Gemeinschaftspraxen sind Berufsausübungsgemeinschaften und stellen berufsrechtlich „eine“ Praxis dar. Grundsätzlich schließt der Patient bei einer Gemeinschaftspraxis mit allen Ärztinnen und Ärzten gemeinschaftlich einen Behandlungsvertrag. Die Ärzte sind aufgrund des Behandlungsvertrags zur wechselseitigen Behandlung berechtigt und insoweit auch untereinander von der ärztlichen Schweigepflicht befreit. Ärzte in Gemeinschaftspraxen haben deshalb in der Regel einen gemeinsamen Patientenstamm, eine gemeinsame Dokumentation und einen gemeinsamen Datenbestand, auf den jeder Arzt zugreifen darf.

Für die Prüfung, ob aufgrund der Personenzahl eine oder ein Datenschutzbeauftragter zu benennen ist, sind alle Ärzte und Beschäftigten zu zählen.

Der Begriff „Gesundheitsdaten“ ist in Art. 4 Ziffer 15 DS-GVO definiert. Es handelt sich dabei um Daten, „die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.

Gesundheitsdaten sind besondere Kategorien personenbezogener Daten. Ihre Verarbeitung ist gem. Art. 9 Abs. 1 DS-GVO grundsätzlich verboten, es sei denn, es liegt eine Befugnis nach Art. 9 Abs. 2 DS-GVO vor. Hier kommt entweder eine gesetzliche Befugnis, der Behandlungsvertrag oder die Einwilligung der Betroffenen in Betracht.

Bei Praxisgemeinschaften handelt es sich um einen Zusammenschluss mehrerer Ärzte zum Zweck der gemeinsamen Nutzung der Praxisräume und / oder des Praxispersonals. Jede Praxis ist rechtlich selbständig und muss daher einen eigenen Patientenstamm, eine eigene Dokumentation und einen eigenen Datenbestand führen. Jeder Arzt behandelt grundsätzlich nur seine eigenen Patienten und ist verpflichtet, hierüber eine eigene Dokumentation zu führen, die für die weiteren Ärzte nicht zugänglich ist.

Sollte es kein gemeinsames Praxispersonal geben, so hat auch nur das Praxispersonal des jeweils behandelnden Arztes Zugriff auf die entsprechenden Daten. Unter den Partnern der Praxisgemeinschaft gilt die ärztliche Schweigepflicht. In Praxisgemeinschaften können deshalb nur EDV-Systeme eingesetzt werden, die technisch eine Zuordnung der Patientendaten zum jeweils behandelnden Arzt ermöglichen und einen Zugriff der anderen Partner der Praxisgemeinschaft und des Praxispersonals der anderen Partner ausschließen.

Die Prüfung, ob aufgrund der Personenzahl eine oder ein Datenschutzbeauftragter zu benennen ist, ist von jeder Praxis gesondert vorzunehmen. Es sind nur die Ärzte und Beschäftigten zu zählen, welche Zugriff auf die Daten der jeweiligen Praxis haben. Angestellte beider Praxen sind von beiden Praxen zu zählen.

Im Falle einer Praxisgemeinschaft ist darüber hinaus die Möglichkeit einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DS-GVO zu prüfen, sofern die beteiligten Praxen gemeinsam Daten verarbeiten (gemeinsame telefonische oder elektronische Erreichbarkeit, gemeinsame Empfangstheke oder gemeinsame Patientenverwaltung).

In jeder Praxis kann man durch organisatorische Maßnahmen sehr viel für den Datenschutz tun.

Der wichtigste Bereich in der Praxis ist der, den die Patientinnen und Patienten sowie Besucher der Praxis sehen und betreten können. In diesen Bereichen dürfen keine Patientendaten abgelegt werden, damit diese für Dritte nicht einsehbar sind.

Ein Kopierer, die Server für die EDV-Anlage, die Ablage für die Karteikarten oder ein Faxgerät dürfen nicht dort abgestellt werden, wo Patienten und Besucher einen unbeobachteten Zugriff auf diese Geräte haben können.

Am Empfangstresen müssen die Patienten die Möglichkeit haben, sich anzumelden und ggf. den Grund ihres Besuchs zu schildern, ohne dass andere Patienten zuhören können. Im Idealfall setzen Sie das durch eine ausreichend große Diskretionszone um. Zudem sollten Sie auf einen Wartebereich in der Nähe des Empfangs verzichten. Ist dies aufgrund der räumlichen Situation nicht möglich, sind die Beschäftigten anzuweisen, abhängig von der Situation vor Ort, die Patienten leise und nicht direkt mit Namen und der vorliegenden Erkrankung oder Behandlungsmethode anzusprechen.

In den Behandlungsräumen dürfen nur die Daten des jeweiligen Patienten vorhanden sein. Ein EDV-Gerät ist entsprechend zu sperren, bis die Ärztin oder der Arzt das Zimmer betritt.

Die Befugnis, Patientendaten verarbeiten zu dürfen, ergibt sich aus dem Behandlungsvertrag, welcher mit jeder Patientin / mit jedem Patienten geschlossen werden muss. Es besteht keine Pflicht, einen Behandlungsvertrag schriftlich zu schließen.

Aufgrund der sich aus dem Patientenrechtegesetz (§ 630f BGB), der Berufsordnung, Rahmenvereinbarungen und ggf. weiteren Gesetzen ergebenden Dokumentationspflichten, ist die für die Durchführung des Behandlungsvertrages erforderliche Datenverarbeitung und -speicherung gesetzlich verpflichtend geregelt. Für eine Einwilligung der Patienten ist daher kein Raum.

Art. 17 DS-GVO besagt, dass personenbezogene Daten gelöscht werden müssen, wenn diese zur Aufgabenerfüllung nicht mehr erforderlich sind und keine Aufbewahrungspflichten oder vorrangige Interessen der Betroffenen einer Löschung entgegenstehen.

Aus § 630f Abs. 3 BGB ergibt sich die Verpflichtung, Patientenakten mindestens 10 Jahre nach Abschluss der Behandlung aufzubewahren.

Die Röntgenverordnung und das Strahlenschutzgesetz sehen für bestimmte Daten eine Aufbewahrungsfrist von 30 Jahren vor.

Zur Abwehr von Schadensersatzansprüchen kann nach § 823 BGB i.V.m. § 199 Abs. 2 BGB in begründeten Fällen, unabhängig von der Art der Daten, auch eine Aufbewahrungsfrist von 30 Jahren zulässig sein.

Das bedeutet, Patienten haben erst nach Ablauf dieser Fristen einen Anspruch auf Löschung ihrer Daten.

Die Abgabe dieser Erklärungen muss freiwillig sein. In Fällen, in welchen eine gesetzliche Befugnis zur Übermittlung von Daten vorliegt, zum Beispiel Meldungen nach dem Infektionsschutzgesetz, den Krebsregistergesetzen oder die Abrechnung bei gesetzlich versicherten Patienten über die Kassenärztliche Vereinigung, bedarf es keiner Einwilligungserklärung.

Kann eine Datenübermittlung mangels einer Rechtsgrundlage nur mit Einwilligung der Patienten erfolgen, müssen die Patienten dennoch die Möglichkeit haben, die Einwilligung nicht zu erteilen. Im Falle einer fehlenden Einwilligung für die Abrechnung privatärztlicher Leistungen über eine PVS bietet es sich an, die Abrechnung selbst durchzuführen, anstatt die Behandlung abzulehnen.

Auch wenn die Schriftform nicht von der Datenschutz-Grundverordnung verlangt wird, bietet sich diese aus Gründen der Nachweisführung an. Folgende Punkte müssen mindestens enthalten sein:

• Wer übermittelt? (Name, Anschrift Sender)
• Wessen Daten? (Name der oder des Betroffenen)
• Wem? (Name, Anschrift Empfänger)
• Welche Daten? (Datenumfang)
• Wofür? (Zu welchem Zweck)
• Hinweis auf Freiwilligkeit
• Hinweis auf Möglichkeit des Widerrufes („mit Wirkung für die Zukunft, ohne Angabe von Gründen“)

Sofern die Patientin oder der Patient in der Zeit vor dem 25.05.2018 bereits eine Einwilligung erteilt hat, dass Rezepte oder Arztbriefe usw. an eine namentlich benannte Person übergeben werden dürfen, so ist dies auch nach dem 25.05.2018 zulässig.

Eine ggf. erforderliche Anpassung der Einwilligungserklärung an die aktuell gültige Rechtslage hat beim nächsten direkten Patientenkontakt oder zusammen mit der gewünschten Übersendung oder Übergabe der Dokumente zu erfolgen. Die aktualisierte Erklärung ist von den Patienten zurück zu senden oder zum nächsten Termin mitzubringen.

Die oder der Dritte, welcher die Dokumente in Empfang nehmen möchte, muss sich entsprechend ausweisen.

Sofern die Patientin oder der Patient in der Zeit vor dem 25.05.2018 bereits eine Einwilligung erteilt hat, dass Rezepte per Post an eine ausdrücklich benannte Apotheke, das Pflegeheim, in welchem die oder der Patient wohnt, oder an die in der Praxis gespeicherte private Wohnadresse gesandt werden dürfen, so ist dies auch nach dem 25.05.2018 zulässig.

Eine ggf. erforderliche Anpassung der Einwilligungserklärung an die aktuell gültige Rechtslage hat beim nächsten direkten Patientenkontakt oder zusammen mit der gewünschten Übersendung des Rezeptes zu erfolgen. Die aktualisierte Erklärung ist von den Patienten zurück zu senden oder zum nächsten Termin mitzubringen.

Grundsätzlich sollte auch für derartige Sachverhalte eine entsprechend formulierte Einverständniserklärung eingeholt werden.

Die Vereinbarung eines neuen Termins durch Dritte ist datenschutzrechtlich unproblematisch, sofern ausschließlich die oder der Dritte die entsprechenden personenbezogenen Daten der Patientin oder des Patienten nennt und die Praxis lediglich die aktuelle Terminbuchung bestätigt.

Sofern ein Dritter einen Termin absagen oder verschieben möchte, ist hierzu eine entsprechende Einverständniserklärung der Patientin oder des Patienten erforderlich, da die Praxis hierbei zumindest bestätigt, dass bereits ein Termin vereinbart gewesen ist. Dies stellt bereits eine Übermittlung von Gesundheitsdaten ohne Rechtsgrundlage dar.

Zusätzlich muss sich die oder der Dritte vor Ort ausweisen oder der Anruf muss von der im Praxissystem hinterlegten Telefonnummer erfolgen.

Ja, sofern die Patienten ihr Einverständnis hierzu erteilt haben. Bitte bedenken Sie, dass auch mit der Erinnerung eines Patienten an einen Untersuchungstermin bereits besondere Kategorien personenbezogener Daten verarbeitet werden. Eine Postkarte ohne Briefumschlag ist daher nicht zulässig.

Ja, die Befugnis zu der hierfür erforderlichen Datenübermittlung ergibt sich grundsätzlich auch aus dem Behandlungsvertrag. Indem die oder der Patient Ihnen auf Ihre Nachfrage den Namen der oder des mit- oder vorbehandelnden Arztes mitteilt, kann davon ausgegangen werden, dass das Einverständnis erteilt wird (§ 9 Abs. 4 der Berufsordnung der Ärztekammer Niedersachsen).

Sofern lediglich eine zweite Meinung zu einem Krankheitsbild eingeholt werden soll, hat dies ohne Nennung der Namen der Patienten zu erfolgen. Eine Entbindung von der Schweigepflicht ist dann nicht erforderlich.

Vor einer Nutzung von Faxgeräten ist immer eine individuelle Risikoanalyse durchzuführen und das Einverständnis der Betroffenen einzuholen. Liegt dies vor und ist der Nutzen der Datenübermittlung mittels Fax höher als das datenschutzrechtliche Risiko, ist der Fax-Versand besonders sensitiver Daten ohne weitergehende technische Sicherungsmaßnahmen (Verschlüsselung) maximal im Ausnahmefall hinnehmbar.

In diesen Fällen müssen dann zwingend organisatorische Datenschutzmaß-nahmen getroffen werden (Kontrolle der Fax-Nummer, vorherige Unterrichtung, kein Zugriff durch Dritte auf das Faxgerät etc.).

Eine regel- und standardmäßige Übersendung per Fax ist weder dem Stand der Technik entsprechend, noch im Allgemeinen dem Risiko angemessen und daher unzulässig.

Datenschutzgerechte Übermittlungswege sind unter anderem: Persönliche Übergabe, Versand per Brief, hinreichend inhaltsverschlüsselte E-Mail (Ende-zu-Ende Verschlüsselung bzw. per Gateway-Lösung) oder die Inanspruchnahme gesonderter abgesicherter Umgebungen (z.B. KV-SafeNet o.ä.).

Die DS-GVO findet nur bei lebenden Personen Anwendung.

Die ärztliche Schweigepflicht gilt jedoch auch über den Tod hinaus (§ 203 Abs. 5 StGB). Sie benötigen daher eine Offenbarungsbefugnis, die aus verschiedenen Gründen vorliegen kann:

• Es gibt eine Erklärung der oder des Patienten zu Lebzeiten.
• Erbberechtigte wünschen Einsicht, z.B. zur Durchsetzung der Erbberechtigung (Prüfung der Testierfähigkeit) oder von Schadensersatzforderungen (§ 630g Abs. 3 Satz 1 BGB), es sei denn der mutmaßliche Wille der oder des Verstorbenen steht einer Auskunft entgegen.
• Verwandte können Einsicht verlangen, soweit sie immaterielle Interessen geltend machen, z. B. wenn Sie den Verdacht haben, an Erbkrankheiten zu leiden (§ 630g Abs. 3 Satz 2 BGB).