Müssen Ärzte von Patienten aufgrund des Datenschutzes schriftliche Einwilligungen und Bestätigungen einholen? Nein, prinzipiell nicht. Trotzdem hält sich dieses Gerücht hartnäckig. Ärzte dürfen die Behandlung auch nicht verweigern, nur weil Patienten nicht unterschreiben. Was also tun?

Spätestens seit der unmittelbaren Geltung der Datenschutzgrundverordnung (DSGVO) häufen sich schriftliche Formulare. Diese sollen die Patienten bei Ärzten und Zahnärzten in Praxen und Krankenhäusern unterschreiben. Sei es, um den Erhalt der Information über die Datenverarbeitung nach Art. 13 DSGVO zu bestätigen. Sei es, um unter Verweis auf Art. 6 Abs. 1 Satz 1 lit. a DSGVO überhaupt in die Datenverarbeitung einzuwilligen. Um es jedoch klarzustellen: Selbst wenn Patienten ihre Unterschrift verweigern, bleibt eine etwaige Behandlungspflicht hiervon unberührt. Ärzte können die Behandlung nicht unter Verweis auf den Datenschutz ablehnen.

Problem: Nachweispflicht

Datenverarbeiter müssen nachweisen, dass sie ihre Informationspflicht erfüllt haben oder weshalb sie diese nicht erfüllen können. Ebenso müssen Datenverarbeiter den Nachweis einer Einwilligung führen können.  Andernfalls drohen empfindliche Bußgelder als abschreckende Sanktionen, so der unmissverständliche Gesetzeswortlaut.

Muss jemand einen Nachweis führen, lautet das allgemeine Credo: Schriftlich währt am längsten. Das gilt aber nicht zwingend für den Datenschutz.

Schriftliche Bestätigung erforderlich?

Patienten – wie übrigens auch Mitarbeiter und andere Betroffene – sind bei einer Verarbeitung ihrer Daten zu informieren. Art. 13 DSGVO regelt Zeitpunkt und Umfang der Informationspflicht bei unmittelbarer Datenerhebung. Art. 14 DSGVO findet Anwendung, wenn die Daten nicht unmittelbar bei der betroffenen Person, sondern bei Dritten erhoben wurden. Grundsätzlich gilt also: Werden Daten verarbeitet, muss man den Betroffenen informieren.

Eine schriftliche Bestätigung des Patienten ist gesetzlich nicht vorgeschrieben. Der Nachweis ist auch durch einen Vermerk oder konkret beschriebene Verfahrensabläufe möglich. Die Information kann durch Merkblätter, Aushänge oder elektronisch erfolgen. Persönliche empfehle ich die Information angepasst an die tatsächlichen Praxis- bzw. Klinikabläufen zu gestalten und mit diesen zu harmonisieren. Die Verfahrensabläufe sind zu definieren und bestenfalls pragmatisch-juristisch zu prüfen.

Eine schriftlich zu unterschreibende Bestätigung bindet nicht nur unnötige personelle und materielle Ressourcen; ich denke da nur an die Archivierung! Besteht man auf diese, riskiert man unnötig Kritik oder schlimmstenfalls negative Bewertungen.

Klarstellend ist insoweit auch der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 5. September 2018: Die Datenschutzaufsichtsbehörden des Bundes und der Länder sprechen sich dagegen aus, dass Ärztinnen und Ärzte oder andere Angehörige von Gesundheitsberufen die Behandlung ablehnen oder die Verweigerung der Behandlung androhen, wenn die Patientin oder der Patient die Informationen nach Art. 13 DSGVO nicht mit ihrer oder seiner Unterschrift versieht. Eine solche Praxis ist nicht mit der DSGVO vereinbar. (Quelle: Bayerisches Landesamt für Datenschutz, Link zum Hinweis)

Schriftliche Einwilligung von Patienten?

Ein weiterer Trugschluss ist, dass Ärzte, Zahnärzte wie Krankenhäuser einer Einwilligung der Patienten in die Datenverarbeitung bedürfen. Die Verarbeitung der Patientendaten in einer Patientenkartei beispielsweise zum Zwecke der Dokumentation und Abrechnung ist meist ohne Einwilligung möglich.

Denn die Datenverarbeitung ist bereits rechtmäßig, wenn sie erforderlich ist für die Erfüllung des Behandlungsvertrags (Art. 6 Abs. 1 Satz 1 lit. b DSGVO), zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Satz 1 lit. c DSGVO) oder zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person (Art. 6 Abs. 1 Satz 1 lit. d DSGVO), im öffentlichen Interesse (Art. 6 Abs. 1 Satz 1 lit. e DSGVO) oder zur Wahrung der berechtigten Interessen des Verantwortlichen (Art. 6 Abs. 1 Satz 1 lit. f DSGVO). Damit lassen sich nahezu sämtliche  Konstellationen abdecken.

Nur wenige Verarbeitungsvorgänge benötigen einer expliziten Einwilligung. Diese wäre nur unter strengen Vorgaben und nicht mit der Bedingung der Koppelung an den Behandlungsvertrag zulässig.

Empfehlungen zur Umsetzung

Bevor ein weiteres Patietentenformular das Archiv füllt, sollten sich Leistungserbringer im Gesundheitswesen stets überlegen: Brauche ich dieses Formular wirklich? Welche Alternativen sind möglich? Die Lösung sollte sich einfach und praktisch in den Arbeitsablauf integrieren. Unter Berechnung von Arbeitszeit, Papier-, Druck- und Archivkosten dürfte sich das Erarbeiten einer individuellen Lösung dann letztlich als wirtschaftlicher erweisen.