Info-Pflichten nach DS-GVO

Umsetzung der Informationspflichten nach Artikel 12 und 13 DS-GVO im Bereich der Gesundheitsberufe

Fotolia_168537257_S.jpg

Bild Gesundheits- und Sozialwesen Datenschutz

Künftig müssen Arztpraxen und andere Einrichtungen im Gesundheitswesen die Patienten deutlich umfassender als bislang und zudem in einer nachvollziehbaren Weise darüber informieren, ob und wie sie ihre Daten verarbeiten. Die Verstöße gegen Art. 12 bis 15 DS-GVO werden mit dem erhöhten Bußgeldrahmen von bis zu vier Prozent des Umsatzes geahndet (Art. 83 Abs. 5 lit. b DS-GVO).

Für die Gesundheitsberufe sind vornehmlich die Informationspflichten nach Art. 12 und 13 DS-GVO einschlägig. Grundsätzlich muss der Arzt somit die Patienten von der Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ unterrichten (Art. 12 Abs. 1 DS-GVO). Da die Daten im Behandlungskontext grundsätzlich bei der betroffenen Person erhoben werden, müssen die Informationspflichten des Art. 13 DS-GVO erfüllt werden. 

In der Vergangenheit wurde in meinem Zuständigkeitsbereich häufig die Frage gestellt, wie die Arztpraxis oder andere Einrichtungen im Gesundheitsbereich am sichersten und einfachsten die Information des Patienten nach den Vorgaben der DS-GVO in ihre Prozesse implementieren können. Gleichzeitig wurde die Frage aufgeworfen, ob und auf welche Weise in diesem Kontext eine Dokumentation zu führen ist, die einer aufsichtsbehördlichen Prüfung stand hält.

I. Informationspflicht

Nach meiner Auffassung ist die von der DS-GVO präferierte Grundform der Information die Schriftform, da diese als erste in Art. 12 Abs. 1 S. 2 aufgezählt wird, gefolgt von der mündlichen und der elektronischen Form.

Aus Sicht des Hessischen Datenschutzbeauftragen ist daher für eine Umsetzung primär eine sogenannte Flyer-Lösung zu wählen. Nicht als ausreichend erachtet wird das Verwenden eines Aushanges. Dies kann jedoch selbstverständlich ergänzend zur Anwendung kommen.

Im Ergebnis heißt dies, dass generell in einer Informationsbroschüre über die in Artikel 13 DS-GVO genannten Punkte Auskunft zu geben ist. Die Informationen müssen dabei auch spezifisch auf die jeweilige Einrichtung zugeschnitten sein. Gemeinsam mit der Landesärztekammer Hessen habe ich hierzu ein Muster erarbeitet, dass als Orientierung dienen kann. Dieses ist abrufbar auf der Homepage der Landesärztekammer Hessen unter

https://www.laekh.de/aerzte/neues-datenschutzrecht.

Die genannte Flyer-Lösung bietet den Vorteil, dass der Patient die Informationen zum einen mitnehmen kann, und zum anderen bei der ersten sowie bei weiteren Erhebungen in der Praxis stets die Informationen nachlesen kann, da die Flyer vor Ort vorgehalten werden.

Im Kontext der Informationspflicht ist darüber hinaus auch das Folgende zu beachten:

  • Der genannte Flyer ist bei Bedarf mit dem Patienten mündlich zu erörtern.
  • Angesichts dessen, dass es sich bei der Behandlung um kein online Geschäft handelt, sollte die elektronische Information (z. B. auf der Webseite der Praxis) lediglich als Ergänzung zur schriftlichen Information in der Praxis erfolgen. Der Flyer kann daher mittels der Angabe eines Links auf zusätzliche Informationen verweisen, die sich auf der Homepage befinden. Auf diese Weise wird der Flyer nicht überfrachtet und das Leseverständnis des Patienten verbessert.
  • Zudem wird empfohlen, den entsprechenden ausgearbeiteten Flyer auch auf der Homepage abzulegen, damit im Falle des telefonischen Kontaktes oder sonstiger Anfragen, die nicht vor Ort erfolgen, darauf verwiesen werden kann.
  • Die Flyer sind stets gut sichtbar und in ausreichender Menge am Empfang vorrätig zu halten.

II.Dokumentation

Zwar sieht die DS-GVO keine explizite Dokumentationspflicht für die Erfüllung der Informationspflichten nach den Art. 12 ff. DS-GVO vor, allerdings belegt sie die Nichterfüllung der Informationspflichten mit Bußgeld. Zumindest der Aufsichtshörde gegenüber muss der Arzt somit in der Lage sein, nachzuweisen, dass der Betroffene die entsprechende Information erhalten hat.

Grundsätzlich ist es meines Erachtens möglich und umsetzbar, das Aushändigen der Information in der Patientendokumentation zu vermerken. Dies kann z. B. über das Aushändigen am Empfang erfolgen, verbunden mit einem Vermerk im Praxisinformationssystem („Kästchenlösung“ o. Ä.). Eine solche Dokumentation dahingehend, dass zwingend für jeden einzelnen Patienten zu dokumentieren ist, dass er eine entsprechende Broschüre ausgehändigt bekommen hat, wird im Zuständigkeitsbereich des Hessischen Datenschutzbeauftragten jedoch nicht verlangt. Ich halte es für ausreichend, wenn ein konkreter Verfahrensablauf betreffend der Umsetzung der Informationspflicht festgehalten und dokumentiert wird, aus dem hervorgeht, in welcher Weise der Patient die Informationen im Regelfall erhält (zum Beispiel Übergabe mit Anamnesebogen am Empfang oder Ähnliches). Diese Dokumentation zum Verfahrensablauf ist der Aufsichtsbehörde auf Verlangen vorzuzeigen.

SERVICE