Privacy Top 20 Ratgeber

Datenschutz in Ihrer Arztpraxis – Leitfaden zum Umgang mit empfindlichen Patientendaten

Nach zwei Jahren Schonfrist gilt nun seit dem 25. Mai 2018 die neue EU-DSGVO. Diese verpflichtet jedoch nicht nur Unternehmen dazu, für mehr Schutz bezüglich personenbezogener Daten zu sorgen. Die Datenschutzgrundverordnung bezieht sich auf jeden, der Informationen sammelt und verarbeitet – also auch auf Ihre Arztpraxis.

Gerade im Gesundheitswesen handelt es sich größtenteils um sehr sensible Patientendaten, die somit besonders schützenswert sind. Hinzu kommt die Tatsache, dass sowohl Sie als auch Ihr Personal der Schweigepflicht unterliegen. Ein sorgsamer Umgang mit den Ihnen anvertrauten Informationen ist daher doppelt wichtig. Doch wie schaffen Sie es, den Datenschutz in Arztpraxen so hoch wie möglich zu halten und die DSGVO adäquat umzusetzen?

Der richtige Umgang mit Patientendaten

Jeden Tag haben Sie in Ihrer Praxis mit Menschen zu tun. Diese erhoffen sich eine Besserung ihres aktuellen Zustandes und legen ihre Gesundheit vertrauensvoll in Ihre Hände – ebenso wie alle Informationen über die eigene Person. Denn in den Systemen und Akten befinden sich alle relevanten Inhalte, welche die körperliche und geistige Gesundheit eines Patienten betreffen. Dieser Umstand macht den Datenschutz in Krankenhäusern und Arztpraxen besonders wichtig.

Laut Art. 9 Abs. 1 der DSGVO ist aus den oben genannten Gründen die Verarbeitung von Gesundheitsdaten prinzipiell untersagt. Es gibt jedoch folgende Ausnahmen:

  1. Einwilligung:
    Sofern der/die Betroffene der zweckgebundenen Verarbeitung ausdrücklich zugesagt hat, können Sie die Daten verwenden.
  2. Rechtliche Gründe:
    Sind die Informationen sozial- oder arbeitsrechtlich relevant, kann eine Ausnahme erfolgen. Ebenso dann, wenn Sie oder der/die betroffene Rechtsansprüche ausüben. Eine Ausnahme stellt ebenfalls ein gerichtlicher Rahmen dar.
  3. Schutz der Interessen:
    Ist ein Patient schwer verletzt und nicht im Stande, seine Einwilligung zu geben, kann der Datenschutz in der Arztpraxis vorübergehend herabgesetzt werden – jedoch nur, wenn es sich um den Schutz lebenswichtiger Interessen handelt!
  4. Eigene Veröffentlichung:
    Hat die betroffene Person Daten, Fotos oder sonstige Inhalte selbst im Internet veröffentlicht oder Unbefugten mitgeteilt, sind Sie rechtlich nicht zu belangen.
  5. Gesundheitsgefahren:
    Um beispielsweise Epidemien etc. vorzubeugen, liegt das öffentliche Interesse darin, Gesundheitsdaten zu verarbeiten.

Die Bedeutung von personenbezogenen Daten im Gesundheitswesen

Wie bereits beschrieben, gibt die Datenschutzgrundverordnung vor, in welchen Ausnahmefällen Sie Informationen weitergeben dürfen. Dennoch ist gerade Außenstehenden oftmals nicht bewusst, in welchen Fällen Daten in Arztpraxen verarbeitet werden:

  1. Ärzte benötigen Informationen, um Behandlungen und Diagnosen durchführen zu können. Nur aus diesem Grund dürfen sie die relevanten Daten erheben.
  2. Krankenhäuser und Praxen sind dazu verpflichtet, ihre Informationen mit den Krankenkassen zu teilen. Dennoch dürfen diese nicht automatisch sämtliche Details der Patientenakten erhalten – vor allem nicht ohne die Einwilligung der Patienten.
  3. Personenbezogen Daten werden gespeichert: Nicht mehr nur schriftlich in den Patientenakten, sondern ebenfalls digital im internen System.

Wie setzen Sie die Datenschutzgrundverordnung richtig in Ihrer Arztpraxis um?

Beginnen Sie zunächst damit, die Möglichkeiten für einen unerlaubten Zugriff zu minimieren. Besonders beliebt sind beispielsweise unbewachte Computerbildschirme, durch die Dritte schnell und einfach Informationen erhalten können. Wichtig ist ebenfalls, dass sich der Empfang nicht in unmittelbarer Rufweite zum Wartezimmer befindet. Die dort sitzenden Patienten können im schlimmsten Fall Telefonate mithören, die sie nichts angehen. In genau diesen Momenten ist kein adäquater Datenschutz in Ihrer Arztpraxis gewährleistet.

Interner/externer Datenschutzbeauftragter

Laut DSGVO sind Sie erst zu einem Datenschutzbeauftragten verpflichtet, wenn neun Ihrer Mitarbeiter personenbezogene Daten verarbeiten. Wer sich jedoch mit dem Thema „Datenschutz in Arztpraxen“ nicht auskennt, ist gut beraten, sich einen Experten zu suchen. Verschaffen Sie sich zunächst einen Überblick – zum Beispiel indem Sie mehrere Angebote externer Datenschutzbeauftragter im Vergleich gegenüberstellen. Anschließend können Sie eine Person für Ihre Arztpraxis aussuchen, die am ehesten Ihren Anforderungen entspricht.

Verarbeitungsvorgänge prüfen

Mit dieser Maßnahme versichern Sie, dass Sie alle Verarbeitungsvorgänge hinsichtlich Ihrer Konformität geprüft haben. Dies beinhaltet unter anderem auch technische Maßnahmen wie Verschlüsselungen der Patientenakten und -daten.

Verzeichnis für Verarbeitungsvorgänge erstellen

Laut Art. 30 der EU-DSGVO sind Sie dazu verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Gehen Sie dabei wie folgt vor:

  1. Überlegen Sie genau, welche personenbezogenen Daten Sie im Rahmen Ihrer Tätigkeit verarbeiten.
  2. Fügen Sie diesen den Zweck und die Aufbewahrungsfrist hinzu.
  3. Geben Sie an, wer Ihr Datenschutzbeauftragter ist und um welche Arztpraxis es sich handelt.

Dokumente prüfen

Sicherlich verwenden Sie im Arbeitsalltag diverse Formulare, die Ihre Patienten ausfüllen müssen. Doch entsprechen diese auch dem Datenschutz? Kontrollieren Sie daher alle Schriftstücke Ihrer Arztpraxis, ob diese noch immer konform sind.

Einwilligungserklärungen einholen

Abgesehen davon, dass Sie datenschutzrechtlich dazu verpflichtet sind, sich in Ihrer Arztpraxis von jedem Patienten eine Einwilligung zur Datenverarbeitung einzuholen – generell wären Sie mit der Vorgehensweise immer auf der sicheren und gesetzeskonformen Seite.

Wichtig: Weisen Sie explizit auf das bestehende Widerrufsrecht hin, von dem jeder Patient Gebrauch machen kann! Vergessen Sie auf keinen Fall die Möglichkeit, dass man Sie auch darum beten kann, die eigenen Daten zu löschen.

Technische Vorkehrungen für besseren Datenschutz

Viele Ärzte besitzen im digitalen Zeitalter eine Webseite, um für sich und ihre Leistungen zu werben. Mittlerweile ist diese notwendig, um sich gegen die Konkurrenz behaupten zu können. Zudem hilft sie Patienten dabei, ein erstes Gefühl für den potenziellen Haus- oder Facharzt zu erhalten. Beachten Sie, dass sich der Datenschutz nicht nur auf Ihre Arztpraxis, sondern ebenfalls auf die Homepage bezieht. Folgende Maßnahmen sollten Sie auf jeden Fall ergreifen:

  • Sie benötigen zwingend ein Impressum und eine Datenschutzerklärung. Beides muss schnell erkennbar sein.
  • Ihre Seite darf nicht unverschlüsselt sein. Ohne Sicherheitsprotokoll (https) stellen Sie eine Einladung für Hacker dar.
  • Auch der Datenaustausch muss verschlüsselt sein. Das ist insbesondere dann relevant, wenn Sie Online-Termine vergeben.

DSGVO nicht richtig umgesetzt?

Egal, ob vorsätzlich oder unbeabsichtigt – wenn Sie die Datenschutzgrundverordnung nicht adäquat in Ihrer Arztpraxis umsetzen, müssen Sie mit folgenden Strafen rechnen:

  • Bußgelder: Diese können bis zu 20 Millionen Euro betragen – mindestens jedoch vier Prozent Ihres Jahresumsatzes.
  • Anklagen: Selbstverständlich können Sie von Patienten verklagt werden, wenn deren personenbezogene Daten unerlaubterweise im Umlauf sind. Die Folge sind Schadensersatzzahlungen oder Schmerzensgeld. Wenn das Gericht feststellt, dass Sie Ihre Schweigepflicht nicht eingehalten haben, droht Ihnen im schlimmsten Fall sogar das Gefängnis.

Datenschutz in der Arztpraxis – ein schwieriges Thema

Es ist nicht leicht, bei den neuen DSGVO-Richtlinien den Überblick zu behalten. Vielerorts herrscht Unsicherheit bezüglich der Umsetzung – gerade im Hinblick auf die sehr hohen Bußgelder. Es ist daher unabdingbar, dass Sie sich intensiv mit dieser Thematik beschäftigen. Eine Alternative stellt ein externer Experte dar, der Ihnen dabei hilft, die Datenschutzrichtlinien in Ihrer Arztpraxis einzuhalten. Sicherlich sind Sie sich der Verantwortung bewusst, welche Sie mit der Fülle an personenbezogenen Daten innehaben. Genau aus diesem Grund müssen Sie besonders gewissenhaft mit den Ihnen anvertrauten Informationen umgehen.