Dieser Beitrag soll dabei helfen aus diesem komplexen Geflecht die Punkte aufzugreifen, die für den Umgang mit Gesundheitsdaten von Patient:innen im Praxisalltag wesentlich sind und welche Anforderungen an deren Umsetzung zu stellen sind.

Den rechtlichen Rahmen für diesen Schutz bilden zahlreiche datenschutzrechtliche Bestimmungen wie die Datenschutzgrundverordnung (DS-GVO), das Bürgerliche Gesetzbuch, das SGB X oder das Strafgesetzbuch.

Speicherpflichten – die Dokumentationspflichten

Eine Einwilligung in die Datenspeicherung oder Datenverarbeitung brauchen Therapeut:innen nur dann, wenn nicht ohnehin Pflichten zum Speichern von Daten bestehen. Denn wenn ein Gesetz schon die Dokumentation anordnet, dann bedarf es keiner Einwilligung.

Therapeut:innen sind gemäß § 630f BGB verpflichtet, die wesentlichen Maßnahmen der Behandlung zu dokumentieren und die Patientenakte für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren. Die Dokumentations- und Aufbewahrungspflicht dient unter anderem dazu eine Aufzeichnung über den Krankheitsverlauf und die bisherige Behandlung zu gewährleisten, an die als Entscheidungsgrundlage für weitere Maßnahmen (gerade bei unterschiedlichen Behandler:innen) angeknüpft werden kann. Die Regelung verfolgt aber auch den Zweck, dass im Falle einer Haftung aufgrund eines Behandlungsfehlers die Dokumentation als Beweisgrundlage herangezogen werden kann.

Zu den dokumentationspflichtigen Angaben gehören sämtliche aus fachlicher Sicht für die Behandlung wesentlichen Maßnahmen und deren Ergebnisse aufzuzeichnen, insbesondere die Anamnese, Diagnosen, Untersuchungen, Untersuchungsergebnisse, Befunde, Therapien und ihre Wirkungen, Eingriffe und ihre Wirkungen, Einwilligungen und Aufklärungen. Auch Arztbriefe und Therapieberichte sind in die Patientenakte aufzunehmen.

Auch aus der Heilmittelrichtline des G-BA (etwa § 16 Abs. 3 bei Frequenzwechseln), den Rahmenverträgen und weiteren sozialrechtlichen Vorschriften ergeben sich Dokumentationspflichten.

Recht auf Löschung

An sich besteht ein Recht auf Löschung gespeicherter Daten gem. Art. 17 DS-GVO. Mit der Speicherpflicht einher geht auch die Einschränkung des Rechts auf Löschung. Denn das Bürgerliche Gesetzbuch sieht ja gerade eine zehnjährige Speicherpflicht vor. Erst nach Ablauf dieser können Patient:innen die Löschung ihrer Daten verlangen. Für solche Daten, die nicht der eben genannten Speicherpflicht unterliegen, haben Patient:innen indes einen Löschungsanspruch.

Datenerhebungspflicht beim Covid-19-Immunitätsnachweis

Auch beim Covid-19-Immunitätsnachweis besteht eine Pflicht zum Erheben und Speichern von Daten. Eine Einwilligung der Mitarbeiter:innen ist daher nicht notwendig. Die Kontrolle der Nachweise obliegt der Leitung der Einrichtung, wobei eine Delegation möglich ist. Dabei muss sichergestellt werden, dass die Nachweise tatsächlich nur von den hierfür bestimmten Beschäftigten eingesehen und diese auf ihre Verschwiegenheitspflicht hingewiesen werden.

Datenschutzrechtlich wäre auch eine Delegation an geeignete Dritte, wie zum Beispiel externe Personalverwaltungen, möglich. Dann müsste aber ein Auftragsverarbeitungsvertrag geschlossen werden gemäß Art. 28 DS-GVO. Das erleichtert die Durchführung der Nachweiskontrolle in der Praxis nur gering. Für den Umfang der Nachweiskontrolle gilt, dass die betroffenen Personen die Nachweise nur vorzulegen haben. Mehr als eine Einsichtnahme und das Anfertigen einer Notiz der wesentlichen Punkte ist nicht erforderlich und daher auch nicht erlaubt. Wesentlich sind der Name, die Information, dass der Nachweis vorgelegt wurde und ggf. dessen Ablaufdatum. Weitere Details zum Nachweis, wie der Impfstoff oder das Datum der einzelnen Impfungen, dürfen nicht verarbeitet werden.

Wird eine Meldung an das Gesundheitsamt notwendig, dürfen daher auch nur die dafür erforderlichen Daten übermittelt werden. Das gebietet der datenschutzrechtliche Grundsatz der Datenminimierung. Zusätzlich darf aber der Anlass der Meldung angegeben werden so zum Beispiel auch etwaige Zweifel an der Echtheit des Nachweises. Eine Löschung der Daten sieht das Infektionsschutzgesetz für die verarbeiteten Daten insofern vor, dass sie spätestens am Ende des sechsten Monats nach ihrer Erhebung gelöscht werden müssen, allerspätestens aber mit Ablauf der Rechtsgrundlage am 31. Dezember 2022.

Keine Speicherpflicht = Einwilligung in Datenspeicherung einholen

Dort wo das Gesetz kein Pflicht zum Erheben und Speichern von Daten vorsieht, bedarf es wieder der Einwilligung in die Datenspeicherung. Das ist etwa bei Recall-Schreiben, in denen Patient:innen an Behandlungsmaßnahmen erinnert werden soll, der Fall. Hier muss eine ausdrückliche Einwilligung vorliegen. Diese muss zwar nicht schriftlich erfolgen, für die Zwecke der Nachweisbarkeit ist es aber empfehlenswert.

Einsichtsrecht in gespeicherte Daten

Sowohl die Datenschutzgrundverordnung als auch das Bürgerliche Gesetzbuch enthalten, nicht ganz identische, Rechte der Patient:innen auf Akteneinsicht. Gem. § 630g BGB sind Therapeut:innen dazu verpflichtet, Patient:innen auf Wunsch unverzüglich Einsicht in die vollständige, sie betreffende Patientenakte zu geben.
Obwohl § 630g Abs. 2 BGB dabei noch vorsieht, vor, dass die Kosten für die Kopien von den Patient:innen getragen werden müssen, regelt der vorrangige Art. 15 DS-GVO eine kostenfreie Einsicht in die Patientenakte, solange es sich nicht um offensichtlich unbegründete oder exzessiv oft wiederholte Auskunfts- und Einsichtsanfragen handelt.

Weitergabe von Gesundheitsdaten

Die Weitergabe von Gesundheitsdaten geschieht schneller als man denkt, denn dazu zählt nicht nur die Weiterleitung per E-Mail oder Post an andere Therapeut:innen, Ärzt:innen usw., sondern auch das Gespräch mit Familienmitgliedern oder Ehegatt:innen.

Sie bedarf abseits seltener Ausnahmefälle wie etwa der gerichtlichen Beschlagnahmung von Patientenakten beim Therapeuten oder der Therapeutin der Einwilligung des Patienten bzw. der Patientin. Dies gilt auch und gerade gegenüber Ehegatt:innen. § 203 Strafgesetzbuch bestraft dabei bereits das Erwähnen des Bestehens eines Behandlungsverhältnisses gegenüber einem Dritten ohne Erlaubnis des Patient:innen.

Diese Erlaubnis muss ausdrücklich erteilt und am besten schriftlich festgehalten werden. Dabei ist möglichst konkret die Erlaubnis einzuholen welche namentlich benannten Dritten – Nachbehandler, Familienmitglieder, Ärzt:innen – über welche Aspekte der Behandlung informiert werden dürfen.

Abrechnung mit Optica – Kassenpatient:innen & Selbstzahler:innen

Eine Ausnahme vom Erfordernis einer Einwilligung für die Weitergabe von Gesundheitsdaten gilt bei Abrechnungen gegenüber Abrechnungszentren wie der Optica. Für Patient:innen, die bei der Gesetzlichen Krankenversicherung versichert sind, wird keine gesonderte Einwilligung benötigt. Diese ergibt sich bereits aus § 302 Abs. 2 S. 2 SGB V. Danach ist die Weitergabe der Daten zum Zwecke der Abrechnung bereits mit abgedeckt.

Für Privatpatient:innen (Selbstzahler) gilt diese Norm nicht, denn sie fallen nicht unter das SGB V. Hier bedarf es daher der von Optica zur Verfügung gestellten Formulare.