Patientendatenschutz und EU-Datenschutzgrundverordnung

Der Datenschutz ist ein äußerst sensibles Thema, welches in den letzten Jahren enorm an Bedeutung gewonnen hat und immer wieder zum heißen Diskussionspunkt auch in der Gesellschaft geworden ist. Besonders sensibel wird der Datenschutz dann, wenn es nicht nur um wirtschaftlich interessante Daten geht (bspw. wo und was man einkauft), sondern wenn es an die persönliche Sphäre geht. Dies ist besonders bei Patientendaten der Fall, denn Daten über eine Krankheit und die Behandlung dieser Krankheit möchte ein Patient sicher im höchsten Maße geschützt wissen.

Der vorliegende Beitrag soll genau hier ansetzen und zunächst verdeutlichen, was der Patientendatenschutz überhaupt umfasst. Sodann soll auf die EU-Datenschutzgrundverordnung eingegangen und aufgezeigt werden, welche Normen der EU-Datenschutz-Grundverordnung hier relevant sind.

Datenschutz im Patientenbereich – Was ist gewünscht und was nicht?

Ist man krank und ist in Behandlung, werden Daten an unterschiedlichsten Stellen erhoben, aufbewahrt, gespeichert und an Dritte übermittelt. Dabei soll der Datenschutz jedoch keinesfalls zum Hindernis für eine effiziente Behandlung der Krankheit werden, denn schließlich steht das Gesundwerden an erster Stelle. Der Patientendatenschutz soll daher lediglich sicherstellen, dass nicht die falschen Personen oder Stellen an die sensiblen Patientendaten gelangen.

Um eine effiziente Behandlung des Patienten zu gewährleisten, gehen also auch die einschlägigen Gesetze davon aus, dass man das Erheben, Speichern, Aufbewahren und Weitergeben auch von Patientendaten als Patient grundsätzlich erlauben kann. Lässt man sich also beispielsweise von seinem Hausarzt behandeln und wird von diesem an einen Spezialisten weitergeleitet, macht es nur Sinn, wenn der Hausarzt die für die Behandlung wichtigen Daten des Patienten zunächst erheben, speichern und aufbewahren und diese im Anschluss auch an diesen Spezialisten weiterleiten darf. Nur wenige Patienten werden in diesen Fällen auf die strikte Einhaltung des Patientendatenschutzes pochen, sondern machen vielmehr von Ihrer datenschutzrechtlichen Möglichkeit Gebrauch, eine Einwilligung für diese datenschutzrechtlich erheblichen Handlungen zu erteilen.

Davon abgegrenzt werden müssen natürlich jedoch die Fälle, bei denen schon in die Erhebung von Patientendaten als sensible Daten, zumindest aber in die Speicherung und Weitergabe der Daten an Dritte gerade nicht eingewilligt wird, sondern der Patient auf die Einhaltung des Patientendatenschutzes größten Wert legt. Dies kann beispielsweise der Fall sein, wenn ein behandelnder Arzt nicht einfach Diagnosen oder Rückfragen an Familienangehörige oder Bekannte stellt, selbst wenn diese für die Behandlung sinnvoll oder sogar nötig sind. Ebenfalls kann ein Patient in bestimmten Fällen die Weiterleitung an sonstige Dritte nicht wollen, bspw. an Versicherungsträger oder andere Ärzte, die der behandelnde Arzt für eine weitere Meinung konsultieren möchte. Widerspricht der Patient diesen Handlungen, muss der Arzt grundsätzlich Folge leisten. Hierfür gibt es verschiedene gesetzliche Regelungswerke, die den Patientendatenschutz durchsetzen sollen. Auf der Bundesebene in Deutschland gibt es das Bundesdatenschutzgesetz (BDSG), welches auf Landesebene von den Landesdatenschutzgesetzen (LDSG) flankiert wird. Jedes Bundesland hat dabei sein eigenes LDSG verabschiedet.

Ab dem 25. Mai 2018 ändert sich diese Lage allerdings, denn ab dann wird die EU-Datenschutz-Grundverordnung angewendet, welche bereits am 4. Mai 2016 verkündet und am 24. Mai 2016 in Kraft getreten ist. Durch die EU-Datenschutzgrundverordnung soll die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden, sodass überall in der EU die gleichen Regelungen gelten. Dies gilt natürlich auch für den Patientendatenschutz. Als Verordnung müssen die Mitgliedsstaaten der EU die EU-Datenschutz-Grundverordnung nicht mehr in nationales Recht umwandeln, die EU-Datenschutz-Grundverordnung ist vielmehr direkt in sämtlichen Mitgliedsstaaten anwendbar. Es macht daher Sinn, sich bereits jetzt mit den Regelungen der EU-Datenschutz-Grundverordnung vertraut zu machen, um ab der Anwendung der EU-Datenschutz-Grundverordnung die für den Patientendatenschutz relevanten Normen bereits zu kennen und zu verstehen.

Sensible Daten, genetische Daten, Gesundheitsdaten?

Für den Patientendatenschutz ist nach der bisherigen und bis zur Anwendung der EU-Datenschutzgrundverordnung  weiter geltenden Rechtslage für den Patientendatenschutz insbesondere auf sog. sensiblen Daten abgestellt worden. Als sensible Daten werden die besonderen Arten personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG bezeichnet, insbesondere die Angaben über die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Daten über diese Kategorien gelten als besonders gefährdet und stehen damit unter besonderem Schutz des Gesetzes.

In der EU-Datenschutzgrundverordnung sind in den Begriffsbestimmungen die sensiblen Daten nicht mehr aufgenommen. In Art. 4 Nr. 13 der EU-Datenschutz-Grundverordnung sind allerdings zunächst die „genetischen Daten“ geregelt. Danach sollen solche personenbezogenen Daten genetische Daten sein, die zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.

Zudem sind in Art. 4 Nr. 15 der EU-Datenschutz-Grundverordnung die „Gesundheitsdaten“ definiert. Dazu gehören solche personenbezogenen Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Für die genetischen Daten und Gesundheitsdaten gelten dabei ähnlich wie bisher besondere Bestimmungen, da diese zwar nicht als sensibel aufgeführt sind, der Gesetzgeber die Sensibilität und die Bedeutung für den Patientendatenschutz allerdings erkannt hat.

Wer ist für die Einhaltung des Patientendatenschutzes verantwortlich?

In der EU-Datenschutz-Grundverordnung ist auch geregelt, wer für die Einhaltung des Patientendatenschutzes verantwortlich ist. Nach Art. 4 Nr. 7 EU-Datenschutzgrundverordnung ist demnach „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ grundsätzlich verantwortlich. Diese Verantwortlichkeit gilt demnach auch für den Patientendatenschutz.

Stellt man im Patientendatenschutz sodann auf das ärztliche Standesrecht und das Strafrecht ab, ist der ärztliche Leiter für die Wahrung des Patientengeheimnisses verantwortlich. Dies ist in einer Praxis für gewöhnlich der behandelnde Arzt selbst. Im Krankenhaus wird darüber hinaus auf den Ärztlichen Direktor des Krankenhauses abgestellt, denn dieser delegiert die Aufgaben an die ärztlichen Leiter der jeweiligen Abteilungen der Stationen.

Daneben sind auch alle weiteren Personen, die bei Untersuchung und Behandlung beteiligt sind, als verantwortlich anzusehen. Dazu gehören bspw. Mitarbeiter eines Pflegedienstes, der Apotheke oder der Krankenhausverwaltung, aber auch Mitarbeiter der EDV-Abteilung einer Arztpraxis oder eines Krankenhauses.

Welche Rechte habe ich als Patient?

Die Rechte der Patienten im Patientendatenschutz sind in der EU-Datenschutzgrundverordnung in den Art. 12 – 23 geregelt. Die wichtigsten Regelungen sollen hier aufgegriffen werden.

Art. 12 EU-Datenschutz-Grundverordnung

Gemäß Art. 12 der EU-Datenschutz-Grundverordnung hat jeder Patient das Recht auf transparente Information und Kommunikation. Zudem sind dort Modalitäten für die Ausübung der Rechte der betroffenen Person geregelt. Hierzu gehört bspw. gemäß Art. 12 Abs. 3 EU-Datenschutz-Grundverordnung, dass der Verantwortliche den betroffenen Personen Informationen über ergriffene Maßnahmen zur Verfügung stellt, wenn der Betroffene einen Antrag hierauf stellt. Dies soll unverzüglich geschehen, mindestens aber innerhalb eines Monats nach Antragstellung.

Art. 13 EU-Datenschutz-Grundverordnung

In Art. 13 der EU-Datenschutz-Grundverordnung sind Informationspflichten bei der Erhebung von personenbezogenen Daten bei der betroffenen Person geregelt. Demnach muss grundsätzlich die Betroffene Person – im Patientendatenschutz also der Patient – davon unterrichtet werden, wenn personenbezogene Daten erhoben werden. Nach Art. 13 Abs. 1 EU-Datenschutz-Grundverordnung sollen dabei folgende Informationen mitgeteilt werden:

  • Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
  • die Rechtsgrundlage für die Verarbeitung
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln

Zusätzlich zu den Informationen gemäß Absatz 1 soll der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung stellen, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen –aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Man kann hieran bereits sehen, welche weitreichenden Informationspflichten den Verantwortlichen zukommen. Diese Informationspflichten gelten gemäß Art. 14 EU-Datenschutz-Grundverordnung auch, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden! Theoretisch muss also im Patientendatenschutz ein Spezialarzt, der die Daten von Ihrem Hausarzt übermittelt bekommt, diese Informationen ebenfalls übermitteln.

Art. 15 EU-Datenschutz-Grundverordnung

Nach Art. 15 EU-Datenschutz-Grundverordnung hat der Betroffene auch weitreichende Auskunftsrechte gegen die Verantwortlichen. Zunächst hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  • die Verarbeitungszwecke
  • die Kategorien personenbezogener Daten, die verarbeitet werden
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Je nach Verarbeitungsart und –zweck können daneben noch weitere Recht bestehen, bspw. auf Übermittlung der gespeicherten Daten in Kopie, Art. 15 Abs. 3 EU-Datenschutz-Grundverordnung.

Art. 16, 17 und 18 EU-Datenschutz-Grundverordnung

Besonders relevant sind die Rechte der Betroffenen, die natürlich auch im Patientendatenschutz für die Patienten gelten, welche in den Art. 16, 17 und 18 der EU-Datenschutz-Grundverordnung geregelt sind. Dabei ist in Art. 16 EU-Datenschutz-Grundverordnung das Recht auf Berichtigung geregelt, in Art. 17 EU-Datenschutz-Grundverordnung das Recht auf Löschung (auch als “Recht auf Vergessenwerden” bezeichnet) und in Art. 18 EU-Datenschutz-Grundverordnung  das Recht auf Einschränkung der Verarbeitung. Diese Rechte sind ebenfalls sehr weitgehend, eine genauere Erläuterung hierzu würde allerdings den Rahmen des Beitrages sprengen. Sollten Sie hierzu Fragen haben, können Sie sich gerne an uns wenden. Wir erläutern Ihnen dann Ihre Rechte in Bezug auf die EU-Datenschutz-Grundverordnung und Fragen in Bezug auf den Patientendatenschutz oder den Datenschutz im Allgemeinen.

Art. 21 EU-Datenschutz-Grundverordnung

In Art. 21 EU-Datenschutz-Grundverordnung ist das Widerspruchsrechts geregelt. Demnach kann die betroffene Person aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f der EU-Datenschutz-Grundverordnung erfolgt, Widerspruch einlegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche darf die personenbezogenen Daten dann nicht mehr verarbeiten, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Fazit

Als Patient stehen Ihnen viele Rechte für die Sicherheit ihrer Daten zu. Je nachdem, welche Rechte Sie geltend machen wollen und wo diese Daten liegen, müssen Sie sich an die richtigen Verantwortlichen wenden und die nötigen Schritte einleiten. Hierfür sind mitunter auch Anträge zu stellen, welche den richtigen Inhalt haben müssen. Sollten Sie hier Zweifel haben oder Unterstützung suchen, können Sie sich jederzeit an uns wenden. Wir stehen Ihnen mit unserer Expertise zum Thema Patientendatenschutz und EU-Datenschutz-Grundverordnung jederzeit mit Rat und Tat zur Seite!Fazit

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*