Sonderformen ärztlicher Tätigkeit
Allgemeine datenschutzrechtliche Fragen
Bei allen Sonderformen ärztlicher Tätigkeit stellt sich die Frage, wer konkret für die einzelnen in diesem Zusammenhang erforderlichen Verarbeitungstätigkeiten datenschutzrechtlich verantwortlich ist. Denn allein davon hängt ab, wer Adressat der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO ist und damit für einen datenschutzgerechten Betriebsablauf die persönliche Verantwortung trägt.
Während es bei Belegärzten und ermächtigten Krankenhausärzten regelmäßig zu einer teilweisen gemeinsamen Datenverarbeitung zwischen Arzt und Krankenhaus kommt, die möglicherweise in Form einer gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO abgebildet werden kann, muss dies Betriebsärzten in jedem Einzelfall geklärt werden. Maßgeblich ist in diesem Zusammenhang die Ausgestaltung der Tätigkeit des Betriebsarztes und dessen technische und organisatorische Einbindung in die Abläufe des Arbeitgebers. Auf jeden Fall muss im Rahmen derartiger Sonderformen immer ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DS-GVO geführt werden.
Belegärzte
Im Rahmen der belegärztlichen Behandlung besteht ein Behandlungsvertrag nur im Verhältnis zwischen Patient und Belegarzt. Dieser nimmt lediglich Dienstleistungen und die Infrastruktur des Krankenhauses für die Behandlung seiner Patienten in Anspruch. Krankenhausbedienstete, die vom Belegarzt zur Behandlung und Pflege des Patienten hinzugezogen werden, gelten insoweit als Gehilfen des Belegarztes. Der Belegarzt ist deshalb allein für die Behandlung und die Verarbeitung der Patientendaten verantwortlich. Eine Weitergabe von Patientendaten an das Krankenhaus ist nur in dem Umfang zulässig, als dies zur Abrechnung der Krankenhausleistungen erforderlich ist. Dies hat auch zur Folge, dass ein Belegarzt die Akten seiner Patienten (manuelle und elektronische) in eigener Verantwortung getrennt von den Akten der Krankenhausverwaltung führen muss. Eine andere Vorgehensweise erfordert eine entsprechende Aufklärung des Patienten sowie dessen schriftliche Einwilligung.
Ermächtigte Krankenhausärzte
Bei Krankenhausärzten, die aufgrund einer persönlichen Ermächtigung an der ambulanten vertragsärztlichen Versorgung teilnehmen, besteht ein Behandlungsvertrag ebenfalls nur zwischen dem jeweiligen Patienten und dem persönlich ermächtigten Krankenhausarzt. Wie im Fall der belegärztlichen Behandlung bedient sich der ermächtigte Krankenhausarzt bei Erfüllung des Behandlungsvertrages der Infrastruktur und des Personals des Krankenhauses (soweit dies nach den Grundsätzen der persönlichen Leistungserbringung zulässig ist). Die Angestellten des Krankenhauses sind insoweit Gehilfen des ermächtigten Krankenhausarztes. Der persönlich ermächtigte Krankenhausarzt trägt die Verantwortung dafür, dass die ärztliche Schweigepflicht und der Schutz der Patientendaten –auch gegenüber dem Krankenhausträger beziehungsweise dem an der Behandlung nicht beteiligten Krankenhauspersonal- gewährleistet werden. Dies erfordert grundsätzlich eine eigenständige, vom Krankenhausbereich getrennte (manuelle und elektronische) Führung der Patientenakte. Eine andere Vorgehensweise erfordert eine entsprechende Aufklärung des Patienten sowie dessen schriftliche Einwilligung.
Betriebsärzte
Betriebsärzte unterliegen wie jeder andere Arzt der ärztlichen Schweigepflicht. Sie haben nach § 8 Abs. 1 ASiG eine dem Arbeitgeber gegenüber unabhängige Stellung und sind auch diesem gegenüber verpflichtet, die ärztliche Schweigepflicht zu wahren. Ein Zugriff des Arbeitgebers auf die Patientenkartei des Betriebsarztes muss grundsätzlich organisatorisch und technisch ausgeschlossen sein. Wie bei einem Wechsel des Betriebsarztes vorzugehen ist, hängt davon ab, wie die betriebsärztliche Tätigkeit (interner/externer Betriebsarzt) organisiert ist beziehungsweise war.
Check
- Belegärzte:
Haben Sie sichergestellt, dass eine eigenständige, vom Krankenhaus getrennte (manuelle und elektronische) Führung der Patientenakte erfolgt? - Betriebsärzte:
Ist sichergestellt, dass ein Zugriff des Arbeitgebers auf die Patientenkartei organisatorisch und technisch ausgeschlossen ist?