Ein neuer Grundsatz der Datenschutz-Grundverordnung (DSGVO) ist Transparenz gegenüber Betroffenen. Demnach müssen Kliniken Patienten beim ersten Kontakt über ihre Datenverarbeitungsprozesse informieren und zwar in präziser, leicht zugänglicher, verständlicher sowie in klarer und einfacher Sprache. Zu den Informationspflichten gehört insbesondere, über die Betroffenenrechte aufzuklären. Zudem haben die Kliniken nachzuweisen, dass sie diesen Pflichten nachkommen.
Im Arbeitsalltag händigen Krankenhäuser ihren Patienten daher oft Merkblätter aus und lassen sich dies durch eine Unterschrift bestätigen. Doch dabei ist zu beachten: Die Nachweispflicht darf nicht dazu führen, dass die Unterschrift des Patienten zur Leistungsvoraussetzung wird und die Klinik einem sich weigernden Patienten Leistungen verwehrt. Stattdessen sollten Kliniken einen regelhaften Prozess in ihrem Patientenmanagementsystem etablieren, der die Herausgabe des Merkblattes sicherstellt und dokumentiert.Kliniken fällt es noch immer schwer, Betroffenen ihre neuen Rechte zu gewähren, obwohl die Aufsichtsbehörden angekündigt haben zu prüfen, ob die Regelungen der DSGVO in der Praxis auch umgesetzt werden.
Hinweis auf Widerrufsmöglichkeit
Ein Betroffenenrecht ist die Möglichkeit, seine Einwilligung in die Datenverarbeitung jederzeit, formlos und ohne Angabe von Gründen für künftige Verarbeitungen zu widerrufen. Damit der Betroffene dieses Recht wahrnehmen kann, muss die Daten verarbeitende Stelle den Patienten auf seine Widerrufsmöglichkeit ausdrücklich bei jeder Einwilligung und in ihren Datenschutzinformationen hinweisen. Sie muss dies in einer verständlichen Form tun, wobei sich die Information von anderen abheben soll.
In der Praxis hat es sich bewährt, den Hinweis auf die Widerrufsmöglichkeit auf Formularen etwa als letzten Absatz vor dem Setzen einer Unterschrift und durch einen Rahmen oder Fettdruck optisch hervorzuheben.
Akteneinsicht ist nicht gleich Auskunftsrecht
Bereits nach altem Recht stand jedem Betroffenen auf Verlangen ein Auskunftsrecht zu über die von ihm verarbeiteten Daten. In der Praxis kommen Kliniken diesem Recht nach, indem sie Patienten Akteneinsicht gewähren oder für sie Kopien ihrer Akte anfertigen, um den Mehraufwand gering zu halten.
Doch Akteneinsicht und Auskunftsrecht sind voneinander abzugrenzen: Während das Recht auf Auskunft eine strukturierte Aufarbeitung der gespeicherten Daten umfasst, unentgeltlich ist und weitere Rechte daraus resultieren, zielt die Akteneinsicht darauf ab, dem Patienten über seinen Gesundheitszustand zu informieren. Dabei findet die Akteneinsicht am Leistungsort statt und umfasst nur im Einzelfall das Anfertigen von Kopien der Akte, für die das Krankenhaus Entgelt verlangen kann. Auch Erben steht das Recht auf Akteneinsicht zu, während das Recht auf Auskunft mit dem Tod des Betroffenen erlischt.
Die DSGVO hat die Auskunftspflicht erweitert und konkretisiert. Neu hinzugekommen ist zum einen die Pflicht, Betroffenen auch mitzuteilen, dass keine Daten vorliegen. Zum anderen gibt es ein erweitertes Auskunftsrecht auf Informationen, wie die Dauer der Speicherung, Angaben zu Empfängern und die Herkunft der Daten, sofern diese nicht direkt beim Patienten erfragt wurden. Anders als bisher gibt es im Datenschutz nun auch eine zeitliche Frist, in der Auskunftsersuche beantwortet werden müssen. In der Verordnung heißt es, dass ein Auskunftsersuchen unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang der Anfrage unentgeltlich zu beantworten ist. Um dieser Anforderung gerecht zu werden, ist es erforderlich, einen Prozess zu etablieren. Zudem empfiehlt es sich, den Mitarbeitern bereits vorgefertigte Musterschreiben an die Hand zu geben und feste Ansprechpartner zu definieren.
Recht auf Berichtigung, Recht auf Löschung
Zusätzlich müssen Krankenhäuser Patienten über ihr Recht auf Berichtigung und Löschung (Vergessenwerden) ihrer personenbezogenen Daten und über ihr Recht auf Beschwerde bei der Aufsichtsbehörde informieren. Während es im Arbeitsalltag unproblematisch sein sollte, falsche Daten zu korrigieren, ist beim Recht auf Löschung einiges zu beachten: Grundsätzlich sind alle gespeicherten Daten des Patienten zu löschen. Doch kann sich die Daten verarbeitende Stelle auf die rechtmäßige Verarbeitung und ihre Rechenschaftspflicht berufen. Stehen dem Löschen etwa gesetzliche Aufbewahrungspflichten entgegen, die im Gesundheitswesen bis zu 30 Jahren betragen können, kommt das Recht auf Löschung nicht zum Tragen.
In der Praxis bedeutet das, Krankenhäuser sollten eine Übersicht über ihre jeweiligen Datenverarbeitungsvorgänge erstellen, aus der hervorgeht, auf welcher rechtlichen Grundlage sie Daten verarbeiten und ob diese Daten einer gesetzlichen Aufbewahrungsfrist unterliegen. In Fällen, in denen Kliniken das Recht auf Löschung nicht umsetzen können, gilt das Recht auf Einschränkung der Verarbeitung. Nimmt ein Patient dieses Recht wahr, darf die Datenverarbeitende Stelle dessen Daten nicht mehr ohne seine Einwilligung verarbeiten oder gar weitergeben, es sei denn, es ist für das Ausüben von Rechtsansprüchen oder zum Schutz lebenswichtiger Interessen erforderlich.
Im Arbeitsalltag zeigt sich, dass Kliniken insbesondere in EDV-gestützten Daten verarbeitungen das Recht auf Löschung und Einschränkung oft nicht ohne Weiteres umsetzen können. So sind die Krankenhausinformationssysteme nicht dafür gerüstet, diese neuen Datenschutzrechte umzusetzen. Es gilt daher, Hersteller oder Lieferanten aufzufordern, notwendige Konfigurationen vorzunehmen. Auch sind die Dateiablage und Archivierungssysteme hinsichtlich der neuen Anforderungen zu prüfen.
Herausfordernd: Recht auf Datenübertragbarkeit
Besonders schwierig umzusetzen ist das neue Recht auf Datenübertragbarkeit. Danach soll ein Betroffener Daten, die er einer Daten verarbeitenden Stelle bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und sie ungehindert einer anderen Stelle übermitteln können. Mit dieser Regelung wollte der Gesetzgeber Anbieterwechsel, zum Beispiel der sozialen Netzwerke, erleichtern. Doch stellt er damit insbesondere das Gesundheitswesen und dessen EDV-Systeme vor große Herausforderungen.
Es empfiehlt sich, für die jeweiligen Betroffenenrechte in einer Daten verarbeitenden Stelle definierte Verfahren aufzustellen, zum Beispiel im Qualitätsmanagement. Sie dienen zum einen als Nachweis gegenüber der Aufsichtsbehörde, zum anderen als Handlungsanleitung für die Mitarbeiter.
Dtsch Arztebl 2019; 116(10): [2]
Die Autoren:
Nadja Köhler, LL.M. Sozialjuristin, Beraterin
David Große Dütting, Berater
CURACON GmbH
Wirtschaftsprüfungsgesellschaft
40878 Ratingen
