Informationspflichten nach DSGVO in Arztpraxen – doch alles nicht so schlimm?

Die geschätzten Kollegen von „datenschutz nord“ hatten in ihrem Blog ein wunderschönes Beispiel für die völlig missglückten Vorschriften zu Informationspflichten in der DSGVO: Telefonieren unerwünscht – Informationspflichten nach der DSGVO

Nach Art. 13 DSGVO sind einem Patienten „zum Zeitpunkt der Erhebung“ der ganze „Batzen“ der Informationen aus Art. 13 Abs. 1 und 2 DSGVO mitzuteilen. Gerade am Telefon, wenn ein Patient einen Termin erstmals vereinbaren würde, wäre das ein sprichtwörtlicher „Informations-Overkill“. Das will keiner. Nicht die Arztpraxis und auch nicht der Patient. In Gesprächen mit Aufsichtsbehörden gaben diese sich zu dieser Frage in meiner Wahrnehmung bis dato entweder unsicher (bzw. schulterzuckend) oder bedeckt. Umso erfreulicher ist nun, dass erste deutsche Aufsichtsbehörden sich bei den Informationspflichten nun „pragmatisch“ aufstellen. Es ist zu hoffen, dass dies Konsens unter den europäischen Aufsichtsbehörden sein wird. Angeblich soll es ja zur Umsetzung von Informationspflichten seitens der Aufsichtsbehörden der EU noch vor Geltung der DSGVO noch „Guidelines“ geben.

Im Hinblick auf die Erfüllung der Informationspflichten in Arztpraxen hat sich nun erstmals das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) geäußert. Und zwar mit dem hier bereits erwähnten Beitrag „Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbständige Heilberufler beachten“.

Das ULD führt in dem Beitrag zunächst Grundsätzliches dazu aus, was an Informationen zu erteilen ist. Das ergibt sich ja letztlich unmittelbar aus Art. 13 DSGVO. Interessant sind dann die Ausführungen des ULD zur Ausführung der Informationspflichten:

Diese Informationen müssen den Patienten im zeitlichen Zusammenhang mit der Erhebung der Daten zur Verfügung gestellt werden.

Was das ULD hier im Ergebnis macht, ist eine sog. teleologische Auslegung des Art. 13 DSGVO. Während Art. 13 DSGVO im Wortlaut die Pflicht zur Erteilung der Information „zum Zeitpunkt der Erhebung“ vorsieht, legt das ULD hier offenbar Sinn und Zweck der Informationspflichten bei der Auslegung zugrunde und hält lediglich einen zeitlichen Zusammenhang für erforderlich. Ich halte das für richtig. Sinn und Zweck der Informationspflichten sind die in Art. 5 DSGVO genannte Transparenz und Fairness („Treu und Glauben“). Dieser Zweck erfordert gerade nicht, dass ich am Telefon Informationen zum Datenschutz erteile, die der Betroffene in dem Moment gar nicht in der Fülle erfassen kann (und möchte). Hierfür ist es vollkommen ausreichend, wenn es „im Nachgang“ z.B. über einen Flyer Informationen zum Datenschutz gibt, wenn der Patient dann die Arztpraxis besucht.

Dazu führt das ULD dann aus:

Dies geschieht am einfachsten z.B. mit einem Flyer oder Handzettel, der an die Patienten bei der Aufnahme ausgegeben wird. Es genügt auch, wenn der Zettel nur die wichtigsten Informationen zusammenfasst und im Übrigen auf die Homepage der Praxis verweist, wo sich die Einzelheiten finden lassen.

(…) Ebenso wenig ist es erforderlich, den Patienten die Informationen schon am Telefon vorzulesen, wenn diese anrufen, um einen Termin zu vereinbaren. Nicht ausreichend wäre es andererseits, wenn die Informationen lediglich in der Praxis ausgehängt werden.

Das ist eine nicht nur „mutige“, vor allem aber auch erfreulich praxisnahe Herangehensweise.

Und auch zum Nachweis der Informationspflichten äußert sich das ULD dann noch:

Der oder die Verantwortliche muss die Erfüllung der Informationspflicht nachweisen können. Dazu ist es z.B. ausreichend, wenn den Patienten standardmäßig bei der Aufnahme der Zettel übergeben wird und dies für jeden Patienten im Praxissystem vermerkt wird. Es ist nicht erforderlich, dass die Patienten mit ihrer Unterschrift quittieren, dass sie die Informationen erhalten haben.

Ob es praxisnah ist, dass für jeden Patienten im Arztinformationssystem zu hinterlegen, bezweifele ich. Ich persönlich würde es auch für ausreichend halten, wenn es in der Arztpraxis einen Prozess gibt, der die Ausgabe des Materials an Erstpatienten regelt und dieser Prozess im Rahmen eines Qualitäts- bzw. Datenschutzmanagements (Stichwort: Datenschutzhandbuch – allgemeines Muster dazu gibt es für hier (nur für Datenschutz-Coaching-Mitglieder bzw. Teilnehmer des Onlinekurses für Datenschutzbeauftragte) nicht nur definiert, sondern im Rahmen des Managementsystems auch im Hinblick auf seine Einhaltung evaluiert und überprüft wird.

Wie dem auch sei…es ist jedenfalls erfreulich, dass immer mehr Aufsichtsbehörden jetzt endlich mit praktikablen Umsetzungshinweisen zu Informationspflichten aus der DSGVO an die Öffentlichkeit treten.