Viel wurde in den vergangenen Wochen darüber diskutiert, ob Ärzte ihre Patienten noch mit deren Namen aufrufen dürfen. Viele Medien und auch vermeintliche DSGVO-Experten sahen hier einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO, eng. GDPR). Doch entspricht diese Meinung auch den Tatsachen?
DSGVO Anwendungsbereich
Umfasst die DSGVO überhaupt diesen Bereich? Mit Sicherheit haben sich Ärzte an die Grundsätze der DSGVO zu halten. Da medizinische Daten laut DSGVO Artikel 4 Paragraph 15 als besonders schützenswert betrachtet werden, unterliegen Mediziner somit einer besonderen Sorgfaltspflicht im Umgang mit personenbezogenen Daten.
Die Datenschutz-Grundverordnung umfasst dabei nicht alle Bereiche, sondern ist laut DSGVO Artikel 2 Paragraph 1 auf folgende Bereiche begrenzt:
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Das Speichern der personenbezogenen Daten in einer Krankenakte ist durch DSGVO Artikel 6 Paragraph 1 legitimiert und wird durch die Dokumentationspflichten vom Gesetzgeber explizit gefordert. Daher ist diese Verarbeitung unstrittig. Das Aufrufen der Patienten hingegen kann als Verarbeitung im Sinne der DSGVO angesehen werden, da der Aufruf aber nicht automatisiert erfolgt, wäre dieser nur unzulässig, wenn eine Speicherung in einem „Dateisystem“ erfolgt oder erfolgen soll. Da ein Wartezimmer mit Sicherheit nicht als Dateisystem anzusehen ist, findet die DSGVO für diesen Fall also keine Anwendung.
DSGVO Verarbeitung personenbezogener Daten
Entgegen der weitläufigen Meinung ist die Verarbeitung von personenbezogenen Daten in mehreren Fällen zulässig. DSGVO Artikel 6 definiert mehrere Ausnahmen, welche eine Verarbeitung erlauben. Die wichtigsten Verarbeitungsgründe für Ärzte sind in Absatz 1 definiert.
Einwilligung erteilt
Hat der betroffene Patient seine Einwilligung zur Verarbeitung gegeben, ist diese zulässig. Die Sprechstundenhilfe kann sich somit die mündliche Einwilligung des Patienten geben lassen, dass dieser namentlich aufgerufen werden darf.
Auftragserfüllung
Das namentliche Aufrufen durch Arzt bzw. Sprechstundenhilfe kann als Teil des Vertrages zwischen Arzt und Patient angesehen werden. Zwar wäre ebenso ein System mit Wartenummern möglich, jedoch darf angenommen werden, dass Patienten nicht „nur irgendeine Nummer“ sein möchten.
Wem es wichtig ist, nicht mit Namen aufgerufen zu werden, kann das ja bei der Anmeldung deponieren.
Fazit
Dass Ärzte ihre Patienten nicht mehr namentlich aufrufen dürfen, ist als Mythos zu betrachten. Tatsächlich kommt die DSGVO in diesem Fall nicht zur Anwendung. Wird der Umfang der DSGVO zukünftig geändert, ist das Aufrufen weiter durch entsprechende Ausnahmen gedeckt.
Dieser Fall zeigt wieder einmal, dass die DSGVO eine komplexe Materie ist. Die Verordnung stellt den Datenschutz in den Vordergrund, der Einfluss bezieht sich aber nicht auf alle Lebensbereiche. Ohne externer Unterstützung können die meisten Firmen den Umfang der DSGVO nur schwer bewältigen. Abhilfe schafft easyGDPR – mit Hilfe dieser Software können Unternehmen jeder Größe (vom Einzelunternehmer bis zur Kapitalgesellschaft) schnell und einfach die notwendigen Schritte setzen, um die Vorgaben der DSGVO punktgenau zu erfüllen. Mit easyGDPR werden Sie step-by-step durch den Prozess geführt. So können Sie ohne Vorwissen das geforderte DSGVO-Verarbeitungsverzeichnis erstellen. Weiters werden Ihnen alle notwendigen Maßnahmen aufgezeigt, um Ihre Firma in Einklang mit der Datenschutz-Grundverordnung zu bringen. Sie profitieren dabei von unserer jahrelangen Erfahrung sowie dem geprüften Expertenwissen.