Datenschutz im Betrieb

Warum sich Ärzte an einen neuen Umgang mit Patientendaten gewöhnen müssen

Mit der DSGVO werden Datenschutzverstöße in Arztpraxen künftig zu einem wichtigen Thema für das gesamte Personal in der Praxis. Patientendaten verdienen durchdachten Schutz, doch bei der Umsetzung sind viele Ärzte und ihre Mitarbeiter noch sehr unsicher.

Was ist im täglichen Umgang mit Patienten zu beachten? In welchen Fällen ist ein externer Datenschutzbeauftragter Pflicht? Was beinhaltet eine Datenschutz-Folgenabschätzung? Auch schon vor Inkrafttreten der DSGVO hatten Ärzte gegenüber ihren Patienten eine besondere Verantwortung. Und diese hört nicht bei der gesundheitlichen Fürsorgepflicht auf, sondern sie bezieht sich auch auf ihre personenbezogenen Daten.

Daran ändert sich im Grundsatz natürlich auch mit der neuen DSGVO nichts. Trotzdem hat sich seit Mai einiges geändert, das niedergelassene Ärzte und ihre Teams nun nach und nach in den Praxisalltag integrieren müssen. Zentrales Thema ist dabei die besondere Schutzwürdigkeit von Patientendaten, die sich allein schon aus der Verschwiegenheitspflicht des Arztes ableitet.

Handlungsempfehlungen

Daraus ergeben sich für zahlreiche „Arbeitsbereiche“ und Vorgänge in der Arztpraxis einige Handlungsempfehlungen:

Erhebung von Daten: Es dürfen ausschließliche Patientendaten erhoben werden, die für die erfolgsorientierte Behandlung des Patienten von Bedeutung sind.

Weitergabe von Daten: Daten der Patientenakte dürfen nicht grundsätzlich weitergegeben werden, etwa an Krankenversicherungen. Für die Weitergabe der Daten muss in der Praxis eine Einwilligungserklärung jedes betroffenen Patienten vorliegen.

Sicherung von personenbezogenen Daten: Personenbezogene Daten sind neben den elektronischen Daten auch jegliche Notizen, Akteneinträge oder Formulare. Sie müssen grundsätzlich so aufbewahrt werden, dass unbefugte Personen zu keiner Zeit Zugriff auf sie haben.

Datengeheimnis: Nicht nur der oder die Ärzte einer Praxis sind schweigepflichtig hinsichtlich ihrer Patienten. Diese Pflicht gilt darüber hinaus auch für alle Praxismitarbeiter. Lt. § 5 Satz 2 BDSG (neu) müssen diese bei Einstellung schriftlich zur Verschwiegenheit verpflichtet werden.

Besondere „Gefährdungsszenarien“

Im Praxisalltag geht es mitunter hektisch zu, vor allem, wenn eine Erkältungswelle tobt oder durch den Urlaub eines ortsansässigen Kollegen das Wartezimmer bis auf den letzten Platz mit ungeduldigen Patienten gefüllt ist. Gerade hier drohen Datenschutzverstöße aus Unachtsamkeit. Man denke zum Beispiel an einen gerade unbesetzten Empfangsbereich und den dadurch unbeaufsichtigte Rollcontainer mit Akten, ein liegengelassenes Rezept, auf dem noch die Signatur fehlt oder ein dem Patienten im Gang schnell mitgeteiltes Ergebnis einer Routine-Untersuchung, das etliche Wartende mit anhören.

Täglich ergeben sich unterschiedlichste Situationen, in denen Datenschutzverstöße – und erscheinen sie noch so geringfügig – vorkommen können. Klar wird, dass ohne bösen Willen und Absicht jede Menge schiefgehen kann im Umgang mit sensiblen Informationen und Daten. Und dass es sich lohnt, den aktuellen Praxisalltag daraufhin genau unter die Lupe zu nehmen und alle Mitarbeiter einer Praxis immer wieder dafür zu sensibilisieren und auf ihre Mitverantwortung hinzuweisen.

Wie steht es um einen Datenschutzbeauftragten? Was bedeutet die Datenschutz-Folgenabschätzung?

Grundsätzlich stellt sich für jeden niedergelassenen Arzt die Frage, ob nicht ein Datenschutzbeauftragter im Team eine echte Erleichterung bedeuten würde. Aber rechtlich zwingend ist ein Datenschutzbeauftragter nur dann, wenn die Praxis Teil einer öffentlichen Stelle oder Behörde ist oder wenn in der Praxis die Verarbeitung von personenbezogenen Daten das wichtigste Tätigkeitsfeld ist (Art. 37 Abs.1 DSGVO).

Auch eine Datenschutzfolgen-abschätzung ist nur in besonderen Fällen Thema für eine Arztpraxis: Sie wird notwendig, sobald besonders sensible Daten, die Rechte und Freiheiten von Patienten berühren, verarbeitet werden. Bestes Beispiel sind genetische Daten, die einen ganz besonderen Datenschutz notwendig machen, wie in Art. 35 DSGVO eindeutig beschrieben wird.

Patientenrechte gestärkt

Nicht nur der Schutz sensibler Patientendaten ist ein wichtiges Datenschutzthema in der Arztpraxis. Ebenso hat das Inkrafttreten der DSGVO Einfluss auf die Informationspflichten des behandelnden Arztes seinen Patienten gegenüber. So muss der Arzt jedem Patienten offenlegen, welche Informationen und personenbezogenen Daten er über den Patienten erhebt, dazu gehören auch Daten, die von Dritten kommen, wie etwa Informationen von Verwandten, Diagnosen anderer Ärzte oder Informationen aus Versicherungsakten.

Der Arzt muss erläutern, zu welchem Zweck die Daten verarbeitet werden, welche Rechtsgrundlage Anwendung findet sowie die Dauer der Speicherung. Dazu muss der Patient auch auf sein Aufklärungs- und Beschwerderecht hingewiesen werden. Eine vollständige Übersicht der betreffenden Informationen findet sich in den Artikeln 13 und 14 der DSGVO (https://eu-datenschutz.org/).

Zurück

Hier bloggt Ihre Redaktion.