Häufige Fragen zum Datenschutz
Wird bei Laborüberweisungen ein Vertrag zur Auftrags(daten)verarbeitung und eine Einwilligung nach DSGVO benötigt?
Sie als behandelnder Arzt sind „medizinischer Vertreter“ des Patienten und beauftragen den Laborarzt mit stillschweigender Vollmacht (sogenannte Innenvollmacht) des Patienten. Der Vertrag über die Laboruntersuchung kommt unmittelbar zwischen Patient und Laborarzt zustande, d.h. nicht Sie als behandelnder Arzt schließen den Vertrag mit dem Laborarzt sondern der Patient vertreten durch Sie.
Sie als behandelnder Arzt übermitteln die Patientendaten nicht selbst als verantwortliche Stelle, sondern als Vertreter des Patienten. Da es nicht zu einer Datenübermittlung durch den behandelnden Arzt im rechtlichen Sinne kommt, bedarf der behandelnde Arzt auch keiner datenschutzrechtlichen Einwilligung des Patienten. Es bedarf daher auch keines Vertrags zur Auftragsdatenverarbeitung nach § 11 BDSG bzw. zur Auftragsverarbeitung nach Art. 28 DSGVO.
Bei der Erteilung von Laboraufträgen handelt es sich nicht um eine Auftrags(daten)verarbeitung.
Die ausführliche Erklärung hier. In welchen Fällen keine Auftragsdatenverarbeitung besteht wurde von den unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) Anhang B, Seite 4 vom 16.01.2018 präzisiert. Dieses entspricht unverändert dem Schreiben des Datenschutzbeauftragten des Landes Bremen vom 06.06.2011 (Link pdf-Datei) und wurde uns vom Datenschutzbeauftragten von Schleswig-Holstein am 18.06.2018 per E-Mail bestätigt (Link pdf-Datei)
Geht die Datenweitergabe bei Laborüberweisung dann ohne Einwilligung des Patienten?
Neben der DSGVO gilt die Berufsordnung. In §9 Abs. 4 steht: „Wenn mehrere Ärzte (…) denselben Patienten (…) behandeln, so sind sie untereinander von der Schweigepflicht insoweit befreit, als das Einverständnis des Patienten vorliegt oder anzunehmen ist.“ Das Einverständnis des Patienten muss „anzunehmen“ sein. Dieses erfolgt meist durch Hinhalten des Arms zur Blutentnahme. Der Patient sollte zumindest auf Nachfrage darauf hingewiesen werden, dass seine Daten an das Labor übermittelt werden. (Quelle: 32. Tätigkeitsbericht des Landesbeauftragten für Datenschutz Baden-Würtemberg Seite 128 Absatz 7.9.2).
Was hat sich bei der ärztlichen Schweigepflicht geändert?
Im November 2017 wurde die ärztliche Schweigepflicht (§203 StGB Abs. 4) geändert. Jede „mitwirkende Person“ (Techniker z.B. EDV), die an Patientendaten arbeitet, unterliegt jetzt der ärztlichen Schweigepflicht. Der Arzt muss dazu verpflichten (bis 1 Jahr Haft f. den Arzt). Hier ein Vordruck der bayerischen Landesärztekammer.
Erklärung: Dies stellt eine Vereinfachung dar. Früher musste der Arzt z.B. bei Wartungsarbeiten an der Praxis-EDV dem Techniker/ Informatiker jederzeit über die Schulter schauen und bei Missbrauch eingreifen. Dieses war oft nicht durchführbar (z.B. machen Updates Dinge, die der Arzt nicht kontrollieren kann).
Wir hoffen hiermit viele Fragen beantwortet zu haben.
Dr. Thomas Lorentz