Das Vertrauen zwischen Arzt, Zahnarzt, Tierarzt, Psychotherapeut und Patient sowie der vertrauliche Umgang mit allen behandlungsrelevanten Informationen ist ein zentraler Bestandteil des Arzt-Patienten-Verhältnisses. Sämtliche Mitarbeiterinnen und Mitarbeiter einer Arztpraxis unterliegen zunächst persönlich der beruflichen Schweigepflicht (Patientengeheimnis), sei es als Ärztinnen und Ärzte oder als „ihre berufsmäßig tätigen Gehilfen“ bzw. Personen, „die bei ihnen zur Vorbereitung auf den Beruf tätig sind“ (§ 203 Abs. 1 Nr. 1 und Abs. 3 S. 2 Strafgesetzbuch). Die ärztliche Schweigepflicht ist zudem in den Berufsordnungen der Landesärztekammern besonders geregelt. Außerdem unterliegen die Arztpraxen als private Stellen den Vorschriften der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes. Das in § 203 Strafgesetzbuch (StGB) strafrechtlich geschützte Patientengeheimnis lässt ein Offenbaren von Patientendaten nur zu, wenn
- eine gesetzliche Befugnisnorm besteht oder
- der betroffene Patient in ein Offenbaren seiner Daten im Vorfeld eingewilligt hat.
Die wird im Folgenden näher ausgeführt.
I. Rechtliche Vorgaben
Aus rechtlichen Vorgaben ergibt sich die gesetzliche Befugnis für das Offenbaren von Patientendaten.
1. Berufsrechtliche Schweigepflicht
Die ärztliche Schweigepflicht ist in § 9 Abs. 1 MBO-Ä beziehungsweise den entsprechenden Bestimmungen der Berufsordnungen der Landesärztekammern geregelt. Danach haben Ärztinnen und Ärzte über das, was ihnen in ihrer Eigenschaft als Arzt anvertraut oder bekannt geworden ist, auch nach dem Tod des Patienten zu schweigen. In Hessen ist die Schweigepflicht in § 9 der Berufsordnung für die Ärztinnen und Ärzte in Hessen geregelt. Die Schweigepflicht ergibt sich zudem als Nebenpflicht aus dem zwischen Arzt und Patient geschlossenen Behandlungsvertrag.
Gemäß § 5 Abs. 1 Nr. 1 Heilberufsgesetz obliegt es der Landesärztekammer Hessen, Verstöße gegen § 9 der Berufsordnung berufsrechtlich zu sanktionieren. Patientinnen und Patienten in Hessen steht die Möglichkeit offen, sich bei Problemen in der Arzt-Patienten-Beziehung mit einer schriftlichen BeschwerdeÖffnet sich in einem neuen Fenster unter Schilderung des konkreten Sachverhalts und unter namentlicher Nennung des behandelnden Arztes oder der behandelnden Ärztin an die Landesärztekammer Hessen zu wenden.
2. § 203 StGB – Verletzung von Privatgeheimnissen
Mit der ärztlichen Schweigepflicht korrespondiert das durch § 203 des Strafgesetzbuches (StGB) geschützte Patientengeheimnis, das entsprechende Verstöße von Ärztinnen und Ärzten gegen die Verschwiegenheitspflicht strafrechtlich sanktioniert. Ärztinnen und Ärzte haben nach dem Strafgesetzbuch dafür zu sorgen, dass die für sie tätigen sonstigen mitwirkenden Personen zur Geheimhaltung verpflichtet werden (§ 203 Abs. 4 S. 2 Nr. 1 StGB).
Die Verstöße werden durch die zuständigen Strafermittlungsbehörden verfolgt und gerichtlich sanktioniert.
3. Datenschutz
Darüber hinaus haben Arztpraxen als verantwortliche Stellen bei ihrer Tätigkeit die datenschutzrechtlichen Vorgaben zu beachten. Dies gilt nicht nur für die in der Praxis tätigen Ärztinnen und Ärzte, sondern für alle dort tätigen Personen. Hierbei sind die Bestimmungen der europäischen Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) von Bedeutung, aber auch zahlreiche Rechtsgrundlagen aus Fachgesetzen. Der Datenschutz hat die Rechtmäßigkeit der Verarbeitung personenbezogener Daten im Blick. Weil Ärztinnen und Ärzte sensible Gesundheitsdaten verarbeiten, gelten für sie besondere Bestimmungen mit erhöhten Rechtmäßigkeitsanforderungen. Auch datenschutzrechtlich ist die ärztliche Schweigepflicht zu berücksichtigen, insbesondere bei der Offenlegung personenbezogener Daten gegenüber unberechtigten Dritten.
Zuständig für die Überwachung der Arztpraxen und Sanktionierung datenschutzrechtlicher Verstöße sind die Datenschutzaufsichtsbehörden der Länder. In Hessen ist das der Hessische Beauftragte für Datenschutz und Informationsfreiheit. Ist ein Patient der Auffassung, dass sein Arzt oder seine Ärztin bei der Verarbeitung seiner personenbezogenen Daten gegen Datenschutzvorschriften verstößt, kann er sich mit einer Beschwerde an die zuständige Datenschutzaufsichtsbehörde wenden.
II. Umsetzung datenschutzrechtlicher Vorgaben in Arztpraxen
Arztpraxen, insbesondere die dort tätigen Ärztinnen und Ärzte, sind als Verantwortliche im Sinne der DS-GVO nach Art. 5 Abs. 1 lit. f) DS-GVO gesetzlich dazu verpflichtet, personenbezogene Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßige Verarbeitung („Integrität und Vertraulichkeit“). Bei Patientenakten und Patientendaten handelt es sich um nach Art. 9 Abs. 1 DS-GVO besonders geschützte Gesundheitsdaten. Die Offenlegung von Gesundheitsdaten gegenüber Dritten ist grundsätzlich unzulässig.
Eine Verpflichtung der Angestellten einer Arztpraxis auf das Datengeheimnis ist nach neuer Rechtslage nicht mehr vorgesehen. Dennoch gehört die Schulung der Mitarbeiterinnen und Mitarbeiter zum Datenschutz zu organisatorischen Maßnahmen, die Ärztinnen und Ärzte im Hinblick auf Art. 5 Abs. 1 lit. f) in Verbindung mit Art. 32 Abs. 1 DS-GVO zu treffen haben.
Ärztinnen und Ärzte müssen ihre Arztpraxen so organisieren, dass persönliche Angaben von Patientinnen und Patienten von anderen Besuchern der Praxis nicht zur Kenntnis genommen werden können. Dieser Grundsatz ist insbesondere bei der räumlichen Gestaltung und bei der Arbeitsorganisation zu berücksichtigen.
Sollten dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit Hinweise vorliegen, dass in einer Arztpraxis diese organisatorischen Maßnahmen nicht getroffen wurden oder missachtet werden, wird die Arztpraxis daraufhin geprüft. Oft werden solche Verfahren mit dem Ergebnis abgeschlossen, dass die Praxis zusätzliche technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes und der Schweigepflicht ergreift. Dies können je nach Fallgestaltung z.B. eine (besondere) Schulung der Mitarbeiter, das Aufstellen von Trennwänden, die Umgestaltung des Empfangs- und des Wartebereichs oder ein Sichtschutz für Bildschirme sein.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit berät Bürgerinnen und Bürger sowie Arztpraxen zum Thema Datenschutz in der Arztpraxis. Hierzu stellt er unter anderem Informationen auf seiner Homepage zur Verfügung. Auch sind Prüfungen von Arztpraxen und Empfehlungen zur Umsetzung datenschutzrechtlicher Vorgaben immer wieder Thema in den jährlichen Tätigkeitsberichten des Hessischen Beauftragten für Datenschutz und Informationsfreiheit sowie anderer Datenschutzaufsichtsbehörden.
Zum Thema „Datenschutz in der Arztpraxis“ hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit folgende Beiträge veröffentlicht:
Zu technisch-organisatorischen Maßnahmen in der Arztpraxis:
- Verlust der Behandlungsdokumentation durch Wasserschäden in 48. TB, 9.3, S. 65 ff.
- Angebot eines „Service-Briefkastens“ durch eine Arztpraxis in 48. TB, 9.4, S. 68 ff
- Aufbewahrung von Rezepten und Patientenüberweisungen in der Arztpraxis in 43. TB, 5.6.2, S 214 ff.
- Übersendung von Erinnerungs-E-Mails an Patienten mittels Nutzung eines offenen Verteiler in 45. TB, 6.2.1, S. 192 f.
Insbesondere zur Diskretion in der Arztpraxis:
- Diskretion in Arztpraxis wiederhergestellt in 50. TB, 17.3, S. 187 f.
- Datenschutzgerechte Ausgestaltung des Empfangsbereichs in 42. TB, 4.9.1.7, S. 262
- Datenschutzgerechte Ausgestaltung des EmpfangsbereichsÖffnet sich in einem neuen Fenster in 43. TB, 5.6.2, S. 214 ff.
Zur Praxisübernahme:
- Übergabe der Patientenkartei an einen PraxisnachfolgerÖffnet sich in einem neuen Fenster in 45. TB, 6.1, S. 189 ff.
- Zulässigkeit der Mitnahme von Krankenhauspatientendaten in die neue eigene Praxis – Verwendung der Daten zur Information der Patienten über die neue Adresse in: 42. TB, 4.9.1.6, S. 261
Zum Auskunftsanspruch nach Art. 15 DS-GVO:
- Neue EuGH-Rechtsprechung zur Kopie der PatientenakteÖffnet sich in einem neuen Fenster
- Transparenz der Datenverarbeitung in: 50. TB, 17.1, S. 183 f.
- Musterdokument: Auskunftsrecht betroffener Personen gegenüber Arztpraxen
- Elektronische Auskunftserteilung im GesundheitsbereichÖffnet sich in einem neuen Fenster in: 51. TB, 15.6, S. 231 ff.
Zur Information nach Art. 13 DS-GVO in der Arztpraxis:
- Informationspflichten nach DS-GVO
- Die häufigsten Fehler bei der Anwendung des Art. 13 DS-GVO im Gesundheitsbereich
Zum Datenschutzbeauftragten in der Arztpraxis:
Zu Patientenunterlagen:
- Aufbewahrungsdauer der Patientenakte in Zahnarztpraxis in: 50. TB, 17.4, S. 188 ff.
- Berichtigung in der PatientenakteÖffnet sich in einem neuen Fenster in 51. TB, 15.7, S. 233 f.
- Upload medizinischer Bilder in die Cloud zum Abruf durch den PatientenÖffnet sich in einem neuen Fenster in 51. TB, 15.4, S. 227 ff.
Weitere Themen:
- Weitergabe von Behandlungsdaten an eine externe Abrechnungsstelle und an einen Rechtsanwalt ohne Einwilligung des Patienten in 45. TB, 6.2.2, S. 193 f.
- Bonitätsprüfungen durch Zahnärzte in: 42. TB, 4.9.1.4.2, S. 258 ff
III. Weitere Ansprechpartner zur ärztlichen Schweigepflicht und zur Einhaltung des Datenschutzes
Neben dem HBDI beraten auch weitere Stellen zur ärztlichen Schweigepflicht und zur Einhaltung des Datenschutzes:
So geben z.B. die Bundesärztekammer und die kassenärztliche Bundesvereinigung gemeinsam „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“Öffnet sich in einem neuen Fenster
Die Landesärztekammer Hessen stellt auf ihrer Homepage für ihre Mitglieder ebenfalls Informationen und Empfehlungen zum DatenschutzÖffnet sich in einem neuen Fenster zur Verfügung.