Akten im Hängeregister

Datenschutz und Datenverarbeitung in Arztpraxen

Das Vertrauen zwischen Arzt, Zahnarzt, Tierarzt, Psychotherapeut und Patient sowie der vertrauliche Umgang mit allen behandlungsrelevanten Informationen ist ein zentraler Bestandteil des Arzt-Patienten-Verhältnisses. Sämtliche Mitarbeiterinnen und Mitarbeiter einer Arztpraxis unterliegen zunächst persönlich der beruflichen Schweigepflicht (Patientengeheimnis), sei es als Ärztinnen und Ärzte oder als „ihre berufsmäßig tätigen Gehilfen“ bzw. Personen, „die bei ihnen zur Vorbereitung auf den Beruf tätig sind“ (§ 203 Abs. 1 Nr. 1 und Abs. 3 S. 2 Strafgesetzbuch). Die ärztliche Schweigepflicht ist zudem in den Berufsordnungen der Landesärztekammern besonders geregelt. Außerdem unterliegen die Arztpraxen als private Stellen den Vorschriften der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes. Das in § 203 Strafgesetzbuch (StGB) strafrechtlich geschützte Patientengeheimnis lässt ein Offenbaren von Patientendaten nur zu, wenn

  • eine gesetzliche Befugnisnorm besteht oder
  • der betroffene Patient in ein Offenbaren seiner Daten im Vorfeld eingewilligt hat.

Die wird im Folgenden näher ausgeführt.

I. Rechtliche Vorgaben

Aus rechtlichen Vorgaben ergibt sich die gesetzliche Befugnis für das Offenbaren von Patientendaten.

1. Berufsrechtliche Schweigepflicht

Die ärztliche Schweigepflicht ist in § 9 Abs. 1 MBO-Ä beziehungsweise den entsprechenden Bestimmungen der Berufsordnungen der Landesärztekammern geregelt. Danach haben Ärztinnen und Ärzte über das, was ihnen in ihrer Eigenschaft als Arzt anvertraut oder bekannt geworden ist, auch nach dem Tod des Patienten zu schweigen. In Hessen ist die Schweigepflicht in § 9 der Berufsordnung für die Ärztinnen und Ärzte in Hessen geregelt. Die Schweigepflicht ergibt sich zudem als Nebenpflicht aus dem zwischen Arzt und Patient geschlossenen Behandlungsvertrag.

Gemäß § 5 Abs. 1 Nr. 1 Heilberufsgesetz obliegt es der Landesärztekammer Hessen, Verstöße gegen § 9 der Berufsordnung berufsrechtlich zu sanktionieren. Patientinnen und Patienten in Hessen steht die Möglichkeit offen, sich bei Problemen in der Arzt-Patienten-Beziehung mit einer schriftlichen BeschwerdeÖffnet sich in einem neuen Fenster unter Schilderung des konkreten Sachverhalts und unter namentlicher Nennung des behandelnden Arztes oder der behandelnden Ärztin an die Landesärztekammer Hessen zu wenden.

2. § 203 StGB – Verletzung von Privatgeheimnissen

Mit der ärztlichen Schweigepflicht korrespondiert das durch § 203 des Strafgesetzbuches (StGB) geschützte Patientengeheimnis, das entsprechende Verstöße von Ärztinnen und Ärzten gegen die Verschwiegenheitspflicht strafrechtlich sanktioniert. Ärztinnen und Ärzte haben nach dem Strafgesetzbuch dafür zu sorgen, dass die für sie tätigen sonstigen mitwirkenden Personen zur Geheimhaltung verpflichtet werden (§ 203 Abs. 4 S. 2 Nr. 1 StGB).

Die Verstöße werden durch die zuständigen Strafermittlungsbehörden verfolgt und gerichtlich sanktioniert.

3. Datenschutz

Darüber hinaus haben Arztpraxen als verantwortliche Stellen bei ihrer Tätigkeit die datenschutzrechtlichen Vorgaben zu beachten. Dies gilt nicht nur für die in der Praxis tätigen Ärztinnen und Ärzte, sondern für alle dort tätigen Personen. Hierbei sind die Bestimmungen der europäischen Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) von Bedeutung, aber auch zahlreiche Rechtsgrundlagen aus Fachgesetzen. Der Datenschutz hat die Rechtmäßigkeit der Verarbeitung personenbezogener Daten im Blick. Weil Ärztinnen und Ärzte sensible Gesundheitsdaten verarbeiten, gelten für sie besondere Bestimmungen mit erhöhten Rechtmäßigkeitsanforderungen. Auch datenschutzrechtlich ist die ärztliche Schweigepflicht zu berücksichtigen, insbesondere bei der Offenlegung personenbezogener Daten gegenüber unberechtigten Dritten.

Zuständig für die Überwachung der Arztpraxen und Sanktionierung datenschutzrechtlicher Verstöße sind die Datenschutzaufsichtsbehörden der Länder. In Hessen ist das der Hessische Beauftragte für Datenschutz und Informationsfreiheit. Ist ein Patient der Auffassung, dass sein Arzt oder seine Ärztin bei der Verarbeitung seiner personenbezogenen Daten gegen Datenschutzvorschriften verstößt, kann er sich mit einer Beschwerde an die zuständige Datenschutzaufsichtsbehörde wenden.

II. Umsetzung datenschutzrechtlicher Vorgaben in Arztpraxen

 Arztpraxen, insbesondere die dort tätigen Ärztinnen und Ärzte, sind als Verantwortliche im Sinne der DS-GVO nach Art. 5 Abs. 1 lit. f) DS-GVO gesetzlich dazu verpflichtet, personenbezogene Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßige Verarbeitung („Integrität und Vertraulichkeit“). Bei Patientenakten und Patientendaten handelt es sich um nach Art. 9 Abs. 1 DS-GVO besonders geschützte Gesundheitsdaten. Die Offenlegung von Gesundheitsdaten gegenüber Dritten ist grundsätzlich unzulässig.

Eine Verpflichtung der Angestellten einer Arztpraxis auf das Datengeheimnis ist nach neuer Rechtslage nicht mehr vorgesehen. Dennoch gehört die Schulung der Mitarbeiterinnen und Mitarbeiter zum Datenschutz zu organisatorischen Maßnahmen, die Ärztinnen und Ärzte im Hinblick auf Art. 5 Abs. 1 lit. f) in Verbindung mit Art. 32 Abs. 1 DS-GVO zu treffen haben.

Ärztinnen und Ärzte müssen ihre Arztpraxen so organisieren, dass persönliche Angaben von Patientinnen und Patienten von anderen Besuchern der Praxis nicht zur Kenntnis genommen werden können. Dieser Grundsatz ist insbesondere bei der räumlichen Gestaltung und bei der Arbeitsorganisation zu berücksichtigen.

Sollten dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit Hinweise vorliegen, dass in einer Arztpraxis diese organisatorischen Maßnahmen nicht getroffen wurden oder missachtet werden, wird die Arztpraxis daraufhin geprüft. Oft werden solche Verfahren mit dem Ergebnis abgeschlossen, dass die Praxis zusätzliche technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes und der Schweigepflicht ergreift. Dies können je nach Fallgestaltung z.B. eine (besondere) Schulung der Mitarbeiter, das Aufstellen von Trennwänden, die Umgestaltung des Empfangs- und des Wartebereichs oder ein Sichtschutz für Bildschirme sein.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit berät Bürgerinnen und Bürger sowie Arztpraxen zum Thema Datenschutz in der Arztpraxis. Hierzu stellt er unter anderem Informationen auf seiner Homepage zur Verfügung.  Auch sind Prüfungen von Arztpraxen und Empfehlungen zur Umsetzung datenschutzrechtlicher Vorgaben immer wieder Thema in den jährlichen Tätigkeitsberichten des Hessischen Beauftragten für Datenschutz und Informationsfreiheit sowie anderer Datenschutzaufsichtsbehörden.

Zum Thema „Datenschutz in der Arztpraxis“ hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit folgende Beiträge veröffentlicht:

Zu technisch-organisatorischen Maßnahmen in der Arztpraxis:

Insbesondere zur Diskretion in der Arztpraxis:

Zur Praxisübernahme:

Zum Auskunftsanspruch nach Art. 15 DS-GVO:

Zur Information nach Art. 13 DS-GVO in der Arztpraxis:

Zum Datenschutzbeauftragten in der Arztpraxis:

Zur Aufbewahrungsdauer der Patientenunterlagen:

Weitere Themen:

III. Weitere Ansprechpartner zur ärztlichen Schweigepflicht und zur Einhaltung des Datenschutzes

 Neben dem HBDI beraten auch weitere Stellen zur ärztlichen Schweigepflicht und zur Einhaltung des Datenschutzes:

So geben z.B. die Bundesärztekammer und die kassenärztliche Bundesvereinigung gemeinsam „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“Öffnet sich in einem neuen Fenster

Die Landesärztekammer Hessen stellt auf ihrer Homepage für ihre Mitglieder ebenfalls Informationen und Empfehlungen zum DatenschutzÖffnet sich in einem neuen Fenster zur Verfügung. 

Kontakt

Sie haben Fragen zu diesem Thema? Dann kontaktieren Sie:

Herr Dr. Gaebel, Herr Mehner, Frau Sagel, Herr Schäfer

Referat 2.4

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gesundheit und Pflege
Referat 2.4
Postfach 3163
65021 Wiesbaden

Herr Dr. Gaebel
Telefon: +49 611 1408 155

Herr Mehner
Telefon: +49 611 1408 153

Frau Sagel
Telefon: +49 611 1408 123

Herr Schäfer
Telefon: +49 611 1408 151

Schlagworte zum Thema