Ärzte müssen beim Umgang mit den Daten ihrer Patienten umdenken

Wenn in Arztpraxen gegen Datenschutzbestimmungen verstoßen wird, kann dies unangenehme Konsequenzen nach sich ziehen. Die personenbezogenen Patientendaten sollten aktiv geschützt werden, doch in vielen Praxen herrscht noch Unsicherheit bezüglich des korrekten Vorgehens.

Im Praxisalltag gibt es unzählige Situationen, in denen nun anders gehandelt werden muss. Ferner stellt sich die Frage, in welchen Fällen ein Datenschutzbeauftragter bestellt werden muss und wann eine Datenschutzfolgenabschätzung notwendig wird.

Besonderes Verhältnis

Das Verhältnis zwischen Arzt und Patient ist schon immer ein ganz besonderes gewesen und bedarf gegenseitigen Vertrauens. Der Arzt ist nicht nur in medizinischer Hinsicht für seine Patienten verantwortlich, er muss auch verantwortlich mit allen personenbezogenen Daten umgehen, die ihm der Patient zugänglich macht. Im Prinzip gilt dies schon immer, aber durch das Inkrafttreten der DSGVO sind nun im Praxisalltag etliche Details zu beachten, die bisher nie im Vordergrund standen. Das ist damit begründet, dass Patientendaten einen ganz besonderen Schutz verdienen, der sich beispielsweise schon alleine aus der Verschwiegenheitspflicht des Arztes ergibt, durch die Neuerungen der DSGVO aber noch erweitert wurde.

• Erhebung von Daten: Es ist darauf zu achten, dass ausschließlich die Daten erhoben werden, die tatsächlich für eine erfolgreiche Behandlung des Patienten nötig sind.
• Weitergabe an Dritte: Nur bestimmte Daten aus einer Patientenakte sind zur Weitergabe an Versicherungen oder andere Institutionen freigegeben. Für die Weitergabe muss eine Einwilligung des Patienten vorliegen.
• Sicherung sensibler Daten: Personenbezogene Daten, die elektronisch, handschriftlich oder auf Karteikarten aufgezeichnet werden, müssen zuverlässig vor unbefugtem Zugriff geschützt werden. Computer müssen beispielsweise passwortgeschützt sein, Aktenschränke abschließbar.
• Datengeheimnis: Eine Schweigepflicht besteht nicht nur für den praktizierenden Arzt. Sie gilt nach § 5 Satz 2 BDSG (neu) ebenso für alle in der Praxis Beschäftigten. Diese müssen schriftlich über ihre Schweigepflicht informiert werden.

Im Praxisalltag lauern viele Gefahren für Datenschutzverstöße

In vielen Praxisräumen geht es oft sehr lebhaft zu. Man denke etwa an eine Grippewelle, die meist zu einer überdurchschnittlich hohen Patientenfrequenz in der Praxis führt. Bei Hochbetrieb wird es mit dem Datenschutz dann oftmals besonders schwierig: Der Empfang ist nicht durchgehend besetzt, eine Schublade mit Patientenakten bleibt versehentlich geöffnet oder ein soeben geschriebenes Rezept bleibt auf dem Tresen liegen, weil der Patient noch in der Umkleide ist. Ebenso problematisch ist es, wenn zum Beispiel Arzt und Sprechstundenhilfe sich im Flur über eine Behandlung abstimmen, und andere Patienten unabsichtlich mithören lassen.

Ein weiterer „klassischer Fall“ ist eine schnelle telefonische Auskunft, obwohl sich nicht vergewissert wurde, ob am anderen Ende der Leitung tatsächlich der Patient persönlich um die Information gebeten hat. All diese Begebenheiten sind einerseits nachvollziehbar, wenn in der Praxis unter Hochdruck gearbeitet wird – aber sie verstoßen gegen die Bestimmungen der DSGVO. Daher ist es absolut ratsam, mit dem gesamten Praxisteam Abläufe zu definieren, die auch unter Stress ohne eklatante Datenschutzverstöße funktionieren.

Welche Praxis braucht einen Datenschutzbeauftragten? Wann kommt es zur Datenschutzfolgenabschätzung?

Prinzipiell ist es für jede Arztpraxis ratsam, jemanden aus dem Team zum Datenschutzbeauftragten ausbilden zu lassen und dieses relevante Thema so in kompetente Hände zu legen. Das entlastet nämlich sowohl den Arzt wie auch die übrigen Teammitglieder. Aber vorgeschrieben ist die Bestellung eines Datenschutzbeauftragten nur, wenn die Praxis zu einer öffentlichen Stelle oder Behörde gehört. Außerdem besteht die Pflicht, einen Datenschutzbeauftragten zu benennen, wenn der Umgang mit personenbezogenen Daten das Kerngeschäft der Praxis ist (Art. 37 Abs. 1 DSGVO).

Ein wichtiges Thema ist auch die Datenschutzfolgenabschätzung (DSFA). Sie ist obligatorisch, wenn in der Praxis Daten verarbeitet werden, die als besonders sensibel und relevant für die Rechte und Freiheiten der Patienten einzustufen sind. Dies gilt beispielsweise für jede Art genetischer Informationen (s. a. Art. 35 DSGVO).

Patientenrechte sind gestärkt worden

Nicht nur der wirksame Schutz personenbezogener Daten wird von Ärzten gefordert, sie haben durch die DSGVO auch eine weitreichende Informationspflicht gegenüber ihren Patienten. Beispielsweise muss der Arzt jeden seiner Patienten darüber informieren, welche Informationen er speichert und welchem Zweck diese Speicherung dient. Dies gilt auch für Informationen über den Patienten, die der Arzt nicht von diesem selbst erhalten hat. Zum Informationsumfang gehören der Zweck der Datenspeicherung, die entsprechende Rechtsgrundlage für die Verarbeitung sowie der Zeitraum, in dem die Daten vorgehalten werden.

Ferner muss der Arzt den Patienten auf dessen Aufklärungs- und Beschwerderecht hinweisen. Eine vollständige Übersicht der betreffenden Informationen findet sich in den Artikeln 13 und 14 der DSGVO (https://eu-datenschutz.org/).