Gesundheitliche Informationen zählt die DSGVO zu den besonders schützenswerten personenbezogenen Daten. Mitarbeiter einer Arztpraxis sind also dazu angehalten, beim Datenschutz höchste Sorgfalt walten zu lassen. Dieser Beitrag erläutert, was unbedingt zu tun ist.
Beginnen wir dort, wo auch der Besuch Ihrer Patienten beginnt.
Datenschutz an der Rezeption Ihrer Arztpraxis
Im Empfangsbereich lauert schon die erste Datenschutz-Falle, die häufig gar nicht als solche betrachtet wird. Oft liegen hinterm Tresen nämlich offene Patientenakten oder Notizzettel zu Telefonaten. Vielleicht sind auch die Bildschirme so positioniert, dass man von der anderen Seite des Empfangs darauf blicken kann. Jeder Patient, der am Empfang wartet, könnte personenbezogene Daten somit leicht einsehen.
Gleiches gilt für Gespräche zwischen Arzthelfern und Patienten – egal ob persönlich oder telefonisch. Auch hier sollten Dritte nicht mithören können. In vielen Praxen gehört es jedoch sowieso zum guten Ton, Mitpatienten auf Diskretionsabstände hinzuweisen sowie Testergebnisse, Werte, Beschwerden und Telefonnummern nicht durch den Raum zu rufen.
Arztpraxen benötigen kein direktes Einverständnis zur Datenerhebung
Im Regelfall verlangt das Datenschutz-Gesetz eine schriftliche Einwilligung, dass der Betroffene der Datenerhebung zustimmt. Sofern Sie keine privatärztliche Abrechnungsstelle einbeziehen oder die Daten anderweitig an Dritte weiterleiten, trifft diese Vorgabe jedoch nicht auf Arztpraxen zu. Sie können Ihre Patienten natürlich freiwillig auf die Datenverarbeitung hinweisen – eine Ablehnung schließt die Behandlung dann aber trotzdem nicht aus.
Datenschutz in der Arztpraxis: Das ist bei der Anamnese zu beachten
Sind alle Empfangsformalitäten erledigt und ist die Zeit im Wartezimmer abgesessen, geht es ins Behandlungszimmer. In diesem Bereich der Arztpraxis werden Gesundheitsdaten im Detail erhoben – Datenschutz steht hier also an vorderster Stelle. Dass die Tür zum Zimmer geschlossen wird, erfordert schon das Recht auf Privatsphäre. Datenschutzrechtlich ist beim Anamnesegespräch zudem der Grundsatz der Datenminimierung zu beachten. Heißt: Fragen Sie wirklich nur die Daten ab, die für die Diagnose von Relevanz sind.
Dürfen Sie Patientendaten weitergeben bzw. sich über Patienten austauschen?
Das kommt auf den Kontext an. Grundsätzlich sollten Sie das vermeiden – wie es auch schon die Schweigepflicht gebietet. Eine Weitergabe der Daten (z.B. an einen anderen behandelnden Arzt) darf nur mit dem schriftlichen Einverständnis der Patienten erfolgen.
Sie können sich darüber hinaus die fachliche Meinung von Kollegen einholen, wenn das Gespräch nicht über die für die Diagnose notwendigen Aspekte hinausgeht.
Führen Sie ein Verzeichnis über die Datenverarbeitung
Beim Datenschutz in der Arztpraxis ist es auch wichtig, alle Vorgänge zu dokumentieren, in denen Sie Patientendaten erheben. Das umfasst auch sämtliche Geräte, die Aufnahmen anfertigen (Röntgen, Ultraschall, …). Die KBV stellt ein Ausfüllbeispiel für das Verzeichnis von Verarbeitungstätigkeiten in Arztpraxen zur Verfügung.
Ergänzen Sie dieses Verzeichnis um eine Auflistung Ihrer technischen und organisatorischen Maßnahmen, mit denen Sie den Datenschutz in Ihrer Arztpraxis sicherstellen – zum Beispiel:
- Verschlüsselter E-Mail-Verkehr
- Datenerhebung auf der Webseite nur mit aktiver Einwilligung (Cookie-Consent)
- Eine sichere Internetverbindung bei Online-Gesprächen
- Zugriffsberechtigung und automatische Sperrfunktion an Computern, Tablets, Smartphones des Personals
- Abschließbare Aktenschränke
- Aktenvernichter, die Dokumente nicht einfach nur in Längsstreifen schneiden (mindestens Sicherheitsstufe 4 nach DIN 66399)
Eine ordnungsgemäße Dokumentation hilft Ihnen, Ihrer Nachweispflicht bei Behördenanfragen schnell und einfach nachzukommen.
Datenschutz in der Arztpraxis bei Auftragsverarbeitern
Viele Arztpraxen lassen ihre IT-Infrastruktur von einem externen Dienstleister organisieren. Dagegen spricht auch aus Datenschutz-Sicht nichts – wenn Sie eine Sache beachten: Jeder Auftragsverarbeiter, der Patientendaten einsehen kann, muss vertraglich auf das Berufsgeheimnis nach §203 StGB verpflichtet werden. Standardverträge berücksichtigen diesen Umstand nicht.
Datenschutz in der Arztpraxis ernstnehmen!
In der Arztpraxis verarbeiten Sie immer sensible Gesundheitsdaten. Sie sind hierbei nicht nur der ärztlichen Schweigepflicht unterworfen, sondern müssen auch alle Vorgaben aus dem Datenschutz und der IT-Sicherheit einhalten.
Wenn insgesamt mehr als 20 Personen in Ihrer Praxis beschäftigt sind, werden Sie dafür einen internen oder externen Datenschutzbeauftragten benannt haben, der die Praxisleitung bei den relevanten Datenschutzfragen und deren praxisorientierter Umsetzung berät.
Kleine Arztpraxen können auf dieses Expertenwissen oft nicht zurückgreifen, obwohl für sie die gleichen gesetzlichen Vorgaben bestehen. In diesen Fällen muss sich der Arzt eben selbst darum kümmern und das Wissen aneignen und für die Umsetzung sorgen. Andernfalls drohen empfindliche Bußgelder.
Ich halte Sie deshalb dazu an, den Datenschutz in Ihrer Arztpraxis sehr ernst zu nehmen und alle nötigen Maßnahmen zu erfüllen. Eine Checkliste mit den wichtigsten Tipps und DSGVO-Artikeln können Sie sich direkt in diesem Beitrag herunterladen. Nach dem Download sende ich Ihnen weiterhin regelmäßig Datenschutz-News zu. Natürlich ohne Werbung und jederzeit mit einem einfachen Klick widerrufbar.
Möchten Sie Ihr Praxisteam weiterbilden, empfehle ich Ihnen außerdem eine flexible Online-Schulung.
