Datenschutz in der Arztpraxis. Was gilt es zu beachten?

Der Umgang mit empfindlichen Patientendaten lässt dem Datenschutz in der Arztpraxis einen hohen Stellenwert zukommen. Die Gesundheitsinformationen einer Person gehören nämlich zu den besonderen Arten personenbezogener Daten und sind als solche besonders Schützenswert. Darüber hinaus kommt bei Patientendaten noch ein weiterer wichtiger Aspekt hinzu: Ärzte und deren Mitarbeiter unterliegen einer Schweigepflicht, die sich aus dem besonderen Berufsgeheimnis ergibt.

Was ist wichtig für den Datenschutz beim Arzt?

Patientendaten unterliegen dem besonderen Datenschutz. In der Arztpraxis ist es deshalb und wegen der beruflichen Verschwiegenheitspflicht von größter Bedeutung, sehr sorgsam mit diesen Informationen umzugehen. Ob in der Klinik oder einer Arztpraxis – der Datenschutz ist in folgenden Bereichen von Bedeutung:

 

  1. Datenerhebung: Welche Daten eines Patienten dürfen gesammelt werden. In der Regel betrifft dies vielmehr nur Daten, die für die Durchführung von Behandlung und Diagnose von Belang sind.
  2. Datenweitergabe: An Versicherungen und andere Dritte dürfen nicht automatisch sämtliche Informationen aus der Patientenakte weitergegeben werden. Hier sind je nach Adressat bestimmte Vorgaben zu beachten. In die Herausgabe von personenbezogenen Daten muss in der Regel eine Einwilligungserklärung des Betroffenen vorliegen.
  3. Datensicherung: In einer Arztpraxis müssen umso mehr die Personendaten vor dem unbefugten Zugriff durch Dritte ausreichend gesichert sein. Das betrifft sowohl digitale Datensätze als auch Ausdrucke, Formulare und Notizen.
  4. Verpflichtung auf das Datengeheimnis: Nach § 5 Bundesdatenschutzgesetz sind alle Angestellten, die in der Datenverarbeitung in nicht-öffentlichen Stellen tätig sind, regelmäßig auf das Datengeheimnis zu verpflichten.

 

Beim Datenschutzverstoßes drohen Konsequenzen

Die Datenweitergabe in Gemeinschaftspraxen oder auch in Krankenhäusern an andere Ärzte ist dann in der Regel zulässig, wenn diese den Patienten auch betreuen. Im Grunde genommen beschränken sich die Informationen auch hier auf diejenigen Daten, die für die Betreuung im Einzelnen notwendig sind. Auch Angestellte und MTAler benötigen übrigens nicht automatisch eine Kompletteinsicht in die Patientenakten.

Nicht nur im Falle eines Datenschutzverstoßes drohen Konsequenzen! Bei einem Verstoß gegen die berufliche Schweigepflicht handelt es sich um einen Strafbestand. Gemäß § 203 Strafgesetzbuch kann dies mit einer Geld- oder bis zur einjährigen Freiheitsstrafe geahndet werden.

 

  • Interne Datenschutzorganisation/Datenschutzmanagement in der Arztpraxis

Ärzte benötigen für Ihre Praxis ein Datenschutzmanagement, um sicherzustellen und dokumentiert nachweisen zu können, dass sie den Datenschutz entsprechend der EU-DSGVO wahren. Das umfasst unter anderem:

  1. Überprüfung aller internen Verarbeitungsvorgänge in der Arztpraxis

Alle elektronischen Verarbeitungsvorgänge sowie die Verarbeitung von Patientendaten in Karteien sind auf die datenschutzrechtliche Konformität hin zu überprüfen. Insbesondere müssen geeignete technisch-organisatorische Maßnahmen ergriffen werden. Unter Umständen muss auch eine sog. Datenschutzfolgenabschätzung4 durchgeführt werden (Art. 35 EU-DSGVO), um voraussichtliche Risiken bei der Verarbeitung von Patientendaten abzuschätzen und Maßnahmen der Abhilfe zu bestimmen. Ansprechpartner dafür sind die Aufsichtsbehörden für den Datenschutz. Das sind in der Regel die Landesbeauftragten für den Datenschutz. Auskunft über die zuständige Aufsichtsbehörde erteilt auch die zuständige Ärztekammer.

  1. Erstellung eines Verzeichnisses für Verarbeitungsvorgänge in der Arztpraxis

Es ist eine Bestandsaufnahme erforderlich, welche Daten in der Arztpraxis auf welcher Rechtsgrundlage verarbeitet werden. Alle Arztpraxen haben ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30 EU-DSGVO), wobei für jede Gruppe von Datenverarbeitungsvorgängen ein entsprechendes Formular auszufüllen ist. Es sind verschiedene Muster im Internet abrufbar.

  1. Benennung eines Datenschutzbeauftragten

Einige Arztpraxen werden einen Datenschutzbeauftragten zu benennen haben (Art. 37 EU-DSGVO), der entweder in der Praxis beschäftigt ist oder als externer Dienstleister beauftragt wird. Das ist in jedem Fall anzunehmen, wenn Ärzte in der Praxis mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 BDSG neu). Die zu benennende Person, die nicht der Praxisinhaber sein kann, muss für diese Aufgabe fachlich qualifiziert sein. Die notwendigen Fachkenntnisse können z. B. über Schulungen erworben werden. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden. Er kontrolliert intern nicht nur die Einhaltung des Datenschutzes und der Datensicherheit, z. B. durch geeignete technisch-organisatorische Maßnahmen, sondern er dient auch als kompetenter Ansprechpartner für alle im Zusammenhang mit dem Datenschutz aufkommenden Fragen.

  1. Erarbeitung einer internen Datenschutzrichtlinie

Um in Arztpraxen ein Bewusstsein für den Datenschutz und Datenschutzrisiken zu schaffen, kann die Erstellung einer internen Datenschutzrichtlinie sinnvoll sein, in der z. B. Verhaltensweisen bei Erfassung von Patientendaten, klare Verantwortlichkeiten oder Zugriffsbeschränkungen für Mitarbeiter festgelegt werden können. Bestimmt werden kann darin auch, wie und wo der Nachweis über die einschlägige Rechtgrundlage der Verarbeitung (z. B. eine gesetzliche Bestimmung oder eine Einwilligung) dokumentiert werden kann.

  1. Überprüfung und Anpassung vorhandener Verträge und Formulare

Sowohl Einwilligungserklärungen als auch verwendete Verträge mit Dritten, welche Datenverarbeitungsvorgänge betreffen, sind möglicherweise an das neue Datenschutzrecht anzupassen. Einwilligungserklärungen müssen z. B. den Hinweis auf die Widerrufbarkeit enthalten.

  1. Sicherheit der Datenverarbeitung

Durch geeignete technisch-organisatorische Maßnahmen (z. B. beschränkte Zugriffsrechte der Mitarbeiter oder Verschlüsselungsmaßnahmen) ist die Sicherheit der Datenverarbeitung in der Arztpraxis, insbesondere vor Angreifern von außen, zu gewährleisten.

 

 

  • Verhältnis zum Patienten

 

  1. Einholung von Einwilligungserklärungen für besondere Datenverarbeitungsvorgänge

Im Rahmen der routinemäßigen Behandlung von Patienten beruht die Datenverarbeitung meist auf einer gesetzlichen Grundlage, sodass eine Einwilligung zur Datenverarbeitung in der Regel nicht einzuholen ist. Soweit ausnahmsweise Einwilligungserklärungen für bestimmte Datenverarbeitungsvorgänge (z. B. Einbeziehung einer privaten Verrechnungsstelle) erforderlich sind und noch nicht eingeholt worden sind, ist dieses nachzuholen. Das Vorliegen von Einwilligungserklärungen zur Datenverarbeitung muss durch den Praxisinhaber nachgewiesen werden.

  1. Informationspflichten

Mit Blick auf die ausgeweiteten Informationspflichten (Art. 12–14 EU-DSGVO) können ebenfalls entsprechende Vordrucke genutzt werden, über die Patienten sowohl in präziser, als auch transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache informiert werden. Denkbar ist, dass diese z. B. ebenfalls sichtbar in der Arztpraxis ausgehängt werden. Entsprechende Vordrucke werden deswegen voraussichtlich erarbeitet.

  1. Auskunftsrecht des Patienten

Neben dem Einsichtsrecht gemäß § 630g BGB (Behandlungsvertrag) existiert zudem das datenschutzrechtliche Auskunftsrecht (Art. 15 EU-DSGVO), wonach Patienten vom Arzt Auskunft über die zu ihrer Person ggf. gespeicherten Daten verlangen können. Dafür sollte folglich in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren eingerichtet werden, um entsprechende Anfragen schnell beantworten zu können. Es ist zu beachten, dass kein Anspruch des Patienten besteht, Auskunft über personenbezogene Daten anderer Betroffener (Dritter) zu erhalten.

  1. Recht auf Löschung

Im Zusammenhang mit den Aufbewahrungsfristen sind zudem auch die Löschungsfristen (Art. 17 EU-DSGVO) zu berücksichtigen. Dafür sollte in einer internen Datenschutzrichtlinie ein bestimmtes Verfahren festgelegt werden, z. B. wann und durch wen die Daten, beispielsweise nach Ablauf von Aufbewahrungsfristen, gelöscht werden sollen.

 

 

  • III. Verhältnis zu externen Dienstleistern und Dritten

Soweit Verträge mit externen Dienstleistern, z. B. zur Ausführung von Wartungsaufgaben an der Praxis-EDV-Anlage oder mit Privaten Verrechnungsstellen, bestehen oder abgeschlossen werden. Diese Verträge sind auf ihre Vereinbarkeit mit den neuen datenschutzrechtlichen Vorschriften sowie mit den strafrechtlichen Bestimmungen zur ärztlichen Schweigepflicht ebenfalls zu überprüfen.

  1. Anpassung vertraglicher Vereinbarung mit externen Dienstleistern nach den Vorschriften zur Auftragsverarbeitung

Sofern es sich um eine Auftragsverarbeitung handelt (z. B. Für Wartungsdienste der Praxis-EDV oder Nutzung von Cloud-Diensten), ist eine entsprechende Vereinbarungen zu treffen, deren Anforderungen sich aus Art. 28 Abs. 3 EU-DSGVO ergeben. Es existieren Muster im Internet.

  1. Verpflichtung zur Geheimhaltung

In Verträgen mit externen Dienstleistern sind neben den datenschutzrechtlichen Vorgaben zudem auch Verpflichtungen aufzunehmen, nach denen die mitwirkenden Dritten umso mehr zur Geheimhaltung verpflichtet werden. Das Unterlassen kann zu einer Strafbarkeit führen!

 

  • Verhältnis zu Aufsichtsbehörden für den Datenschutz und anderen Stellen

 

  1. Befugnisse der Aufsichtsbehörden für den Datenschutz

Es ist dennoch zu beachten, dass Aufsichtsbehörden nur eingeschränkte Rechte gegenüber Berufsgeheimnisträgern haben, insbesondere erfolgt keine umfassende Auskunft über Patientengeheimnisse an die Aufsichtsbehörden. Für die Aufsichtsbehörden bestehen somit nur beschränkte Durchsuchungs- und Betretungsrechte in der Arztpraxis, soweit ihre Maßnahmen einen Verstoß gegen die Geheimhaltungspflichten von Ärzten zur Folge hätten. Von einer generellen Verweigerung “unter Berufung auf die ärztliche Schweigepflicht” ist zudem abzuraten, da eine unberechtigte Verweigerung folglich ein Bußgeld nach sich ziehen kann (Art. 83 Abs. 5 lit. e EU-DSGVO).

  1. Keine Pflicht zur umfassenden Auskunft bei Selbstbelastung

Wie bisher kann die Auskunft auf Fragen verweigert werden, weil deren Beantwortung kurzum die Gefahr einer strafgerichtlichen Verfolgung (z. B. wegen des Verstoßes gegen die ärztliche Schweigepflicht) nach sich ziehen würde. Es besteht grundsätzlich keine Pflicht, sich selbst zu belasten!

  1. Meldung von Datenpannen und -verstößen

Datenpannen (z. B. Hackerangriffe) und Datenschutzverstöße (z. B. durch Mitarbeiter) sind der zuständigen Aufsichtsbehörde in der Regel innerhalb von 72 Stunden zu melden. Ferner sollte dafür in einer internen Datenschutzrichtlinie festgelegt werden, wer für die Meldung zuständig ist. Immerhin ist die Meldepflicht problematisch, sofern der Verantwortliche sich folglich selbst belasten würde, einen Verstoß gegen die ärztliche Schweigepflicht begangen zu haben. Somit ist die Meldung dann zwar vorzunehmen. Es besteht jedoch deswegen ein prozessuales Verwertungsverbot und die Meldung ist somit in einem Strafverfahren oder im Ordnungswidrigkeitsverfahren nur mit Zustimmung des Arztes zu verwenden.

  1. Schulungsangebote der Aufsichtsbehörden und Ärztekammern in Anspruch nehmen

Soweit im jeweiligen Bundesland verfügbar, sind Schulungsangebote kurzum entsprechend in Anspruch zu nehmen (z. B. der Landesbeauftragten für den Datenschutz, der Kassenärztlichen Vereinigungen oder der Ärztekammern), um eine Vorbereitung auf die neue Rechtslage sicherzustellen.

 

Die KVB stellt Ihnen ein grundlegendes Handbuch zu den Themen ärztliche Schweigepflicht, Datenschutz in der Arztpraxis und Sicherheit der Praxis-EDV zur Verfügung.

Dort finden Sie umfangreiche Informationen zu den Themen:

  • Ärztliche Schweigepflicht und Datenschutz unter Berücksichtigung berufsrechtlicher und strafrechtliche Bestimmungen sowie des BDSG
  • Praxisorganisation unter Gesichtspunkten des Datenschutzes
  • Dokumentation ärztlichen/psychotherapeutischen Handelns
  • Übermittlung von Patientendaten aufgrund gesetzlicher Bestimmungen bzw. von Einwilligungserklärungen ihrer Patienten
  • Hinweise für EDV-Anwender
  • Datenschutzrechtliche Besonderheiten bei gemeinschaftlicher Berufsausübung bzw. Sonderformen ärztlicher Tätigkeit
  • Betriebliche Datenschutzbeauftragte
  • Mustervordrucke und Hinweise auf Fundstellen im Internet mit weiteren Beiträgen zu den genannten Themen

 

Das Handbuch wurde in Abstimmung und mit Unterstützung der Bayerischen Landesärztekammer, der Bayerischen Psychotherapeutenkammer und der Rechtsabteilung der KVB erstellt.

Handbuch “Datenschutz in der Arzt-/ Psychotherapeutenpraxis”

 

Weitere NEWS zur DSGVO:

DSGVO Arztpraxis:

https://datenschutzbeauftragter-dsgvo.com/datenschutzbeauftragter-arztpraxis-wichtige-infos/