Z Gastroenterol 2018; 56(09): 1185-1186
DOI: 10.1055/a-0671-6870
Der bng informiert
© Georg Thieme Verlag KG Stuttgart · New York

DSGVO — wo ist das Problem?

Further Information

Publication History

Publication Date:
17 September 2018 (online)

Liebe Kolleginnen und Kollegen,

die Datenschutzgrundverordnung (DSGVO) sorgt seit Wochen für Unsicherheit bei Vereinen, Unternehmen und Freiberuflern. Auch Ärzte und Arztpraxen müssen dieser Thematik viel Zeit widmen – Zeit, die für die Betreuung von Patienten verlorengeht.

Ist es wirklich nötig und sinnvoll, dass wir viel Aufwand für die Erfüllung bürokratischer Vorgaben aufbringen müssen, die eigentlich durch das berufliche Selbstverständnis schon immer abgedeckt sind? Was man heute Datenschutz nennt und was in unserem Fall den vertraulichen Umgang mit Patientendaten meint, ist bereits vor 2400 Jahren als ärztliche Schweigepflicht im Eid des Hippokrates festgeschrieben worden. Sie ist Bestandteil der Genfer Deklaration des Weltärztebundes und damit international als hohes Gut anerkannt. Juristisch ist sie nicht nur in einer Verordnung wie der DSGVO festgelegt, sondern sie ist durch § 9 der (Muster-)Berufsordnung und strafrechtlich durch § 203 des StGB geschützt, was wir alle im Interesse unserer Patienten gut und richtig finden.

Egal, welche Vorgaben neue EU-Verordnungen machen: Unsere Patienten können sich schon immer und auch in Zukunft darauf verlassen, dass ihre persönlichen und medizinischen Daten und Informationen beim Arzt in guten Händen sind. Bei uns sind Patientendaten vor Missbrauch und unerwünschter Weitergabe und Verwendung geschützt. Das müssen andere Systeme wie elektronische Gesundheitsakten oder internetbasierte Sammlungen von Patientendaten erst noch beweisen. Ich glaube deshalb, dass wir niedergelassenen Ärzte entspannt mit den Vorgaben der DSGVO umgehen und nicht in übertriebene Hektik verfallen sollten.

Zielrichtung der DSGVO sind nicht in erster Linie ärztliche Praxen, sondern im Internet tätige Unternehmen und Händler. Ich bin sicher, dass niemand von uns in absehbarer Zeit Angst vor Behörden und Datenschützern haben muss, wenn man mit Augenmaß und Vernunft an die Umsetzung der Vorgaben der DSGVO herangeht. Natürlich muss sich jede Praxis mit dem Thema beschäftigen. Eine Aufstellung der Verarbeitungstätigkeiten muss erstellt werden. Datenschutzhinweise auf der Webseite und ein Aushang in der Praxis müssen aktualisiert oder verfasst werden. Praktikable Hilfen dazu gibt es bei KVen und KBV. Anderes war schon bisher selbstverständlich: Eine Schulung und Verpflichtung des Personals zur Verschwiegenheit und zum Datenschutz; Einverständnis des Patienten bei Weitergabe von Daten außerhalb des Behandlungsvertrags, z. B. zu privatärztlichen Verrechnungsstellen, im Rahmen von Studien oder Selektivverträgen. Alles nichts Neues. Ich habe den Eindruck, die Dinge werden völlig unnötig verkompliziert und problematisiert.

Braucht man zur Behandlung ein schriftliches Einverständnis des Patienten zur Speicherung seiner Daten? Selbstverständlich nicht! Die DSGVO schreibt an keiner Stelle vor, dass eine Datenverarbeitung ein schriftliches Einverständnis erfordert. Schon gar nicht ist es erforderlich, wenn die Datenverarbeitung auf einer gesetzlichen Grundlage erfolgt. Datenverarbeitung bei der ärztlichen Behandlung, d. h. Erfassung der Patienten- und Behandlungsdaten, ist nach deutschem Recht nicht nur zulässig, sondern die Dokumentation der ärztlichen Behandlung ist nach BGB § 630 f. ausdrücklich vorgeschrieben. Mit dem Eingehen eines Behandlungsvertrags zwischen Arzt und Patient (BGB 630a ff.) ist das Einverständnis zur Datenspeicherung durch schlüssiges Verhalten gegeben.

Das Gleiche gilt für die Weiterüberweisung zu Fachärzten. Wenn wir dem Patienten sagen, dass Biopsien vom Pathologen oder Blut im Labor weiter untersucht werden, dann wird der Patient nicht davon ausgehen oder ausgehen können, dass das ohne Weitergabe von persönlichen und medizinischen Daten geht. Warum also ängstlich oder gar panisch reagieren und einer unsinnigen und überbordenden Bürokratie mit umfangreichen Einverständniserklärungen und Formularen Raum geben?

Ist ein Vertrag zur Auftragsverarbeitung mit Labor oder Pathologen erforderlich? Ich finde es erstaunlich, dass das von einer Landesärztekammer gefordert wird. Tatsächlich wird das aber von den meisten Juristen nicht nur nicht für erforderlich gehalten, sondern sogar als verkehrt angesehen: Mit dem Überweisungsschein gibt der Arzt die Daten und bei Labor und Pathologen Material des Patienten weiter und bescheinigt gleichzeitig auch die Rechtmäßigkeit der Weitergabe, nämlich das Vorliegen einer gesetzlichen Grundlage für die Datenverarbeitung. Laborarzt und Pathologe erbringen dann eindeutig eine eigene ärztliche Leistung. Sie sind damit nicht als „Auftragsverarbeiter“ des Überweisers tätig.

Darf man Behandlungsdaten an einen mitbehandelnden Arzt oder ein Krankenhaus weitergeben, z. B. im Telefonat mit einem Kollegen oder durch Weitergabe von Behandlungsbefunden? Durch die DSGVO hat sich auch für diese Situation überhaupt nichts Wesentliches geändert! Eine Weitergabe ist dann erlaubt, wenn der Patient damit im Rahmen des Behandlungsvertrages einverstanden ist, dokumentiert z. B. durch die Vorlage einer Überweisung. Nach § 73 Abs 1b SGB V („hausarztzentrierte Versorgung“) ist für die Übermittlung vom und zum Hausarzt zumindest bei Fehlen einer Überweisung ein schriftliches Einverständnis erforderlich. Auch das gilt schon seit vielen Jahren. Wenn nun ein Kollege, den man persönlich kennt und an dessen Glaubwürdigkeit es keinen Zweifel gibt, wegen eines gemeinsamen Patienten um Befundübermittlung bittet oder anruft, dann ist es in Übereinstimmung mit § 9 der (Muster-)Berufsordnung für Ärztinnen und Ärzte nicht erforderlich, vorher die Vorlage eines schriftlichen Einverständnisses zu verlangen. Ich meine, man darf hier wie bisher darauf vertrauen, dass die Auskunft im Interesse des Patienten erfolgt und der Patient mit der Anfrage des Kollegen einverstanden ist.

Müssen wir Patientendaten nach zehn Jahren, d. h. nach Ablauf der Aufbewahrungspflicht löschen? Die Rechtsanwaltskanzlei Dr. Halbe hat für den bng dazu eine kluge und differenzierte Stellungnahme geschrieben (bng-Mitglieder können das Dokument über die Webseite www.bng-gastro.de herunterladen). Danach müssen wir uns natürlich Gedanken machen, warum und wie wir mit alten Patientendaten umgehen. Ganz abgesehen von der Abwehr evtl. Haftungsansprüche, die erst nach 30 Jahren verjähren, ist es weder im Sinne der DSGVO und erst recht nicht im Interesse unserer Patienten, wenn wir voreilig und ohne Nachfrage alle Behandlungsdaten nach zehn Jahren löschen. Vielmehr werden die Patienten in der Regel sehr dankbar sein, wenn auch noch ältere Befunde und Unterlagen sicher in der Hand des Arztes aufbewahrt wurden.

Solche und ähnliche Fragen werden immer wieder auftauchen. Ich bin kein Jurist, aber ich rate dazu, den gesunden Menschenverstand nicht über Bord zu werfen und gelassen und mit Augenmaß die Anforderungen des Datenschutzes in der Praxis umzusetzen. Ich bin überzeugt, im Laufe der Zeit wird sich ein vernünftiger Umgang mit dem Datenschutz durchsetzen, zumal für uns die ärztliche Schweigepflicht schon immer eine Selbstverständlichkeit war. Wir sollten nicht ängstlich mit einem Seitenblick zum Juristen schielen, sondern unser ärztliches Handeln an den Interessen unserer Patienten und ihren medizinischen Bedürfnissen ausrichten.