In unserem Beitrag Datenschutz bei Patientendaten: Wie weit geht ärztliche Schweigepflicht? haben wir Ihnen die Grundsätze des Patientendatenschutzes näher gebracht. Nun kennen Sie zwar die theoretischen Grundlagen. Doch wie lassen sich die datenschutzrechtlichen Bestimmungen im Praxisalltag umsetzen? In unserem zweiten Beitrag zum Thema Datenschutz und Schweigepflicht erfahren Sie es.
Zusammengefasst: Das sind die Datenschutzrechte der Patienten
Im oben genannten Beitrag haben wir Ihnen gezeigt, dass Ihnen die Datenschutzrechte der Patienten in vielen verschiedenen Ausprägungen begegnen können. Ihren Ursprung haben diese Rechte in der Verfassung. Das Grundrecht auf informationelle Selbstbestimmung gewährt den Patienten die Entscheidungshoheit darüber, welche Informationen sie preisgeben wollen und welchen Personen diese Informationen zukommen sollen. Die Bestimmungen in den Datenschutzgesetzen von Bund und Ländern präzisieren dieses Grundrecht und legen fest, wie die Daten der Bürger konkret zu schützen sind.
Im Gesundheitswesen haben Datenschutz und Datensicherheit eine enorme Bedeutung. Denn gerade Ärzte verfügen meist über äußerst sensible und intime Informationen ihrer Patienten. Deshalb ist das Bedürfnis, Daten vor dem unbefugten Zugriff Dritter zu schützen, bei Patienten besonders groß.
Diese Patientenrechte müssen in der Praxis besonders geschützt werden
Einige Datenschutzrechte, die wir im erwähnten Beitrag aufgezählt haben, müssen von den Patienten selbst ausgeübt werden. So wird zum Beispiel das Recht auf Einsichtnahme in die Patientenakten gem. § 630g BGB nur dann relevant für Sie werden, wenn der Patient die Einsichtnahme aktiv einfordert.
Wir wollen in diesem Beitrag jedoch den Fokus auf die Datenschutzrechte legen, die der Arzt in seiner täglichen Praxis einzuhalten hat:
- Recht auf Auskunft:
Das Recht der Patienten, von der Arztpraxis Auskunft über die gespeicherten Daten zu ihrer Person zu verlangen, ergibt sich aus § 34 des Bundesdatenschutzgesetzes (BDSG). Das Auskunftsrecht umfasst die Daten selbst, den Zweck der Datenspeicherung und auch die Empfänger der Daten.
- Recht auf Benachrichtigung bei der Weitergabe der Daten an Dritte:
Das Recht auf Benachrichtigung findet sich in § 33 BDSG. Danach sind die Betroffenen jedenfalls dann zu benachrichtigen, wenn Daten ohne ihre Kenntnis an andere Private weitergegeben werden. Der Regelfall im ärztlichen Berufsalltag ist allerdings, dass Ihre Patienten über die Weitergabe der meisten Daten nicht benachrichtigt werden müssen. Grund hierfür ist der umfassende Katalog an Ausnahmen zur Benachrichtigungspflicht, der sich in § 33 Abs. 2 BDSG findet.
Jedenfalls aber dann, wenn Daten an mitbehandelnde Ärzte oder Laborärzte weitergegeben werden, ohne dass sich das für die Patienten von selbst versteht, müssen Sie Ihre Patienten darüber informieren.
- Recht auf Datenlöschung:
Werden die Daten für die Erfüllung des Zwecks der Speicherung nicht mehr gebraucht, haben die Patienten das Recht, dass die über sie gespeicherten Informationen gelöscht werden. Natürlich heißt das nicht, dass die Patientendaten gleich mit dem Ende der Behandlung vernichtet werden sollen. Das ist schon allein aufgrund der gesetzlichen Aufbewahrungsfristen nicht möglich. Wenn die Informationen aber dann doch einmal gelöscht werden sollen, ist darauf zu achten, dass die Patientendaten vollständig und irreversibel unkenntlich gemacht werden, § 3 Abs. 4 Nr. 5 BDSG. Insbesondere bei Festplatten und anderen digitalen Speichermedien muss sichergestellt werden, dass die darauf gespeicherten Daten nicht wiederhergestellt werden können. Wenn Sie Papiere schreddern, achten Sie auf eine hohe Sicherheitsstufe des Schredders.
Checkliste: So lassen sich die Datenschutzbestimmungen in der Arztpraxis umsetzen
Wie sollten Sie mit den Datenschutzbestimmungen im Praxisalltag umgehen? Wir zeigen es Ihnen in unserer übersichtlichen Checkliste:
- Datenschutz am Empfang: Telefonate, Patientengespräche, E-Mails
Der Empfangs- und Wartebereich ist im Sinne der Datensicherheit ein besonders sensibler Bereich der Arztpraxis. Hier werden Telefonate geführt, Patienten betreten die Praxis und sagen, warum sie da sind, es werden Termine vereinbart, Patienten zur Behandlung aufgerufen, etc. Das Risiko, dass bestimmte Patientendaten dabei an die Öffentlichkeit gelangen, ist hier also besonders groß. Wenn es Ihre Praxisräume zulassen, sollte der Empfangsbereich deshalb schon räumlich vom Wartezimmer getrennt werden. Doch auch wenn das nicht möglich ist, gibt es einige einfache Tipps, wie Sie den Datenschutz auch im Empfangs- und Wartebereich wahren können.
Am Empfang sollten Ihre Mitarbeiter möglichst leise mit den Patienten sprechen und gegebenenfalls andere wartende Personen um Diskretion bitten. Dabei kann zum Beispiel eine Diskretionslinie auf dem Boden helfen, die für wartende Patienten einen gewissen Abstand zum Empfang vorgibt.
Telefonate sollten natürlich genauso in geringer Lautstärke geführt werden. Hier sollten Ihre Mitarbeiter darauf achten, nur das Nötigste an Informationen preiszugeben, vor allem aber auf die persönliche Anrede des Patienten verzichten! So bleiben die Patienten auch dann unerkannt, wenn doch einmal sensible Informationen über das Telefon weitergegeben werden müssen.
Wenn in Ihrer Praxis auch E-Mails an Patienten verschickt werden, sollten diese verschlüsselt werden.
- Faxgeräte dort lassen, wo sie hingehören: im letzten Jahrhundert
In Ihrer Praxis muss sichergestellt werden, dass die Patientendaten nur die betreffenden Patienten erreichen. Das Faxgerät ist dafür allerdings ganz besonders ungeeignet. Denn beim Faxen kann grundsätzlich jeder, der Zugang zum Empfangsgerät hat, das Fax herausnehmen und die Informationen lesen. Für die Datensicherheit ist das ein großes Risiko. Deshalb sollte beim Verwenden von Faxgeräten im Vorhinein mit den Patienten geklärt werden, dass auch wirklich nur sie selbst bzw. nur befugte Personen Zugang zum Empfangsgerät haben. Das ist jedoch kompliziert und kostet unnötig Zeit, die Ihnen dann an anderer Stelle fehlen könnte. Wir empfehlen deshalb: Wenn es Ihnen möglich ist, verzichten Sie auf Faxgeräte.
- Die datensichere EDV-Anlage
So gut wie keine Praxis kommt heute mehr ohne eine umfangreiche EDV-Anlage aus. Doch damit die Patientendaten auch in elektronischer Form vor unbefugtem Zugang sicher sind, müssen Ihre Computer geschützt werden. Es versteht sich von selbst, dass all Ihre Computer mit einem aktuellen Virenprogramm ausgestattet werden sollten, um Angriffe aus dem Netz abwehren zu können. Doch damit ist es nicht getan.
Zunächst muss jederzeit gewährleistet sein, dass ausschließlich Berechtigte auf die Datenverarbeitungssysteme zugreifen können. Jeder Mitarbeiter sollte dazu einen eigenen, passwortgeschützten Zugang zum System bekommen. Dabei ist auch auf eine Eingabekontrolle zu achten. So muss auch nachträglich feststellbar sein, ob und von wem personenbezogene Daten im System eingegeben, verändert oder entfernt worden sind. Beachten Sie bei der Eingabe, dass die personenbezogenen Daten Ihrer Patienten jeweils nur zu dem Zweck genutzt werden dürfen, zu dem Sie erhoben wurden. Zu unterschiedlichen Zwecken erhobene Daten müssen deshalb auch getrennt verarbeitet werden können.
Wird ein Rechner verlassen, sollte sich innerhalb kürzester Zeit der Bildschirmschoner mitsamt des Passwortschutzes aktivieren. Achten Sie außerdem darauf, dass Monitore in Ihrer Praxis so ausgerichtet sind, dass keiner der wartenden Patienten den angezeigten Bildschirm sehen kann.
Neben der digitalen Zugangskontrolle ist auch eine physische Zutrittskontrolle einzurichten. Stellen Sie dazu sicher, dass sich Unbefugte keinen Zutritt zu den Datenverarbeitungsanlagen verschaffen können. Räume, in denen Computer oder Server stehen, sollten deshalb jedenfalls abgeschlossen werden. Einen besonders hohen Sicherheitsgrad erreichen Sie, wenn Sie diese Räume mit elektronischen Zugangskarten sichern. Solche Zugangskarten können dann individuell für Mitarbeiter und bestimmte Räume konfiguriert werden.
Sind die Patientendaten einmal bei Ihnen gespeichert, müssen sie auch vor Verlust oder Veränderung geschützt werden. Wir empfehlen Ihnen dazu, Festplatten regelmäßig zu spiegeln und Backups zu erstellen.
Insbesondere bei der – elektronischen oder physischen – Weitergabe von Daten ist außerdem darauf zu achten, dass die Daten nicht von Unbefugten gelesen, kopiert, verändert oder entfernt werden können. Auch darf nicht feststellbar sein, an wen die Daten übermittelt werden.
Sollten Sie einen externen Dienstleister mit der Verarbeitung von Patientendaten beauftragt haben, müssen Sie kontrollieren, dass dieser Dienstleister auch weisungsgemäß mit den Daten umgeht. Hilfreich ist dabei eine eindeutige Vertragsgestaltung, bei der wir Sie gerne unterstützen.
- Bei größeren Arztpraxen: Datenschutzbeauftragten bestimmen
Wenn sich in Ihrer Praxis mehr als neun Personen ständig mit personenbezogenen Patientendaten beschäftigen, müssen Sie gemäß § 4f BDSG einen Datenschutzbeauftragten bestellen. Nach dem Gesetz darf dazu nur derjenige bestimmt werden, der die dazu erforderliche “Fachkunde und Zuverlässigkeit” besitzt. Die Fachkunde kann zum Beispiel über Schulungen erworben werden, die von den Landesärztekammern und Kassenärztlichen Vereinigungen angeboten werden. Für den Bereich der KV-Nordrhein werden solche Schulungen hier angeboten.
- Was zu tun ist, wenn Mitarbeiter die Praxis verlassen
Im Laufe Ihrer Tätigkeit häufen Ihre Mitarbeiter ein immenses Wissen über Ihre Patienten an. Es ist deshalb ratsam, schon in den Arbeitsverträgen eine umfassende Verschwiegenheitspflicht festzuhalten. Wenn Mitarbeiter Ihre Praxis verlassen, ist darauf zu achten, dass sowohl sämtliche Schlüssel für Schränke und Türen der Praxis abgegeben werden, als auch der EDV-Zugang des Mitarbeiters gelöscht wird.
- Datenschutz bei der Praxisabgabe
Schon in unserem Beitrag “Wie weit geht ärztliche Schweigepflicht?”haben wir in Sachen Datenschutz auch einen Blick auf die Abgabe Ihrer Praxis geworfen. Wir haben gesehen, dass Patientendaten nicht einfach dem Praxisnachfolger übergeben werden dürfen, sondern dass jeder Patient selbst entscheiden können muss, ob er sich auch von Ihrem Nachfolger behandeln lassen will.
In der Praxis empfiehlt sich das sogenannte Zwei-Schrank-Modell, wonach die Patientenakten unter Verschluss zu halten sind und erst dann an den neuen Arzt übergeben werden dürfen, wenn der Patient bei dem neuen Arzt einen Behandlungstermin macht, da er damit zum Ausdruck bringt, von diesem behandelt zu werden und diesem demgemäß auch Zugang zu seinen Daten zu gewähren. Mit der Verwaltung dieses Schrankes sollte eine Mitarbeiterin beauftragt werden, die schon beim abgebenden Arzt beschäftigt war und vom neuen Arzt übernommen wird. Bezüglich dieser Datenübernahme müssen klare und umfassende Regelungen im Praxisübernahmevertrag vorgenommen werden.
Fazit zum Datenschutz in Arztpraxen
Um den Datenschutzbestimmungen im Praxisalltag gerecht zu werden, braucht es Kenntnisse über den Datenschutz, Sensibilisierung und Schulung Ihrer Mitarbeiter und vor allem eine gut strukturierte Organisation Ihrer Datenverarbeitungsprozesse. Das ist gewiss keine leichte Aufgabe für Ärzte, die in aller Regel schon mit der Behandlung der Patienten zur Genüge ausgelastet sind. Deshalb ist es umso wichtiger, die Voraussetzungen für eine wirksame Datensicherheit schon in der Aufbauphase der Praxis zu schaffen. Sie werden noch lange davon profitieren.
engelpunkt kann bei der Beratung im Gesundheitswesen auf langjährige Erfahrung zurückblicken. Wir würden uns freuen, Sie bei der Umsetzung der Datenschutzbestimmungen in Ihrer Praxis begleiten und unterstützen zu dürfen. Als Experten im Medizinrecht stehen wir Ihnen jederzeit gern zur Seite. Vereinbaren Sie dazu einfach einen persönlichen Beratungstermin in unserer Kanzlei.