Worauf müssen Ärzte beim Umgang mit Patientendaten achten?

Ein Arztbesuch ist für Patienten immer mit der Preisgabe von sehr persönlichen und sensiblen Informationen verknüpft. Daher erwarten Patienten zu Recht, dass ihre Gesundheitsdaten bestmöglich vor dem unberechtigten Zugriff durch Dritte geschützt werden. Erfahren Sie in diesem Beitrag, wie Arztpraxen ein hohes Datenschutzniveau erreichen können.

Ärzte unterliegen nicht nur der Schweigepflicht, sondern müssen auch die Vorgaben der Datenschutzgesetze (insbesondere BDSG-neu und DSGVO) einhalten. In der DSGVO wird extra der Begriff „Gesundheitsdaten“ definiert. Darunter fallen personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen und aus denen Informationen über den Gesundheitszustand hervorgehen. Außerdem betrifft dies Daten, die beim Erbringen von Gesundheitsdienstleistungen verarbeitet werden. (Art. 4 Abs. 15 DSGVO)

Welche rechtlichen Vorgaben macht die DSGVO?

In den Artikeln 12 bis 23 regelt die DSGVO die Rechte der betroffenen Personen. Diese gelten nicht nur für den Patientendatenschutz, sondern allgemein für die Verarbeitung von personenbezogenen Daten. Im Folgenden finden Sie einen Überblick zu einigen wichtigen Regelungen für Arztpraxen:

Datenschutzbeauftragter

Bei personenbezogene Patientendaten handelt es in Arztpraxen vor allem um Stammdaten, Behandlungsdaten, Kontaktdaten von Dritten wie zum Beispiel von einem Facharzt, Labor oder Krankenkassen. Es ist bereits seit längerem vorgeschrieben, dass der Datenaustausch automatisiert erfolgen muss. Das heißt, die Daten werden in der Regel Software-basiert verwaltet und gespeichert. Damit ergibt sich für die allermeisten Praxen die Notwendigkeit, einen Datenschutzbeauftragten zu benennen (Art. 37 DSGVO).

Recht auf Auskunft

Das zentrale Transparenzrecht der Betroffenen ist das Recht auf Auskunft über die verarbeiteten Daten gem. Art. 15 DSGVO. Das Auskunftsrecht kann ohne Begründung oder Geltendmachung von Zweifeln an der Richtigkeit der gespeicherten Daten von dem Patienten gegen die Arztpraxis geltend gemacht werden.

Recht auf Berichtigung

Art. 16 DSGVO ist mit „Recht auf Berichtigung“ überschrieben. Tatsächlich enthält aber Art. 16 DSGVO zwei verschiedene Ansprüche und zwar das Recht auf Berichtigung unrichtiger Daten und das Recht auf Vervollständigung unvollständiger Daten.

Wenn ein Patient zum Beispiel erfährt, dass Daten zu seiner Person unrichtig sind, kann er gem. Art. 16 DSGVO die Berichtigung der Daten verlangen. Aber auch ohne ein Berichtigungsverlangen des Betroffenen hat der Arzt dafür zu sorgen, dass die personenbezogenen Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind.

Recht auf Löschung (Recht auf Vergessenwerden)

Lt. ErwGr. Nr. 66 sollte eine betroffene Person ein „Recht auf Vergessenwerden“ haben, wenn die Speicherung ihrer Daten gegen die DSGVO oder andere Vorgaben verstößt. Die DSGVO regelt dieses Recht in Art. 17. Patienten haben demnach unter bestimmten Umständen Anspruch darauf, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden.

Das trifft unter anderem dann zu, wenn die personenbezogenen Daten nicht mehr für den ursprünglichen Zweck benötigt werden oder wenn ein Patient seine Einwilligung in die Verarbeitung widerrufen hat. Praxisinhaber müssen aber auch auf die besonderen Aufbewahrungsfristen für Patientendaten achten.

Widerspruchsrecht

Art. 21 DSGVO räumt Patienten und allen anderen Betroffenen das Recht ein, unter den dort näher bestimmten Umständen einer Verarbeitung ihrer personenbezogenen Daten zu widersprechen. Die Regelung des Art. 21 DSGVO zielt auf Datenverarbeitungsverfahren ab, die zulässig sind, gegen die aber der Betroffene aus besonderen Gründen ein Widerspruchsrecht besitzen soll.

Welche praktischen Maßnahmen sind sinnvoll?

Nachdem die Digitalisierung schon längst in Arztpraxen eingezogen ist, lohnt sich ein genauer Blick auf die verwendete Software. Erfolgt die Kommunikation per E-Mail verschlüsselt? Wer hat Zugriff auf die Krankenakten? Wer kann die Daten bearbeiten und zum Beispiel löschen?

Ein oft heikler Punkt in Sachen Datenschutz ist das Telefon. Oftmals ist es ein leichtes für wartende Patienten sensible Telefongespräche mitzuhören. Ist es aus räumlichen Gründen nicht möglich, einen echten Diskretionsabstand zu realisieren, sollten sich die Praxismitarbeiter zumindest angewöhnen, in Telefonaten möglichst selten den Patientennamen zu nennen.

Das Telefon bietet außerdem noch eine weitere Stolperfalle. Wie können die Praxismitarbeiter ausschließen, dass sich andere Personen für den Patienten ausgeben und sensible Informationen abgreifen? Ein Arbeitgeber oder Familienangehöriger könnte schließlich ein großes Interesse an solchen Informationen haben. Kontrollfragen können solche Szenarien verhindern.

Der sichere Schutz von Patientendaten setzt sich aus organisatorischen und IT-basierten Maßnahmen zusammen. Die DSGVO und auch das BDSG-neu schaffen für den Datenschutz beim Arzt die rechtlichen Grundlagen und definieren die Rechte der Patienten. Schließlich brauchen diese hochsensiblen Daten den bestmöglichen Schutz, um das Vertrauensverhältnis zwischen Arzt und Patient zu gewährleisten.