Datenschutz in Medizinischen Versorgungszentren

Betreffend den Datenschutz in einem Medizinischen Versorgungszentrum (MVZ) fehlt es derzeit an konkreten Vorgaben oder Orientierungshilfen. Mit der folgenden Handreichung sollen daher Empfehlungen gegeben werden, die gleichermaßen den besonderen Gegebenheiten dieser Einrichtungen als auch datenschutzrechtlichen Grundsätzen gerecht werden.

A. Ärztliche Schweigepflicht im MVZ – Anforderungen an die Einwilligung zur Einsicht in die Patientenakte

Bisher noch nicht abschließend geklärt ist die Frage, in welcher Form der Patient in die Weitergabe seiner Behandlungsdaten innerhalb eines MVZ einwilligen muss. Soweit sich fachgruppengleiche Ärzte untereinander vertreten, reicht dieser Ansicht nach die Information an den Patienten aus, dass eine Einsichtnahme in die Behandlungsakte im Vertretungsfall erfolgt. Dies lässt sich relativ einfach über die Information nach Art. 13 DS-GVO abbilden. Eine ausdrückliche, schriftliche Einwilligung wird nicht für erforderlich gehalten. Es genügt, dass in diesen Fällen die Möglichkeit des Widerspruchs gegeben ist.

Noch offen ist dahingegen, in welcher Weise der Patient in die Einsichtnahme durch Ärzte andere Fachgruppen im MVZ einwilligen muss, die zunächst bei Behandlungsbeginn in keinem näheren Behandlungskontext stehen.

I. Ausgangslage und grundsätzliche Überlegungen

In vergangenen Gesprächen mit der Landesärztekammer Hessen war der Patient in einem MVZ über die Möglichkeit der Mit- und Weiterbehandlung und des gegenseitigen kollegialen Austausches schriftlich zu informieren. Zudem war er darauf hinzuweisen, dass er selbstverständlich berechtigt ist, dem ausdrücklich zu widersprechen. Favorisiert wurde daher in der Vergangenheit eine Widerspruchslösung betreffend die Mitbehandlung. Im Ergebnis hatte der Patient die Möglichkeit, die Behandlung durch einen Stellvertreter abzulehnen. Er musste dies aber jeweils aktiv durch sein Verhalten bekunden.

Eine Widerspruchslösung wurde auch favorisiert, wenn es sich noch um ein MVZ mit einem überschaubaren Kreis von behandelnden Ärzten handelt. Etwas anderes könne aber gelten, „sofern der Kreis der in einem MVZ tätigen Ärzte so groß ist, dass regelmäßig nicht mehr davon ausgegangen werden kann, dass die dort tätigen Ärzte auch unter Berücksichtigung von Urlaubs- und Krankheitsvertretung sowie Einsatz im Mehrschichtsystem im Regelfall mit der Betreuung eines bestimmten Patienten befasst sein können“. In diesem Fall könne die Parallele zwischen behandlungs- vertragsrechtlicher Willenserklärung und datenschutzrechtlicher Einwilligung fraglich sein.

Der Ansatz von Menzel in seinem Aufsatz „Datenschutz in ärztlichen Kooperationen - Patientendaten sicher verwalten“ (Deutsches Ärzteblatt, Heft 36, September 2007, 2399) ist es, dass der Patienten angeben muss, ob er nur vom Erstbehandler behandelt werden möchte, oder auch mit einer Vertretung einverstanden ist. Für den ersten Fall wird ein Sperrvermerk in die Praxis-Software aufgenommen. Dieser Ansatz könnte aber als zu eng gefasst bewertet werden. Auch dieser Ansicht nach sollte dieses Verfahren nur für die fachgruppenübergreifende Behandlung gelten. Letztlich ist das MVZ vom Ansatz her mit einer Gemeinschaftspraxis vergleichbar, bei der bzgl. des Stellvertreters das Einverständnis des Patienten bzgl. der Einsicht in die Behandlungsakte angenommen werden darf. Etwas anderes muss jedoch dieses Erachtens gelten, wenn die Einsichtnahme durch einen völlig anderen Fachbereich betroffen ist. Letztlich handelt es sich hierbei um einen Einschnitt im Behandlungs- kontext und damit um einen neuen Sachverhalt, der auch eine gesonderte, gewissenhafte Prüfung durch den Patienten ermöglichen muss. Die Frage ob, und welches zusätzliche Fachwissen herangezogen wird, obliegt nicht alleine dem Arzt. Der Grundsatz der freien Arztwahl gebietet es hier, dass der Patient eine neue Bewertung der Sachlage vornehmen kann (§ 18 Abs. 4 MBO). Dem Patienten muss es insofern möglich bleiben, sich an einen Spezialisten auf dem neuen Gebiet zu wenden, der u. U. außerhalb des MVZ praktiziert, ohne dass bereits zuvor ein unbekannter Arzt dieser Fachrichtung Zugriff auf die Patientendaten nimmt (So im Ergebnis auch Krauskopf, Soziale Krankenversicherung, Pflegeversicherung, Werkstand 102. EL, Februar 2019: „Demgegenüber konkretisiert sich die Wahlfreiheit beim MVZ auf die Auswahl eines MVZ als solchem. Leistungserbringer ist das MVZ und nicht der dort tätige Arzt (Bäune in Bäune/Meschke/ Rothfuß, Anhang zu § 18 Rn 110). Allerdings bindet die Wahl eines MVZ den Versicherten nicht, im Falle der Notwendigkeit zur Beiziehung eines anderen Fachgebietes, dieses nur aus dem MVZ in Anspruch zu nehmen - BSG 22.4.1983 – 6 RKa 7181, SozR 5520 § 33 Nr. 17“).

Sofern der Patient nicht bereits im Vorfeld der Behandlung den Wunsch äußert, sich den Behandler einer anderen Fachrichtung selbst auszusuchen, ist dieser dennoch vor jedem Informationsaustausch innerhalb des MVZ in einem Arzt-Patientengespräch zu informieren. Dieser Ansicht nach genügt dann für diese Fälle auch ein Vermerk in der Akte. Hiermit kann auch dafür Sorge getragen werden, dass bei einer erneuten Behandlung nicht pauschal davon ausgegangen wird, dass die alten Zugriffsrechte bestehen bleiben können.

II. Empfehlung

Insgesamt wird daher bei einem MVZ mit einer Vielzahl an Fachgruppen, bei denen nicht mehr davon auszugehen ist, dass die dort tätigen Ärzte auch unter Berücksichtigung von Urlaubs- und Krankheitsvertretung sowie Einsatz im Mehrschichtsystem im Regelfall mit der Betreuung eines bestimmten Patienten befasst sind, bis zum Vorliegen einer länderübergreifenden, einheitlichen Lösung für Hessen das folgende Vorgehen betreffend das Einholen einer Einwilligung des Patienten empfohlen:

• Der Erstbehandler klärt darüber auf, dass er durch fachgruppengleiche Ärzte im Haus vertreten werden kann. Eine schriftliche Einwilligung ist nicht erforderlich. Der Patient hat die Möglichkeit, der Mitbehandlung durch den/ die Vertreter zu widersprechen. Hinsichtlich dieses Rechts und hinsichtlich des Datenaustausches unter den Vertretern ist in einer allgemeinen Patienteninformation nach Art. 13 DS-GVO zu informieren.
• Der Erstbehandler fragt, ob der Patient auch ein Interesse daran hat, dass anlassbezogen eine Mit- und Weiterbehandlung sowie ein gegenseitiger kollegialer Austausch mit anderen Fachgruppen aus dem MVZ erfolgt. Wird dies nicht gewünscht, wird ein Sperrvermerk in der Software des MVZ aufgenommen. Anderenfalls wird eine Freigabe in der Software erteilt. In diesem Punkt wird eine schriftliche Einwilligung eingeholt, die dadurch spezifiziert wird, dass die im Haus vertretenen Fachgruppen aufgeführt werden und der Informationsaustausch an die Indikation, den Bedarf einer Mit- und Weiterbehandlung bzw. alternativ die Notwendigkeit eines kollegialen Austausches sowie ein vorheriges Arzt-Patientengespräch gekoppelt wird.
• Soweit eine Mit- und Weiterbehandlung tatsächlich konkret in Frage kommt, wird der Patient darüber noch einmal zwecks besserer Transparenz in einem Arzt-Patientengespräch informiert. Es genügt, wenn der Arzt die Erforderlichkeit des fachübergreifenden Informationsaustausches sowie das Einverständnis des Patienten zur Datenweitergabe im konkreten Fall in der Akte dokumentiert.

Eine Schwachstelle dieses Prozederes bleibt die, dass Patient und Arzt die elektronische Patientenakte im Vorfeld freigeben und mithin theoretisch durch die anderen Fachgruppen - unabhängig von einer tatsächlichen Erforderlichkeit – eine Zugriffsmöglichkeit besteht.

Dem lässt sich jedoch dadurch entgegenwirken, dass die Zugriffe im MVZ protokolliert werden, und sich Verstöße im Nachhinein feststellen lassen. Eine Freischaltung „in Scheiben“ scheint hier nicht sachgerecht, insbesondere ein Notfallmanagement kann dem entgegenstehen. Ebenso wurde hier seitens der Softwarehersteller vorgetragen, dass für eine korrekte Abrechnung auch immer transparent sein muss, ob und welcher Arzt des MVZ den Patienten ebenfalls behandelt. Dies betrifft zumindest den Stammdatensatz.

Eine optimale Lösung im Sinne des Datenschutzes ist hier die, dass sich die vorhandenen Fachgruppen im Vorfeld Gedanken machen, welcher Fachbereich überhaupt auf andere Fachbereiche zugreifen muss. Dies wäre dann in der Zugriffsausgestaltung verbindlich festzulegen. Ein MVZ in Hessen hat diesen Ansatz bereits ausgearbeitet und umgesetzt. Hierbei handelt es sich jedoch um einen Lösungsweg, der auch von der LÄK Hessen beurteilt und befürwortet werden muss. Letztlich stehen hier auch arztrechtlich zu beantwortende Fragen im Hinblick auf eine optimale Patientenversorgung im Vordergrund. Bei diesem Lösungsweg könnten den Patienten dann die zugriffsberechtigten Fachbereiche auf Nachfrage aufgeschlüsselt werden, so dass dies einer informierten Einwilligung noch weiter gerecht wird. Zum jetzigen Zeitpunkt handelt es sich bei diesem Verfahren jedoch eher um eine Kann-Vorschrift im Sinne des Datenschutzes, nicht hingegen um eine Muss-Vorschrift. Es sollte auch auf Länderebene besprochen werden, inwiefern eine entsprechende Aufschlüsselung verlangt werden kann.

B. Zugriffsausgestaltung der MVZ Software

Die vergangenen Gespräche mit Softwareanbietern und MVZen haben gezeigt, dass die eingesetzte Software nicht immer auf ein MVZ zugeschnitten ist. Es wird daher empfohlen, die eingesetzte Software zunächst auf die MVZ Tauglichkeit zu untersuchen.

Für einen effektiven Datenschutz sollte eine MVZ-Software insbesondere die folgenden Konfigurationsoptionen bieten, die auch entsprechend intern umzusetzen sind:

I. Patientenstammtrennung

Mit Hilfe der Patientenstammtrennung werden Patientendaten auf Betriebsstättenebene getrennt. Mit Aktivierung der Patientenstammtrennung teilen die unterschiedlichen Betriebsstätten keine Patientendaten mehr. Ein Patient, der in mehreren Betriebsstätten behandelt wird, erhält in diesem Fall mehrere getrennte Patientenstämme.

II. Benutzer-Mandant-Zuordnung

In der Benutzer-Mandant-Zuordnung wird gesteuert, welche medizinischen Daten und welche Abrechnungsdaten für den angemeldeten Benutzer sichtbar sind. Das Prinzip ist dabei sehr einfach: Jeder Benutzer sieht ausschließlich die Daten der Ärzte oder Ermächtigungen, die ihm direkt zugeordnet sind.

Die Benutzer-Mandant-Zuordnung erfasst alle Bereiche, vom Abrechnungsschein über Labordaten bis hin zur Dokumentation in der Karteikarte und statistischen Auswertungen.

III. Erweiterte Benutzerrechte und -sichten

Über diese Konfiguration lassen sich die in der Benutzer-Mandant-Zuordnung gesetzten Berechtigungen verfeinern. Hier besteht die Möglichkeit, je Benutzergruppe, je Benutzer und je Arzt explizit einzustellen, welche Karteikarteneinträge und / oder Abrechnungsscheine für den angemeldeten Benutzer verfügbar sind. Dabei lassen sich die Berechtigungen je Karteikartenkategorie und / oder Abrechnungsschein idealerweise in folgenden Abstufungen einstellen: Keine Berechtigung, Leseberechtigung, Änderungsberechtigung, Berechtigung zur Neuanlage, Löschberechtigung.

IV. Patientenindividuelle Benutzersichten

Über diese Funktion lässt sich die medizinische Dokumentation patientenindividuell sperren. Dies ist zum Beispiel immer dann sinnvoll, wenn Mitarbeiter der Einrichtung oder Personen mit besonderem Schutzbedarf (Person des öffentlichen Lebens) behandelt werden. Es kann patientenbezogen eingestellt werden, welche Einträge gesperrt werden sollen und welche Benutzer diese Einträge weiterhin einsehen dürfen. Allen anderen Benutzern werden ab diesem Zeitpunkt die Einträge in dieser Patientenkartei nicht mehr angezeigt. Sofern der Patient lediglich bei einem Arzt des MVZ in Behandlung ist, ist es auch aus Abrechnungsgesichtspunkten nicht erforderlich, dass andere Ärzte der Einrichtung die Stammdaten einsehen können.

V. Passwortschutz einzelner Einträge

Für das gezielte Sperren einzelner Einträge besteht zusätzlich die Möglichkeit, den jeweiligen Eintragn mit einem Passwortschutz zu versehen. Der Eintrag ist ab diesem Zeitpunkt nur noch für den Benutzer sichtbar, der den Eintrag erstellt hat.

VI. Änderungsprotokoll

Für die Nachvollziehbarkeit der Änderung der medizinischen Dokumentation ist ein Änderungsprotokoll in der Praxissoftware verfügbar. Hier ist jede Änderung bis hin zur Löschung von Dokumentationsdaten nachvollziehbar. Bei gelöschten Einträgen kann im Notfall auch der gelöschte Datensatz eingesehen werden.