- Auch bei der Kommunikation zwischen Ärzten gilt nach wie vor, insbesondere auch innerhalb von Praxisnetzen, die Schweigepflicht i.S.v. § 203 StGB und die Schweigepflicht der ärztlichen Berufsordnung. Sie darf erst nach Einwilligung des Patienten durchbrochen werden, soweit keine weitergehende Befugnisse zur Offenbarung der Daten (z.B. spezialgesetzliche Regelungen) vorliegen.
- Soweit für die Kommunikation innerhalb eines Praxisnetzes eine Verarbeitung pseudonymisierter oder anonymisierter Daten ausreichend ist - z.B. für Zwecke der Qualitätssicherung - dürfen keine personenbezogenen Patientendaten ausgetauscht werden.
- Eine generelle und vorab für alle Behandlungen erklärte Einwilligung der Patienten in die künftige Verarbeitung ihrer medizinischen Daten, deren Umfang und Tragweite sie zum Zeitpunkt der Erklärung nicht übersehen können, ist nicht rechtswirksam. Die allgemeinen rechtlichen Anforderungen an Einwilligungserklärungen müssen beachtet werden. Insbesondere müssen die Betroffenen über Umfang und Zweck der vorgesehenen Verarbeitung ihrer Daten konkret informiert werden. Die Einwilligung ist in der Regel schriftlich zu erteilen. Ferner ist ein vorausgehender Hinweis durch den behandelnden Arzt bzw. andere Leistungserbringer erforderlich, dass die Einwilligung freiwillig ist und ein Widerruf der Einwilligung möglich ist.
- Die Verpflichtung der Leistungserbringer, im Rahmen der integrierten Versorgung eine ausreichende Dokumentation der Behandlung sicherzustellen, die allen an der integrierten Versorgung Beteiligten im jeweils erforderlichen Umfang zugänglich sein muss, erfordert grundsätzlich keine zusätzliche gesonderte (Teil-) Dokumentation der an der integrierten Versorgungsform Beteiligten neben der Befunderfassung durch den Hausarzt gemäß § 73 Abs. 1b S. 1 und 2 SGB V. Soweit im Rahmen eines solchen Praxisnetzes eine zusätzliche gesonderte (Teil-) Dokumentation der Behandlung der Patienten geplant wird, bedarf Umfang und Funktion dieser gemeinsamen Dokumentation (z. B. Notfalldatensatz, Kerndatensatz etc.) präziser Klärung.
- Für die Datenspeicherung in einer gesonderten (Teil-)Dokumentation ist eine Einzeleinwilligung des Patienten für den konkreten Behandlungsfall erforderlich. Dies schließt eine Entscheidung über die Zugriffsberechtigung auf diese Daten ein.
- Bei der Speicherung von Patientendaten beim Hausarzt oder in einer gesonderten (Teil-)Dokumentation der am Netz beteiligten Leistungserbringer ist die eindeutige Verantwortlichkeit für die Richtigkeit und Rechtmäßigkeit der Datenspeicherung sicherzustellen.
- Für den Abruf von Patientendaten aus der gesonderten (Teil-)Dokumentation der am Praxisnetz beteiligten Leistungserbringer ist eine auf den konkreten Behandlungsfall bezogene Einwilligung des Patienten erforderlich. Es muss technisch sichergestellt werden, dass ein nicht an dem konkreten Behandlungsfall des Patienten beteiligter Arzt keinen Zugriff auf die in der gesonderten Dokumentation gespeicherten Daten dieses Patienten hat. Je nach Umfang der gesonderten (Teil-)Dokumentation müssen darüber hinausgehende technische Vorkehrungen getroffen werden, die einen sektoralen Zugriff auf den Datenbestand ermöglichen. Dem Patienten muss das Recht zugestanden werden, die Einwilligung auf Teile des Datenbestandes zu beschränken. Verfahrensmäßig ist sicherzustellen, dass die einmal gewährte Zugriffsmöglichkeit auf die Patientendaten nach Abschluss der Behandlung dieses Patienten nicht fortbesteht. Gegen die Sicherstellung einer Notfallzugriffsberechtigung auf die jeweils erforderlichen Daten mit besonderer Protokollierung und Information des Hausarztes bestehen keine datenschutzrechtlichen Bedenken.
- Durch ein effektives Verfahren ist sicherzustellen, dass der Patient sein Recht auf Auskunft und Einsicht in dem gesetzlich festgelegten Umfang bei seinem Hausarzt bzw. bei jedem an dem Praxisnetz beteiligten Leistungserbringer, der Zugriff auf die in der gemeinsamen (Teil-)Dokumentation gespeicherten Daten dieses Patienten hat, geltend machen kann.
- Es bestehen datenschutzrechtliche Bedenken dagegen, dass ein Praxisnetz seine gesonderte (Teil-)Dokumentation im Rahmen einer Auftragsdatenverarbeitung bei einer externen nicht-öffentlichen Stelle verarbeiten lässt. Insbesondere ist zu berücksichtigen, dass der Beschlagnahmeschutz und das Zeugnisverweigerungsrecht des Arztes bei einer Datenweitergabe an einen externen Dritten nicht mehr gewährleistet sind. Soweit sich im Einzelfall die Notwendigkeit einer zentralen medizinischen Datei außerhalb des ärztlichen Bereichs begründen lassen sollte, müssten zum Ausgleich angemessene technische und organisatorische Sicherungsmaßnahmen vorgesehen werden.
- Je nach Nutzung und Sicherheitsstandard eines konkreten Netzes (Intranet oder Internet) ist von der Erforderlichkeit einer kryptografischen Verschlüsselung personenbezogener Daten auszugehen. Dies gilt insbesondere, falls personenbezogene Patientendaten über das Internet versandt werden sollen. Darüber hinaus ist eine Sicherheitsinfrastruktur wichtig, die eine vertrauenswürdige Schlüsselerzeugung und Schlüsselverwaltung gewährleistet, um die automatisierte Überprüfung der Zugriffsberechtigung eines Leistungserbringers auf verschlüsselte Daten vornehmen zu können.
Vorgaben
Verarbeitung personenbezogener Patientendaten im neuen Hausarztmodell und in Praxisnetzen
Kontakt
Sie haben Fragen zu diesem Thema? Dann kontaktieren Sie:
Herr Dr. Gaebel, Herr Mehner, Frau Sagel, Herr Schäfer
Referat 2.4
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gesundheit und Pflege
Referat 2.4
Postfach 3163
65021 Wiesbaden
Herr Dr. Gaebel
Telefon: +49 611 1408 155
Herr Mehner
Telefon: +49 611 1408 153
Frau Sagel
Telefon: +49 611 1408 123
Herr Schäfer
Telefon: +49 611 1408 151