Seit der Geltung der DS-GVO wurden dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit zahlreiche Informationsflyer von Arztpraxen und Krankenhäusern vorgelegt, die der Anwendung der Informationspflicht nach Art. 13 DS-GVO dienen. Im Rahmen meiner Beratung habe ich häufig immer wiederkehrende Textbausteine und Verfahrensweisen bemängelt. Die folgenden Punkte sollen deshalb als Checkliste dienen, mit der eigene Informationsflyer noch einmal auf Vollständigkeit und der Umgang damit auf Richtigkeit überprüft werden kann.
I. Überschrift des Informationsflyers
Die geprüften Unterlagen wurden mit verschieden Überschriften betitelt, wie z. B. „Datenschutzerklärung“ oder „Transparenzerklärung“. Um für den Betroffenen Transparenz zu schaffen, ist es ratsam, in der Überschrift schon auf den Inhalt des Papiers hinzuweisen. Es bietet sich daher eine einfache Überschrift, wie z. B. „Informationen nach Art. 13 DS-GVO“ an.
II. Trennung zwischen Informationspflichten und Einwilligungserklärungen
Die Informationen nach Art. 13 DS-GVO sind in jedem Fall in einem separaten Papier abzubilden. Oft werden die Informationen nach Art. 13 DS-GVO und etwaige einzuholende Einwilligungserklärungen in einem Papier vermengt. Dies führt häufig zu dem unter Punkt III abgebildeten Problem, das es zu vermeiden gilt.
III. Keine Unterschrift als Bestätigung der Kenntnisnahme erforderlich
Viele der geprüften „Informationspapiere“ forderten am Ende eine Unterschrift des Patienten als Bestätigung für deren Erhalt und der Kenntnisnahme.
Eine Unterschrift des Patienten als Bestätigung dafür, dass er die Information bekommen hat, wird von meiner Behörde jedoch nicht verlangt. Dem Patienten muss die Information nach Art. 13 DSGVO mitgeteilt werden, eine Annahmepflicht besteht für den Betroffenen nicht. Ich rate daher davon ab, vom Patienten eine Unterschrift zu fordern. Dies führt lediglich zu Unsicherheiten in den Fällen, in den die Unterschrift vom Patienten verweigert wird. In letzter Zeit hat man mir wiederholt davon berichtet, dass die Behandlung abgelehnt wurde, sofern der Patient das Papier mit den Informationen nach Art. 13 DS-GVO nicht unterschreiben wollte. Seitens der Landesärztekammer Hessen wurde mir hierzu noch einmal bestätigt, dass dies in keinem Fall eine Ablehnung der Behandlung rechtfertigt. Vielmehr handelt es sich bei der Informationspflicht nach Art. 13 DS-GVO um ein Angebot an den Patienten, das dieser annehmen kann aber nicht muss. Insofern macht es auch keinen Sinn, wenn die Informationsflyer unterschrieben in der Behandlungsakte „verschwinden“. Vielmehr sollte die Möglichkeit bestehen, die Broschüre mit nach Hause zu nehmen, um sich dort in Ruhe und bei Bedarf zu informieren.
Ergänzend hierzu wird auf den Hinweis Informationspflichten nach DS-GVOÖffnet sich in einem neuen Fenster auf der Homepage des Hessischen Beauftragten für Datenschutz und Informationsfreiheit verwiesen.
IV. Korrekte Benennung der Datenempfänger
In allen bisher geprüften Unterlagen wurden Datenempfänger lediglich abstrakt benannt, wie z.B. „Empfänger Ihrer personenbezogenen Daten können andere Ärzte, Kassenärztliche Vereinigungen, Ärztekammern und privatärztliche Verrechnungsstellen sein.“
Dies ist zu vermeiden. Die Empfänger müssen so konkret wie möglich benannt werden. So wird zumeist mit einer bestimmten privatärztlichen Verrechnungsstelle zusammengearbeitet. Auch werden die Behandler einer bestimmten Kammer und Kassenärztlichen Vereinigung angehören. Diese können und müssen somit auch konkret namentlich benannt werden.
Zudem bietet sich der Hinweis an, dass Daten an andere Ärzte und an die Verrechnungsstelle nur mit Einwilligung des Patienten übermittelt werden.
V. Verweis auf Rechtsgrundlage und Aufbewahrungsfristen
Nach Art. 13 Abs. 1 lit. c) DS-GVO muss der Verantwortliche auch die Rechtsgrundlage für die Verarbeitung mitteilen. Da im Gesundheitsbereich eine Vielzahl von Rechtgrundlagen je nach Verarbeitungstätigkeit in Betracht kommt, genügt es aus Sicht des Hessischen Beauftragen für Datenschutz und Informationsfreiheit, auf die Homepage des Verantwortlichen zu verweisen, wo eine entsprechende Rechtsgrundlagensammlung geführt wird. Dies soll der Vereinfachung des Flyers dienen.
Bei Verweisen auf Rechtsgrundlagen der Datenverarbeitung und die geltenden Aufbewahrungsfristen können Arztpraxen auf die Homepage der Landesärztekammer Hessen verlinken.
- Zu RechtsgrundlagenÖffnet sich in einem neuen Fenster
- Zu AufbewahrungsfristenÖffnet sich in einem neuen Fenster
Ein pauschaler Verweis auf die Homepage der Praxis, die jedoch dann keine detaillierte Aufzählung der Rechtsgrundlagen und der Aufbewahrungsfristen enthält, ist ungenügend.
VI. Beschwerderecht bei einer Aufsichtsbehörde
Zudem muss auf das Beschwerderecht bei einer Aufsichtsbehörde hingewiesen und die Aufsichtsbehörde muss konkret benannt werden.
In den geprüften Unterlagen wurde oft keine bestimmte Behörde bezeichnet, die alte Bezeichnung gewählt oder die Anschrift weggelassen.
Ich bitte daher zu beachten, dass meine Behörde seit dem 25.05.2018 „Der Hessische Beauftragte für Datenschutz und Informationsfreiheit“ heißt und diese mit der aktuellen Anschrift anzugeben ist.
VII. Hinweis auf das Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO
Oft wird in den übersandten Mustern über das Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO informiert. Allerdings findet der Grundsatz der Datenportabilität keine Anwendung auf die klassischen Behandlungsverhältnisse, da die Datenerhebung im Rahmen eines Behandlungsvertrages keine Einwilligung erfordert. Die Erlaubnisnorm des Art. 9 Abs. 2 lit. h DS-GVO, auf die sich die Datenverarbeitung durch Angehörige von Gesundheits-/ und Heilberufen, die auf einem Behandlungsvertrag beruht, stützt, ist in Art. 20 DS-GVO gerade nicht benannt. Die Auslegung des Wortlautes führt letztlich dazu, dass Angehörige der Heilberufe, soweit sie im Rahmen eines Behandlungsvertrages Daten verarbeiten, künftig (weiterhin) nicht verpflichtet sind, die Behandlungsdaten in einem portablen Datenformat bereitzuhalten.