| DATENSCHUTZWISSEN

Wie Sie den Patientendatenschutz bei Aufgabe und Verkauf der Praxis regeln

Der Patientendatenschutz ist nicht nur im normalen Betrieb einer Arztpraxis oder eines Krankenhauses zu beachten, sondern auch dann, wenn Aufgabe, Übergabe, Verkauf oder Insolvenz anstehen bzw. geplant sind.

Patientendaten sind nach Datenschutzrecht als Gesundheitsdaten, Art. 9 DSGVO, und als Privatgeheimnis gemäß § 203 StGB (Berufsgeheimnis, Arztgeheimnis) sowie nach Berufsrecht, § 9 MBOÄ (Musterberufsordnung-Ärzte), geheim zu halten. Sie sind bis zum Ablauf der gesetzlichen Frist, welche im Regelfall zehn Jahre beträgt, § 630 f. Abs. 3 BGB, aufzubewahren. Anschließend sind die Daten zu vernichten, Löschpflicht nach Art. 17 DSGVO.

Patientendatenschutz bei Praxisaufgabe, Praxisverkauf oder Schließung eines Krankenhauses

Für den Fall der Aufgabe oder der Übergabe der Praxis (z. B. im Rahmen eines Verkaufs oder der Einbringung in ein MVZ) regelt § 10 Abs. 4 MBOÄ, dass die Patientenakten nicht herrenlos werden dürfen, sondern weiterhin aufzubewahren sind oder „in gehörige Obhut gegeben werden“:

„Nach Aufgabe der Praxis haben Ärztinnen und Ärzte ihre ärztlichen Aufzeichnungen und Untersuchungsbefunde gemäß Absatz 3 aufzubewahren oder dafür Sorge zu tragen, dass sie in gehörige Obhut gegeben werden.“ (§ 10 Abs. 4 MBOÄ)

Weiter ist indirekt geregelt, dass die „gehörige Obhut“ nur von anderen Ärztinnen und Ärzten ausgeübt werden kann, es sich also um Berufsgeheimnisträger handeln muss und dass das sogenannte Zwei-Schrank-Modell anzuwenden ist: Der Arzt, der die Patientenakten übernimmt, muss die übernommenen Akten separat aufbewahren und darf nur mit Einwilligung der Patientinnen und Patienten die Akten des betreffenden Patienten aus dem Schrank mit Alt-Akten des Vorgängers entnehmen und in seinen laufenden Aktenbestand übernehmen:

„Ärztinnen und Ärzte, denen bei einer Praxisaufgabe oder Praxisübergabe ärztliche Aufzeichnungen über Patientinnen und Patienten in Obhut gegeben werden, müssen diese Aufzeichnungen unter Verschluss halten und dürfen sie nur mit Einwilligung der Patientin oder des Patienten einsehen oder weitergeben.“ (§ 10 Abs. 4 MBOÄ)

Die Aufbewahrungspflicht bleibt aber gleichwohl beim „Alt-Arzt“. Unter Geltung der DSGVO ist dieser Alt-Arzt als „Verantwortlicher“, Art. 4 Nr. 7 DSGVO, anzusehen. Die Aufbewahrung der Akten ist datenschutzrechtlich eine Datenverarbeitung in Form der Speicherung, Art. 4 Nr. 2 DSGVO. Dies gilt auch für Papierakten, die in einem „Dateisystem“ also mit einem Ordnungssystem abgelegt sind, die ein Auffinden der Daten ermöglicht, Art. 2 Abs. 1 DSGVO. Der Verantwortliche muss also – neben dem Berufsrecht und dem Strafrecht – auch das Datenschutzrecht einhalten.

Patientendatenschutz und technisch-organisatorische Maßnahmen, Art. 32 DSGVO

Hierzu gehört es, mittels angemessener technischer und organisatorischer Maßnahmen den Zugriff Unberechtigter zu verhindern und die Zugriffsmöglichkeit für den Verantwortlichen sicherzustellen, Art. 32 DSGVO, § 22 Abs. 2 BDSG sowie § 10 Abs. 5 MBOÄ. Teil dieser Maßnahmen ist der physische Schutz der Daten in abgeschlossenen Räumen, abgeschlossenen Schränken etc.

Patientendatenschutz und Auftragsverarbeitung, Art. 28 DSGVO

Wird die Tätigkeit der Aufbewahrung „in gehörige Obhut“ gegeben, also ausgelagert (Outsourcing), bedarf es hierzu des Abschlusses eines Vertrags zur Auftragsverarbeitung, AVV, nach Art. 28 DSGVO.

Verstöße gegen die Pflicht zum Abschluss eines Vertrags zur Auftragsverarbeitung und zur Einhaltung technisch-organisatorischer Datenschutzmaßnahmen können mit einem Bußgeld bis zum 10 Millionen Euro oder 2 % des Jahresgesamtumsatzes geahndet werden, Art. 83 Abs. 4 a) DSGVO.

Wer also als Arzt, Praxisinhaber oder Krankenhausträger Patientendaten aufbewahren muss und diese Tätigkeit auslagert, sollte mit dem Aufbewahrenden einen Vertrag zur Auftragsverarbeitung abschließen. Hierbei sollte auch regelt werden, dass der Alt-Arzt, z. B. wenn ehemalige Patienten Auskunftsansprüche oder gar Arzthaftungsansprüche gegen ihn gelten machen, Zugriff auf die Daten hat, auch wenn der Patient zwischenzeitlich dem Neu-Arzt die Einwilligung in die Übernahme der Patientenakte gegeben hat. Der Zugriff darf sich aber nur auf die Daten (Befunde, Aufzeichnungen etc.) beziehen, die im Verantwortungsbereich des Alt-Arztes von ihm erfasst wurden.

Patientendatenschutz und Einwilligung in Aktenübernahme

Bei elektronischen Patientenakten kann das Zwei-Schrank-Modell durch Zugriffsrechte auch in einem AIS (Arztinformationssystem) oder KIS (Krankenhausinformationssystem) erfolgen: Der Zugriff auf die Patientenakte und die Übernahmen in den normalen Aktenbestand erfolgen erst nach Freischaltung, wenn eine schriftliche Einwilligung des Patienten vorliegt. Um dabei nicht nur den Anforderungen nach § 203 StGB (Entbindung von der ärztlichen Schweigepflicht) und Einwilligung nach § 10 Abs. 4 MBOÄ, sondern auch den parallel geltenden Datenschutzbestimmungen Genüge zu tun, muss die Einwilligung nach Art. 7 DSGVO ausdrücklich, freiwillig und nach vorheriger Information erfolgen. Die Information kann mit der nach Art. 13 DSGVO erforderlichen allgemeinen Information über die Verarbeitung von Patientendaten in der Arztpraxis bzw. im Krankenhaus verbunden werden.

Autor: David Seiler

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.