Datenschutzrechtliche Anforderungen nach DSGVO an Laboraufträge in der Arztpraxis

Niedergelassene Ärzte und Krankenhäuser (sogenannte Einsender) senden Probenmaterial (Blutproben, Urin, Stuhl) ihrer Patienten zu Facharztpraxen für Labormedizinische Untersuchungen, die sie selbst nicht durchführen können oder mangels entsprechender Facharztausbildung nicht durchführen und abrechnen dürfen.

Datenschutzrechtlich stellen sich im Wesentlichen zwei Fragen: auf welcher (Rechts-)Grundlage darf der Einsender das Probenmaterial samt zugehöriger Daten an den Laborarzt weiterleiten und welche ggf. weiteren datenschutzrechtlichen (Informations-)Pflichten bestehen.

Rechtsgrundlage zur Datenübermittlung

Der behandelnde Arzt kann nach der Rechtsprechung des Bundesgerichtshofes den Laborarzt mit stillschweigender Vollmacht (sogenannte Innenvollmacht) des Patienten mit Laboruntersuchungen beauftragen. Der Vertrag über die Laboruntersuchung kommt also unmittelbar zwischen Patient (sowohl bei Kassen- als auch bei Privatpatienten) und Laborarzt zustande, d.h. nicht der behandelnde Arzt schließt den Vertrag mit dem Labor sondern der Patient vertreten durch den behandelnden Arzt.

Der behandelnde Arzt übermittelt die Patientendaten daher aus rechtlicher Sicht nicht selbst als verantwortliche Stelle, sondern als Vertreter des Patienten. Da es nicht zu einer Datenübermittlung durch den behandelnden Arzt im rechtlichen Sinne kommt, bedarf der behandelnde Arzt auch keiner datenschutzrechtlichen Einwilligung des Patienten, Art. 9 Abs. 2 DSGVO. Es bedarf daher auch keines Vertrags zur Auftragsverarbeitung nach Art. 28 DSGVO. Bei der Erteilung von Laboraufträgen handelt es sich nicht um eine Auftragsverarbeitung weil es sich bei der laborärztlichen Tätigkeit um eine Tätigkeit „höherer Art“ eines Berufsgeheimnisträger handelt, die der strengen Weisungsgebundenheit der Auftragsdatenverarbeitung fremd ist.

Dieses Ergebnis wird vom Kurzpapier 13 der Konferenz der Datenschutzaufsichtsbehörden, einer FAQ der Landesdatenschutzaufsicht Bayern und Niedersachsen sowie mir gegenüber auch von drei weiteren Aufsichtsbehörden bestätigt. Lediglich die Aufsicht in Schleswig-Holstein scheint eine andere Auffassung zu vertreten. Da die DSGVO aber EU-einheitlich auszulegen ist, finden hierzu noch Abstimmungen statt.

Datenschutzrechtliche Informationspflichten

Auch wenn die Datenverarbeitung durch den Einsender (im Auftrag des Patienten) und durch das Labor nach Art. 9 Abs. 2h) DSGVO zur medizinischen Diagnostik datenschutzrechtlich ohne gesonderte Einwilligung des Patienten nach Art. 7 DSGVO zulässig ist, so entbindet das weder den Einsender von seinen Informationspflichten nach Art. 13 DSGVO (und § 4 Abs. 5 GOÄ) noch das Labor von seinen Informationspflichten nach Art. 14 DSGVO. Der Einsender sollte also in Angabe der Empfänger in seiner Patienteninformation zum Datenschutz über das konkrete Labor, welches von der Praxis eingeschaltet wird, informieren sowie die Patienteninformation des Labor zu deren Datenverarbeitung aushändigen.

Nähere Informationen zu den zivilrechtlichen und datenschutzrechtlichen Hintergründen, weiter Nachweise, praktische Empfehlungen und Spezialfragen können hier nachgelesen werden: https://www.datenschutz-recht-medizin.de/laborauftrag-arzt-datenschutzrecht/

Ein Gastbeitrag von David Seiler, Rechtsanwalt, Datenschutzbeauftragter, Dozent für IT-Sicherheitsrecht (an der BTU Cottbus)