Die Einwilligung ist eine der Möglichkeiten, die zur Nutzung und Verarbeitung von personenbezogenen Daten berechtigen. Was müssen Ärzte und Apotheken dabei beachten?
Wann darf ich personenbezogene Daten nutzen?
Erst einmal: gar nicht! Das Datenschutzrecht der DSGVO funktioniert nach dem Prinzip eines Erlaubnisvorbehalts – das heißt, dass erst einmal prinzipiell jede Nutzung von personenbezogenen Daten verboten ist. Das hört sich jetzt so an, als wäre die DSGVO besonders hart. Aber erstens war das auch schon nach dem alten Bundesdatenschutzgesetz so, und zweitens gibt es nach der DSGVO genügend Ausnahmen von dieser Regel. Diese Ausnahmen stehen in Art. 6 Absatz 1 DSGVO.
Es reicht aus, dass mindestens eine dieser Voraussetzungen vorliegt.
Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung
1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Noch einmal kurz zusammengefasst
Die Verarbeitung, Nutzung etc. von personenbezogenen Daten ist möglich:
- bei einer Einwilligung
- zur Erfüllung eines Vertrages (z.B. Rechnungstellung)
- bei einer rechtliche Verpflichtung
- zum Schutz lebenswichtiger interessen
- bei einem überwiegenden öffentliche Interessen
- bei berechtigte Interessen des Verantwortlichen, sofern nicht die Interessen der betroffenen Person überwiegen.
Warum ist das so?
Der Einzelne hat das Recht auf Privatsphäre und informationelle Selbstbestimmung – er soll also selbst bestimmen können, wer welche Informationen über ihn erhält.
Wann brauchen Ärzte und Apotheken eine Einwilligung?
Wenn es keine gesetzliche Ausnahme gibt, muss der Betroffene in die Verarbeitung seiner Daten einwilligen, sonst dürfen diese Daten nicht genutzt werden. Zuerst ist also zu prüfen: Gibt es eine solche gesetzliche Ausnahme? Wenn nein, brauche ich unbedingt eine Einwilligung des Betroffenen. Tatsächlich ist es so, dass die allermeisten Vorgänge in einer Apotheke und beim Arzt keiner Einwilligung bedürfen.
Bei Apotheken sind die wichtigsten Rechtsgrundlagen für die Verarbeitung die
- Vertragsdurchführung mit dem Kunden gemäß Art. 6 Abs. 1 Satz 1b DSGVO
- rechtliche Verpflichtungen gemäß Art. 6 Abs. 1 Satz 1b DS-GVO nach § 129, § 300, § 302, § 305 SGB V; § 17 Abs. 6 ApBetrO
Die Einwilligung kommt dann zum Zuge, wenn Patientendaten darüber hinaus verarbeitet werden. Die bekanntesten Fälle sind:
- Elektronische Kundendatei
- Übermittlung von Patientendaten an Dritte z.B. zum Zwecke eine Medikationsmanagements
Bei Ärzten sind die wichtigsten Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten
- der Behandlungsvertrag mit dem Patienten
- die Erfüllung gesetzlicher Pflichten (z.B. §§201 ff. SGB VII oder §§6ff IfSG)
Eine Einwilligung wird gebraucht insbesondere bei
- Abrechnung von privatärztlichen Leistungen über eine PVS / externen Dienstleister
- Weitergabe von Patientendaten an andere Ärzten und mitbehandelnden Leistungserbringern, beispielsweise Krankengymnasten oder Ergotherapeuten (§ 73 Abs. 1 b SGB V)
- Information von Angehörigen im Sinne einer Vollmacht / Patientenverfügung
- Verwendung der Patientendaten zu sonstigen Zwecken, mit welchen der Patient nicht rechnen kann
Eine Vorlage für eine Einwilligungserklärung findet sich unter anderem bei der Kassenärztlichen Vereinigung Niedersachsen (KVN).
Zu beachten ist, dass der Arzt oder die Ärztin zudem in diesen Fällen von seiner/ihrer Schweigepflicht entbunden werden muss.
Was ist bei der Einwilligung zu beachten?
Die DSGVO regelt die Voraussetzungen in Art. 4 Nr. 11 DSGVO:
„Einwilligung“ der betroffenen Person [ist] jede
- freiwillig für den bestimmten Fall,
- in informierter Weise und
- unmissverständlich abgegebene Willensbekundung
- in Form einer Erklärung
- oder einer sonstigen eindeutigen bestätigenden Handlung,
- mit der die betroffene Person zu verstehen gibt,
- dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
Hierzu auch die Erwägungsgründe zur Einwilligung in der DSGVO:
Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.
Erwägungsgrund 32 DSGVO zur Einwilligung
Nach altem und neuen Datenschutzrecht müssen die Betroffenen darüber informiert werden, dass Daten von ihnen erhoben und gespeichert werden. Sie müssen auch darüber informiert werden, was mit den Daten geschieht und zu welchem Zweck sie genutzt werden. Der Zweck muss klar und deutlich formuliert werden. Und nur zu diesem Zweck gilt die Einwilligung.
Aus der Einwilligungserklärung muss auch hervorgehen, ob die Daten an Dritte weitergeleitet werden.
Da der Verantwortliche im Zweifel die Einwilligung nachweisen muss, erfolgt die Einwilligung in der Regel schriftlich. Der Widerruf der Einwilligung ist nach Artikel 7 Absatz 3 DSGVO jederzeit möglich. Sobald der Patient also nicht mehr möchte, dass seine Daten genutzt werden, muss diesem Willen nachgekommen werden.
Wegen der Informationspflichten sollte dem Betroffenen zusammen mit der Einwilligungserklärung immer auch die Datenschutzerklärung vorgelegt werden, Art. 12ff DSGVO.
Muss der Betroffene in die Weitergabe seiner Daten an Dritte einwilligen?
Im Zeitalter der Digitalisierung ist es fast schon selbstverständlich, dass Daten bei der Ausführung eines Auftrages durch mehrere Hände gehen. Das fängt schon dann an, wenn Daten in der Cloud, also auf einem Server eines Dienstleisters, gespeichert und dort verarbeitet werden. Werden externe Auftragnehmer mit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beauftragt, liegt eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Der Betroffene muss dann nicht mehr in die Verarbeitung einwilligen. Vielmehr wird die verarbeitende Stelle so behandelt, als wäre sie ein Teil desjenigen, der die Daten nutzt.
Unabhängig davon gelten für die Übermittlung der Daten an Dritte die Voraussetzungen aus Art. 6 Absatz 1 DSGVO. Die Übermittlung ist also erlaubt
- bei einer Einwilligung,
- zur Erfüllung eines Vertrages (nähere Erläuterungen bei t3n.de)
- bei einer rechtliche Verpflichtung,
- zum Schutz lebenswichtiger interessen,
- bei einem überwiegenden öffentliche Interessen,
- bei berechtigten Interessen des Verantwortlichen, sofern nicht die Interessen der betroffenen Person überwiegen
Was sollte ich tun, wenn ich mir nicht sicher bin, ob ich eine Einwilligung brauche?
Bei der Auslegung der DSGVO ist noch vieles Ungewiss. Gerade wenn es darum geht, auszuloten, welcher Umgang mit Daten noch verhältnismäßig ist und welcher nicht, ist die zukünftige Rechtsprechung abzuwarten. In der Regel gilt: Wenn man schon nach dem alten Bundesdatenschutzgesetz eine Einwilligung einholen musste, ist das auch nach dem neuen Recht so.
Für Apotheken und Ärzte bietet es sich an, dass so wenig wie möglich Verarebeitungen von der Einwilligung des Patienten abhängig sind. Denn zum einen können sich hier schnell Fehler einschleichen, schließlich sind die Anforderungen an eine wirksame Einwilligung sehr hoch. Zum anderen kann der Patient die Einwilligung jederzeit zurück ziehen.
Es sollte also nur dann eine Einwilligung eingeholt werden, wenn dies zwingend erforderlich ist. Gerne kann ich Sie hierbei in meiner Eigenschaft als externer Datenschutzbeauftragter für Apotheken und Ärzte beraten.