Patienteneinwilligung für Datenverarbeitung nach DSGVO

Patienteneinwilligung für Datenverarbeitung nach DSGVO

Inhaltsverzeichnis

Rechtlicher Rahmen: DSGVO und BDSG im Praxisalltag

Die Verarbeitung von Gesundheitsdaten unterliegt den strengsten gesetzlichen Anforderungen. Als zentraler rechtlicher Rahmen dienen die Datenschutz-Grundverordnung (DSGVO, GDPR auf Englisch) und das ergänzende Bundesdatenschutzgesetz (BDSG). Für Arztpraxen und medizinische Einrichtungen ist insbesondere die Unterscheidung zwischen allgemeinen personenbezogenen Daten (Art. 6 DSGVO) und besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) von entscheidender Bedeutung.

Gesundheitsdaten als besonders schützenswerte Informationen

Gesundheitsdaten, wie Diagnosen, Behandlungsverläufe oder genetische Daten, fallen unter Art. 9 Abs. 1 DSGVO. Ihre Verarbeitung ist grundsätzlich untersagt. Eine Ausnahme von diesem Verbot ist nur unter streng definierten Bedingungen zulässig. Die häufigsten Rechtsgrundlagen im Praxisalltag sind:

  • Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 b) BDSG: Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich. Diese Grundlage deckt den Kern der medizinischen Behandlung ab und stützt sich auf den Behandlungsvertrag.
  • Art. 9 Abs. 2 lit. a DSGVO: Die betroffene Person hat in die Verarbeitung ihrer Gesundheitsdaten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt. Dies betrifft alle Verarbeitungen, die über die eigentliche Heilbehandlung hinausgehen.

Die korrekte Anwendung dieser Rechtsgrundlagen ist fundamental, um Bußgelder zu vermeiden und das Vertrauen der Patienten zu wahren. Die Einwilligung von Patienten für Datenverarbeitung wird immer dann zur Pflicht, wenn der Behandlungsvertrag als Legitimation nicht ausreicht.

Die Wahl der richtigen Rechtsgrundlage: Einwilligung oder Behandlungsvertrag?

Eine der häufigsten Fehlerquellen ist die Annahme, dass für jede Datenverarbeitung eine Einwilligung erforderlich sei. Der Behandlungsvertrag selbst schafft bereits eine solide Rechtsgrundlage für alle unmittelbar notwendigen Verarbeitungstätigkeiten. Die Herausforderung liegt in der klaren Abgrenzung. Die folgende Entscheidungsmatrix soll Ihnen dabei helfen, die korrekte Rechtsgrundlage zu identifizieren.

Verarbeitungszweck Rechtsgrundlage Einwilligung erforderlich? Beispiel
Medizinische Diagnostik und Therapie Art. 9 Abs. 2 lit. h DSGVO (Behandlungsvertrag) Nein Anamnese, Erstellung der Patientenakte, Verordnung von Medikamenten.
Abrechnung mit gesetzlichen Krankenkassen Art. 9 Abs. 2 lit. h DSGVO i.V.m. SGB V Nein Übermittlung von Abrechnungsdaten an die Kassenärztliche Vereinigung.
Abrechnung mit Privatpatienten/Selbstzahlern Art. 9 Abs. 2 lit. h DSGVO (Behandlungsvertrag) Nein Erstellung und Versand einer Rechnung an den Patienten.
Überweisung an einen anderen Facharzt Art. 9 Abs. 2 lit. h DSGVO (Behandlungsvertrag) Nein Weitergabe relevanter Befunde zur Mit- oder Weiterbehandlung.
Terminerinnerung per SMS oder E-Mail Art. 9 Abs. 2 lit. a DSGVO (Einwilligung) Ja Aktiver Versand einer Nachricht als Serviceleistung.
Nutzung einer Online-Terminbuchungsplattform Art. 9 Abs. 2 lit. a DSGVO (Einwilligung) Ja Der Patient gibt seine Daten an einen externen Dienstleister weiter.
Teilnahme an einer klinischen Studie Art. 9 Abs. 2 lit. a DSGVO (Einwilligung) Ja, ausdrücklich Datenverarbeitung zu Forschungszwecken, die über die Behandlung hinausgehen.
Weitergabe von Daten an Angehörige Art. 9 Abs. 2 lit. a DSGVO (Einwilligung) Ja (oder bei mutmaßlicher Einwilligung im Notfall) Auskunftserteilung an den Ehepartner über den Gesundheitszustand.

Die Grundpfeiler einer gültigen Einwilligung von Patienten

Damit eine Einwilligung von Patienten für Datenverarbeitung rechtswirksam ist, muss sie gemäß Art. 7 DSGVO mehrere Kriterien erfüllen. Jeder dieser Punkte muss in der Praxis sorgfältig umgesetzt und dokumentiert werden.

  • Freiwilligkeit: Die Einwilligung darf nicht unter Druck oder Zwang erfolgen. Der Patient muss eine echte Wahl haben. Die Verweigerung der Einwilligung darf nicht zu Nachteilen bei der medizinischen Grundversorgung führen.
  • Informiertheit und Transparenz: Der Patient muss vorab genau wissen, wofür er seine Einwilligung erteilt. Dazu gehören der Zweck der Verarbeitung, die Art der Daten, die Empfänger der Daten und die Dauer der Speicherung. Die Informationen müssen in verständlicher und leicht zugänglicher Form (z. B. in einfacher Sprache) bereitgestellt werden.
  • Bestimmtheit und Zweckbindung: Die Einwilligung muss sich auf einen oder mehrere konkret festgelegte Zwecke beziehen. Globale oder pauschale Einwilligungen (“für alle zukünftigen Zwecke”) sind ungültig.
  • Ausdrücklichkeit: Da es sich um Gesundheitsdaten handelt, muss die Einwilligung “ausdrücklich” erfolgen. Dies bedeutet, dass eine aktive, unmissverständliche Handlung erforderlich ist, z. B. das Ankreuzen einer Checkbox oder eine Unterschrift. Stillschweigen oder vorangekreuzte Kästchen sind unzulässig.
  • Widerruflichkeit: Der Patient muss vor Abgabe der Einwilligung über sein jederzeitiges Widerrufsrecht informiert werden. Der Widerruf muss so einfach sein wie die Erteilung der Einwilligung. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Aufbau und Inhalte einer rechtskonformen Einwilligungserklärung

Eine praxistaugliche Einwilligungserklärung balanciert zwischen juristischer Vollständigkeit und Verständlichkeit für den Patienten. Es empfiehlt sich, eine zweistufige Information bereitzustellen: eine kurze, prägnante Übersicht und ein ausführliches Dokument mit allen Pflichtangaben.

Pflichtangaben einer ausführlichen Einwilligung

Die folgende Struktur stellt sicher, dass alle gesetzlichen Anforderungen erfüllt sind:

  1. Name und Kontaktdaten des Verantwortlichen: Name der Praxis/Klinik, Adresse, Kontaktdaten.
  2. Kontaktdaten des Datenschutzbeauftragten: Falls benannt, dessen Kontaktdaten.
  3. Genaue Beschreibung des Zwecks/der Zwecke: Detaillierte und getrennte Auflistung für jeden Verarbeitungszweck (z. B. “Zweck 1: Terminerinnerung per SMS”, “Zweck 2: Übermittlung von Daten an die private Abrechnungsstelle XY”).
  4. Art der verarbeiteten Daten: Konkrete Benennung der Datenkategorien (z. B. “Name, Geburtsdatum, Mobilfunknummer, Termindaten”).
  5. Empfänger oder Kategorien von Empfängern: Namentliche Nennung externer Dienstleister (z. B. “SMS-Provider Mustermann GmbH”, “Abrechnungsdienstleister ABC AG”).
  6. Information über Drittlandtransfer: Falls Daten an Dienstleister außerhalb der EU/des EWR übermittelt werden, muss darüber und über die vorhandenen Garantien informiert werden.
  7. Dauer der Speicherung: Angabe der Speicherdauer oder der Kriterien für deren Festlegung (z. B. “bis zum Widerruf Ihrer Einwilligung” oder “für die Dauer der Nutzung des Services”).
  8. Belehrung über die Betroffenenrechte: Hinweis auf das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit.
  9. Hinweis auf das Widerrufsrecht: Deutliche und verständliche Erklärung, dass die Einwilligung jederzeit und ohne Angabe von Gründen für die Zukunft widerrufen werden kann und an wen der Widerruf zu richten ist.
  10. Hinweis auf die Freiwilligkeit: Klarstellung, dass die Erteilung der Einwilligung freiwillig ist und welche Konsequenzen eine Nichterteilung hat (z. B. “Sie erhalten dann keine Terminerinnerungen per SMS”).

Digitale Prozesse: Elektronische Einwilligung und Dokumentation ab 2025

Mit der zunehmenden Digitalisierung, insbesondere durch die elektronische Patientenakte (ePA) und telemedizinische Angebote, gewinnt die elektronische Einholung der Einwilligung von Patienten für Datenverarbeitung an Bedeutung. Ab 2025 werden digitale Workflows zum Standard. Hierbei sind besondere Anforderungen an die Nachweisführung zu stellen.

Anforderungen an die elektronische Einwilligung

  • Sichere Identifikation: Es muss sichergestellt werden, dass die einwilligende Person tatsächlich der betreffende Patient ist. Dies kann über Portale mit Zwei-Faktor-Authentifizierung oder über die ePA-Infrastruktur erfolgen.
  • Unveränderbarkeit der Erklärung: Die abgegebene Einwilligungserklärung muss so gespeichert werden, dass sie nachträglich nicht manipuliert werden kann. Zeitstempel und Protokolldaten sind hierfür essenziell.
  • Dokumentation des Informationsprozesses: Es muss nachweisbar sein, welche Version der Einwilligungserklärung und der Datenschutzhinweise dem Patienten zum Zeitpunkt der Einwilligung vorgelegt wurde.
  • Einfacher Widerruf: Der digitale Widerruf muss ebenso unkompliziert möglich sein wie die Erteilung, z. B. durch einen Klick in einem Patientenportal.

Diese Prozesse erfordern eine sorgfältige technische und organisatorische Planung, um die Beweislast im Streitfall erfüllen zu können.

Datensicherheit und externe Dienstleister

Die Verarbeitung von Gesundheitsdaten erfordert höchste Sicherheitsstandards. Dies betrifft nicht nur die interne Praxis-IT, sondern insbesondere die Zusammenarbeit mit externen Partnern wie Laboren, Abrechnungsstellen oder IT-Dienstleistern.

Technische und Organisatorische Maßnahmen (TOMs)

Praxen müssen geeignete TOMs (Technische und Organisatorische Maßnahmen, TOMs auf Englisch) implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit der Patientendaten zu gewährleisten. Dazu gehören unter anderem:

  • Verschlüsselung von Datenträgern und Übertragungswegen
  • Zugangskontrollen und Berechtigungskonzepte
  • Regelmäßige Sicherheitsupdates und Backups
  • Schulung der Mitarbeitenden im Datenschutz

Auftragsverarbeitungsverträge (AVV)

Sobald ein externer Dienstleister im Auftrag und nach Weisung der Praxis Gesundheitsdaten verarbeitet (z. B. ein Cloud-Anbieter für die Praxissoftware oder ein externer Abrechnungsdienstleister), liegt eine Auftragsverarbeitung vor. In diesem Fall ist der Abschluss eines Auftragsverarbeitungsvertrages (AVV) nach Art. 28 DSGVO zwingend erforderlich. Der AVV regelt die Rechte und Pflichten beider Seiten und stellt sicher, dass der Dienstleister die Datenschutzvorgaben einhält.

Datenschutz-Folgenabschätzung (DSFA)

Bei der Einführung neuer Technologien oder Verarbeitungsprozesse mit hohem Risiko für die Rechte und Freiheiten der Patienten (z. B. eine umfassende telemedizinische Plattform oder KI-basierte Diagnosetools) kann eine Datenschutz-Folgenabschätzung (DSFA, DPIA auf Englisch) gemäß Art. 35 DSGVO erforderlich sein. Sie dient dazu, Risiken systematisch zu bewerten und durch geeignete Maßnahmen zu minimieren.

Sonderfälle und Praxismanagement im Umgang mit Patientendaten

Der Praxisalltag hält zahlreiche Sondersituationen bereit, die ein spezifisches Vorgehen bei der Einwilligung von Patienten für Datenverarbeitung erfordern.

  • Minderjährige: Bei Kindern, die das 16. Lebensjahr noch nicht vollendet haben, ist in der Regel die Einwilligung der Sorgeberechtigten erforderlich. Je nach Einsichtsfähigkeit des Minderjährigen sollte dieser jedoch ebenfalls in den Prozess einbezogen werden.
  • Nicht einwilligungsfähige Erwachsene: Bei bewusstlosen Patienten im Notfall oder wilensunfähigen Personen kann die Verarbeitung auf Basis lebenswichtiger Interessen (Art. 9 Abs. 2 lit. c DSGVO) oder durch einen rechtlichen Vertreter/Bevollmächtigten erfolgen.
  • Forschung: Die Nutzung von Patientendaten für Forschungszwecke erfordert eine separate, sehr detaillierte Einwilligung, die über die Anforderungen einer reinen Behandlungseinwilligung weit hinausgeht.
  • Archivierung und Widerruf: Patientendaten unterliegen gesetzlichen Aufbewahrungsfristen (z. B. 10 Jahre nach Behandlungsabschluss gemäß § 630f BGB). Ein Widerruf der Einwilligung für eine optionale Datenverarbeitung (z. B. Newsletter) berührt diese gesetzlichen Pflichten nicht. Die Daten müssen dann für den optionalen Zweck gesperrt, aber für die gesetzliche Aufbewahrung weiterhin vorgehalten werden.

Praktische Umsetzung: Checkliste und Beispiele

Die folgende Checkliste fasst die wichtigsten Schritte zur Implementierung eines rechtskonformen Einwilligungsprozesses zusammen.

10-Schritte-Checkliste zur rechtskonformen Einwilligung

  1. Prüfen Sie für jeden Verarbeitungsprozess, ob die Rechtsgrundlage der Behandlungsvertrag ist.
  2. Identifizieren Sie alle Prozesse, die eine separate Einwilligung erfordern (z. B. Terminerinnerungen, Online-Buchung).
  3. Erstellen Sie für jeden Zweck eine separate, verständliche Einwilligungserklärung.
  4. Formulieren Sie ein ausführliches Informationsblatt mit allen Pflichtangaben nach Art. 13 DSGVO.
  5. Integrieren Sie eine klare und unmissverständliche Widerrufsbelehrung.
  6. Implementieren Sie einen dokumentierbaren Prozess für die Einholung (schriftlich oder elektronisch).
  7. Schulen Sie Ihr Personal, wann und wie eine Einwilligung einzuholen ist.
  8. Etablieren Sie einen Prozess für die sichere Archivierung der erteilten Einwilligungen.
  9. Definieren Sie einen klaren Workflow für den Fall eines Widerrufs durch einen Patienten.
  10. Überprüfen Sie Ihre Prozesse und Dokumente regelmäßig, insbesondere bei der Einführung neuer Dienste.

FAQ: Häufige Fragen zur Einwilligung von Patienten für Datenverarbeitung

Muss ich für die Übermittlung von Daten an ein Labor eine Einwilligung einholen?

Nein, in der Regel nicht. Wenn die Laboruntersuchung Teil der medizinischen Diagnostik und Behandlung ist, ist die Datenübermittlung durch den Behandlungsvertrag (Art. 9 Abs. 2 lit. h DSGVO) gedeckt. Eine Einwilligung wäre nur notwendig, wenn Daten für Zwecke übermittelt werden, die nicht direkt der Behandlung des Patienten dienen.

Wie lange ist eine einmal erteilte Einwilligung gültig?

Eine Einwilligung hat kein generelles “Ablaufdatum”. Sie gilt so lange, bis sie widerrufen wird oder der Zweck, für den sie erteilt wurde, entfällt. Es ist jedoch eine gute Praxis (Good Practice), Patienten in regelmäßigen Abständen (z. B. alle zwei Jahre) an ihre erteilten Einwilligungen und ihr Widerrufsrecht zu erinnern.

Was passiert, wenn eine Einwilligung fehlerhaft eingeholt wurde?

Eine unwirksame Einwilligung führt dazu, dass die darauf basierende Datenverarbeitung rechtswidrig ist. Dies kann zu aufsichtsrechtlichen Maßnahmen wie Bußgeldern durch die Datenschutzbehörden führen. Zudem können Patienten Schadensersatzansprüche geltend machen. Es ist daher entscheidend, den Prozess von Anfang an korrekt aufzusetzen.

Anhang und weiterführende Ressourcen

Für eine vertiefte Auseinandersetzung mit dem Thema Datenschutz im Gesundheitswesen und der Einwilligung von Patienten für Datenverarbeitung empfehlen wir die offiziellen Webseiten der Datenschutzaufsichtsbehörden sowie die Gesetzestexte.

  • Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): Hier finden Sie offizielle Leitfäden, Tätigkeitsberichte und Orientierungshilfen. Zur Webseite des BfDI

  • Bundesdatenschutzgesetz (BDSG): Der vollständige Gesetzestext im Angebot des Bundesministeriums der Justiz. Zum BDSG auf gesetze-im-internet.de