Patientenrechtegesetz und Datenschutz in der Praxis

Inhalt

Seit Februar 2013 regelt das Patientenrechtegesetz die rechtliche Beziehung zwischen Patienten und behandelnden Ärzten oder Therapeuten. Wir erläutern Gemeinsamkeiten und Unterschiede zu den Betroffenenrechten und anderen Vorgaben die sich aus der EU-Datenschutz-Grundverordnung (DSGVO) ergeben.

Das Patientenrechtegesetz als Stärkung der Patientenrechte

Vor der Gesetzesnovelle 2013 war es schwierig, sich einen Überblick über Rechte von Patienten gegenüber Ärzten, Krankenhäusern und Krankenkassen zu verschaffen. Die Regelungen waren in verschiedenen Gesetzestexten aus unterschiedlichen Rechtsbereichen verstreut und leiteten sich häufig als sogenanntes Richterrecht aus gesprochenen Urteilen ab.

Das 2013 in Kraft getretene Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten (Patientenrechtegesetz – PatRechteG) bündelt und konkretisiert die unterschiedlichen Regelungen. Es erzeugt damit für die Patienten Transparenz und schafft für die Behandelnden Rechtssicherheit.

Das Patientenrechtegesetz regelt sehr unterschiedliche Bereiche der rechtlichen Beziehung zwischen Patienten und Behandelnden, wie die Ärztehaftung und die Ansprüche des Patienten bei Behandlungsfehlern. Außerdem legt es in mehreren Bereichen die Pflichten von Leistungsträgern, wie den Krankenkassen fest.

Patientenrechtegesetzes und die DSGVO

Als Artikelgesetz erlangten insbesondere die Änderungen des Bürgerlichen Gesetzbuches (BGB) in der Praxis Bekanntheit und Relevanz.  Namentlich wurden die §§ 630 a bis 630 h neu in das BGB aufgenommen. Neben Transparenzpflichten wurden auch spezifische Patientenrechte, allen voran das Akteneinsichtsrecht gestärkt.

Doch durch die nun in der DSGVO verankerten Betroffenenrechte auf Auskunft nach Art. 15 DSGVO ergibt sich in der Praxis mitunter eine Kollision beider Normen. Gleiches ergibt sich auch in Hinblick auf die einseitige Informationspflicht von der DSGVO unterliegenden Gesundheitseinrichtungen nach Art. 12 ff. DSGVO.

Im Folgenden erörtern wir die Unterschiede zwischen Patientenrechtegesetz sowie DSGVO und grenzen die Pflichten für Verantwortliche ab:

Informationspflichten § 630c Abs. 2 bis 4 BGB bzw. Art. 12 Abs. 1 und 13 DSGVO

Ärzte und Therapeuten müssen nach BGB ihre Patienten zu Beginn der Behandlung und, soweit erforderlich, auch im weiteren Verlauf umfassend über sämtliche Umstände aufklären, die für die Behandlung von Bedeutung sind. Dazu gehört die Diagnose, die Therapie und die voraussichtliche Entwicklung des Gesundheitszustands.

Auf Nachfrage oder zur Abwendung gesundheitlicher Risiken hat der Behandelnde den Patienten auf einen möglichen Behandlungsfehler hinzuweisen.

Sobald erkennbar ist, dass die Behandlungskosten nicht vollständig von der Krankenversicherung übernommen werden, ist der Patient in Textform über die voraussichtlichen Kosten zu informieren.

Der Therapeut ist nur in Ausnahmefällen von der Informationspflicht befreit – etwa dann, wenn die Behandlung unaufschiebbar ist oder der Patient ausdrücklich auf eine Aufklärung verzichtet.

Datenschutzrechtlich geht es dagegen um eine Aufklärungspflicht speziell über die den Patienten betreffenden Informationsverarbeitungen. Der datenschutzrechtlich Verantwortliche muss seine Patienten im Vorfeld über sämtliche Datenverarbeitungen und insbesondere Empfänger unterrichten, die im Zuge der Behandlung ebenfalls deren Gesundheitsdaten verarbeiten.

Einwilligung nach § 630d BGB oder Art. 9 Abs. 2 a) DSGVO

Nach BGB ist ein Arzt oder Therapeut ist verpflichtet, vor der Durchführung einer medizinischen Maßnahme die Einwilligung seines Patienten einzuholen. Ist dieser beispielsweise aufgrund seines Gesundheitszustandes nicht in der Lage, die Folgen einer solchen Entscheidung abzuschätzen, ist die Einwilligung eines Berechtigten einzuholen, sofern keine Patientenverfügung vorliegt, in der der Patient seinen Willen bezüglich der betreffenden Maßnahme zuvor festgehalten hat.

Der Patient kann eine Einwilligung jederzeit formlos widerrufen. Es ist keine Angabe von Gründen dafür erforderlich.

Eine Einwilligung für Maßnahmen nach § 630e BGB kann nur dann den Willen des Unterzeichners wiedergeben, wenn davon auszugehen ist, dass dieser tatsächlich darüber informiert war, wozu er sein Einverständnis erklärt. Daher ist eine Einwilligung nur dann gültig, wenn der Patient vorher umfassend und verständlich aufgeklärt worden ist. Die Aufklärung ist mündlich vorzunehmen mit schriftlicher Bestätigung.

Genau hierin ergibt sich in der Praxis oftmals Verwechslungspotenzial mit datenschutzrechtlichen Voraussetzungen. Denn diesbezüglich wird immer nur in die jeweilige Datenverarbeitung, nie in die eigentliche Behandlungsmaßnahme selbst eingewilligt. Oftmals überschneiden sich in der Praxis dann die textuellen Einwilligungserklärungen, wenn die Gesundheitseinrichtung ihren zusätzlichen Aufklärungspflichten in der Einwilligungserklärung nachkommt. Beispielsweise werden oft im Zuge von medizinischen Studien, worin eine für die Regelbehandlung nicht notwendige Gesundheitsdatenverarbeitung stattfinden soll, beide Sachverhalte vermengt. Denn neben der Aufklärung über die eigentliche Maßnahme soll auch die Einwilligung für die damit einhergehende Erhebung von Gesundheitsdaten erteilt werden. Oft wird dann der Fehler begangen, die beiden Sachverhalte nicht ausreichend voneinander zu trennen.

Eine schriftliche Einwilligung sollte nur dort eingeholt werden, wo sie das Gesetz als zwingend erachtet.  Alles andere geht meist zu Lasten der Transparenz für den Einwilligenden. Die Einwilligung des Patienten kann dann nicht mehr ausreichend informiert erfolgen. Gedanklich sollte man im Vorfeld alle Erlaubnistatbestände prüfen, bevor man den vermeintlich einfachen Weg über die Einwilligung wählt. Dort wo beide Erklärungen notwendig sind, sind die Sachverhalte inhaltlich zu trennen.

Dokumentationsverpflichtung nach § 630f BGB und DSGVO-Datenminimierung

Informationen, die für die derzeitige oder künftige Behandlung relevant sind, müssen durch die behandelnde Einrichtung in einer Patientenakte vollumfänglich dokumentiert werden. Dazu zählen die Anamnese, Diagnosen, vorgenommene Untersuchungen und deren Ergebnisse, Befunde, durchgeführte Therapien oder Eingriffe und deren Wirkungen. Außerdem gehen Einwilligungen, Unterlagen über die Aufklärung und Information des Patienten und Ärztebriefe in die Patientenakte ein.

Die Patientenakte kann elektronisch oder in Papierform geführt werden und ist für zehn Jahre nach Abschluss der Behandlung aufzubewahren. Dabei ist der Behandelnde verpflichtet, für eine lückenlose nachvollziehbare Dokumentation Sorge zu tragen: Bei Änderungen von Eintragungen müssen der ursprüngliche Inhalt erkennbar bleiben und der Zeitpunkt sowie der Bearbeiter protokolliert werden. Wird die Patientenakte elektronisch geführt, muss eine manipulationssichere Software verwendet werden.

Als spezialgesetzliche Pflicht, stehen diese Anforderungen dem datenschutzrechtlichen Grundsatz auf Datenminimierung nach Art. 5 Abs. 1 lit c) DSGVO nicht entgegen. Der Schutzzweck der §§ 630a ff. BGB ist, den kompletten Behandlungsverlauf und auch ärztliche Entscheidungen nachvollziehen zu können. Daher sind die damit verbundenen Datenverarbeitungen qua Gesetz auf das notwendige Maß beschränkt, da ihr ein inhärenter Zweck zugunsten des Patienten zugrunde liegt.

Recht auf Einsicht § 630g BGB vs. Recht auf Auskunft Art. 15 DSGVO

In der Praxis wird durch Patienten in der Regel das Einsichtsrecht in die Patientenakte begehrt. Hiernach ergibt sich der Anspruch im Zuge des spezifischen Akteneinsichtsrechts nach Maßgabe des § 630g BGB. Patienten haben also ein Recht darauf, unverzüglich Einsicht in die vollständige, sie betreffende Patientenakte zu haben. Die Einsicht kann nur in besonderen Ausnahmefällen verweigert werden – beispielsweise, wenn dadurch Rechte Dritter verletzt würden oder wenn die begründete Befürchtung besteht, dass der Patient durch die Informationen schwerwiegenden gesundheitlichen Schaden nehmen könnte. Aufzeichnungen über subjektive Eindrücke des Arztes darf dieser aber grundsätzlich nicht geheim halten.

Lehnt ein Arzt eine Einsichtnahme ab, muss er dies plausibel begründen. Im Zweifel sind zunächst Textstellen zu schwärzen, bevor die Einsicht komplett versagt wird.

Der Patient ist am Aufbewahrungsort der Patientenakte Einsicht zu gewähren, nur bei Vorliegen eines wichtigen Grundes kann die Einsicht an einem anderen Ort erfolgen. Daneben kann der Patient gegen Entgelt eine Abschrift der Akte auch in elektronischer anfordern.

Der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DSGVO geht weiter und beinhaltet alle Informationen, die über eine Person gespeichert sind. Demnach auch weitergehende Informationen, die nicht zwingend etwas mit der behandlungsspezifischen Dokumentation zu tun haben. Begrenzt wird der Anspruch allerdings auf personenbezogene Daten. Der Anspruch nach Art. 15 beinhaltet ebenfalls ein Recht auf kostenlose Kopie (Absatz 3) und beinhaltet in der Regel auch die vollständige Patientendokumentation, da diese weiterstgehend personenbezogene Inhalte enthält.

Letztlich sind § 630g BGB und Art. 15 DSGVO zwei unterschiedliche Ansprüche mit verschiedenen Zielrichtungen. Ersterer ist ein zivilrechtliches Akteneinsichtsrecht, zweiterer ermöglicht die Ausübung von Persönlichkeitsrechten. Anhand der Akteneinsicht soll beispielsweise die Möglichkeit eines sich anschließenden Arzthaftungsprozesses ermöglicht werden. Der persönlichkeitsrechtliche Anspruch ist auf eine Überprüfung gerichtet, ob alle Datenverarbeitungen rechtmäßig erfolgten oder ob das informationelle Selbstbestimmungsrecht des betroffenen Patienten – beispielsweise durch unbefugte Offenbarung von Gesundheitsdaten an Dritte – verletzt wurde.

Die Motivation ist in beiden Fällen egal, da das Begehren nicht begründet werden muss. Der datenschutzrechtliche Auskunftsanspruch kann allerdings bei offenkundig unbegründeten oder exzessiven Anträgen nach Maßgabe des Art. 12 Abs. 5 DSGVO ausnahmsweise versagt werden. Eine Kostentragungspflicht für die begehrte Kopie der Daten besteht hierbei in der Regel nicht. Dies wird auch nicht von § 630g BGB verdrängt, der ein solches Entgelt für elektronische Abschriften ausdrücklich vorsieht, so das Ergebnis eines Urteils des Landgerichts Dresden.

Im Zweifel lohnt es sich daher genau hinzuschauen und dem Begehren des Patienten bestmöglich zu entsprechen. Pauschal eingeforderte Entgelte für jedwede Auskunftsersuchen sind rechtswidrig. Gesundheitseinrichtungen sollten einen Prozess integrieren, der die Herausgabe von Behandlungsdokumentation zum Gegenstand hat. Darin sollten sich beide Ansprüche und deren Unterschiede wiederfinden.

Fazit

Patientenrechte stellen Gesundheitseinrichtungen nicht selten nicht nur vor bürokratische, sondern auch rechtliche Hürden. Dabei können Anforderungen an die inhaltliche Gestaltung von Erklärungen oftmals leicht übersichtlicher und klarer zugunsten der Patienten formuliert werden. Handwerkliche Fehler findet man insbesondere bei der nicht notwendigen Einholung von Einwilligungen, intransparenter Patienteninformationen sowie Dokumentationspflichten von Behandelnden.

Spätestens wenn es im Einzelfall um die Versagung von Auskunftsansprüchen oder Einsichtsrechte geht, sollten sich Einrichtungen juristisch rückversichern. Bei einer möglichen Kollision von Informationsinteresse des Patienten und Geheimhaltungsinteresse der Gesundheitseinrichtung sollten bei der Abwägung Fehler vermieden werden. Eine belastbare medizinische Dokumentation ist unumgänglich.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.