Datenschutzrechtliche Handlungsempfehlung: Auskünfte am Telefon in der Arztpraxis

Nach der DSGVO, aber auch nach dem strafrechtlich geschützten Arztgeheimnis (§ 203 StGB), dürfen Patientendaten nicht unberechtigten Personen bekanntgegeben werden. Dies gilt auch bei telefonischen Anfragen.

Wird einer unberechtigten Person eine Auskunft gegeben, so kann dies eine meldepflichtige Datenpanne sein, die an die Datenschutzaufsicht und aufgrund der Infopflicht auch an betroffene Patienten zu melden ist. Dies kann in der Folge, insbesondere wenn die Melde und Informationspflichten verletzt werden, zu hohen Bußgeldern führen und strafrechtliche oder arbeitsrechtliche Konsequenzen haben (siehe Verpflichtungserklärung).

Am Telefon ist es besonders schwierig, eine Person eindeutig zu identifizieren. Die Frage nach Name und Geburtsdatum (evtl. noch der Anschrift) ist untauglich zur Identifikation, ob wirklich der Patient selbst anruft, da diese Daten zahlreichen anderen Personen zugänglich sind. Man stelle sich den Arbeitgeber vor, der über diese Daten verfügt und sich nach dem Corona-Testergebnis, oder einen (Ex-)Partner, der sich nach einem Schwangerschaftstest erkundigt. Aus diesen Gründen ist generell höchste Vorsicht bei telefonischen Auskünften angebracht. Daher ist es empfehlenswert, im Regelfall keine telefonischen Auskünfte zu erteilen.

Wenn dennoch ausnahmsweise auf Wunsch und in Verantwortung der Praxisleitung Auskünfte am Telefon erteilt werden sollen, sollten Sie eindeutige Kriterien zur Identifikation mit dem betroffenen Patienten vereinbaren. Das sollten Dinge sein, die im Normalfall nur der betroffene Patient selbst wissen kann, die zumindest aber nicht zahlreiche andere Personen in seinem sozialen und beruflichen Umfeld kennen.

Wenn z. B. für den Patienten ein Labortest beauftragt wurde, könnte man die Laborauftragsnummer als Identifikationskennzeichen vereinbaren. Dann kann sich der Patient mit dieser Auftragsnummer als berechtigter Empfänger der Information über das Testergebnis identifizieren. Als Alternative könnte der Patient darum gebeten werden, das Ergebnis des Labortests mit der Ärztin in der Praxis zu besprechen.

Als weitere Möglichkeit, den Patienten zu identifizieren, könnte z. B. nach Dingen aus der Behandlung gefragt werden, wie z. B. nach den letzten 1-2 Behandlungsterminen, und worum es dabei ging. Möglich wären zur Identifikation des Patienten auch „Fangfragen“, wie: „Hatten Sie sich im letzten Jahr den Fuß gebrochen?“, wenn die Person wegen einer Steißbeinprellung in Behandlung war.

Wenn einem Patienten telefonisch eine Auskunft über seine Patientendaten erteilt wurde, sollte darüber auf jeden Fall in seiner Patientenakte eine Notiz aufgenommen werden, und zwar mit den Angaben, wer welche Information wollte und welche Information bekommen hat und wie sich diese Person autorisiert hat.

Der Prozess der Auskunftserteilung, speziell auch am Telefon, sollte in einer Arbeitsanweisung dokumentiert sein. Zudem besteht die Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten, diese ergibt sich aus Art. 30 DSGVO. Die Verletzung der Pflicht ist ein Bußgeldtatbestand. Ein Muster für ein solches Verzeichnis finden Sie auf Ihrem Online-Portal.

Für Fragen zu den Arbeitshilfen stehen wir Ihnen gerne zur Verfügung.

Freundliche Grüße
David Seiler Rechtsanwalt, Lehrbeauftragter

Redaktion Datenschutz in Arztpraxen