Betreffend den Datenschutz in einem Medizinischen Versorgungszentrum (MVZ) fehlt es derzeit an konkreten Vorgaben oder Orientierungshilfen. Mit der folgenden Handreichung sollen daher Empfehlungen gegeben werden, die gleichermaßen den besonderen Gegebenheiten dieser Einrichtungen als auch datenschutzrechtlichen Grundsätzen gerecht werden.
A. Ärztliche Schweigepflicht im MVZ – Anforderungen an die Einwilligung zur Einsicht in die Patientenakte
Bisher noch nicht abschließend geklärt ist die Frage, in welcher Form der Patient in die Weitergabe seiner Behandlungsdaten innerhalb eines MVZ einwilligen muss. Soweit sich fachgruppengleiche Ärzte untereinander vertreten, reicht dieser Ansicht nach die Information an den Patienten aus, dass eine Einsichtnahme in die Behandlungsakte im Vertretungsfall erfolgt. Dies lässt sich relativ einfach über die Information nach Art. 13 DS-GVO abbilden. Eine ausdrückliche, schriftliche Einwilligung wird nicht für erforderlich gehalten. Es genügt, dass in diesen Fällen die Möglichkeit des Widerspruchs gegeben ist.
Noch offen ist dahingegen, in welcher Weise der Patient in die Einsichtnahme durch Ärzte andere Fachgruppen im MVZ einwilligen muss, die zunächst bei Behandlungsbeginn in keinem näheren Behandlungskontext stehen.
I. Ausgangslage und grundsätzliche Überlegungen
In vergangenen Gesprächen mit der Landesärztekammer Hessen war der Patient in einem MVZ über die Möglichkeit der Mit- und Weiterbehandlung und des gegenseitigen kollegialen Austausches schriftlich zu informieren. Zudem war er darauf hinzuweisen, dass er selbstverständlich berechtigt ist, dem ausdrücklich zu widersprechen. Favorisiert wurde daher in der Vergangenheit eine Widerspruchslösung betreffend die Mitbehandlung. Im Ergebnis hatte der Patient die Möglichkeit, die Behandlung durch einen Stellvertreter abzulehnen. Er musste dies aber jeweils aktiv durch sein Verhalten bekunden.
Eine Widerspruchslösung wurde auch favorisiert, wenn es sich noch um ein MVZ mit einem überschaubaren Kreis von behandelnden Ärzten handelt. Etwas anderes könne aber gelten, „sofern der Kreis der in einem MVZ tätigen Ärzte so groß ist, dass regelmäßig nicht mehr davon ausgegangen werden kann, dass die dort tätigen Ärzte auch unter Berücksichtigung von Urlaubs- und Krankheitsvertretung sowie Einsatz im Mehrschichtsystem im Regelfall mit der Betreuung eines bestimmten Patienten befasst sein können“. In diesem Fall könne die Parallele zwischen behandlungs- vertragsrechtlicher Willenserklärung und datenschutzrechtlicher Einwilligung fraglich sein.
Der Ansatz von Menzel in seinem Aufsatz „Datenschutz in ärztlichen Kooperationen - Patientendaten sicher verwalten“ (Deutsches Ärzteblatt, Heft 36, September 2007, 2399) ist es, dass der Patienten angeben muss, ob er nur vom Erstbehandler behandelt werden möchte, oder auch mit einer Vertretung einverstanden ist. Für den ersten Fall wird ein Sperrvermerk in die Praxis-Software aufgenommen. Dieser Ansatz könnte aber als zu eng gefasst bewertet werden. Auch dieser Ansicht nach sollte dieses Verfahren nur für die fachgruppenübergreifende Behandlung gelten. Letztlich ist das MVZ vom Ansatz her mit einer Gemeinschaftspraxis vergleichbar, bei der bzgl. des Stellvertreters das Einverständnis des Patienten bzgl. der Einsicht in die Behandlungsakte angenommen werden darf. Etwas anderes muss jedoch dieses Erachtens gelten, wenn die Einsichtnahme durch einen völlig anderen Fachbereich betroffen ist. Letztlich handelt es sich hierbei um einen Einschnitt im Behandlungs- kontext und damit um einen neuen Sachverhalt, der auch eine gesonderte, gewissenhafte Prüfung durch den Patienten ermöglichen muss. Die Frage ob, und welches zusätzliche Fachwissen herangezogen wird, obliegt nicht alleine dem Arzt. Der Grundsatz der freien Arztwahl gebietet es hier, dass der Patient eine neue Bewertung der Sachlage vornehmen kann (§ 18 Abs. 4 MBO). Dem Patienten muss es insofern möglich bleiben, sich an einen Spezialisten auf dem neuen Gebiet zu wenden, der u. U. außerhalb des MVZ praktiziert, ohne dass bereits zuvor ein unbekannter Arzt dieser Fachrichtung Zugriff auf die Patientendaten nimmt (So im Ergebnis auch Krauskopf, Soziale Krankenversicherung, Pflegeversicherung, Werkstand 102. EL, Februar 2019: „Demgegenüber konkretisiert sich die Wahlfreiheit beim MVZ auf die Auswahl eines MVZ als solchem. Leistungserbringer ist das MVZ und nicht der dort tätige Arzt (Bäune in Bäune/Meschke/ Rothfuß, Anhang zu § 18 Rn 110). Allerdings bindet die Wahl eines MVZ den Versicherten nicht, im Falle der Notwendigkeit zur Beiziehung eines anderen Fachgebietes, dieses nur aus dem MVZ in Anspruch zu nehmen - BSG 22.4.1983 – 6 RKa 7181, SozR 5520 § 33 Nr. 17“).
Sofern der Patient nicht bereits im Vorfeld der Behandlung den Wunsch äußert, sich den Behandler einer anderen Fachrichtung selbst auszusuchen, ist dieser dennoch vor jedem Informationsaustausch innerhalb des MVZ in einem Arzt-Patientengespräch zu informieren. Dieser Ansicht nach genügt dann für diese Fälle auch ein Vermerk in der Akte. Hiermit kann auch dafür Sorge getragen werden, dass bei einer erneuten Behandlung nicht pauschal davon ausgegangen wird, dass die alten Zugriffsrechte bestehen bleiben können.
II. Empfehlung
Insgesamt wird daher bei einem MVZ mit einer Vielzahl an Fachgruppen, bei denen nicht mehr davon auszugehen ist, dass die dort tätigen Ärzte auch unter Berücksichtigung von Urlaubs- und Krankheitsvertretung sowie Einsatz im Mehrschichtsystem im Regelfall mit der Betreuung eines bestimmten Patienten befasst sind, bis zum Vorliegen einer länderübergreifenden, einheitlichen Lösung für Hessen das folgende Vorgehen betreffend das Einholen einer Einwilligung des Patienten empfohlen:
- Der Erstbehandler klärt darüber auf, dass er durch fachgruppengleiche Ärzte im Haus vertreten werden kann. Eine schriftliche Einwilligung ist nicht erforderlich. Der Patient hat die Möglichkeit, der Mitbehandlung durch den/ die Vertreter zu widersprechen. Hinsichtlich dieses Rechts und hinsichtlich des Datenaustausches unter den Vertretern ist in einer allgemeinen Patienteninformation nach Art. 13 DS-GVO zu informieren.
- Der Erstbehandler fragt, ob der Patient auch ein Interesse daran hat, dass anlassbezogen eine Mit- und Weiterbehandlung sowie ein gegenseitiger kollegialer Austausch mit anderen Fachgruppen aus dem MVZ erfolgt. Wird dies nicht gewünscht, wird ein Sperrvermerk in der Software des MVZ aufgenommen. Anderenfalls wird eine Freigabe in der Software erteilt. In diesem Punkt wird eine schriftliche Einwilligung eingeholt, die dadurch spezifiziert wird, dass die im Haus vertretenen Fachgruppen aufgeführt werden und der Informationsaustausch an die Indikation, den Bedarf einer Mit- und Weiterbehandlung bzw. alternativ die Notwendigkeit eines kollegialen Austausches sowie ein vorheriges Arzt-Patientengespräch gekoppelt wird.
- Soweit eine Mit- und Weiterbehandlung tatsächlich konkret in Frage kommt, wird der Patient darüber noch einmal zwecks besserer Transparenz in einem Arzt-Patientengespräch informiert. Es genügt, wenn der Arzt die Erforderlichkeit des fachübergreifenden Informationsaustausches sowie das Einverständnis des Patienten zur Datenweitergabe im konkreten Fall in der Akte dokumentiert.
Eine Schwachstelle dieses Prozederes bleibt die, dass Patient und Arzt die elektronische Patientenakte im Vorfeld freigeben und mithin theoretisch durch die anderen Fachgruppen - unabhängig von einer tatsächlichen Erforderlichkeit – eine Zugriffsmöglichkeit besteht.
Dem lässt sich jedoch dadurch entgegenwirken, dass die Zugriffe im MVZ protokolliert werden, und sich Verstöße im Nachhinein feststellen lassen. Eine Freischaltung „in Scheiben“ scheint hier nicht sachgerecht, insbesondere ein Notfallmanagement kann dem entgegenstehen. Ebenso wurde hier seitens der Softwarehersteller vorgetragen, dass für eine korrekte Abrechnung auch immer transparent sein muss, ob und welcher Arzt des MVZ den Patienten ebenfalls behandelt. Dies betrifft zumindest den Stammdatensatz.
Eine optimale Lösung im Sinne des Datenschutzes ist hier die, dass sich die vorhandenen Fachgruppen im Vorfeld Gedanken machen, welcher Fachbereich überhaupt auf andere Fachbereiche zugreifen muss. Dies wäre dann in der Zugriffsausgestaltung verbindlich festzulegen. Ein MVZ in Hessen hat diesen Ansatz bereits ausgearbeitet und umgesetzt. Hierbei handelt es sich jedoch um einen Lösungsweg, der auch von der LÄK Hessen beurteilt und befürwortet werden muss. Letztlich stehen hier auch arztrechtlich zu beantwortende Fragen im Hinblick auf eine optimale Patientenversorgung im Vordergrund. Bei diesem Lösungsweg könnten den Patienten dann die zugriffsberechtigten Fachbereiche auf Nachfrage aufgeschlüsselt werden, so dass dies einer informierten Einwilligung noch weiter gerecht wird. Zum jetzigen Zeitpunkt handelt es sich bei diesem Verfahren jedoch eher um eine Kann-Vorschrift im Sinne des Datenschutzes, nicht hingegen um eine Muss-Vorschrift. Es sollte auch auf Länderebene besprochen werden, inwiefern eine entsprechende Aufschlüsselung verlangt werden kann.