Einwilligung und Datenschutzerklärung ‒ darauf müssen Sie achten!

Vor allem Arztpraxen sind von den beiden Regelungsinstituten „Einwilligung“ und „Datenschutzerklärung“ nach Datenschutz-Grundverordnung
(DSGVO) und Bundesdatenschutzgesetz (BDSG) betroffen. Hier ein paar konkrete Beispiele, wie Sie die besonders sensiblen persönlichen Daten Ihrer Patienten behandeln können.

Diese Gesundheitsdaten darf der Augenarzt abfragen

Für Gesundheitsdaten, wie sie in einer augenärztlichen Praxis täglich entstehen und verarbeitet werden, gelten im Rahmen der DSGVO nach Art. 9 Abs. 1 folgende Besonderheiten:

• „Gesundheitsdaten“ sind nach Art. 4 Nr. 15 DSGVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

• Nach dem Willen des europäischen Gesetzgebers unterfallen diese Daten einem präventiven Verarbeitungsverbot. Ist die Verarbeitung jedoch für Zwecke der Gesundheitsvorsorge, für die medizinische Diagnostik oder für die Versorgung oder Behandlung im Gesundheitsbereich erforderlich (vgl. insoweit Art. 9 Abs. 2 lit. h DSGVO), wird eine Ausnahme von dem grundsätzlichen Verbot zugelassen. 

• Die Datenverarbeitung ist gemäß Art. 6 Abs. 1 DSGVO dann rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Erwägungsgrund 32 zur DSGVO führt dazu näher aus: Die Einwilligung muss durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. 

Dies kann etwa in Form einer schriftlichen Erklärung, die auch elektronisch möglich ist, oder einer mündlichen Erklärung erfolgen. In Betracht kommt auch das Anklicken eines Kästchens beim Besuch einer Internetseite. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen daher regelmäßig keine Einwilligung dar. Dient die Verarbeitung mehreren Zwecken, sollten alle Verarbeitungszwecke von der Einwilligung erfasst sein.

Aber: Zur Vertragserfüllung ist keine Daten-Einwilligung erforderlich

Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung ohne Einwilligung rechtmäßig, wenn sie für die Erfüllung eines Vertrags erfolgt, dessen Vertragspartei die betroffene Person ist, d. h.: Grundsätzlich muss ein Patient nicht in die Verarbeitung seiner Daten ausdrücklich einwilligen, die für die Behandlung in der Praxis (und ausschließlich dafür!) notwendig sind. Die Speicherung, Sammlung und Auswertung der Gesundheitsdaten beim behandelnden Arzt sind für die Erfüllung des Behandlungsvertrags erforderlich und deren kontextbezogene Verarbeitung ist damit rechtmäßig.

Darüberhinausgehende Verarbeitungszwecke erzwingen jedoch die Einwilligung

Im Umkehrschluss bedeutet dies, dass für Datenverarbeitungen, die jenseits einer Vertragsbeziehung stattfinden, eine Einwilligung des Betroffenen die maßgebliche Rechtmäßigkeitsvoraussetzung ist. 

Sollte der Augenarzt also beispielsweise

• die Daten an Kollegen weitergeben, 

• von Kollegen Patientendaten anfordern,

• solche etwa für eine Studie verwenden wollen oder

• Adressen zu Zwecken des E-Mail-Versands und für die Online-Terminvergabe generieren,

so muss jeweils eine gesonderte Einwilligung eingeholt werden.

Praxistipp
Die Einwilligung zu der Verarbeitung von Daten zu einem Zweck, der über den konkreten Behandlungszweck hinausgeht, sollte stets schriftlich eingeholt und dokumentiert werden. Dabei gilt: Je bestimmter der jeweilige Zweck formuliert ist, desto eher ist die Einwilligung in die Verarbeitung wirksam.

Der Augenarzt hat bestimmte Informationspflichten

Die DSGVO bringt zudem weitreichende Informationspflichten mit sich. Während der Hauptanwendungsfall für Datenschutzerklärungen in der Vergangenheit zumeist die Praxis-Website darstellte, so ist der Praxisinhaber nun gemäß Art. 13 DSGVO verpflichtet, jedem Patienten bei der erstmaligen Datenerhebung eine Datenschutzerklärung zu übergeben. Dies sollte ein ‒ im Einzelfall nötigenfalls zu personalisierender ‒ schriftlicher Bogen für den Patienten sein, der ihm bei der Erstaufnahme übergeben wird.

Mindestanforderungen, die in jeder Datenschutzerklärung zwingend enthalten sein müssen, sind in Art. 13 Abs. 1 DSGVO festgelegt. Zu benennen sind beispielsweise

• Kontaktdaten der/des Datenschutzbeauftragten

• Zwecke, für die die personenbezogenen Daten erhoben werden

• Rechtsgrundlage für die Verarbeitung

• Empfänger der Daten (KZV, private Abrechnungsstellen, Hausarzt, Fachärzte)

• Ggf. ergänzende Informationen wie Speicherdauer und Aufsichtsbehörde

Fazit

Die Sensibilisierung der Patienten für ihre Rechte und das Interesse an Datenschutz und Datensicherheit nehmen weiter zu. Diese Entwicklung aufzugreifen und in der eigenen Augenarztpraxis auch marketingtechnisch durch proaktives Kommunizieren einzusetzen („Tue Gutes und rede darüber“), wird ein echtes Qualitätsmerkmal sein, das die Patienten wahrnehmen werden.

Checkliste / DSGVO und Einwilligung

1. Einwilligung des Patienten in die Datenverarbeitung einholen, sobald die Daten zu Zwecken genutzt werden, die über die Erfüllung des Behandlungsvertrags hinausgehen (v. a. auch bei Kommunikation über Messenger-Dienste).

2. Datenschutzerklärungen auf praxiseigenen Websites nach den DSGVO-Anforderungen aktualisieren.

3. Patienten bei erstmaliger Verarbeitung der Daten aufklären ‒ dazu bietet sich die Datenschutzerklärung an.

4. Individuelle Praxisbesonderheiten für eine datenschutzkonforme Verarbeitung berücksichtigen und in die Datenschutzerklärung einpflegen.

5. Interesse an Datenschutz bei den Patienten auch marketingtechnisch nutzen (nicht als „Ballast“ begreifen).