Direkt zum Inhalt

11. Juni 2018

Datenverarbeitung

Informationspflichten der Verantwortlichen nach Art. 13 f. EU-DSGVO

Die EU Datenschutz-Grundverordnung (EU-DSGVO) verpflichtet die Verantwortlichen, also die Stellen, die personenbezogene Daten verarbeiten, die hiervon betroffenen Personen über die Datenverarbeitung zu informieren. Dabei unterscheidet die Datenschutz-Grundverordnung, ob die Daten direkt beim Betroffenen (Art. 13 EU-DSGVO) oder bei Dritten erhoben worden sind (Art. 14 EU-DSGVO). Zwar gab es auch nach dem bislang geltenden Datenschutzrecht in Deutschland konkrete Informationspflichten. Allerdings erweitert die EU-DSGVO diese nun sowohl im Hinblick auf den Umfang der mitzuteilenden Inhalte als auch bezüglich der Fälle, in denen eine derartige Pflicht entsteht. Auch die Inhaber niedergelassener Heilberufspraxen sind durch die EU-DSGVO jetzt von diesen Informationspflichten erfasst.

Inhalt der Informationspflicht nach Art. 13 EU-DSGVO

Erfolgt die Datenerhebung bei den Patienten selbst, müssen diese nach Art. 13 EU-DSGVO folgende Informationen erhalten:

  • den Namen und die Kontaktdaten des/der Praxisinhaber sowie – falls benannt – des internen Datenschutzbeauftragten;

  • die Zweckbestimmung der Erhebung, mögliche Empfänger der erhobenen Daten und die zugrundeliegende Rechtsgrundlage;

  • darüber hinaus sollten Patienten Angaben zur Speicherdauer der erhobenen Daten erhalten und auf das Recht der Auskunftserteilung und der Beschwerdemöglichkeit bei der Datenschutzaufsicht hingewiesen werden.

Inhalt der Informationspflicht nach Art. 14 EU-DSGVO

Für den in der Praxis eher seltenen Fall der Datenerhebung bei einer anderen Stelle und nicht unmittelbar bei dem Patienten, wie zum Beispiel einem anderen Behandler, einem Angehörigen oder dem Internet erhoben werden, gilt die erweiterte Informationspflicht nach Art. 14 EU-DSGVO. Neben den Informationen, die bereits nach Art. 13 EU-DSGVO mitzuteilen sind, müssen auch noch Angaben zu den Kategorien der bei der anderen Stelle erhobenen Daten (zum Beispiel Gesundheitsdaten, genetische Daten, Kontaktdaten) und der Quelle, aus der die Daten stammen, gemacht werden. Sofern die Daten einer öffentlich zugänglichen Quelle entstammen, ist dies anzugeben.

Allgemeine Anforderungen an die Information/Mustertexte

Nach Art. 12 EU-DSGVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache bereit zu stellen. Dies bedeutet, dass die Praxisinhaber selbst geeignete Maßnahmen festlegen können, damit die sich aus der EU-DSGVO ergebenden Anforderungen an die Information gewährleistet werden. Neben klassischen Textdokumenten wie zum Beispiel Informationsblättern, Aushängen oder Flyern lässt die EU-DSGVO auch eine Kombination der Informationen mit standardisierten Bildsymbolen zu, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.

Der LfDI empfiehlt im Bereich der niedergelassenen Heilberufe die Verwendung von allgemeinen Mustertexten, die durch die einzelne Praxis angepasst und danach in ihren Räumlichkeiten allgemein zugänglich ausgelegt werden können. Auf die ausgelegten oder ausgehängten Patienteninformationen können die Patienten bei einem Praxisbesuch hingewiesen werden. Auf Wunsch sollte ihnen eine  Ablichtung ausgehändigt werden. Eine handschriftliche Bestätigung durch die Patienten ist aus Sicht des LfDI entbehrlich, wenn intern die Bereitstellung der Informationen und der beschriebene Hinweis der Patienten durch eine entsprechende Handlungsanweisung sichergestellt ist. Nach den Vorgaben der EU-DSGVO ist eine weitere Unterrichtung entbehrlich, wenn die Betroffenen bereits über die Ihnen bereitzustellenden Informationen verfügen. Diese Muster sind mittlerweile über zahlreiche Stellen verfügbar, so zum Beispiel auch über die KBV (Kassenärztliche Bundesvereinigung). Auch die rheinland-pfälzischen Heilberufskammern und die Kassenärztliche Vereinigung Rheinland-Pfalz arbeiten an einem allgemeinen Mustertext.

Inhaltlich sollten darin neben den nach Art. 13 und 14 EU-DSGVO bereit zu stellenden Informationen auch eine kurze Beschreibung der üblichen Datenverarbeitungsprozesse in der Praxis enthalten sein. Die Informationen müssen bei der ersten Erhebung der Daten den Patienten zur Verfügung stehen. Falls Sie Ihrer Informationspflicht elektronisch über das Internetangebot Ihrer Praxis nachkommen, sollten Sie darauf in Ihrer Praxis deutlich hinweisen und die im Einzelfall mögliche persönliche Unterrichtung anbieten.

zurück
KV RLP Isaac-Fulda-Allee 14 55124 Mainz Telefon 06131 326-326 Fax 06131 326-327 E-Mail service@kv-rlp.de
22. Oktober 2018