Niedersachen klar Logo

DS-GVO im Gesundheitsbereich

Häufige Fragen und Antworten


An dieser Stelle erhalten Sie kurze Antworten auf die häufigsten Fragen zur Auswirkung der Datenschutz-Grundverordnung (DS-GVO) im Gesundheitsbereich. Sie gelten für alle Leistungserbringerinnen und Leistungserbringer im Gesundheitswesen, also Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Physiotherapeutinnen und Physiotherapeuten sowie sonstige heilberuflich tätige Personen. Apothekerinnen und Apotheker, Pflegedienste und ähnliche Einrichtungen können sich an den Antworten ebenfalls orientieren.

1. Wo finde ich die rechtlichen Grundlagen für die Verarbeitung von Gesundheitsdaten?

2. Wann muss ich eine/n Datenschutzbeauftragte/n (DSB) benennen?

3. Wer darf DSB sein und welche Anforderungen gibt es?

4. Wie kann ich die Informationspflichten nach den Artikeln 12 ff. DS-GVO erfüllen?

5. Welche datenschutzrechtlichen Besonderheiten sind bei einer Gemeinschaftspraxis / Berufsausübungsgemeinschaft zu beachten?

6. Welche datenschutzrechtliche Besonderheiten sind bei einer Praxisgemeinschaft zu beachten?

7. Muss ich ein Verzeichnis von Verarbeitungstätigkeiten führen?

8. Wann muss eine Datenschutzfolgenabschätzung vorgenommen werden?

9. Wie kann ich meine Beschäftigten auf die Wahrung des Datenschutzes verpflichten?

10. Wie kann ich meine Praxis datenschutzgerecht gestalten?

11. In welchen Fällen muss ein Auftragsverarbeitungsvertrag geschlossen werden?

12. Sind Auftragsverarbeitungsverträge anzupassen?

13. Was habe ich beim Betrieb einer Website zu beachten?

14. Was mache ich, wenn ich eine Datenpanne feststelle?

15. Benötige ich zur Speicherung der Patientendaten eine schriftliche Einverständniserklärung der Patienten?

16. Wie lange dürfen oder müssen Patientenakten gespeichert werden und können Patienten die Löschung von Daten verlangen?

17. Welche Anforderungen werden an eine Einwilligung oder Schweigepflichtentbindungserklärung im Gesundheitswesen gestellt?

18. Muss ich eine schriftlich erteilte Einwilligung in Papierform aufbewahren oder kann ich diese nach dem Einscannen und Speichern in der elektronischen Patientenakte vernichten?

19. Ist die Übergabe von Arztbriefen oder Rezepten an Angehörige und Bevollmächtigte zulässig?

20. Ist eine Rezeptversendung an Apotheken, Pflegeheime oder Patienten zulässig?

21. Darf ein Dritter einen Termin vor Ort oder am Telefon vereinbaren oder absagen?

22. Darf ich die Patienten an einen Untersuchungstermin erinnern (Recall-System)?

23. Darf ich mit einer Kollegin/einem Kollegen über die Patientin/den Patienten im Rahmen eines Konsils sprechen?

24. Darf ich Arztberichte oder Röntgenbilder per Fax senden oder anfordern?

25. Darf ich E-Mails mit personenbezogenen Daten versenden?

26. Darf ich WhatsApp in der beruflichen Kommunikation nutzen?

27. Ein Patient ist verstorben, die Angehörigen wollen Einsicht in die Patientenakte nehmen. Ist dies zulässig?

1. Wo finde ich die rechtlichen Grundlagen für die Verarbeitung von Gesundheitsdaten?

Der Begriff „Gesundheitsdaten“ ist in Art. 4 Ziffer 15 DS-GVO definiert. Es handelt sich dabei um Daten, „die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.
Gesundheitsdaten sind besondere Kategorien personenbezogener Daten. Ihre Verarbeitung ist gem. Art. 9 Abs. 1 DS-GVO grundsätzlich verboten, es sei denn, es liegt eine Befugnis nach Art. 9 Abs. 2 DS-GVO vor. Hier kommt entweder eine gesetzliche Befugnis, der Behandlungsvertrag oder die Einwilligung der Betroffenen in Betracht.

2. Wann muss ich eine/n Datenschutzbeauftragte/n (DSB) benennen?

Ein/e DSB ist immer zu benennen wenn 10 oder mehr Personen einschließlich der oder dem Verantwortlichen mit der Verarbeitung von Gesundheitsdaten befasst sind. Bei weniger als 10 Personen benötigen Sie dennoch eine/n DSB,

  • wenn eine weit über das normale Maß hinausgehende, umfangreiche Datenverarbeitung erfolgt oder
  • wenn eine Pflicht zur Erstellung einer Datenschutzfolgenabschätzung nach Art. 35 DS-GVO besteht. Eine Übersicht, welche Verarbeitungsvorgänge diese Pflicht auslösen, finden Sie auf der sog. Muss-Liste.

Eine durchschnittliche Arztpraxis (unter Einsatz einer üblichen Praxisverwaltungssoftware, ohne Einsatz neuartiger Technologien) wird im Falle von weniger als 10 Personen, die Gesundheitsdaten verarbeiten, in der Regel kein/e DSB benennen müssen. Mehr Informationen dazu finden Sie hier.

3. Wer darf DSB sein und welche Anforderungen gibt es?

Die Aufgabe der oder des DSB ist die Kontrolle der oder des Verantwortlichen (also z. B. des Praxisinhabers) in Bezug auf die Einhaltung der datenschutzrechtlichen Vorschriften. Ein/e DSB muss daher über die erforderliche Fach- und Sachkunde verfügen, welche durch zertifizierte Aus- oder Fortbildungen nachgewiesen werden kann.

Aufgrund der Kontrollfunktion kann die oder der Praxisinhaber/in sowie eine/e IT-Verantwortliche/r nicht DSB sein. Es darf kein Interessenskonflikt zwischen dem Amt als DSB und der ausgeübten Tätigkeit vorliegen.

Als DSB kann jede/r Praxismitarbeiter/in benannt werden, auch angestellte Ärztinnen und Ärzte. Ebenso kann ein/e externe/r DSB benannt werden.

4. Wie kann ich die Informationspflichten nach den Artikeln 12 ff. DS-GVO erfüllen?

Wichtig: Die Bekanntgabe der Informationen über die Art und Weise, wie die Daten verarbeitet werden, stellt KEINE Rechtsgrundlage für eine Datenverarbeitung dar.

  • Was muss ein Informationsschreiben enthalten?

Die Mindestanforderungen ergeben sich aus Art. 13 DS-GVO, wenn die Datenerhebung direkt bei den Patienten erfolgt und aus Artikel 14 DS-GVO, wenn die Datenerhebung bei Dritten (z.B. Vorbehandelnden) erfolgt. Ein Muster dafür finden Sie hier (Word-Download). Dieses ist auf die jeweiligen Praxisbesonderheiten anzupassen.


  • Wann und wie oft müssen die Betroffenen informiert werden?

Die Information muss zu dem Zeitpunkt erfolgen, zu dem die Daten der betroffenen Person ab dem 25.05.2018 verarbeitet werden. Bei Patienten ist dies der Zeitpunkt, zu dem diese nach dem Stichtag erneut Kontakt zu der Praxis aufnehmen oder die Praxis aus sonstigen Gründen die Daten der Patienten verarbeitet. Die Information muss nicht bei jedem Besuch wiederholt werden. Sollte die Praxis die Art und Weise der Datenverarbeitung verändern, sind die Patienten darüber zu informieren.


  • Wie muss die Information in der Praxis erfolgen?

Die Information soll grundsätzlich schriftlich erfolgen. Ein Aushang in der Praxis ist zulässig, wenn die Betroffenen vor Verarbeitung ihrer Daten auf den Aushang hingewiesen werden und auf Wunsch eine Kopie der Informationen erhalten.


  • Müssen die Patienten den Erhalt der Informationen schriftlich bestätigen?

Nein, eine schriftliche Bestätigung ist nur eine Möglichkeit, den Erhalt der Informationen nachzuweisen. Eine weitere Möglichkeit ist, ein schriftlich dokumentiertes Verfahren in der Praxis einzurichten, wonach jede betroffene Person zu einem konkret festgelegten Zeitpunkt die Informationen erhält. Bei dieser Verfahrensweise genügt eine Dokumentation in der Patientenakte, wann die Information erteilt wurde.


  • Wie muss die Information bei einer eingehenden E-Mail, einem Fax, einem Brief oder einem Anruf erfolgen?

Die DS-GVO sieht vor, dass auch in diesen Fällen entsprechende Informationen erteilt werden. Gerade bei Anrufen ist jedoch eine verkürzte, auf die durch den Anruf entstehende Datenverarbeitung bezogene Information, mit einem Verweis auf die Fundstelle der vollständigen Informationen (z. B. im Internet oder als Aushang), zulässig.

5. Welche datenschutzrechtlichen Besonderheiten sind bei einer Gemeinschaftspraxis / Berufsausübungsgemeinschaft zu beachten?

Gemeinschaftspraxen sind Berufsausübungsgemeinschaften und stellen berufsrechtlich "eine" Praxis dar. Grundsätzlich schließt der Patient bei einer Gemeinschaftspraxis mit allen Ärztinnen und Ärzten gemeinschaftlich einen Behandlungsvertrag. Die Ärzte sind aufgrund des Behandlungsvertrags zur wechselseitigen Behandlung berechtigt und insoweit auch untereinander von der ärztlichen Schweigepflicht befreit. Ärzte in Gemeinschaftspraxen haben deshalb in der Regel einen gemeinsamen Patientenstamm, eine gemeinsame Dokumentation und einen gemeinsamen Datenbestand, auf den jeder Arzt zugreifen darf.

Für die Prüfung, ob aufgrund der Personenzahl eine oder ein Datenschutzbeauftragter zu benennen ist, sind alle Ärzte und Beschäftigten zu zählen.

6. Welche datenschutzrechtliche Besonderheiten sind bei einer Praxisgemeinschaft zu beachten?

Bei Praxisgemeinschaften handelt es sich um einen Zusammenschluss mehrerer Ärzte zum Zweck der gemeinsamen Nutzung der Praxisräume und / oder des Praxispersonals. Jede Praxis ist rechtlich selbständig und muss daher einen eigenen Patientenstamm, eine eigene Dokumentation und einen eigenen Datenbestand führen. Jeder Arzt behandelt grundsätzlich nur seine eigenen Patienten und ist verpflichtet, hierüber eine eigene Dokumentation zu führen, die für die weiteren Ärzte nicht zugänglich ist.

Sollte es kein gemeinsames Praxispersonal geben, so hat auch nur das Praxispersonal des jeweils behandelnden Arztes Zugriff auf die entsprechenden Daten. Unter den Partnern der Praxisgemeinschaft gilt die ärztliche Schweigepflicht. In Praxisgemeinschaften können deshalb nur EDV-Systeme eingesetzt werden, die technisch eine Zuordnung der Patientendaten zum jeweils behandelnden Arzt ermöglichen und einen Zugriff der anderen Partner der Praxisgemeinschaft und des Praxispersonals der anderen Partner ausschließen.

Die Prüfung, ob aufgrund der Personenzahl eine oder ein Datenschutzbeauftragter zu benennen ist, ist von jeder Praxis gesondert vorzunehmen. Es sind nur die Ärzte und Beschäftigten zu zählen, welche Zugriff auf die Daten der jeweiligen Praxis haben. Angestellte beider Praxen sind von beiden Praxen zu zählen.

Im Falle einer Praxisgemeinschaft ist darüber hinaus die Möglichkeit einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DS-GVO zu prüfen, sofern die beteiligten Praxen gemeinsam Daten verarbeiten (gemeinsame telefonische oder elektronische Erreichbarkeit, gemeinsame Empfangstheke oder gemeinsame Patientenverwaltung).

7. Muss ich ein Verzeichnis von Verarbeitungstätigkeiten führen?

Ja, nach Art. 30 DS-GVO muss jede/r Verantwortliche, welche/r Gesundheitsdaten verarbeitet, ein Verzeichnis von Verarbeitungstätigkeiten führen. Ein Muster finden Sie hier (Word-Download).

8. Wann muss eine Datenschutzfolgenabschätzung vorgenommen werden?

Art. 35 DS-GVO sieht vor, dass Verantwortliche, welche eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten vornehmen, eine Datenschutzfolgenabschätzung vorzunehmen haben. Selbiges gilt bei einer Form der Verarbeitung, insbesondere bei Einsatz neuer Technologien, aufgrund deren Art, Umfang, Umständen und Zwecken voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Ausführliche Hinweise finden Sie in den DSK-Kurzpapieren Nr. 5 (PDF-Download) und Nr. 18 (PDF-Download).

9. Wie kann ich meine Beschäftigten auf die Wahrung des Datenschutzes verpflichten?

Hinweise zu diesem Thema und ein entsprechendes Muster sind in Kurzpapier Nr. 19 (PDF-Download)veröffentlicht (Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der DS-GVO).

10. Wie kann ich meine Praxis datenschutzgerecht gestalten?

In jeder Praxis kann man durch organisatorische Maßnahmen sehr viel für den Datenschutz tun.

Der wichtigste Bereich in der Praxis ist der, den die Patientinnen und Patienten sowie Besucher der Praxis sehen und betreten können. In diesen Bereichen dürfen keine Patientendaten abgelegt werden, damit diese für Dritte nicht einsehbar sind.

Ein Kopierer, die Server für die EDV-Anlage, die Ablage für die Karteikarten oder ein Faxgerät dürfen nicht dort abgestellt werden, wo Patienten und Besucher einen unbeobachteten Zugriff auf diese Geräte haben können.

Am Empfangstresen müssen die Patienten die Möglichkeit haben, sich anzumelden und ggf. den Grund ihres Besuchs zu schildern, ohne dass andere Patienten zuhören können. Im Idealfall setzen Sie das durch eine ausreichend große Diskretionszone um. Zudem sollten Sie auf einen Wartebereich in der Nähe des Empfangs verzichten. Ist dies aufgrund der räumlichen Situation nicht möglich, sind die Beschäftigten anzuweisen, abhängig von der Situation vor Ort, die Patienten leise und nicht direkt mit Namen und der vorliegenden Erkrankung oder Behandlungsmethode anzusprechen.

In den Behandlungsräumen dürfen nur die Daten des jeweiligen Patienten vorhanden sein. Ein EDV-Gerät ist entsprechend zu sperren, bis die Ärztin oder der Arzt das Zimmer betritt.

11. In welchen Fällen muss ein Auftragsverarbeitungsvertrag geschlossen werden?

Zunächst ist festzuhalten, dass nicht jede Auftragsvergabe eine Auftragsverarbeitung (AV) im datenschutzrechtlichen Sinne darstellt.

Typische Fälle, in denen aufgrund der weisungsgebundenen Tätigkeit ein AV-Vertrag im Sinne des Art. 28 DS-GVO geschlossen werden muss, sind:

  • Installation und Wartung der EDV-Anlage,
  • externe Archivierung von Daten,
  • Aktenvernichtung,
  • externer Schreibdienst.

Hinweis:
Neben den Vorgaben des Art. 22 DS-GVO sind immer auch die Vorgaben des § 203 Absätze 3 und 4 Strafgesetzbuch (StGB) zu beachten, wonach beim Auftragnehmer eine ausdrückliche Verpflichtung zur Geheimhaltung durch die oder den Verantwortlichen vorzunehmen ist.

In folgenden Fällen wird, aufgrund der von der dritten Stelle durchgeführten weisungsfreien Tätigkeit, in der Regel keine Auftragsverarbeitung vorliegen:

  • Abrechnung über eine PVS,
  • Beauftragung eines medizinischen Labors,
  • Überweisung an einen anderen Arzt (z.B. Radiologen).

Daher bedarf eine Datenübermittlung an diesen Stellen einer Rechtsgrundlage oder der Einwilligung der Patienten.

12. Sind Auftragsverarbeitungsverträge anzupassen?

Es wird empfohlen, bestehende Auftragsverarbeitungsverträge hinsichtlich der neuen Regelungen der DS-GVO (zum Beispiel die Informationspflicht bei Datenpannen binnen 72 Stunden) zu überprüfen, anzupassen und entsprechende Mitteilungspflichten aufzunehmen.

13. Was habe ich beim Betrieb einer Website zu beachten?

Die Website muss mit einer, dem Schutzbedarf angemessenen, Verschlüsselung (TLS / SSL) betrieben werden. Sofern Kontaktformulare genutzt werden, sind auch diese mit einer Verschlüsselung zu betreiben. Ob eine Webseite bereits verschlüsselt ist, erkennt man daran, dass im Internetbrowser die Adresse mit https://www... beginnt.

Wird eine E-Mail-Adresse zur Kontaktaufnahme bereitgestellt, ist ein Hinweis aufzunehmen, dass die Kommunikation unverschlüsselt erfolgt und keine sensiblen Gesundheitsdaten übermittelt werden dürfen.

Jede Website muss eine Datenschutzerklärung enthalten, welche ähnlich wie das Impressum ohne größeren Aufwand leicht zugänglich sein muss. In der Datenschutzerklärung müssen alle auf der Website eingesetzten Programme genannt und die Datenverarbeitung dieser Programme beschrieben werden. Sie bezieht sich nur auf die Website und ist unabhängig von den Informationspflichten gem. Art. 13 und Art. 14 DS-GVO zu erstellen.

Sofern auf der Website Fotos von Beschäftigten eingestellt werden, ist für jedes Foto das schriftliche Einverständnis der betroffenen Personen einzuholen. Sobald eine Person das Einverständnis widerruft, ist das Foto unverzüglich von der Website zu nehmen. Das gilt auch für Gruppenbilder.

14. Was mache ich, wenn ich eine Datenpanne feststelle?

Ein Fall nach Art. 33 DS-GVO liegt vor, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig einem Dritten zur Kenntnis gelangt sind, beschädigt oder vernichtet wurden oder verloren gegangen sind. Sofern hierdurch ein Risiko für die Betroffenen entstehen könnte, ist die LfD Niedersachsen spätestens innerhalb von 72 Stunden über diesen Vorfall zu informieren. Hierzu ist ein entsprechendes Meldeformular auf der Website der LfD eingerichtet.

Könnte aufgrund des Vorfalls sogar ein hohes Risiko für die Betroffenen vorliegen, sind gem. Art. 34 DS-GVO auch die Betroffenen in geeigneter Weise unverzüglich zu unterrichten.

Wir empfehlen die Einrichtung eines fest vorgegebenen, internen Meldeweges.

15. Benötige ich zur Speicherung der Patientendaten eine schriftliche Einverständniserklärung der Patienten?

Die Befugnis, Patientendaten verarbeiten zu dürfen, ergibt sich aus dem Behandlungsvertrag, welcher mit jeder Patientin / mit jedem Patienten geschlossen werden muss. Es besteht keine Pflicht, einen Behandlungsvertrag schriftlich zu schließen.

Aufgrund der sich aus dem Patientenrechtegesetz (§ 630f BGB), der Berufsordnung, Rahmenvereinbarungen und ggf. weiteren Gesetzen ergebenden Dokumentationspflichten, ist die für die Durchführung des Behandlungsvertrages erforderliche Datenverarbeitung und -speicherung gesetzlich verpflichtend geregelt. Für eine Einwilligung der Patienten ist daher kein Raum.

16. Wie lange dürfen oder müssen Patientenakten gespeichert werden und können Patienten die Löschung von Daten verlangen?

Art. 17 DS-GVO besagt, dass personenbezogene Daten gelöscht werden müssen, wenn diese zur Aufgabenerfüllung nicht mehr erforderlich sind und keine Aufbewahrungspflichten oder vorrangige Interessen der Betroffenen einer Löschung entgegenstehen.

Aus § 630f Abs. 3 BGB ergibt sich die Verpflichtung, Patientenakten mindestens 10 Jahre nach Abschluss der Behandlung aufzubewahren.
Die Röntgenverordnung und das Strahlenschutzgesetz sehen für bestimmte Daten eine Aufbewahrungsfrist von 30 Jahren vor.
Zur Abwehr von Schadensersatzansprüchen kann nach § 823 BGB i.V.m. § 199 Abs. 2 BGB in begründeten Fällen, unabhängig von der Art der Daten, auch eine Aufbewahrungsfrist von 30 Jahren zulässig sein.

Das bedeutet, Patienten haben erst nach Ablauf dieser Fristen einen Anspruch auf Löschung ihrer Daten.

17. Welche Anforderungen werden an eine Einwilligung oder Schweigepflichtentbindungserklärung im Gesundheitswesen gestellt?

Die Abgabe dieser Erklärungen muss freiwillig sein. In Fällen, in welchen eine gesetzliche Befugnis zur Übermittlung von Daten vorliegt, zum Beispiel Meldungen nach dem Infektionsschutzgesetz, den Krebsregistergesetzen oder die Abrechnung bei gesetzlich versicherten Patienten über die Kassenärztliche Vereinigung, bedarf es keiner Einwilligungserklärung.

Kann eine Datenübermittlung mangels einer Rechtsgrundlage nur mit Einwilligung der Patienten erfolgen, müssen die Patienten dennoch die Möglichkeit haben, die Einwilligung nicht zu erteilen. Im Falle einer fehlenden Einwilligung für die Abrechnung privatärztlicher Leistungen über eine PVS bietet es sich an, die Abrechnung selbst durchzuführen, anstatt die Behandlung abzulehnen.

Auch wenn die Schriftform nicht von der Datenschutz-Grundverordnung verlangt wird, bietet sich diese aus Gründen der Nachweisführung an. Folgende Punkte müssen mindestens enthalten sein:

  • Wer übermittelt? (Name, Anschrift Sender)
  • Wessen Daten? (Name der oder des Betroffenen)
  • Wem? (Name, Anschrift Empfänger)
  • Welche Daten? (Datenumfang)
  • Wofür? (Zu welchem Zweck)
  • Hinweis auf Freiwilligkeit
  • Hinweis auf Möglichkeit des Widerrufes ("mit Wirkung für die Zukunft, oh-ne Angabe von Gründen")

18. Muss ich eine schriftlich erteilte Einwilligung in Papierform aufbewahren oder kann ich diese nach dem Einscannen und Speichern in der elektronischen Patientenakte vernichten?

Das Datenschutzrecht kennt verschiedene Schutzziele, welche in Art. 32 DS-GVO normiert sind. Eine elektronische Patientenakte muss diesen Vorgaben entsprechen. Ist dies der Fall, ist es aus datenschutzrechtlicher Sicht nicht erforderlich, die eingescannte Unterschrift auf Papier aufzubewahren.

19. Ist die Übergabe von Arztbriefen oder Rezepten an Angehörige und Bevollmächtigte zulässig?

Sofern die Patientin oder der Patient in der Zeit vor dem 25.05.2018 bereits eine Einwilligung erteilt hat, dass Rezepte oder Arztbriefe usw. an eine namentlich benannte Person übergeben werden dürfen, so ist dies auch nach dem 25.05.2018 zulässig.

Eine ggf. erforderliche Anpassung der Einwilligungserklärung an die aktuell gültige Rechtslage hat beim nächsten direkten Patientenkontakt oder zusammen mit der gewünschten Übersendung oder Übergabe der Dokumente zu erfolgen. Die aktualisierte Erklärung ist von den Patienten zurück zu senden oder zum nächsten Termin mitzubringen.

Die oder der Dritte, welcher die Dokumente in Empfang nehmen möchte, muss sich entsprechend ausweisen.

20. Ist eine Rezeptversendung an Apotheken, Pflegeheime oder Patienten zulässig?

Sofern die Patientin oder der Patient in der Zeit vor dem 25.05.2018 bereits eine Einwilligung erteilt hat, dass Rezepte per Post an eine ausdrücklich benannte Apotheke, das Pflegeheim, in welchem die oder der Patient wohnt, oder an die in der Praxis gespeicherte private Wohnadresse gesandt werden dürfen, so ist dies auch nach dem 25.05.2018 zulässig.

Eine ggf. erforderliche Anpassung der Einwilligungserklärung an die aktuell gültige Rechtslage hat beim nächsten direkten Patientenkontakt oder zusammen mit der gewünschten Übersendung des Rezeptes zu erfolgen. Die aktualisierte Erklärung ist von den Patienten zurück zu senden oder zum nächsten Termin mitzubringen.

21. Darf ein Dritter einen Termin vor Ort oder am Telefon vereinbaren oder absagen?

Grundsätzlich sollte auch für derartige Sachverhalte eine entsprechend formulierte Einverständniserklärung eingeholt werden.

Die Vereinbarung eines neuen Termins durch Dritte ist datenschutzrechtlich unproblematisch, sofern ausschließlich die oder der Dritte die entsprechenden personenbezogenen Daten der Patientin oder des Patienten nennt und die Praxis lediglich die aktuelle Terminbuchung bestätigt.

Sofern ein Dritter einen Termin absagen oder verschieben möchte, ist hierzu eine entsprechende Einverständniserklärung der Patientin oder des Patienten erforderlich, da die Praxis hierbei zumindest bestätigt, dass bereits ein Termin vereinbart gewesen ist. Dies stellt bereits eine Übermittlung von Gesundheitsdaten ohne Rechtsgrundlage dar.

Zusätzlich muss sich die oder der Dritte vor Ort ausweisen oder der Anruf muss von der im Praxissystem hinterlegten Telefonnummer erfolgen.

22. Darf ich die Patienten an einen Untersuchungstermin erinnern (Recall-System)?

Ja, sofern die Patienten ihr Einverständnis hierzu erteilt haben. Bitte bedenken Sie, dass auch mit der Erinnerung eines Patienten an einen Untersuchungstermin bereits besondere Kategorien personenbezogener Daten verarbeitet werden. Eine Postkarte ohne Briefumschlag ist daher nicht zulässig.

23. Darf ich mit einer Kollegin/einem Kollegen über die Patientin/den Patienten im Rahmen eines Konsils sprechen?

Ja, die Befugnis zu der hierfür erforderlichen Datenübermittlung ergibt sich grundsätzlich auch aus dem Behandlungsvertrag. Indem die oder der Patient Ihnen auf Ihre Nachfrage den Namen der oder des mit- oder vorbehandelnden Arztes mitteilt, kann davon ausgegangen werden, dass das Einverständnis erteilt wird (§ 9 Abs. 4 der Berufsordnung der Ärztekammer Niedersachsen).

Sofern lediglich eine zweite Meinung zu einem Krankheitsbild eingeholt werden soll, hat dies ohne Nennung der Namen der Patienten zu erfolgen. Eine Entbindung von der Schweigepflicht ist dann nicht erforderlich.

24. Darf ich Arztberichte oder Röntgenbilder per Fax senden oder anfordern?

Vor einer Nutzung von Faxgeräten ist immer eine individuelle Risikoanalyse durchzuführen und das Einverständnis der Betroffenen einzuholen. Liegt dies vor und ist der Nutzen der Datenübermittlung mittels Fax höher als das datenschutzrechtliche Risiko, ist der Fax-Versand besonders sensitiver Daten ohne weitergehende technische Sicherungsmaßnahmen (Verschlüsselung) maximal im Ausnahmefall hinnehmbar.

In diesen Fällen müssen dann zwingend organisatorische Datenschutzmaß-nahmen getroffen werden (Kontrolle der Fax-Nummer, vorherige Unterrichtung, kein Zugriff durch Dritte auf das Faxgerät etc.).

Eine regel- und standardmäßige Übersendung per Fax ist weder dem Stand der Technik entsprechend, noch im Allgemeinen dem Risiko angemessen und daher unzulässig.

Datenschutzgerechte Übermittlungswege sind unter anderem: Persönliche Übergabe, Versand per Brief, hinreichend inhaltsverschlüsselte E-Mail (Ende-zu-Ende Verschlüsselung bzw. per Gateway-Lösung) oder die Inanspruchnahme gesonderter abgesicherter Umgebungen (z.B. KV-SafeNet o.ä.).

25. Darf ich E-Mails mit personenbezogenen Daten versenden?

Eine unverschlüsselte E-Mail ist vergleichbar mit einer Postkarte, welche leicht von Dritten mitgelesen werden kann. Dies kann eine unbefugte Offenbarung von Patientengeheimnissen darstellen.

Im Gesundheitsbereich enthalten alle E-Mails automatisch einen Bezug zu besonderen Kategorien personenbezogener Daten (Gesundheitsdaten). Für die Übermittlung dieser Daten ist entweder eine Rechtsgrundlage oder die Einwilligung der Betroffenen erforderlich. Liegt diese vor, dürfen die Daten dennoch nur mit einem, dem aktuellen Stand der Technik entsprechenden, sicheren Verschlüsselungsverfahren übermittelt werden.

Weitere Informationen bietet das Bundesamt für Sicherheit in der Informationstechnik unter folgendem Link: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Verschluesselung_email_09032017.html

26. Darf ich WhatsApp in der beruflichen Kommunikation nutzen?

Nein. Der Einsatz von WhatsApp ist datenschutzrechtlich aus verschiedenen Gründen unzulässig. Unter anderem werden die im Adressbuch gespeicherten Daten (z. B. Telefonnummern) ohne Einverständnis der betroffenen Personen an WhatsApp übermittelt. Diese unbefugte Datenübermittlung ist nach der DS-GVO unzulässig. Selbst wenn eine Einwilligung aller Betroffenen vor-liegen würde, wäre es den Verantwortlichen im Falle eines Widerrufs der Einwilligung unmöglich, die Daten bei WhatsApp löschen zu lassen. Mehr Informationen zur Nutzung von WhatsApp erhalten Sie hier (PDF-Download).

27. Ein Patient ist verstorben, die Angehörigen wollen Einsicht in die Patientenakte nehmen. Ist dies zulässig?

Die DS-GVO findet nur bei lebenden Personen Anwendung.

Die ärztliche Schweigepflicht gilt jedoch auch über den Tod hinaus (§ 203 Abs. 5 StGB). Sie benötigen daher eine Offenbarungsbefugnis, die aus verschiedenen Gründen vorliegen kann:

  • Es gibt eine Erklärung der oder des Patienten zu Lebzeiten.
  • Erbberechtigte wünschen Einsicht, z.B. zur Durchsetzung der Erbberechtigung (Prüfung der Testierfähigkeit) oder von Schadensersatzforderungen (§ 630g Abs. 3 Satz 1 BGB), es sei denn der mutmaßliche Wille der oder des Verstorbenen steht einer Auskunft entgegen.
  • Verwandte können Einsicht verlangen, soweit sie immaterielle Interessen geltend machen, z. B. wenn Sie den Verdacht haben, an Erbkrankheiten zu leiden (§ 630g Abs. 3 Satz 2 BGB).
zum Seitenanfang
zur mobilen Ansicht wechseln