„Zwei-Schrank-Modell“ bei Praxisübergabe kann „outgesourced“ werden

Patientenakte

Das Patientengeheimnis ist Grundlage für die Vertrauensbeziehung zwischen Patientin bzw. Patient und Arzt. Gibt ein Arzt seine Praxis auf oder beendet ein Betriebsarzt seine Tätigkeit für einen Betrieb, so stellt sich die Frage, ob und unter welchen Voraussetzungen die vorhandenen Patientenakten vom Nachfolger übernommen werden dürfen (vgl. Allgemeine Informationen zum Thema Patientenkartei bei Praxisbeendigung und Praxisübergabe) .

Der Arzt, dem bei einer Praxisaufgabe oder Praxisübergabe ärztliche Aufzeichnungen über Patienten in Obhut gegeben werden, muss diese Aufzeichnungen unter Verschluss halten und darf sie nur mit Einwilligung des Patienten einsehen oder weitergeben .

Das BayLDA weist in einem seiner Auslegungshilfen darauf hin, dass diese Ausführungen auch nach Wirksamwerden der DS-GVO fortgelten. Ein gängiges Modell zur Übergabe stelle danach das sog. 2-Schrank-Modell dar. Dieses 2-Schrank-Modell wird auch in dem 26. Bericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) erläutert.

Aus dem Behandlungsvertrag ergebe sich gemäß § 630f Abs. 3 des Bürgerlichen Gesetzbuches (BGB) für Ärztinnen eine vertragliche Nebenpflicht zur Aufbewahrung der Patientinnenunterlagen für die Dauer von zehn Jahren nach Abschluss der Behandlung, soweit nicht nach anderen Vorschriften andere Aufbewahrungsfristen bestehen. Diese Verpflichtung bleibe auch im Falle einer Praxisaufgabe bestehen. Korrespondierend zu der Aufbewahrungspflicht räume § 630g Abs. 1 BGB Patientinnen das Recht ein, innerhalb der Aufbewahrungsfrist Einsicht in ihre Patientinnenakten zu nehmen. Zwar treffe die Aufbewahrungspflicht gemäß § 630f Abs. 3 BGB vorrangig die behandelnden Ärztinnen. Gemäß § 10 Abs. 4 der Berufsordnung für die nordrheinischen Ärztinnen hätten diese aber nach Aufgabe der Praxis ihre Aufzeichnungen und Untersuchungsbefunde aufzubewahren oder dafür Sorge zu tragen, dass sie in gehörige Obhut gegeben werden.

Daraus folge, dass Praxisnachfolger*innen die Aufzeichnungen unter Verschluss halten müssen. Sie dürften diese nur mit ausdrücklicher Einwilligung der Patient*innen einsehen oder weitergeben. Im Falle einer Praxisaufgabe müsse einerseits eine Situation geschaffen werden, bei der die Aufbewahrungspflicht unter Beachtung der ärztlichen Schweigepflicht erfüllt wird. Andererseits müsse aber auch die Möglichkeit des Zugriffs auf die Patient*innenakten, sei es zum Zwecke der Einsicht durch Patient*innen, sei es zum Zwecke der Fortführung der Behandlung durch Praxisnachfolger*innen, gewahrt bleiben.

Hierzu biete sich das sog. „Zwei-Schrank-Modell“ an. Dabei werden die Akten der Patient*innen, die bereits vor der Praxisübergabe ihr Einverständnis für eine Weiterbehandlung erklärt haben, an die Praxisnachfolger*innen in einem „1. Schrank“ übergeben. Über die übrigen Patient*innenakten im „2. Schrank“ werde vor Übergabe ein Verwahrungsvertrag zwischen Praxisverkäufer*in und Praxisübernehmer*in geschlossen. Darin verpflichten sich die Übernehmer*innen unter Androhung einer Vertragsstrafe, Patient*innenakten aus dem zweiten Schrank nur dann in den ersten Schrank zu übernehmen, wenn die Patient*innen ihr Einverständnis hierzu erteilen. Auf diese Weise werde einerseits der Inhalt der Patient*innenakten gesichert, solange Betroffene keine explizite Einwilligung zur Kenntnisnahme erteilen. Andererseits werde das Recht der Patient*innen gewahrt, unproblematisch Zugriff auf ihre Akten zu bekommen.

Eine theoretische Alternative dazu wäre eine datenschutzkonforme Aufbewahrung der Patientinnenakten durch einen Dritten an einem anderen Ort. Dies wäre im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DS-GVO auch ohne Einwilligung des Betroffenen möglich. Obige Ausführungen seien entsprechend auf elektronische Patientinnenakten übertragbar

Nach Auffassung des BayLDA liegt hier weder ein Fall der Auftragsverarbeitung zwischen bisherigem Praxisinhaber und Praxisübernehmer, noch ein Fall der gemeinsamen Verantwortlichkeit für die Patientenakten vor.

Der Betriebsarzt unterliegt ebenso wie ein ambulant tätiger oder ein Krankenhausarzt der ärztlichen Schweigepflicht und hat nach § 8 Abs. 1 ArbSiG eine dem Arbeitgeber gegenüber unabhängige Stellung und auch diesem gegenüber die ärztliche Schweigepflicht zu wahren. Es kommt dabei nicht darauf an, ob der Betriebsarzt mittels Arbeitsvertrag eingesetzt wurde (sog. interner Betriebsarzt) oder ob er als allein praktizierender Arzt bzw. als Mitarbeiter eines ärztlichen Unternehmens, deren Geschäftsfeld die Erbringung betriebsärztlicher Leistungen ist, tätig ist (externer Betriebsarzt).
Für den Wechsel eines Betriebsarztes und die Übergabe der bisherigen Patientenakten an seinen Nachfolger können die Grundsätze des „Zwei-Schrank-Modells“ unter Modifikationen übertragen werden, (vgl. Hinweise des ULD zur datenschutzgerechten Übergabe einer Arztpraxis mit Patientenakten und zum Wechsel von Betriebsärzten).

Zu der Frage, ob die Tätigkeit eines (externen) Betriebsarztes als Fall der gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO betrachtet werden kann, enthält das Gutachten “ Die Datenverarbeitung des Betriebsarztes“ des „Netzwerks Datenschutzexpertise“ weiterführende Hinweise.

(Foto: DOC RABE Media – stock.adobe.com)


Letztes Update:02.09.21

  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    794.60 € Mehr erfahren
  • Datenschutz in medizinischen Einrichtungen

    Datenschutz in medizinischen Einrichtungen

    Seminar

    574.20 € Mehr erfahren
  • Fax

    Nutzung von Fax-Diensten bei sensiblen Daten unzulässig

    Seit der offiziellen Einführung des Faxdienstes in Deutschland durch die damalige Deutsche Bundespost sind mehr als 40 Jahre vergangen. Der Faxdienst wird in Deutschland damit fast genauso lange genutzt, wie es Videotext (Teletext) gibt. Beide Dienste erfreuen sich in Deutschland eines Nutzerkreises in Millionenhöhe. Geht es nach dem Willen der deutschen Datenschutz-Aufsichtsbehörden geht es einem

    Mehr erfahren
  • Verwarnung wegen Mitarbeiterexzess

    Regel: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine

    Mehr erfahren
  • Impfstatus

    Impfstatus: Abfrage durch Arbeitgeber

    Der Bundestag hat am Dienstag, 7. September 2021 einstimmig dem von den Koalitionsfraktionen initiierten 30-Milliarden-Euro-Aufbaufonds für die vom Juli-Hochwasser betroffenen Gebiete zugestimmt. Der angenommene Gesetzentwurf, mit dem auch das Infektionsschutzgesetz mit Blick auf die Corona-Pandemie geändert wurde, beinhaltet eine Verpflichtung, bei der Einreise über einen Test-, Impf- oder Genesungsnachweis zu verfügen. Ferner ist in bestimmten Einrichtungen eine Auskunftspflicht der Mitarbeiter

    Mehr erfahren