Informationspflichten

Informationspflichten der Verantwortlichen nach Art. 13 f. DS-GVO

Die EU Datenschutz-Grundverordnung (DS-GVO) verpflichtet die Verantwortlichen, also die Stellen, die personenbezogene Daten verarbeiten, die hiervon betroffenen Personen über die Datenverarbeitung zu informieren. Dabei unterscheidet die Datenschutz-Grundverordnung, ob die Daten direkt beim Betroffenen (Art. 13 DS-GVO) oder bei Dritten erhoben worden sind (Art. 14 DS-GVO). Zwar gab es auch nach dem bislang geltenden Datenschutzrecht in Deutschland konkrete Informationspflichten. Allerdings erweitert die DS-GVO diese nun sowohl im Hinblick auf den Umfang der mitzuteilenden Inhalte als auch bezüglich der Fälle, in denen eine derartige Pflicht entsteht. Auch die Inhaber niedergelassener Heilberufspraxen sind durch die DS-GVO jetzt von diesen Informationspflichten erfasst.

Inhalt der Informationspflicht nach Art. 13 DS-GVO

Erfolgt die Datenerhebung bei den Patienten selbst, müssen diese nach Art. 13 DS-GVO folgende Informationen erhalten:

  • den Namen und die Kontaktdaten des/der Praxisinhaber sowie – falls benannt - des internen Datenschutzbeauftragten;
  • die Zweckbestimmung der Erhebung, mögliche Empfänger der erhobenen Daten und die zugrundeliegende Rechtsgrundlage;
  • darüber hinaus sollten Patienten Angaben zur Speicherdauer der erhobenen Daten erhalten und auf das Recht der Auskunftserteilung und der Beschwerdemöglichkeit bei der Datenschutzaufsicht hingewiesen werden.

Inhalt der Informationspflicht nach Art. 14 DS-GVO

Für den in der Praxis eher seltenen Fall der Datenerhebung bei einer anderen Stelle und nicht unmittelbar bei dem Patienten, wie z.B. einem anderen Behandler, einem Angehörigen oder dem Internet erhoben werden, gilt die erweiterte Informationspflicht nach Art. 14 DS-GVO. Neben den Informationen, die bereits nach Art. 13 DS-GVO mitzuteilen sind, müssen auch noch Angaben zu den Kategorien der bei der anderen Stelle erhobenen Daten (z.B. Gesundheitsdaten, genetische Daten, Kontaktdaten) und der Quelle, aus der die Daten stammen, gemacht werden. Sofern die Daten einer öffentlich zugänglichen Quelle entstammen, ist dies anzugeben.

Allgemeine Anforderungen an die Information/Mustertexte

Nach Art. 12 DS-GVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache bereit zu stellen. Dies bedeutet, dass die Praxisinhaber selbst geeignete Maßnahmen festlegen können, damit die sich aus der DS-GVO ergebenden Anforderungen an die Information gewährleistet werden. Neben klassischen Textdokumenten wie z.B. Informationsblättern, Aushängen oder Flyern lässt die DS-GVO auch eine Kombination der Informationen mit standardisierten Bildsymbolen zu, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.

Der LfDI empfiehlt im Bereich der niedergelassenen Heilberufe die Verwendung von allgemeinen Mustertexten, die durch die einzelne Praxis angepasst und danach in ihren Räumlichkeiten allgemein zugänglich ausgelegt werden können. Denn nach den Vorgaben der DS-GVO ist eine weitere Unterrichtung entbehrlich, wenn die Betroffenen bereits über die Ihnen bereitzustellenden Informationen verfügen. Diese Muster sind mittlerweile über zahlreiche Stellen verfügbar, so z.B. auch über die KBV (Kassenärztliche Bundesvereinigung). Auch die rheinland-pfälzischen Heilberufskammern und die Kassenärztliche Vereinigung Rheinland-Pfalz arbeiten an einem allgemeinen Mustertext, der Ihnen in Kürze hier zur Verfügung stehen wird.

Inhaltlich sollten darin neben den nach Art. 13 und 14 DS-GVO bereit zu stellenden Informationen auch eine kurze Beschreibung der üblichen Datenverarbeitungsprozesse in der Praxis enthalten sein. Die Informationen müssen bei der ersten Erhebung der Daten den Patienten zur Verfügung stehen.

Falls Sie Ihrer Informationspflicht elektronisch über das Internetangebot Ihrer Praxis nachkommen, sollten Sie darauf in Ihrer Praxis deutlich hinweisen und die im Einzelfall mögliche persönliche Unterrichtung anbieten.

Check

  1. In welcher Weise kommen Sie derzeit den datenschutzrechtlichen Benachrichtigungs- oder Informationspflichten nach?
  2. Sind Ihnen geeignete Mustertexte zur Umsetzung der Informationspflichten in Ihrer Praxis aus der DS-GVO bekannt?
  3. Wem ist praxisintern die Erfüllung der Informationspflichten als Aufgabe zugeordnet?
  4. Werden die Patienten in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache informiert?

Links