Was muss der Notarzt nach der DSGVO beachten?

• I. Diese Pflichten treffen den Notarzt
• 1. Informationspflicht
• 2. Rechenschaftspflicht
• Prinzipien der DSGVO
• Hinweise für die Praxis
• Hinweise für die Praxis
• 3. Verzeichnis für Verarbeitungstätigkeit
• 4. Datenschutzkonzept für den Fall eines Verstoßes
• II. DSGVO vs. Landesrettungsdienstgesetz
• III. Vorschlag für die Praxis
• 1. Verantwortlich
• 2. Zweck der Datenverarbeitung
• 3. Empfänger ihrer Daten
• 4. Speicherung Ihrer Daten
• 5. Ihre Rechte
• IV. Fazit

In Situationen, in denen ein Notarzt tätig wird, geht es oft um Leben und Tod. Doch auch und gerade bei dieser Tätigkeit gilt es, datenschutzrechtliche Besonderheiten zu beachten. Dies gilt unabhängig davon, ob der Notarzt angestellt oder freiberuflich tätig ist. Denn sowohl der freiberufliche als auch der angestellte Notarzt haben grundsätzlich die gleichen Pflichten zu beachten.

Doch welche Pflichten treffen den Notarzt und wie kann in der Praxis mit dem kollidierenden Datenschutz umgegangen werden?

Die europäische Datenschutz-Grundverordnung (EU-DSGVO) ist ein Regelwerk der Europäischen Union, welches der Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen dient. Dadurch soll zum einen der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt werden und zum anderen der freie Datenverkehr innerhalb der Union gewährleistet werden.[ ¹ ]

Gerade ein Notarzt kommt bei seinem Einsatz sehr schnell in Kontakt mit Patienten, was unweigerlich dazu führt, dass er zur Erfüllung seiner Notarzttätigkeit regelmäßig Patientendaten verarbeitet. Dies führt dazu, dass er Verantwortlicher nach Art. 4 Nr. 7 DSGVO ist. Das ist zumindest regelmäßig dann der Fall, wenn die Tätigkeit nicht zu den dienstlichen Aufgaben eines angestellten Arztes gehört, der an einem zur Teilnahme am Notdienst berechtigten Krankenhaus arbeitet. Als Verantwortlicher gelten die Vorschriften der DSGVO und die des BDSG für den Notarzt vollumfänglich.

Der Notarzt muss Patientendaten im Rahmen seines Einsatzes verarbeiten. Das macht ihn zum Verantwortlichen i. S. des Art. 4 Nr. 7 DSGVO. Dies gilt jedenfalls dann, wenn die Notarzttätigkeit nicht zu den dienstlichen Aufgaben eines an einem zur Teilnahme am Notarztdienst ermächtigten Krankenhaus angestellten Arztes gehört. In diesem Fall wäre das Krankenhaus der Verantwortliche. Als Verantwortlicher gelten die Vorschriften der DSGVO und des neuen BDSG für den Notarzt im vollen Umfang.

I. Diese Pflichten treffen den Notarzt

1. Informationspflicht

2. Rechenschaftspflicht

3. Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten

4. Pflicht zur rechtmäßigen Datenverarbeitung

5. Ggf. weitere Pflichten, wie die Anzeigepflicht bei Verstößen

1. Informationspflicht

Auch Notfallpatienten haben grundsätzlich die nach Art. 13 DSGVO vorgeschriebenen Informationen zu erhalten. Diese Informationspflicht besteht nur dann nicht, wenn und soweit die betroffene Person bereits über die geforderten Informationen verfügt. Am einfachsten wird dieser Informationspflicht genüge getan, wenn der Patient ein Informationsblatt mit der Angabe des Notarztes erthält, welche Daten dieser für die Behandlung erhebt und verarbeitet. Eine solche Erklärung kann zwar grundsätzlich standardisiert verwendet werden. Jedoch ist dies nicht pauschal möglich, sodass es sich anbietet, standardisierte Muster auf den jeweiligen Patienten im Einzelfall anzupassen. Ein entsprechendes Muster befindet sich am Ende des Artikels.

2. Rechenschaftspflicht

Im Rahmen der Rechenschaftspflicht ist ein geeigneter Nachweis über den Umgang mit Patientendaten notwendig. Dabei ist für die Umsetzung im Rahmen der Einhaltung der Grundsätze der DSGVO in der Praxis jeder Verarbeitende selbst verantwortlich. Ein einheitlicher Leitfaden wurde bislang noch nicht erstellt. Zudem gibt es kaum praktische Erfahrung über die Umsetzung, da bislang in Ermangelung gerichtlicher Entscheidungen auf diesem Gebiet noch nicht abzusehen ist, wie umfangreich die Rechtsprechung die Voraussetzungen für die Einhaltung der Rechenschaftspflicht sieht.

Grundsätzlich sind von jedem Verantwortlichen im jeweiligen Einzelfall die folgenden Prinzipien der DSGVO zu beachten, woraus sich beispielhaft die unten aufgeführten Hinweise für die Praxis ergeben.

Prinzipien der DSGVO

• Rechtmäßigkeit der Datenverarbeitung

• Transparenz der Datenverarbeitung

• Datenminimierung

• Richtigkeit der Daten

• Zweck der Datenerhebung

• Speicherbegrenzung

• Vertraulichkeit durch angemessene Sicherheit der Datenverarbeitung

Hinweise für die Praxis

Patientendaten sollen nicht unverschlüsselt per Mail oder WhatsApp versendet werden.

Verwendung von Zugriffsberechtigungen.

Regelung statuieren, wer auf aufbewahrte Dateien und Ordner zugreifen kann.

Sichere Verwahrung: Zum Beispiel Passwortmanager verwenden, möglicherweise „gehashte“ Passwörter.

Wie werden Daten vernichtet? Gibt es eine Speicherfrist?

Hinweise für die Praxis

Hinweis an den Notarzt, dass bei Verstößen eine Meldung an die Aufsichtsbehörden zu erfolgen hat.

Mitarbeiterschulung durchführen: Verpflichtungen in AGB dürften dabei nicht wirksam sein.

Um grundsätzlich auf der sicheren Seite zu sein und um ein fahrlässiges Handeln zu vermeiden, empfiehlt sich jedoch eine individuelle Beratung für den jeweiligen Einzelfall. Ein Unternehmen, das sich auf Datenschutz gerade im Gesundheitsbereich spezialisiert hat, ist die Health Data Protect GmbH (HDP: https://health-data-protect.de), über welches eine individuelle Beratung, sowie die Erstellung von Vorlagen und Muster erfolgen kann.

3. Verzeichnis für Verarbeitungstätigkeit

Artikel 30 DSGVO setzt voraus, dass ein Verzeichnis über die Verarbeitung der Daten geführt wird. In diesem Verzeichnis sind sämtliche Daten, Verarbeitungsschritte und Grundlagen für die Verarbeitung einzutragen. Ein solches Verzeichnis ist auch vom behandelnden Notarzt zu führen.

Dabei bietet es sich in der Praxis an, mit standardisierter Software zu arbeiten. Es gibt jedoch keine zwingende Vorgabe, diese zu verwenden. Hier gilt es zu beachten, dass gewährleistet sein muss, dass im Rahmen der Datenportabilität sämtliche Angaben einer Person in einem strukturierten und maschinenlesbaren Format gespeichert werden, damit diese jederzeit an den Betroffenen herausgegeben werden können.

4. Datenschutzkonzept für den Fall eines Verstoßes

Bei Verstößen gegen die Vorgaben der DSGVO ist die zuständige Aufsichtsbehörde binnen 72 Stunden zu informieren. Diese Vorgabe zeigt, dass es gerade im notärztlichen Dienst, dessen Wesen es ist, dass es schnell gehen muss, sinnvoll ist, wenn ein ausgeklügeltes Datenschutzkonzept vorhanden ist. Zudem ist es unabdingbar, dass der jeweilige Verantwortliche auf den Datenschutz sensibilisiert ist. Denn nur, wenn der Betroffene den datenschutzrechtlichen Verstoß als solchen wahrnimmt, kann der Anzeigepflicht innerhalb des vorgegebenen Zeitraums entsprochen werden. In diesem Zusammenhang stellen sich sodann, und das meist in der Kürze der Zeit, zahlreiche Fragen. Beispielhaft sind hier zu nennen: Wie und welche Daten darf die Leitstelle erheben und speichern? Ist eine Speicherung in der Cloud zulässig? Welche Daten dürfen an Angehörige herausgegeben werden und hat der MDK einen Anspruch auf Dateneinsicht?

Insbesondere im Rahmen der Tatsache, dass einige Rettungsfahrzeuge beispielsweise weiterhin im analogen Funknetz Einsatzdaten übermitteln, zeigt sich, wie wichtig ein Appell an ein Konzept zur Gewährleistung der Datensicherheit ist.

II. DSGVO vs. Landesrettungsdienstgesetz

Aufgrund des Föderalismusprinzips in Art. 70 Abs. 1 GG ist der Rettungsdienst in Deutschland Ländersache und wird daher durch Landesgesetze geregelt. Dementsprechend hat jedes Bundesland sein eigenes Landesrettungsdienstgesetz. Beispielsweise in Bayern sind rechtliche Grundlagen für die Organisation und die Durchführung des Rettungsdienstes das Bayerische Rettungsdienstgesetz (BayRDG), die Verordnung zur Ausführung des Bayerischen Rettungsdienstgesetzes (AVBayRDG) und das Gesetz über die Errichtung und den Betrieb Integrierter Leitstellen (ILSG). Grundsätzlich findet auch im Rettungsdienst die DSGVO Anwendung. Jedoch beinhalten zahlreiche bundes- und landesrechtlichen Bestimmungen auch für den Rettungsdienst relevante Sonderregelungen.

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist im Falle des Beispiels Bayern die Erfüllung einer rechtlichen Verpflichtung, der der Rettungsdienst unterliegt, die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen und die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt gemäß Art. 6 Abs. 1 lit. c bis e EU-DSGVO i. V. m. Art. 46 Abs. 1, Art. 47 Abs. 1 BayRDG und § 11 AVBayRDG.

Die Landesrettungsdienstgesetze enthalten auch Ermächtigungsregelungen bezüglich der Aushändigung eines Merkblattes. Grundsätzlich ist es in jedem Falle empfehlenswert, einem Notfallpatienten ein entsprechendes Merkblatt auszuhändigen. Jedoch muss diesbezüglich beachtet werden, dass eine solche Aushändigung gerade in Notfallsituationen oftmals nicht möglich ist. Grund dafür ist die regelmäßig herrschende Zeitnot in der Notfallmedizin. Zudem sind Notfallpatienten oftmals nicht bei Bewusstsein und Angehörige, falls sie anwesend sind, welche stattdessen das Merkblatt entgegennehmen könnten, emotional nicht in der Lage.

III. Vorschlag für die Praxis

Nachfolgend findet sich ein Mustervorschlag für eine Datenschutzerklärung für den Patienten. Dieser könnte wie folgt aufgebaut sein:

Datenschutz ist mir, als behandelnder Notarzt, sehr wichtig und nach der Datenschutz-Grundverordnung (DSGVO) bin ich verpflichtet, Sie darüber zu informieren, zu welchem Zweck ich Ihre Daten verarbeite. Dieser Information können Sie entnehmen, welche Rechte Sie haben.

1. Verantwortlich

für die Datenverarbeitung ist: Praxisname, Adresse, Kontaktdaten, Datenschutzbeauftragten

2. Zweck der Datenverarbeitung

Die Datenverarbeitung erfolgt aufgrund gesetzlicher Vorgaben. Dies ist der Fall, obwohl durch meine Versorgung als Notarzt kein Behandlungsvertrag im klassischen Sinne zustande kommt.

Dazu verarbeite ich sämtliche personenbezogenen Daten sowie Ihre Gesundheitsdaten, wie Anamnese, Diagnose, Befunde und Therapie. Zum Zwecke Ihrer Versorgung können uns auch andere Ärzte und Fachpersonal, bei denen Sie in Behandlung sind, Daten zur Verfügung stellen (beispielsweise in Arztbriefen).

Die Erhebung von Gesundheitsdaten ist Voraussetzung für Ihre Behandlung. Würden die notwendigen Informationen nicht bereitgestellt werden, so könnte eine sorgfältige Behandlung nicht erfolgen.

3. Empfänger ihrer Daten

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte erfolgt ausschließlich, wenn dies gesetzlich gestattet ist oder Sie eingewilligt haben.

Empfänger Ihrer personenbezogenen Daten sind insbesondere andere Ärzte oder Krankenhäuser, Krankenkassen, der Medizinische Dienst der Krankenversicherung, Ärztekammern oder Verrechnungsstellen.

Die Übermittlung erfolgt zum Zwecke der Abrechnung der bei Ihnen erbrachten Leistungen und zur Klärung von notwendigen Fragen.

4. Speicherung Ihrer Daten

Ihre personenbezogenen Daten bewahre ich nur so lange auf, wie dies für die Durchführung der Behandlung erforderlich ist. Regelmäßig ist dies ein Zeitraum von 10 Jahren nach Abschluss der Behandlung.

5. Ihre Rechte

Sie haben das Recht, Auskunft über die Sie betreffenden personenbezogenen Daten zu erhalten. Ebenfalls können Sie Berichtigung unrichtiger Daten oder deren Löschung verlangen.

Die Verarbeitung Ihrer Daten erfolgt auf Grundlage gesetzliche Regelungen, insbesondere der Rechtsgrundlage Artikel 9 Absatz 2 lit. h) DSGVO in Verbindung mit Paragraf 22 Absatz 1 Nr. 1 lit. b) Bundesdatenschutzgesetz. Nur in Ausnahmefällen benötige ich deswegen Ihr Einverständnis. In diesem Falle werde ich Sie darüber aufklären und eine Einwilligung einholen. Sie haben dann das Recht, die Einwilligung für die zukünftige Verarbeitung zu widerrufen.

Ferner haben Sie das Recht, sich bei der für Datenschutz zuständigen Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt.

Information über die zuständige Aufsichtsbehörde.

IV. Fazit

„Im Rettungsdienst steht man grundsätzlich mit einem Bein im Gefängnis“, heißt es doch so oft. So dramatisch ist die Realität zwar nicht, jedoch sollten vom Notarzt einige datenschutzrechtliche Belange beachtet werden. Insbesondere der freiberuflich tätige Notarzt sollte regelmäßig die Dokumentation sichern, Standard-Erklärungen mit sich führen und ein Verzeichnis von Verarbeitungstätigkeiten führen. Dabei gilt es nicht nur, die erhobenen Daten vor dem Zugriff Dritter zu schützen, sie vor Verlust zu bewahren oder Daten ausschließlich bei Berechtigung an Dritte zu übermitteln. Vielmehr sind sie zudem in der Regel nach Ablauf der Aufbewahrungsfristen zu löschen oder zu vernichten.

Zu beachten ist schließlich, dass nicht sämtliche Vorgaben der Kostenträger per se rechtlich zulässig sind. Die Rechtsgrundlage für die Notwendigkeit der jeweiligen Datenerhebung und deren Übermittlung sind grundsätzlich zu überprüfen. Denn auch an Krankenkassen oder die Kassenärztliche Vereinigung dürfen und müssen Notärzte personenbezogene Daten nur dann herausgeben, wenn dies auf einer gesetzlichen Grundlage beruht.

Außerdem müssen – zumindest nach dem Wortlaut des Gesetzes – auch Notfallpatienten, die nach Art. 13 DSGVO vorgesehenen Informationen erhalten (vgl. Muster Patienteninformation). Eine Ausnahme nach Art. 13 Abs. 4 DSGVO besteht nur dann, wenn und soweit die betroffene Person bereits über die geforderten Informationen verfügt. Abgesehen von der Frage der Sinnhaftigkeit und Praktikabilität dieser Regelung ist gerade im Notarztdienst bereits aus Gründen des Selbstschutzes vor möglichen Bußgeldern vom Notarzt zu überlegen, jedem Notfallpatienten eine Patienteninformation auszuhändigen bzw. mit dessen persönlichen Sachen in das aufnehmende Krankenhaus mitzugeben.

Trotz allem ist die Einhaltung datenschutzrechtlicher Vorgaben kein Buch mit sieben Siegeln, und nach einer Auseinandersetzung mit diesem Thema muss sich kein Notarzt davor fürchten.

Autorinnen/Autoren

Alexander P. F. Ehlers

Prof. Dr. iur. Dr. med, Partner der Rechtsanwaltssocietät Ehlers, Ehlers & Partner, Direktor des Health Care Management Institutes (HCMI) der EBS Universität für Wirtschaft und Recht, Oestrich-Winkel, Fachanwalt für Medizinrecht, Facharzt für Allgemeinmedizin

Julian Bartholomä

Rechtsanwalt, Senior Associate bei der Rechtsanwaltssocietät Ehlers, Ehlers & Partner, postgraduales verwaltungswissenschaftliches Ergänzungsstudium an der Deutschen Universität für Verwaltungswissenschaften, Speyer

¹ Vgl. Wikipedia: https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung.

Korrespondenzadresse