Einwilligungserklärungen – Was der Datenschutz verlangt und was nicht

14.01.2019 |

Einige Monate nach Inkrafttreten sorgt die EUDatenschutzgrundverordnung immer noch für Verunsicherung in den Praxen – insbesondere was den Datenaustausch betrifft. Muss der Patient jetzt jedem Vorgang schriftlich zustimmen? Natürlich nicht. Wann eine Einwilligungserklärung notwendig ist – und wann nicht – lesen Sie hier.

Grundsätzlich ist bei der Übermittlung von Patientendaten an Dritte eine widerrufbare Einwilligungserklärung des Patienten erforderlich, wenn es keine gesetzliche Übermittlungsverpflichtung oder -befugnis gibt. Gesetzliche Übermittlungsbefugnisse bestehen beispielsweise bei der Übermittlung von Patientendaten an die Berufsgenossenschaften, Gesundheitsämter (Infektionsschutzgesetz), Krebsregister, Ärztliche Stelle (Röntgenprüfung), etc. Selbstverständlich ist auch die Datenübermittlung an die KV zu Abrechnungszwecken durch sogenannte gesetzliche Offenbarungspflichten gedeckt.

Erst wenn eine entsprechende gesetzliche Pflicht oder Befugnis zur Datenverarbeitung fehlt, hängt die Weitergabe von Patientendaten von der Einwilligung des Patienten ab. Das betrifft auch die Weitergabe von Behandlungsdaten zwischen Ärzten, Psychotherapeuten, Krankenhäuser, Pflegeheimen und anderen Leistungserbringern. Das Sozialgesetzbuch V (§ 73 Abs. 1b SGB V) sieht eine schriftliche Einwilligungserklärung des Patienten vor - und tat es im Übrigen bereits vor Inkrafttreten der EU-Datenschutzgrundverordnung. Allerdings gibt es von dieser Regel eine prominente Ausnahme. Wenn ein Arzt zum Zwecke der Diagnostik oder Weiterbehandlung andere Leistungserbringer einbezieht, ist nach Rechtsauffassung der KV Bremen und vieler anderer Institutionen im Gesundheitswesen eine gesonderte Erklärung des Patienten nicht erforderlich. Dies ist also der Fall bei Überweisungen und Einweisungen. Einzelne Datenschutzbehörden sehen das zwar anders. Es bleibt daher abzuwarten, ob und wann dieser Punkt im Sozialgesetzbuch konkretisiert wird.

Mittlerweile geklärt ist die Frage, ob es für die Datenübermittlung an ein Labor des Einverständnisses des Patienten bedarf. Das Bundesgesundheitsministerium hat klargestellt, dass dies auch ohne Einwilligung datenschutzkonform ist, wenn die Übermittlung für die Versorgung des Patienten erforderlich ist und diese Daten von ärztlichem Personal – die der Geheimhaltungpflicht unterliegen – bearbeitet werden.

Kurzum: Im Falle einer Überweisung zu einem Kollegen, einer Einweisung in eine stationäre Einrichtung oder bei Laboraufträgen ist die Einwilligung des Patienten als konkludent anzusehen und damit eine gesonderte schriftliche Einverständniserklärung nicht notwendig. Für alle
anderen Fälle des kollegialen Austausches (Arztbriefe) sollten Praxen eine Vorlage für eine oder mehrere Einwilligungserklärungen ausarbeiten und bereithalten. Aus dieser Erklärung muss hervorgehen, zu welchem Zweck die Daten weitergegeben werden. Neu ist nach Inkrafttreten der Datenschutzgrundverordnung, dass die Erklärung einen Passus beinhalten muss, dass Patienten ihre Einwilligung jederzeit widerrufen können. Sollten Praxen in ihren Formularen ein solches Widerrufsrecht noch nicht integriert haben, ist es ratsam, dies dringend nachzuholen. Dass die Datenschutzgrundverordnung das Widerrufsrecht so betont, hat für die Praxen auch einen positiven Aspekt. Denn somit ist klargestellt, dass nicht für jede einzelne Befunderhebung oder -übermittlung eine Einwilligung des Patienten einzufordern ist. Eine Widerrufsmöglichkeit wäre sinnlos, wenn vor jeder Übermittlung der Versicherte erneut gefragt würde und damit seine Entscheidung immer neu treffen müsste.

 

Einwilligungserklärung: Ja oder Nein?

  • Überweisung: Nein
  • Informationsaustausch zwischen Haus- und Fachärzten: Ja
  • Krankenhauseinweisung: Nein
  • Laborleistungen: Nein
  • Häusliche Krankenpflege: Nein
  • Heimpatienten: Nein
  • Rezeptübermittlung an Apotheken: Ja
  • Abholung von Rezepten/Überweisungen durch Ehepartner oder
  • Angehörige: Einverständnis/Vollmacht des Patienten. Kann auch mündlich erteilt und in der Patientenakte vermerkt werden.
  • Auskünfte über die Behandlung an Ehepartner und Angehörige: Ja
  • Übermittlung von Daten an die KV Bremen: Nein
  • Übermittlung von Daten an die privaten Verrechnungsstellen: Ja

 

Einverständniserklärung des Patienten

Einverständniserklärung (pdf - 1 483 kB)

 

Fragen und Konstellationen im Licht der Datenschutzgrundverordnung

Ist eine Übermittlung an den Medizinischen Dienst der Krankenversicherung ohne Einwilligung des Patienten noch zulässig?

Ja, hierzu ist der Vertragsarzt weiterhin gesetzlich verpflichtet (§ 276 Abs. 2 Satz 1 SGB V). Die Krankenkassen dürfen zwar noch die gewünschten Unterlagen für den MDK anfordern; diese müssen aus datenschutzrechtlichen Gründen jedoch direkt an den MDK verschickt werden.

 

Dürfen Rezepte an Angehörige ausgehändigt werden oder direkt an Pflegeheime oder Apotheken übermittelt werden?

Grundsätzlich sollten in diesen Fällen eine Einverständniserklärung in schriftlicher Form vorliegen und die berechtigten Angehörigen bzw. die Apotheken/Altenheime benannt werden. Werden die Rezepte beispielsweise durch das Personal des Altenheims abgeholt, sollten diese insgesamt in einem verschlossenen, an das Altenheim adressierten Umschlag, übergeben werden.

 

Eine Apotheke hat eine Nachfrage zu einem ausgestellten Rezept. Was ist zu tun?

Solche Auskünfte sind auch nach Inkrafttreten der neuen Datenschutzgrundverordnung nach Rechtsauffassung der KV Bremen zulässig. Dies gilt auch für telefonische Fragen der Apotheke, wenn ersichtlich ist, dass diese aus einer Apotheke kommt, die der Patient zur Einlösung des Rezepts aufgesucht hat. Eine Schweigepflichtsentbindung ist nicht notwendig, da die Apotheken nach der Apothekenbetriebsordnung (§ 17 Abs. 5) bei Unklarheiten verpflichtet sind, nachzufragen und bis zur abschließenden Klärung keine Arzneimittel abgeben dürfen.

 

Die Polizei erkundigt sich in der Praxis nach einem Patienten. Was nun?

Gegenüber der Polizei gibt es grundsätzlich keine Aussageverpflichtung. Mitteilungen unterliegen in vollem Umfang der Schweigepflicht (Beispiele: Diebstahl einer Geldbörse im Wartezimmer). Die Tatsache, dass ein Patient die Arztpraxis aufsucht, unterliegt bereits der Ärztlichen Schweigepflicht. Wenn die Polizei jedoch wegen eines Gewaltverbrechens ermittelt (Mord, Totschlag etc.), könnte im Einzelfall eine Übermittlung von Patientendaten ‒ nach erfolgter Interessenabwägung ‒ zulässig sein.

 

Welche Unterlagen dürfen an Angehörige oder Erben herausgegeben werden?

Keine. Die Schweigepflicht gilt auch gegenüber den Familienangehörigen/Ehepartnern. Auch gilt diese über den Tod hinaus. Wir sprechen von der postmortalen Schweigepflicht. Den Erben steht jedoch unter Darlegung der berechtigten Interessen ein Einsichtsrecht in die Patientenakte zu, soweit der Einsichtnahme nicht der ausdrückliche oder mutmaßliche Wille des Patienten entgegensteht.

 

Dürfen Befunde/Patientendaten noch per Fax übermittelt werden?

Ein Faxversand ist grundsätzlich noch erlaubt, aber es besteht ein hohes Risiko. Daher ist es empfehlenswert, regelmäßig die gespeicherten Rufnummern zu prüfen und den Sendestatus zu kontrollieren.

 

Muss die Patienteninformation zum Datenschutz von unseren Patienten unterzeichnet werden?

Die Datenschutzgrundverordnung verlangt zwar, dass Patienten in der Praxis auf bestimmte Informationen über die Verarbeitung ihrer Daten hingewiesen werden, zum Beipsiel über einen Aushang. Das reicht aus. Eine zusätzliche schriftliche Einwilligung des Patienten ist nicht zwingend notwendig.


Ich plane in der Praxis ein Terminerinnerungsservice. Was ist zu beachten?

Für dieses Praxisangebot muss der Patient sein wiederrufbares Einverständnis zur Erfassung und Speichern seiner Daten zu diesem speziellen Zweck erklären. Sollte dafür ein externer Dienstleister eingesetzt werden, ist in der Regel ein Vertrag zur Auftragsverarbeitung nötig.