Datenschutz für Arztpraxen und medizinische Einrichtungen

Mit unserem bewährten Leistungsmodul medizert.com bieten wir Ihnen speziell die Lösungen an, welche im Bereich des Datenschutzes, für Arztpraxen und medizinische Einrichtungen umgesetzt werden müssen.

Die Anforderungen an den Datenschutz in Arztpraxen und medizinischen Einrichtungen sind speziell und erfordern eigene und besondere Lösungswege. Ziel ist es die IST-Situation zu ergründen und die gesetzeskonforme Umsetzung in die SOLL-Situation zu überführen. Dabei darf es aber nicht bleiben, Regelmäßige Audits und Prüfmechanissmen sorgen dafür, dass die darauf abgestellte IST-Situation dauerhaft überprüft und neu justiert wird.

Das Wichtigste zum Datenschutz in der Arztpraxis in Kürze

Der Umgang mit hochsensiblen Patientendaten lassen dem Datenschutz und derSchweigepflicht in der Arztpraxis besondere Bedeutung zukommen.

Es ist sicherzustellen, dass kein Unbefugter Zugriff auf Patientenakten oder andere Informationen erhält. Eine besondere Schwachstelle ist hier der Empfangsbereich.

Bei Nichteinhaltung der Vorschriften drohen nicht nur wegen eines Datenschutzverstoßes Konsequenzen. Sollte die Schweigepflicht gebrochen worden sein, ist so auch die strafrechtliche Verfolgung möglich.

Datenschutz ist auch Patienten- und Mitarbeiterschutz

• Ärztliche Schweigepflicht
  • „Hippokratischer Eid“
  • Berufsordnung
• Verletzung von Privatgeheimnissen
  • § 203 Strafgesetzbuch
  • Offenbarungsbefugnisse
• Schutz der Praxisdaten
  • Geschäfts- und Personaldaten
  • Datensicherung
• Schutz der persönlichen Lebensbereiche
  • Name
  • Adresse
  • Private Verhältnisse
  • Behandlungsart, -ort

Gesundheitsdaten gehören zu den besonderen Arten von personenbezogenen Daten im Sinne des BDSG neu und der EU-DSGVO

Der Umgang mit empfindlichen Patientendaten lässt dem Datenschutz in der Arztpraxis einen hohen Stellenwert zukommen. Die Gesundheitsinformationen einer Person gehören nämlich zu den besonderen Arten personenbezogener Daten und sind als solche besonders schützenswert. Darüber hinaus kommt bei Patientendaten noch ein weiterer wichtiger Aspekt hinzu: Ärzte und deren Mitarbeiter unterliegen einer Schweigepflicht, die sich aus dem besonderen Berufsgeheimnis ergibt.

Fehler beim sorgsamen Umgang mit den sensiblen Informationen sind aber auch in Arztpraxen nicht selten. Im Folgenden einige Beispiele für Vorgänge, die Probleme mit dem Datenschutz und der Schweigepflicht bedeuten können:

• Am Patientenempfang unterhalten sich Arzt und/oder Angestellte über die Testergebnisse von Patienten oder andere Personendaten – vor einem Warteraum mit neugierigen Zaungästen.
• Der Empfang ist unbeaufsichtigt, sodass die sich regelmäßig dahinter befindlichen Schränke mit den Patientenakten, Computer und Ablagen für jedermann zugänglich wären.
• Patienten halten sich zum Teil alleine im Behandlungsraum auf, weil der Arzt mehrere Patienten parallel betreut. Eine auf dem Tisch vergessene fremde Akte wäre also theoretisch einsehbar.
• Es werden zum Teil Auskünfte über das Telefon oder per E-Mail erteilt, ohne Absicherung, dass der Adressat tatsächlich der Betroffene Patient oder anderweitig zur Einsicht in die Daten berechtigt ist.
• Die Krankenkasse erhält mehr Informationen über den Patienten, als zulässig oder erforderlich. Auch die gewissenhafte Datenübermittlung ist wichtig für die Einhaltung vom Datenschutz in der Arztpraxis.

Ziel ist es die nachfolgenden Mängel (Auszug) zu beseitigen bzw. geeignete Maßnahmen zu ergreifen, damit diese erst gar nicht entstehen:

• Einsehbare Computerbildschirme und Unterlagen am Empfang
• Ungesicherte Ablage der Patientenakten
• Fehlender Bildschirmschoner
• Fehlender Passwortschutz für Bildschirmschoner (NFC-Token als autom. Login-Hilfe)
• Offen abgelegte Patientenakten auf Schreibtischen
• Freier Zugang des Faxgerätes für Praxisfremde
• Unkontrollierter Umgang mit dem Faxgerät
• Fehlende schriftliche Zustimmung zur Datenweitergabe, auch zum Beispiel beim Einsatz privatärztlicher Verrechnungsstellen
• Fehlender Schutz der EDV-Software vor nachträglicher Veränderung
• Nicht eingeholte Datenschutzerklärungen externer Dienstleister
• Offene Wartezimmertüren in Rezeptionsnähe
• Kurzzeitwarteplätze ohne Diskretionszone
• Fehlende Verschlüsselung bei Datenspeicherung
• nicht Bestellung eines Datenschutzbeauftragten (siehe Voraussetzungen)
• Fehlender Schutz und Zugriffsbeschränkung von Hardware und sensiblen Einrichtungen
• …

Aus dem Vorgenannten ergibt sich, dass eine der wesentlichen Schwachstellen beim Datenschutz in der Arztpraxis der Empfang ist, umso mehr, wenn dieser sich in Hörweite des Wartezimmers befindet. Das ergibt sich jedoch nicht allein aus dem vielleicht allzu nachlässigen Handeln der Bediensteten, sondern vor allem auch aus einem möglichen Personalmangel und daraus, dass hier zahlreiche sensible Dokumente aufbewahrt werden.

Was ist wichtig für den Datenschutz beim Arzt?

Patientendaten unterliegen dem besonderen Datenschutz. In der Arztpraxis ist es deshalb und wegen der beruflichen Verschwiegenheitspflicht von größter Bedeutung, sehr sorgsam mit diesen Informationen umzugehen. Ob in der Klinik oder einer Arztpraxis – der Datenschutz ist in folgenden Bereichen von Bedeutung:

1. Datenerhebung: Nicht alle Informationen eines Patienten dürfen gesammelt werden. In der Regel betrifft dies nur Daten, die für die Durchführung von Behandlung und Diagnose von Belang sind.
2. Datenweitergabe: An Versicherungen und andere Dritte dürfen nicht automatisch sämtliche Informationen aus der Patientenakte weitergegeben werden. Hier sind je nach Adressat bestimmte Vorgaben zu beachten. In die Herausgabe von personenbezogenen Daten muss in der Regel eine Einwilligungserklärung des Betroffenen vorliegen.
3. Datensicherung: In einer Arztpraxis müssen die Personendaten vor dem unbefugten Zugriff durch Dritte ausreichend gesichert sein. Das betrifft sowohl digitale Datensätze als auch Ausdrucke, Formulare und Notizen.
4. Verpflichtung auf das Datengeheimnis: Nach § 53 Bundesdatenschutzgesetz (neue Gesetzesgrundlage) müssen alle Angestellten, die in der Datenverarbeitung in nicht-öffentlichen Stellen tätig sind, regelmäßig auf das Datengeheimnis verpflichtet werden.

Die Datenweitergabe in Gemeinschaftspraxen oder auch in Krankenhäusern an andere Ärzte ist dann in der Regel zulässig, wenn auch diese den Patienten betreuen. Die Informationen beschränken sich aber auch hier auf diejenigen Daten, die für die Betreuung im Einzelnen notwendig sind. Auch Angestellte und MTA benötigen nicht automatisch eine Kompletteinsicht in die Patientenakten.

Die heutige und moderne Welt der IT

• Smartphones (mit Apps und Co.)
• Social Media (Facebook und Co.)
• Tablet-PC
• PC- und Serverinfrastruktur
• WLAN
• Multi-Funktionssysteme
• Zeiterfassung
• Videoüberwachung 
• Cloud-Computing
• Outsourcing
• …

Was verlockend und vereinfachend klingt, bringt allerdings auch Risiken mit sich:

Patientendaten sind hochsensibel, unterliegen der ärztlichen Schweigepflicht, dem Schutz vor Einsichtnahme und Zugriff. Beim Cloud-Computing lagern Daten möglicherweise auf zentralen Servern, auf die über Netzwerk, z.B. über das Internet, zugegriffen werden kann. Oft weiß nur der Anbieter, in welchem Land die Daten liegen. Auch die Weitergabe der Patientendaten an den Anbieter der „Cloud“ stellt ein Problem dar. Sollten Sie Cloud-Computing nutzen, achten Sie unbedingt auf einen ausreichenden Datenschutz und entsprechenden Zertifikate, denn Sie haften als Arzt oder Psychotherapeut für die Patientendaten. Unter Umständen benötigen Sie dafür auch das Einverständnis Ihrer Patienten. Lassen Sie sich am besten von einem fachkundigen Datenschutzbeauftragten bzw. Juristen beraten.