Tanja Altmaier
Datenschutzbeauftragte
Seit Einführung der DSGVO gilt besonderes Augenmerk dem Schutz von personenbezogenen Daten, vor allem dem Schutz spezieller Datenkategorien, wozu auch der Gesundheitsbereich zählt. Sofort denkt man an Ärztinnen und Ärzte oder Krankenhäuser.
Die Vorgaben der Datenschutzgrundverordnung treffen sämtliche Leistungserbringer im Gesundheitswesen, somit definitiv auch Ärzte – unabhängig davon, ob es die „kleine Landarztpraxis“ ist, oder die große Praxis in der Stadt. Die Anforderungen an den Schutz der Gesundheitsdaten gelten für alle.
Gerade weil es sich im medizinischen Bereich häufig um sensible und besonders schützenswerte Daten handelt, muss der Datenschutz mit Sorgfalt bedacht und umgesetzt werden.
Das Grundprinzip im Datenschutz lautet: Ist eine Verarbeitung nicht ausdrücklich erlaubt, so ist sie verboten! (Art. 6 DSGVO). Beim Lesen von Fachliteratur stößt man unter Umständen auf den Begriff „Verbot mit Erlaubnisvorbehalt“.
Art. 5 DSGVO geht ins Detail und zeigt Grundsätze auf, die eine Verarbeitung von personenbezogenen Daten erfüllen muss:
Die eben genannten Punkte beschreiben Vorgänge, die gewährleistet sein müssen, dass eine Verarbeitung von personenbezogenen Daten grundsätzlich datenschutzkonform ist.
Doch schon der erste Punkt, die Rechtmäßigkeit, wirft eine weitere Frage auf, nämlich was es damit auf sich hat. Ein Blick in Art. 6 DSGVO gibt 6 Kriterien an die Hand, um personenbezogene Daten rechtmäßig zu verarbeiten:
Auf einige Teile aus dieser Aufzählung wird im Verlauf konkreter eingegangen, um die Notwendigkeit herauszustellen.
Nun noch einmal die Frage, auf welcher Rechtsgrundlage Daten von Patienten in der Arztpraxis verarbeitet werden dürfen:
Grundsätzlich findet die Behandlung durch einen Arzt auf Basis eines Behandlungsvertrages statt (§630 a ff BGB). Häufig liegt dieser jedoch nicht in schriftlicher Form und ausdrücklich vor, sondern Arzt und Patient vereinbaren meist mündlich und durch schlüssiges (konkludentes Handeln) das ärztliche Tätigwerden.
Dann erfolgt die Verarbeitung von Daten dann auf Basis von Art. 6 Abs. 1 b DSGVO sowie Art. 9 Abs. 2 h und Abs. 3 DSGVO und dient der Erfüllung eines Vertrages (des mündlich geschlossenen Behandlungsvertrages). Alle Verarbeitungen von personenbezogenen Daten, die in direkter Verbindung mit der Erfüllung des Behandlungsvertrages stehen, dürfen auf Basis dieser Rechtsgrundlage durchgeführt werden.
Zu den Daten, die erhoben werden müssen, um den Behandlungsvertrag zu erfüllen (egal ob dieser in schriftlicher Form vorliegt, oder nicht), zählen im Einzelnen selbstverständlich Stammdaten wie Name, Geburtsdatum, und die Angabe des Kostenträgers/der Kranken- oder Pflegeversicherung. Art. 9 Abs. 2 h DSGVO greift ebenfalls den Vertrag als Rechtsgrundlage zur Verarbeitung von besonderen Kategorien von Daten auf. Dazu aber später mehr.
Achtung: Bereits hier stellen minderjährige Kinder einen Sonderfall dar, weil sie bis zur Vollendung des 7. Lebensjahres geschäftsunfähig sind, und somit in ihrem Fall die Eltern den Behandlungsvertrag abschließen. Auf den Bereich Minderjährige wird später separat eingegangen.
In vielen Arztpraxen ist es gängige Praxis, vor dem Erstgespräch mit dem Arzt standardisierte Fragen in einem Anamnese-Fragenbogen zu erheben. Die hier erhobenen Daten fließen in die Patientenakte ein und helfen dabei, die Verpflichtung aus dem Behandlungsvertrag – also die adäquate Versorgung – zu sichern. Deshalb könnte man diesen Fragebogen in die Rubrik „vorvertragliche Maßnahme“ einordnen. Wichtig nur, dass Fragen gestellt werden, die dem Arzt helfen seine Verpflichtung, zur angemessenen Patientenversorgung, die sich aus dem Behandlungsvertrag heraus ergibt, zu erfüllen.
Selbstverständlich kommt gerade im Bereich ärztlichen Versorgung unter Umständen schnell das lebenswichtige Interesse gemäß Art. 6 Abs. 1 d DSGVO ins Spiel. Geht es beispielsweise um einen medizinischen Notfall, so kann es sein, dass eine Datenverarbeitung zum Schutz lebenswichtiger Interessen der Person erforderlich ist. (siehe auch Art. 9 Abs. 2 c DSGVO) – selbst, wenn diese nicht durch den Behandlungsvertrag gedeckt ist und auch keine Zeit mehr bleibt, eine entsprechende Einwilligung einzuholen.
Verarbeitet eine Arztpraxis personenbezogene Daten, und geht dabei über die eben genannten lebenswichtigen, rechtlichen oder vertraglichen Verpflichtungen hinaus , so muss daran gedacht werden, von der betroffenen Person eine Einwilligung einzuholen.
Wann könnte das der Fall sein? Ein Beispiel, das heute mehr und mehr gängige Praxis wird, ist die Weitergabe von Patientendaten an private Abrechnungsstellen. Die Übermittlung von Daten an solche Verrechnungsstellen sind nicht automatisch durch den Behandlungsvertrag zwischen Arzt und Patient abgedeckt. Deshalb bedarf die Weiterleitung zu Abrechnungszwecken in diesem Fall einer Einwilligung der betroffenen Person. Wie konkret eine Einwilligung aussehen soll, wird in der Rubrik „Notwendige Dokumentation“ detailliert erklärt.
Um die Frage beantworten zu können, muss man sich zuerst darüber im Klaren sein, was grundsätzlich unter dem Begriff personenbezogene Daten zu verstehen ist. Ein Blick in Art. 4 Abs. 1 DSGVO gibt die entsprechende Erklärung. Demnach sind personenbezogene Daten Informationen über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Somit muss es sich grundsätzlich um eine natürliche Person handeln.
Liest man Art. 4 der DSGVO weiter, so folgt bei Abs. 15 die Definition für Gesundheitsdaten (ergänzend dazu ErwGr. 35). Dabei handelt es sich um personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen. Außerdem gehört auch die Erbringung von Gesundheitsdienstleistungen dazu, sowie Informationen die Rückschlüsse auf den Gesundheitszustand einer Person zulassen.
Art. 9 DSGVO spricht ebenfalls von Gesundheitsdaten und gruppiert diese in die besonderen Kategorien personenbezogener Daten ein. Was bedeutet das im Klartext?
Der Begriff Gesundheitsdaten umfasst also Informationen, die direkt oder indirekt einer natürlichen Person zugeordnet werden können – und Rückschlüsse auf ihren Gesundheitszustand zulassen. Dabei ist es irrelevant, ob es sich um Vorerkrankungen handelt, die jemand in der Vergangenheit hatte, um aktuelle Symptomatik, oder eventuell eine mögliche künftige Entwicklung des körperlichen oder geistigen Gesundheitszustandes.
Zum besseren Verständnis lohnt es sich, das Kurzpapier Nr. 17 der Datenschutzkonferenz heranzuziehen. Hier werden einige Beispiele angeführt, um deutlich zu machen, in welche Richtungen man denken muss, wenn es um Gesundheitsdaten und somit patientenbezogene Daten geht. Genannt wird unter anderem die Einnahme von Medikamenten, eine Beurteilung der geistigen oder körperlichen Verfassung oder auch eine Alkoholabhängigkeit. Solche Informationen über eine Person zählen zu den besonderen Kategorien nach Art. 9 DSGVO und sind somit besonders schutzbedürftig. Deshalb ist es laut Aussage der DSGVO grundsätzlich untersagt, Gesundheitsdaten zu verarbeiten. Außer – wenn einer der gesetzlich geregelten Ausnahmefälle vorliegt. (Art. 9 Abs. 2 – 4 DSGVO). Welche besonderen Herausforderungen bzw. Anforderungen an die Verarbeitung von besonderen Kategorien von Daten verbunden sind, dazu im Verlauf mehr.
Fakt ist jedoch: Werden solche Daten verarbeitet, ist noch mehr als sonst, auf den Schutz dieser Daten zu achten.
Elementar ist zu beachten, dass die DSGVO zwar den Rahmen für eine Verarbeitung von besonderen Kategorien von Daten liefert. Dennoch werden diese Daten in den verschiedenen EU-Mitgliedsstaaten durchaus unterschiedlich geschützt. Grund dafür sind die Öffnungsklauseln, die jedem Land ermöglichen Freiräume zu nutzen, um eigene nationale Regelungen zu treffen. Wir wollen in der Folge primär auf die Verarbeitung von besonderen Kategorien von Daten (Art. 9 DSGVO) innerhalb der Bundesrepublik Deutschland eingehen.
Die rechtliche Grundlage baut hier im Wesentlichen auf zwei große Säulen, ergänzt durch eine ganze Reihe zusätzlicher Bausteine. Hier ein kurzer Überblick:
Wie aus den Definitionen schon hervorgeht, ist ein maßgebliches Instrument zum Schutz von Gesundheitsdaten die Datenschutzgrundverordnung (kurz DSGVO). Deren Hauptziel besteht darin, die Grundrechte und Grundfreiheiten von natürlichen Personen zu schützen, insbesondere das Recht auf den Schutz von personenbezogenen Daten.
Neben der DSGVO spielt bei den Gesundheitsdaten auch Sozialdatenschutz eine wesentliche Rolle. Sozialdatenschutz bezeichnet den Schutz von personenbezogenen Daten Einzelner. Grundlage hierfür ist das Sozialgesetzbuch (SGB).
In §35 Abs. 1 SGB I wird das Sozialgeheimnis definiert und geregelt. Hier ist klar geregelt, dass jeder einen Anspruch darauf hat, dass Sozialdaten die ihn persönlich betreffen (§67 SGB X), von Leistungsträgern nicht unbefugt verarbeitet werden (Sozialgeheimnis).
Dieses Sozialgeheimnis fällt, ebenso wie die ärztliche Schweigepflicht, in die Gruppe der besonderen Amtsgeheimnisse. Da Ärzte nach §203 StGB zur Gruppe Berufsgeheimnisträger gehören und eng mit den Sozialleistungserbringern zusammenarbeiten gilt es die Regelungen der Sozialgesetzbücher akkurat zu beachten.
Insbesondere greifen für die Verarbeitung personenbezogener Daten (incl. der Gesundheitsdaten) in Arztpraxen die Vorgaben zur Verarbeitung von Sozialdaten §§67 a ff. SGB X, sowie aus dem SGB V Regelungen zur gesetzlichen Krankenversicherung (§§284 ff. SGB V), oder auch maßgebliche Weisungen zur gesetzlichen Pflegeversicherung (§§ 93 ff. SGB XI).
Erweitert wird der Datenschutz in der Arztpraxis durch zusätzliche Gesetze aus anderen Bereichen, die dennoch eng mit dem Datenschutz verbunden sind, beziehungsweise neben den Vorgaben für den Datenschutz beachtet werden müssen:
Auf Bundesebene gilt für Ärzte ergänzend:
Seit Mai 2017 sind außerdem die Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates über Medizinprodukte (gilt bis auf wenige Ausnahmen offiziell ab Mai 2020), sowie die Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates über In-vitro-Diagnostika (gilt voraussichtlich ab Mai 2022) in Kraft getreten.
Da innerhalb der Bundesrepublik Deutschland der Bereich Gesundheitswesen primär in die Verantwortlichkeit der Länder fällt, gibt es ergänzend landesrechtliche Vorgaben, die ebenfalls datenschutzrechtliche Bereiche enthalten
All diese Vorgaben gilt es grundsätzlich zu beachten und umzusetzen. Darum muss jede Arztpraxis genau prüfen, ob für ihren Bereich spezifische nationale Gesetze vorhanden sind, die sich bei der Verarbeitung von Gesundheitsdaten auf die Zulässigkeit des Umgangs mit solchen Daten auswirken könnte. Abschließende Aussagen werden in diesem Artikel deshalb nicht getroffen. Vorallem, weil es an dieser Stelle primär um den Datenschutz von personenbezogenen Daten gehen soll, incl. der Berücksichtigung der besonderen Kategorien von Daten nach Art. 9 DSGVO. Maßgeblich geht es also in der Folge um DSGVO, BDSG n. F. sowie das SGB.
Per Definition der DSGVO (Art. 4 Abs. 7 DSGVO) ist der Verantwortliche jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
So, wie in jedem anderen Unternehmen, gibt es natürlich auch in Arztpraxen Verantwortliche für den Datenschutz. Es kommt im Speziellen darauf an, um welche Art von Praxis es sich handelt.
Sprechen wir von der Einzelpraxis, so ist immer „der Chef“, sprich der Praxisinhaber der Verantwortliche für den Datenschutz. Gibt es in einer solchen Praxis weitere Ärzte, die dem Praxisinhaber assistieren, so zählen diese als Mitarbeiter und nicht als „Verantwortlicher“ im Datenschutz.
Aber natürlich trägt auch jeder Mitarbeiter – egal ob Arzthelferin oder Arzt (der nicht gleichzeitig Praxisinhaber ist) – Verantwortung beim Umgang mit personenbezogenen Daten (Stichwort Arbeitnehmerhaftung).
Unterschied Gemeinschaftspraxis: Davon ist die Rede, wenn sich mehrere Ärzte zusammenschließen. Berufsrechtlich beurteilt, gilt ein solcher Zusammenschluss als „eine“ Praxis (Berufsausübungsgemeinschaft). Auf den Behandlungsvertrag bezogen, liegt dieser normalerweise nicht zwischen Patienten und einem einzelnen Arzt der Gemeinschaftspraxis vor, sondern mit der Gemeinschaft (§631 a BGB). Dies hat zur Folge, dass nicht nur ein Arzt, sondern alle Ärzte wechselseitig berechtig sind, den Patienten zu behandeln und somit den Behandlungsvertrag zu erfüllen. Denn es haben alle Ärzte zeitgleich oder wechselseitig Zugang zum gemeinsamen Patientenstamm, dem vorhandenen Datenbestand und sie pflegen gemeinsam die Dokumentation (Patientenakte).
Die Gemeinschaftspraxis ist als juristische Person zu sehen, die im Sinne des Datenschutzes auch verantwortlich für den Datenschutz nach DSGVO ist.
Und noch ein relevanter Begriff: Praxisgemeinschaft. Klingt ähnlich, und unterscheidet sich dennoch gravierend. Hier ist ein Zusammenschluss von mehreren Praxen zu augenscheinlich „einer großen Praxis“ gemeint. Wobei zu beachten ist, dass trotz des Zusammenschlusses jede Praxis weiterhin rechtlich selbständig agiert und somit auch im Datenschutz für sich allein Maßnahmen treffen muss, um den Datenschutz zu gewährleisten. Darüber hinaus muss sogar sichergestellt werden, dass die unterschiedlichen Praxen der Praxisgemeinschaft keinen Zugriff auf die Datenbestände der jeweils anderen Praxis haben können.
Jede einzelne Praxis ist eigenständiger Verantwortlicher im Datenschutz.
Und geht es um die Übermittlung von Patientendaten an einen anderen Verantwortlichen – selbst innerhalb der „einen großen Praxis“, so sind entsprechende Vorkehrungen nach Vorgaben der DSGVO zu treffen.
Und als letzten Begriff nun noch das MVZ – medizinisches Versorgungszentrum (§ 95 Abs. 1 Satz 2 SGB V). Darunter versteht man rechtlich verselbständigte Versorgungseinrichtungen, in denen mehrere Ärztinnen und Ärzte unter demselben Dach zusammenarbeiten. Neben Ärzten können auch zugelassene Krankenhäuser, Erbringer von nichtärztlichen Dialyseleistungen, Träger aus dem gemeinnützigen Bereich eine Rolle bei der Gründung eines MVZ spielen.
Und sogar Kommunen haben die Möglichkeit, zur Sicherstellung und Wahrung der Versorgung von Bürgern der Region, ein solches medizinisches Versorgungszentrum zu gründen. Die Leitung dabei hat allerdings immer ein zugelassener Arzt, der auch selbst im MVZ tätig sein muss, und hierbei in medizinischen Fragen komplett weisungsfrei ist. Möglich ist so eine Praxis fachübergreifend, oder auch arztgruppengleich. Medizinische Versorgungszentren sind oftmals als Gesellschaft organisiert, wobei am häufigsten die Rechtsform der GmbH zu finden ist. Alternativ tritt die GbR auf, solange lediglich Vertragsärzte am MVZ beteiligt sind.
Auf den Datenschutz bezogen gilt nun also folgendes – verantwortlich für die Umsetzung der Vorgaben der DSGVO ist die Geschäftsführung eines MVZ.
Wie bereits erwähnt, ist das Grundprinzip im Datenschutz klar definiert: Ist eine Verarbeitung nicht ausdrücklich erlaubt, so ist sie verboten! (Art. 6 DSGVO)
Handelt es sich um die besonderen Kategorien von personenbezogenen Daten, wie beispielsweise Gesundheitsdaten, liest man in Art. 9 Abs. 1 DSGVO ebenfalls, dass die Verarbeitung grundsätzlich untersagt ist. Jedoch gibt es Ausnahmen.
Die Befugnis zur Verarbeitung kommt beispielsweise durch die Einwilligung des Betroffenen, durch eine rechtliche Verpflichtung, einen Behandlungsvertrag oder zum Schutz lebenswichtiger Interessen von betroffenen Personen (Art. 9 Abs. 2 DSGVO).
Zwar ist es gängige Praxis, möglichst viele Informationen über einen Betroffenen (Patienten) zu sammeln. Dennoch sollten grundsätzlich nur Daten erhoben und verarbeitet werden, die wirklich nötig sind, um denjenigen adäquat behandeln oder versorgen zu können und natürlich gesetzlichen Vorgaben gerecht zu werden.
Zwingend erforderlich sind Stammdaten (Name, Adresse, Geburtsdatum). Häufig ergänzt wird die Dokumentation über einen Betroffenen, durch die sensiblen Daten nach Art. 9 DSGVO (Arztbriefe, Arzneimittelverordnungen, Entlassungsberichte aus Krankenhäusern, sowie die Kranken- und Pflegedokumentation).
Immer im Fokus bleiben muss aber, dass die besonderen Kategorien von personenbezogenen Daten, also die Gesundheitsdaten, nur dann für gesundheitsbezogene Zwecke verarbeitet werden dürfen, wenn dies für das Erreichen dieser (gesundheitsbezogenen) Zwecke im Interesse einer natürlichen Person erforderlich ist. (ErwGr. 53)
Und nach dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 c DSGVO gilt, dass personenbezogene Daten nur „dem Zweck angemessen und erheblich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ erhoben werden dürfen. Das bedeutet – die personenbezogenen Daten, die im Rahmen einer ordentlichen Anamnese erhoben werden, und für die Erstellung einer Diagnose relevant sind, dürfen verarbeitet werden.
Nun gibt es in vielen Praxen ja nicht nur den erwachsenen, volljährigen Patienten, sondern häufig auch Kinder und Jugendliche. Und es muss nicht immer der Pädiater sein, der mit Kindern und Jugendlichen zu tun hat. Auch in anderen Fachbereichen trifft man immer wieder auf diese Personengruppe.
Ob Orthopädie, Gynäkologie, Psychiatrie, ….. Kinder und Jugendliche sind quasi überall anzutreffen, wenngleich in unterschiedlicher Häufigkeit.
Warum wird diese Personengruppe im Bereich der rechtlichen Grundlagen explizit mit angeführt? Das liegt daran, dass die EU-DSGVO personenbezogene Daten von Minderjährigen besonderen Risiken ausgesetzt sieht. Kinder und Jugendliche sind sich häufig nicht vollumfänglich bewusst, welche Risiken sich bei der Verarbeitung ihrer personenbezogenen Daten für Rechte und Freiheiten ergeben könnten. Zumindest nicht in dem Ausmaß, wie es ein Erwachsener abschätzen könnte.
Außerdem sind Kinder ab Geburt zwar rechtsfähig, aber bis zur Vollendung des 7. Lebensjahres gemäß § 104 BGB geschäftsunfähig, und zwischen dem 7. und 18. Lebensjahr nur beschränkt geschäftsfähig (§106 BGB). Somit gibt es also schon Besonderheiten beim Zustandekommen des Behandlungsvertrags zwischen Arzt und Patienten (§630a BGB), der häufig die rechtliche Grundlage für die Behandlung, und somit die Verarbeitung von personenbezogenen Daten ist.
Geschäftsunfähige Kinder können also nicht Vertragspartner des Arztes werden. Der Behandlungsvertrag kommt vielmehr zwischen Arzt und gesetzlichen Vertretern zustande. Und, wie bei Volljährigen Personen, wird auch im Fall von Kindern für die Behandlung zwischen Arzt und gesetzlichen Vertretern eher selten ein schriftlicher Behandlungsvertrag vorliegen. Meist wird er mündlich oder durch schlüssiges Verhalten zustande kommen, und zugunsten des Kindes geschlossen.
Die Personengruppe zwischen dem 7. und dem 18. Lebensjahr ist ja bereits beschränkt geschäftsfähig. Dennoch wird der Behandlungsvertrag, der schlussendlich auch als rechtliche Grundlage für die Verarbeitung personenbezogener Daten dient (Art. 6 DSGVO), zwischen Arzt und den Sorgeberechtigten geschlossen. Diese sind Vertragspartner zugunsten des Kindes und infolgedessen verpflichtet, das Honorar zu zahlen. Ein Arzt sollte also immer darauf achten, die Sorgeberechtigten im Aufklärungs- und Einwilligungsprozess zu involvieren.
Meist kann man in der Praxis davon ausgehen, dass ein Elternteil den anderen vertritt. Bei komplexen oder weitreichenden medizinischen Eingriffen, die mit einem hohen Risiko verbunden sind, sollten aber immer beide Sorgeberechtigten beteiligt werden.
Und schon kommt die nächste Besonderheit. Denn gesetzlich krankenversicherte Minderjährige, die das 15. Lebensjahr vollendet haben, haben einen eigenen Anspruch auf Sozialleistungen. Das Sozialrecht gewährt hier gemäß §36 Abs. 1 SGB I eine gesetzliche Vorverlagerung der Handlungsfähigkeit. Das bedeutet, sie können eigenständig Vertragsärzte oder Krankenhäuser aufsuchen, ohne eine Zustimmung der gesetzlichen Vertreter in Anspruch zu nehmen. Bei Privatversicherten Minderjährigen ist dennoch die Zustimmung der Sorgeberechtigten erforderlich.
Gibt es also einen Behandlungsvertrag, dann erfolgt die Verarbeitung von Daten auf Basis von Art. 6 Abs. 1 b DSGVO sowie Art. 9 Abs. 2 h und Abs. 3 DSGVO und dient der Erfüllung eines Vertrages (des mündlich geschlossenen Behandlungsvertrages). Alle Verarbeitungen von personenbezogenen Daten, die in direkter Verbindung mit der Erfüllung des Behandlungsvertrages stehen, dürfen auf Basis dieser Rechtsgrundlage durchgeführt werden.
Aber es ist hier schon klar zu erkennen, dass Behandlungsverträge als rechtliche Grundlage (Art. 6 DSGVO) zur Verarbeitung personenbezogener Daten Minderjähriger, durchaus ein komplexes Thema sind.
Doch wie sieht es mit der Rechtsgrundlage der Einwilligung bei Minderjährigen aus?
Bestimmte Grunddaten dürfen in Arztpraxen ohne gesonderte Einwilligung erhoben werden, da sie Bestandteil des Behandlungsvertrages sind. Dazu zählen die Stammdaten, wie Name, Adresse, Geburtsdatum, oder auch die Angabe des Kostenträgers/der Kranken- oder Pflegeversicherung. Und selbstverständlich gehören bei Kindern Namen und Adressen der Sorgeberechtigten zu den Stammdaten. Und auch Art. 9 Abs. 2 h DSGVO greift ebenfalls den Vertrag als Rechtsgrundlage zur Verarbeitung von besonderen Kategorien von Daten auf.
Aber es gibt auch bei Kindern ärztliche Leistungen, die nicht durch den Behandlungsvertrag „gedeckt“ sind. Was dann?
Eine wirksame Einwilligung setzt immer voraus, dass der Gegenüber einwilligungsfähig ist.
Nun ist natürlich die Einwilligung zu einer ärztlichen Maßnahme etwas anderes als eine Einwilligung zur Verarbeitung von personenbezogenen Daten nach DSGVO.
Auf sämtliche Besonderheiten im Bereich von Einwilligungen für medizinisch notwendige Behandlungen einzugehen, wäre hier fehl am Platz.
Vielmehr gilt es den Bezug zur DSGVO für die Praxis in der Praxis herzustellen.
Die DSGVO enthält leider keinen Artikel, der direkt auf den Umgang von personenbezogenen Daten Minderjähriger in Arztpraxen eingeht. Zwar gibt es in Art. 7 DSGVO Rahmenbedingungen, die eine Einwilligung erfüllen muss. Und Art. 8 DSGVO geht ins Detail, was für die Einwilligung eines Kindes gilt. Allerdings greift dieser Artikel primär in Bereiche von internetbasierten Diensten, wo Kinder und Jugendliche leicht beeinflusst werden könnten. Denn gerade bei einem verlockenden, direkt auf sie abzielenden Angebot könnten sie schnell und unbedarft einen Button anklicken.
Man könnte an der Stelle den Schluss ziehen, dass dieser Artikel nicht für Ärzte greift. Doch auch wenn Ärzte nicht unter den unbestimmten Rechtsbegriff „Dienste der Informationsgesellschaft“ fallen, so sollte dennoch besondere Achtsamkeit bei der Verarbeitung von personenbezogenen Daten Minderjähriger an den Tag gelegt werden. Selbst dann, wenn Gesetzgeber und Aufsichtsbehörden derzeit in Bezug auf die Umsetzung der Anforderungen noch zurückhaltend agieren.
Für Ärzte gelten darüber hinaus einschlägige Paragraphen den Sozialdatenschutz betreffend. So sind insbesondere die Paragraphen §25 und 26 SGB V in Verbindung mit §92 SGB V relevant, was die ärztlichen Maßnahmen zur Früherkennung von Krankheiten bei Kindern bis zur Vollendungen des 6. Lebensjahres angeht.
Was datenschutzrechtliche Bestimmungen betrifft, so greifen hier die § 61 bis 65 des SGB VIII, in denen sich wiederum die Verweise auf §35 SGB I sowie §67 bis 85 SGB X finden.
Doch im Detail soll hierauf nicht eingegangen werden. Deshalb wieder der Blick auf Art. 8 DSGVO.
Hier wird eine Unterscheidung getroffen, ob ein Kind das 16. Lebensjahr vollendet hat, oder nicht. Falls dem so ist, ist die Einwilligung in eine Verarbeitung seiner personenbezogenen Daten rechtmäßig und wirksam (Art. 8 Abs. 1 DSGVO) – auch ohne, dass die Sorgeberechtigten einbezogen sind. Für die Gültigkeit der Einwilligung gelten die Voraussetzungen aus Art. 7 DSGVO. Das bedeutet, sie muss freiwillig, ausdrücklich, informiert und für den konkreten Fall gegeben werden. Eine „Generaleinwilligung“ gibt es nicht.
Aber der Verantwortliche hat zu gewährleisten, dass der Minderjährige, auch wenn er das 16. Lebensjahr vollendet hat, die Tragweite der Einwilligung verstehen kann. Das bedeutet, dass der Text berücksichtigen sollte, dass er noch zum Kreis der Schutzbedürftigen Minderjährigen gehört, und trotz allem nicht wie ein Volljähriger (voll geschäftsfähiger Patient) behandelt werden kann. Heißt im Klartext, der Verantwortliche sollte dem Minderjährigen durch spezielle Formulierungen helfen, die Risiken und eventuellen Nachteile für Rechte und Freiheiten zu verstehen. Und nach Art. 5 DSGVO ist er schlussendlich in der Pflicht, nachweisen zu können, dass er die Einwilligung wirksam eingeholt hat. Deshalb empfiehlt sich auf alle Fälle eine saubere Dokumentation.
Hat das Kind das 16. Lebensjahr noch nicht vollendet, so ist die Verarbeitung der personenbezogenen Daten nur dann zulässig und rechtmäßig, wenn eine Einwilligung der Eltern vorliegt. Es obliegt hierbei der Verantwortung des Verantwortlichen, sich zu vergewissern, ob die Einwilligung vorliegt.
Die Zustimmung sollte vor der Datenerhebung erteilt werden, da ansonsten die Daten Minderjähriger nicht ausreichend geschützt wären. Die Einwilligung der Eltern sollte zwingend schriftlich vorliegen, um die Rechtmäßigkeit der Verarbeitung nachweisen zu können. (Art. 5 Abs. 2 DSGVO)
Kommt es zu einer Interessenabwägung zwischen den Bestrebungen des Verantwortlichen und den Interessen von Minderjährigen, so überwiegen in der Regel die Interessen von Kindern, da diese als besonders schützenswert gelten.
Fazit: Werden in einer Arztpraxis Daten von Minderjährigen verarbeitet, so unterliegen diese besonderem Schutz und sollten mit Sorgfalt behandelt werden. Wie in der Praxis damit umzugehen ist, dazu im Verlauf dieser Rubrik mehr.
Wenn Sie nicht sicher sind, ob Ihre Arztpraxis alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!