Datenschutz bei Ärzten
Im Mai 2018 trat die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. In gewisser Weise war es eine Revolution. Doch für die Allgemeinheit hat sich eigentlich gar nicht so viel geändert, weil viele der nun geltenden Regeln ohnehin Bestandteil im zuvor geltenden Bundesdatenschutzgesetz waren. Trotzdem gab es viele Unsicherheiten mit der rechtlich neuen Materie. Das lockt dann wiederum viele sogenannte Experten auf den Plan, die mit der Unsicherheit anderer Geld verdienen möchten. Und am Ende werden wir mit völlig sinnbefreiten Maßnahmen beglückt, die eigentlich nur wenig mit dem Ziel des Datenschutzes gemein haben.
Heute blicke ich auf den Datenschutz bei Medizinern. Eins vorweg: Wegen den Missverständnissen der DSGVO habe ich bereits einen Arzt wechseln müssen.
Wie kam es? Als ich im Juli 2018 das erste Mal wieder diesen Arzt aufsuchte, wurde mir eine sogenannte Datenschutzerklärung vorgelegt. Die Präambel suggerierte mir, man sei aufgrund der DSGVO verpflichtet, mit mir diese (und keine andere) Vereinbarung zu treffen. Das ist je nach Sichtweise Quatsch bzw. arglistige Täuschung. Denn die DSGVO schreibt an keiner Stelle vor, irgendwelche bestimmte Vereinbarungen treffen zu müssen. Der Grundansatz ist viel mehr, dass – solange es keine andere Legitimierung für eine Datenverarbeitung gibt – ich diese Legitimierung auch durch Einwilligung geben kann.
Für die klassischen Prozesse bei einem Arzt benötigt es keine zusätzliche Einwilligung. Dass ein Arzt mich bei einer Behandlung als Datensatz aufnimmt, liegt in der Natur der Sache. Dass er das nicht mehr auf Schiefertafeln schreibt, ebenso. Dass er das ganze auch mit meiner Krankenkasse abrechnen will, ist ebenso nachvollziehbar und legitim. Und was sie da austauschen, ist gesetzlich geregelt. Und das willige ich stillschweigend ein, in dem ich meine Krankenversichertenkarte übergebe. Ich könnte auch ein Bündel Geldscheine auf den Tresen legen, dann geht’s auch ohne.
Aber zurück zu diesem Arzt und dieser Vereinbarung. Mir wird erklärt, dass der Datenschutz sehr wichtig genommen werde. Aber gleichzeitig soll ich zustimmen, dass ich am Empfang, in den Wartebereichen oder in Seminaren unfreiwillig an Informationen über andere Patienten gelangen könnte. Als Nicht-Mediziner werde ich sozusagen zu einer Schweigepflicht verdonnert, weil der Arzt die eigenen Prozesse nicht gebacken bekommt.
(Wenn ich das erste Mal diesen Arzt betrete, kann ich bereits an solche sensiblen Daten gelangen – auch ohne Unterzeichnung dieser Schweigepflicht. Würde der Arzt diese Regelung ernst nehmen, müsste ich das schon vor Betreten der Praxis unterzeichnen.)
Nun wird es unter anderem damit begründet, dass für eine persönliche Atmosphäre die Patienten mit Nachnamen angesprochen werden. Das ist in der Tat ein gewisses Problem, gerade bei Fachärzten. Andererseits wenn mich die Nachbarin im Wartezimmer eines Facharztes entdeckt, spielt es dann auch keine Rolle mehr, ob ich mit Namen angesprochen werde. Wer aber den Datenschutz hier wirklich ernst nehmen möchte, erzwingt nicht die Akzeptanz dieser Situation, sondern bietet die Möglichkeit einer Pseudonymisierung an. Dann werde ich eben, wenn ich das wünsche, mit Donald Duck aufgerufen. Oder wie bei Behörden mit einer Nummer.
In einem anderen Abschnitt wird das datenschutzferne Thema Urheberrecht gleich mit geregelt. Ich dürfte demnach Druckerzeugnisse nur mit Zustimmung nutzen. Also wir reden noch nicht über Weitergabe, Veränderung oder Kopie. Die pure Nutzung. Man möge sich nun fragen, ob das Rezept ein Druckerzeugnis ist – und ob die Überreichung als implizite Zustimmung zur Nutzung gewertet werden kann. Absurde Regelungen führen immer zu absurden Fragen ganz alltäglicher Dinge.
Der Höhepunkt dieser Vereinbarung war ein Passus, der vorsieht, dass je nach Behandlungsmethode meine Daten auch außerhalb der EU verarbeitet werden können – und ich als Patient dies auch zu verantworten hätte.
Mit anderen Worten: Ich soll pauschal, ohne konkreten Zweck, zustimmen, dass medizinische Daten in Staaten übermittelt werden können, für die nicht die Standards der DSGVO gelten, ggf. noch nicht einmal die ärztliche Schweigepflicht. Es wird keine Beschränkung auf eine Pseudonymisierung garantiert, so dass ausschließlich Messdaten mit einem für außenstehenden nicht auflösbaren Schlüssel übermittelt werden. Und dann habe ich das ganze auch noch zu verantworten, wenn dabei jemand schlampt.
(Habe ich oder der Arzt was mit der Schweigepflicht falsch verstanden?)
Ich habe diesen Passus durchgestrichen – und bekam daraufhin einen Anruf vom Arzt. Mir wurde erklärt, wie diese Regelungen ja gemeint sei. Aber sorry, wenn etwas anders gemeint sei als geschrieben, dann muss ich das Geschriebene vielleicht überdenken. Dazu war der Arzt nicht in der Lage. Die Pistole wurde auf die Brust gesetzt: Entweder so unterschreiben oder Tschüss.
Ich habe mich daraufhin an die Ärztekammer und den Landesdatenschutzbeauftragten gewandt. Der Landesdatenschutzbeauftragte attestierte mir die Unwirksamkeit dieses Passus. Aber mehr könne er hier nicht tun. Also nicht, so lange nicht Daten tatsächlich übermittelt worden sind.
Mit anderen Worten: Ich kann diese Erklärung unterzeichnen, warten bis der Fall eintritt, wo tatsächlich Daten aus der EU übermittelt worden sind – um dann mit Rückenwind des Datenschutzbeauftragten mangels wirksamer Einwilligung den Arzt zu verklagen. Juhu! Das Recht wäre auf meiner Seite, die Daten aber Pfutsch.
Die Ärztekammer fühlt sich auch erst dann zuständig, wenn das Kind bereits in den Brunnen gefallen ist. Dann aber nur mit Blick auf die Schweigepflicht. Beide fühlen sich nicht zuständig, den Ärzten bei diesem schwierigen Thema zu helfen. Man möge sich fragen, für was es dann Kammern gibt, wenn die Ärzte bei so grundsätzlichen Dingen allein zurückgelassen werden.
(Randnotiz: Auch wenn eine Datenschutzverletzung in der Regel auch eine Schweigepflichtverletzung ist, muss eine unwirksame Datenschutz-Einwilligung nicht automatisch eine unwirksame Schweigepflichtentbindung sein. Wer hier mehr weiß: Gerne in den Kommentaren!)
Das Ende vom Lied: Tschüss.
Auch bei anderen Ärzten habe ich an deren Einwilligungen schon gemäkelt. In einem Fall vermerkte ich, dass ich der Datenübermittlung mit den Laboren per Fax und unverschlüsselter E-Mail widersprach. Die Sprechstundenhilfe fragte dann: “Und wie sollen wir dann kommunizieren?” – “Wir haben 2019. Da sollte es selbstverständlich und Berufsehre sein, dass meine sensiblen Daten auch verschlüsselt, gegen Blicke von Dritten, übertragen werden!”. Hier wurde diese Modifikation akzeptiert. Ob sie gelebt wird, sollte ich mal nachfragen.
Bei einem anderen Arzt ging es gleich hoch her mit Weitergabe der Daten an Schufa und Co. Diesen Absatz strich ich ebenso durch. Die Sprechstundenhilfe erklärte mir, dass sie diesen Passus nur bräuchte, wenn ich Zusatz- bzw. Privatleistungen in Anspruch nehme, die nicht direkt in der Praxis beglichen werden. Da das nicht der Fall war, wurde die Streichung akzeptiert (auch wenn es schöner wäre, dies nur im Bedarfsfall einzufordern).
Die DSGVO brachte aber auch schon positive Fälle zum Vorscheine. Ärzte, die keine abstrusen Einwilligungen einfordern, sondern nur auf ihre Datenverarbeitungen hinzuweisen oder maximal für Zusatzleistungen (ganz beliebt sind Terminerinnerungen per SMS) um Einwilligung bitten. Also welche Daten sie für welche Zwecke erfassen und wie weitergegeben, insbesondere welche Labore. Als Flugblatt. Und im Bilderrahmen. Tut nicht weh. Klärt auf. Und belästigt nicht die Patienten. So soll es sein.
Denn Datenschutz soll die Daten schützen. Und nicht uns allen auf den Senkel gehen.
Bisherige Kommentare (0)
Es wurde noch kein Kommentar geschrieben!
Kennst du auch abstruse Einwilligungen?
Bisherige Trackbacks (0)
Es wurde noch kein Trackback empfangen!