung der Patienten deren Daten verarbeiten dürfen. Sie formulierten deshalb Einwilligungen, die neben der eigenen Datenverarbeitung alle möglichen, denkbaren Datenübermittlungen abdecken sollten. Darüber hinaus informierten einige Patienten sogar, dass ihr Arzt eine Behandlung abgelehnt hatte, weil sie eine solche Einwilligungserklärung nicht unterschrieben hatten.
Art. 9 Abs. 2 Buchstabe h DSGVO erlaubt die erforderliche Verarbeitung von Gesundheitsdaten (besonderer Kategorien von personenbezogenen Daten) z.B. für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin sowie für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheitsbereich, wenn dies auf der Grundlage nationaler Vorschriften oder eines Behandlungsvertrages erfolgt und wenn die Daten durch Personen oder unter der Verantwortung von Personen verarbeitet werden, die einem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegen.
Auf diese Rechtsgrundlage können Ärzte die für eine Behandlung erforderliche Datenverarbeitung stützen, vor allem die Dokumentation der Behandlung und die Abrechnung mit der Krankenkasse. Auch ein medizinisch erforderlicher Datenaustausch mit vor-, mit- oder nachbehandelnden Ärzten kann auf diese Rechtsgrundlage gestützt werden.
Daneben legitimieren verschiedene Rechtsnormen die Übermittlung personenbezogener Daten gem. Art. 9 Abs. 2 Buchstabe h i. V. m. Art. 6 Abs. 1 Buchstabe b DSGVO, § 22 Abs. 1 Nr. 1 Buchstabe b BDSG, so zum Beispiel die §§ 294 ff. SGB V.
Ist die Verarbeitung personenbezogener Daten nicht zur Erfüllung des Behandlungsvertrages erforderlich und gibt es keine Rechtsnorm, die die Verarbeitung legitimiert (bzw. sogar spezifische Pflichten, um eine solche einzuholen), muss die Einwilligung des Patienten eingeholt werden. So muss beispielsweise bei externer Abrechnung durch private Abrechnungsstellen eine solche Einwilligung (wie auch bereits nach alter Rechtslage) eingeholt werden, sofern kein Fall der Auftragsverarbeitung vorliegt.
Eine Einwilligung ist weiterhin erforderlich, falls im Einzelfall nationale Vorschriften eine Einwilligung des Patienten verlangen, wie z. B. § 73 Abs. 1 Buchstabe b SGB V.
➡ Es gibt zur Weitergabe von Patientendaten aber auch andere Rechtsauffassungen, die wir gerne über den hier verlinkten Beitrag zur Verfügung stellen wollen.
Quelle: BayLD
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks