KS-Newsletter

7 wichtige Rechte der Patienten nach der DSGVO

Die DSGVO kennt den Begriff des Patienten nicht. Sie spricht vom „Betroffenen“, also der Person, deren Daten verarbeitet werden. Zu unterscheiden vom „Verantwortlichen“, der die Daten der Betroffenen verarbeitet, also die Arztpraxis oder ein anderes Unternehmen. Weil sich die DSGVO nicht explizit auf das Gesundheitswesen bezieht, können die Begriffe manchmal abstrakt wirken – es ist aber nicht so schwer, sie auszulegen.

Das finden Sie auf unserer Themenseite - 7 wichtige Rechte der Patienten nach der DSGVO

7 Patientenrechte gemäß der DSGVO:

1

Recht auf Bestätigung nach Art. 15

Das Recht, dass Sie am einfachsten umsetzen können: Jede betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn ein Patient also in Ihrer Praxis bekannt ist, können Sie ihm einfach bestätigen, dass Sie Daten von ihm/ihr speichern. Mehr nicht.  

2

Recht auf Auskunft nach Art. 15

Dieses Recht ist schon etwas komplexer, weil es sehr umfassend sein kann, welche Daten sie von einem Patienten gespeichert haben. Jede von der Verarbeitung personenbezogener Daten betroffene Person hat nämlich das Recht, jederzeit von dem für die Verarbeitung Verantwortlichen unentgeltliche Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten. Ferner stehen der betroffenen Person folgende Informationen zu:

  • die Verarbeitungszwecke
  • die Kategorien personenbezogener Daten, die verarbeitet werden
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden: Alle verfügbaren Informationen über die Herkunft der Daten
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Abs.1 und 4 DSGVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
  • Übermittlung der Daten an ein Drittland oder an eine internationale Organisation mit Auskunft über die geeigneten Garantien im Zusammenhang mit der Übermittlung

Wichtig

Sie müssen dem Patienten diese Auskunft nicht sofort erteilen. Das wäre auch aufgrund der Datenmenge gar nicht möglich. Sie haben für die Beantwortung eines solchen Anliegens 4 Wochen Zeit.

Diese Frist sollten Sie allerdings nicht überschreiten, weil der Patient sonst das Recht hat, sich bei der Landesdatenschutzaufsicht zu beschweren. Es folgt eine Aufforderung zur Stellungnahme an die Praxis durch die Landesdatenschutzaufsicht oder die Bezirksärztekammer. Von da ab wird es unangenehm, wenn man erklären muss, warum dem Patienten die Auskunft nicht gegeben werden konnte. Ist erkennbar, dass der Verantwortliche mit Absicht gehandelt hat, ist sogar ein Bußgeld von 4% des Vorjahresumsatzes möglich.

Übrigens hat auch ein Patient, der nicht bei Ihnen in der Praxis bekannt ist, grundsätzlich das Recht auf eine Antwort: Ihm wird dann bestätigt, dass Sie keine Daten von ihm gespeichert haben.

Vom Recht auf Auskunft nach der DSGVO zu unterscheiden ist das Recht auf Einsicht nach dem PatientenRechteGesetz, bei dem sie dem Patienten bereits nach 14 Tagen seine Akte zeigen müssen. Allerdings sind Kopien hier nicht zwangsläufig kostenfrei.

3

Recht auf Berichtigung nach Art. 16

Dieses Recht sollte sich von selbst verstehen: Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen. Wenn sich also ein Tippfehler im Namen oder in der Adresse des Patienten oder ein Zahlendreher im Geburtstag eingeschlichen hat oder ein falsch verstandener Sachverhalt in der Patientendokumentation (Achtung: ärztliche Aufzeichnungspflichten), dann sollte es sich von selbst verstehen, dass die Praxis das korrigiert. 

4

Recht auf Löschung (Recht auf Vergessen werden) nach Art. 17

Dieses Recht ist ähnlich kompliziert wie das Recht auf Auskunft – besonders für medizinische Einrichtungen: Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist:

  • Die personenbezogenen Daten wurden für Zwecke erhoben, für die sie nicht mehr notwendig sind.
  • Die betroffene Person widerruft ihre Einwilligung.
  • Die betroffene Person legt Widerspruch gegen die Verarbeitung ein.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

Spannend ist hier allerdings, dass die meisten Praxen keine Daten löschen werden – und auch gar nicht dürfen, obwohl der Patient dies verlangt: Das liegt an den langen Aufbewahrungsfristen von 10 bzw. teilweise sogar 30 Jahren je nach Art der dokumentierten Patientendaten und der damit verbundenen Behandlung. Solange die Aufbewahrungsfristen noch laufen, sind Ärzte verpflichtet, die Daten sicher aufzubewahren. Die gesetzliche Verpflichtung zur Dokumentation überwiegt hier das Recht des Patienten. Es müssten schon äußerst gravierende Gründe sein, dass Patientendaten vor Ablauf der Frist gelöscht werden dürfen – mir fällt da nur die Situation eines Zeugenschutzprogrammes ein.

Wie nach Art. 15 beim Auskunftsrecht hat auch beim Recht auf Löschen der Patient das Recht, auf eine Bestätigung über die gelöschten Daten bzw. wahrscheinlicher eher eine Auskunft, welche Daten Sie vom ihm gespeichert haben, wie lang die Aufbewahrungsfristen (noch) sind und dass Sie die Daten danach automatisch löschen.

Im Übrigen haben Patienten, die einen Löschantrag stellen, oft eher die Sorge, ihre Daten könnten in der Praxis nicht sicher aufbewahrt werden. Sie wissen nicht, dass sich die Verschwiegenheitspflicht auf jegliche Angestellte der Praxis bezieht und wie hoch die technischen Anforderungen an den Datenschutz in Arztpraxen sind. Meist ist es daher wichtiger, ihnen zu versichern, dass die Daten in Ihrer Arztpraxis sicher aufbewahrt werden und nur Berechtigte darauf Zugriff haben. 

5

Recht auf Einschränkung der Verarbeitung nach Art. 18

Manchmal geht es auch gar nicht darum, dass Daten gelöscht werden sollen, sondern dass nur nicht alle Personen eines Unternehmens darauf Zugriff haben. Oder die Daten können nicht gelöscht werden, weil noch ein Rechtsstreit im Gange ist. Dann dürfen die Daten natürlich nicht mehr aktiv verarbeitet werden, dürfen aber auch nicht gelöscht werden. Hier greift das Recht auf Einschränkung: Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.

  • Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten.

  • Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

  • Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Patienten-Verwaltungs-Programme sollten daher über eine Funktion zum Sperren von Datensätzen verfügen. 

6

Recht auf Datenübertragbarkeit nach Art. 20

Das Recht auf Datenübertragbarkeit bezieht sich auf elektronische Daten – Arztpraxen können es aber nur bedingt umsetzen, wenn die verschiedenen Systeme auch tatsächlich kompatibel sind: Jede von der Verarbeitung personenbezogener Daten betroffene Person

hat das Recht, die sie betreffenden personenbezogenen Daten, welche durch die betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie hat außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung oder auf einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Ferner hat die betroffene Person bei der Ausübung ihres Rechts auf Datenübertragbarkeit das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

Dieses Recht kann in der direkten Umsetzung bisher auch an mangelnden Schnittstellen und gängigen Formaten scheitern. Es kann dann aber indirekt umgesetzt werden, indem Sie dem Patienten oder dem mitbehandelnden Arzt seine Akte ausgedruckt übergeben. Letztendlich soll die Telematikinfrastruktur (TI) diese Thematik grundlegend für das Gesundheitswesen lösen. Es ist nur eine Frage, wann die TI funktionsfähig ist. 

7

Recht auf Widerspruch nach Art. 21

Zuletzt gibt es noch das Recht auf Widerspruch oder Widerruf: Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen – wenn sie zuvor eingewilligt hatte.“

Das Recht auf Widerruf kann also nur angewendet werden, wenn der Patient zuvor eine Einwilligung erteilt hat. Der Prozess von Einwilligungen muss also so organisiert werden, dass ein Widerruf eines Patienten auch umgesetzt werden kann.

Basiert eine Datenverarbeitung aber nicht auf einer Einwilligung, sondern z.B. auf dem (stillschweigend) geschlossenen Behandlungsvertrag, kann der Patient also nicht widerrufen. Folglich bleiben alle Daten, die Sie zu ihm gespeichert haben, weiterhin dokumentiert. Es kann nur sein, dass sich der Patient nicht weiter behandeln lassen möchte.

Das Recht auf Widerruf gilt auch bei Direktwerbung, wie Terminerinnerungen oder Newsletter – egal ob papiergebunden oder elektronisch. 

Die Bedeutung dieser Patientenrechte

In den meisten Fällen sollte die Umsetzung dieser Rechte kein Problem darstellen. Oft ist eher ein Verständnisproblem, wie das Recht des Patienten im Einzelnen umgesetzt werden muss. Bei Unklarheiten ist es hier entscheidend, einen Datenschutzbeauftragten hinzuzuziehen, um keine Fehler zu machen. Denn ein falsch oder nicht umgesetztes Recht eines Patienten nach der DSGVO kann zu den bereits erwähnten Bußgeldern von bis zu 4% des Vorjahresumsatzes führen.