Anders als bei einer Gemeinschaftspraxis handelt es sich bei der Praxisgemeinschaft um grundsätzlich getrennte Praxen. Ihre Besonderheit liegt darin, dass gemeinsam Räumlichkeiten, IT und Personal genutzt werden. Was ist dabei datenschutzrechtlich zu beachten?
Abgrenzung zur Gemeinschaftspraxis
Eine Gemeinschaftspraxis stellt berufsrechtlich eine Praxis dar. Die Ärzte behandeln Patienten gemeinsam und teilen sich Ressourcen sowie Einnahmen. Der Behandlungsvertrag wird mit der Gemeinschaftspraxis geschlossen und berechtigt die Ärzte wechselseitig zur Behandlung. Unter einander sind sie von der Schweigepflicht befreit.
Im Gegensatz dazu handelt es sich bei der Praxisgemeinschaft um strikt getrennten beruflichen Tätigkeiten. Die Ärzte in der Praxisgemeinschaft führen ihre eigene Praxis unter dem eigenen Namen und sind selbstständig in der Abrechnung sowie Patientenbetreuung. Diese Trennung ermöglicht es, individuelle Schwerpunkte und Spezialisierungen beizubehalten, während man von gemeinsam genutzten Räumlichkeiten und Ausstattungen profitiert. Anders als bei der Gemeinschaftspraxis besteht zwischen den Ärzten der Praxisgemeinschaft eine Schweigepflicht. Das heißt, sie dürfen sich nicht unter einander über Patienten austauschen, es sei denn, dass die Patienten hierzu Ihre Einwilligung erklärt haben.
Datenschutz in der Praxisgemeinschaft
Datenschutz spielt in der Praxisgemeinschaft eine besonders wichtige Rolle, da trotz der räumlichen Nähe keine gemeinsame Nutzung von Patientendaten stattfindet. Jeder Arzt ist für die Sicherheit und Vertraulichkeit seiner Patienteninformationen eigenständig verantwortlich. Dies schließt den physischen Schutz von Akten und den Schutz digitaler Daten ein. Die Ärzte müssen sicherstellen, dass Daten nicht zugänglich für andere Mitglieder der Praxisgemeinschaft sind.
Dabei kann gemeinsames Personal durchaus für mehrere Praxen tätig werden und Daten einsehen, so der Berliner Beauftragte für den Datenschutz und Informationsfreiheit. Es untersteht dabei dem Direktionsrecht der jeweils im Einzelfall behandelnden Ärzte. Dies muss sich auch technisch im Praxisverwaltungssystem widerspiegeln, soweit dies gemeinsam genutzt wird.
Die IT-Systeme von Praxisgemeinschaften sind so einzurichten, dass die ärztliche Schweigepflicht gewahrt werden kann. Die Wahl, welchen Ärztinnen
Berliner Beauftragter für Datenschutz und Informationsfreiheit, Jahresbericht 2014 (S. 77)
und Ärzten Patientendaten offengelegt werden, muss bei den Patienten verbleiben.
Sie brauchen Unterstützung beim Datenschutz?
Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Die Bildung einer Praxisgemeinschaft erfordert klare vertragliche Regelungen. Unter anderem können sich die Ärztinnen und Ärzte der Praxisgemeinschaft auf eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO einigen. Dies kann für Praxisgemeinschaften sinnvoll sein, weil hier verschiedene medizinische Fachkräfte räumlich und möglicherweise auch funktional zusammenarbeiten, aber dennoch datenschutzrechtlich eigenständig agieren. In einer solchen Konstellation kann es leicht zu Situationen kommen, in denen die Verarbeitung personenbezogener Daten nicht klar einer einzelnen Praxis zugeordnet werden kann, beispielsweise bei der Nutzung gemeinsamer Rezeptionsservices, eines Praxismanagement-Systems oder gemeinsam genutzter medizinischer Geräte.
Um einen Vertrag für eine gemeinsame Verantwortlichkeit im Sinne der DSGVO zu erstellen, müssen folgende Voraussetzungen erfüllt sein:
- Klare Festlegung der Verantwortlichkeiten: Der Vertrag muss transparent darlegen, welche Partei welche datenschutzrechtlichen Verpflichtungen übernimmt. Dies umfasst insbesondere die Wahrnehmung der Betroffenenrechte und die Einhaltung der Informationspflichten.
- Bestimmung der Zwecke und Mittel der Datenverarbeitung: Die Parteien müssen gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Es muss ein Konsens darüber bestehen, warum und wie die Daten verarbeitet werden.
- Dokumentation und Transparenz: Die Einzelheiten der Vereinbarung sollten schriftlich festgehalten werden.
- Kommunikation gegenüber den Betroffenen: Der Vertrag klärt, an wen sich Betroffene mit Anfragen oder Beschwerden wenden können. Dies ist wichtig, um den Rechten der Betroffenen auf Auskunft, Berichtigung, Löschung usw. gerecht zu werden.
- Regelung zur Haftung und zum Umgang mit Datenpannen: Der Vertrag kann auch die Haftung bei Verstößen und die Vorgehensweise im Falle von Datenpannen regeln. Dies umfasst die gegenseitigen Informationspflichten bei Datenschutzverletzungen und die Aufteilung der finanziellen Verantwortung bei möglichen Bußgeldern.
Information gegenüber dem Betroffenen
Das „Wesentliche“ dieser Vereinbarung muss betroffenen Personen zur Verfügung gestellt werden. Dadurch wird die Pflicht zur Information der betroffenen Personen nach Art. 13 und 14 ergänzt. „Wesentlich“ und somit den betroffenen Personen zur Verfügung zu stellen ist nach Ansicht der Datenschutzkonferenz zumindest eine nachvollziehbare Beschreibung des Zusammenwirkens und der Rollen der Beteiligten und ihrer jeweiligen Beziehung zur betroffenen Person sowie die Angabe, welcher der gemeinsam Verantwortlichen welche Betroffenenrechte und Informationspflichten erfüllen soll. Grundsätzlich dürfe es ausreichend sein, diese wesentlichen Elemente der Vereinbarung nach Art. 26 etwa auf einer Website bereitzustellen.