Datenschutz im Betrieb

Warum der Umgang mit Patientendaten viele Ärzte vor Herausforderungen stellt

Die DSGVO verschärft die Sanktionen gegen Datenschutzverstöße in Arztpraxen. Sensible Patientendaten müssen nachhaltig geschützt werden, doch noch überwiegt die Unsicherheit. Wo sind die Schwachstellen im Alltag? Braucht jede Praxis einen Datenschutzbeauftragten? Wann wird eine Datenschutz-Folgenabschätzung nötig?

Ärzte haben seit jeher gegenüber ihren Patienten eine außergewöhnlich hohe Verantwortung. Diese gilt allerdings nicht nur für deren Gesundheit, sondern auch für den Umgang mit ihren Daten. Auch das ist grundsätzlich nichts Neues. Doch seit Ende Mai die neue europäische Datenschutzgrundverordnung in Kraft getreten ist, stellen sich viele, vor allem niedergelassene, Ärzte die Frage, was zu tun ist und worauf im Praxisalltag künftig noch stärker geachtet werden muss.

Der Datenschutz betrifft mehrere Bereiche

Und das aus gutem Grund, denn Patientendaten unterliegen einem besonderen Datenschutz, der sich nicht zuletzt aus der Verschwiegenheitspflicht des Arztes ableitet. Und er betrifft mehrere Bereiche:

  • Datenerhebung: Grundsätzlich dürfen von Patienten nur die Daten erhoben werden, die für eine fachgerechte Durchführung von Diagnose und Behandlung von Belang sind.
  • Datenweitergabe: Nicht alle Informationen aus der Patientenakte dürfen automatisch an Dritte (z. B. Versicherung) weitergegeben werden. Bei der Weitergabe personenbezogener Daten muss eine Einwilligungserklärung vorliegen.
  • Datensicherung: Alle Personendaten müssen ausreichend vor unbefugtem Zugriff Dritter geschützt sein. Dies gilt nicht nur für elektronische Daten, sondern auch für Formulare, Notizen, Ausdrucke und Rezepte.
  • Datengeheimnis: Schweigepflicht gilt nicht nur für Ärzte; alle Mitarbeiter einer Praxis müssen regelmäßig auf das Datenschutzgeheimnis verpflichtet werden (§ 35 BDSG).

Wo sind die Schwachstellen?

Nicht nur zu Zeiten von Grippewellen oder wenn mal wieder ein Norovirus grassiert, geht es in den meisten Arztpraxen oft hektisch und manchmal unübersichtlich zu. Und gerade hier lauern die größten Schwachstellen für den Datenschutz: ein vorübergehend unbesetzter Empfangstresen und somit unbeaufsichtigte Schränke voller Patientenakten; ein Rezept auf dem Tresen, das auf eine Unterschrift wartet; ein Gespräch zwischen Arzt und/oder Angestellten in Hörweite des Wartezimmers oder wartender Patienten; ein Patient, der allein in einem Behandlungszimmer auf den Arzt wartet, während auf dessen Schreibtisch noch die Karteikarte des Vorgängers liegt – die Liste ließe sich noch lange fortführen.

Klar wird, dass ohne bösen Willen und Absicht jede Menge schiefgehen kann im Umgang mit sensiblen Informationen und Daten. Und dass es sich lohnt, den aktuellen Praxisalltag daraufhin genau unter die Lupe zu nehmen und alle Mitarbeiter einer Praxis immer wieder dafür zu sensibilisieren und auf ihre Mitverantwortung hinzuweisen.

Datenschutzbeauftragter, Datenschutz-Folgenabschätzung – was kommt auf Ärzte zu?

Natürlich wäre es grundsätzlich sinnvoll und für jeden Arzt wohl auch eine Erleichterung, wenn ein Mitarbeiter zum Datenschutzbeauftragten bestimmt und fortgebildet würde und damit alle datenschutzrechtlichen Belange in einer kompetenten Hand lägen.

Doch zwingend ist dies nach Art. 37 Abs. 1 DSGVO nur dann, wenn

  • die Praxis Teil einer öffentlichen Stelle oder Behörde ist,
  • die Kerntätigkeit der Praxis in der Verarbeitung von Gesundheitsdaten besteht,
  • dort in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind
  • bzw. die Datenverarbeitung einer Datenschutz-Folgenabschätzung (DSFA) unterliegt.

Eine DSFA wird erforderlich, wenn der Umgang mit besonders sensiblen und für Rechte und Freiheiten der Patienten besonders relevanten Daten erfolgt, wie zum Beispiel genetische Informationen.

Welche Rechte haben Patienten?

Neben dem Schutz von und dem Umgang mit Patientendaten liegt ein wesentlicher Fokus der DSGVO auf den Informationspflichten des Arztes gegenüber seinen Patienten. Der Arzt muss seine Patienten darüber aufklären, welche Informationen er von diesen direkt erhoben hat bzw. welche Informationen er gegebenenfalls von Dritten wie Familienangehörigen oder anderen Ärzten erhalten und aufgenommen hat.

Hierzu gehören beispielsweise der Zweck, zu welchem die Daten verarbeitet werden sollen, die Rechtsgrundlage für die Verarbeitung sowie die Dauer der Speicherung und der Hinweise auf Aufklärungs- und Beschwerderecht. Eine vollständige Übersicht der betreffenden Informationen findet sich in den Artikeln 13 und 14 der DSGVO (https://eu-datenschutz.org/).

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.

Datenschutz & Datensicherheit Das Fachinformationsportal

  • Aktuelles Fachwissen
  • Rechtssichere Entscheidungen
  • Praktische Arbeitshilfen
  • Übersichtliche Prozessdarstellungen
  • Sofort einsetzbare Schulungen

Jetzt 4 Wochen testen