Die Datenschutz-Grundverordnung (DSGVO) gilt seit über fünf Jahren. Die Entwicklungen im digitalen Bereich zur medizinischen Untersuchung, Diagnostik und Kommunikation halten mehr und mehr Einzug in medizinische Institutionen und erleichtern den Alltag in den Praxen oder im MVZ. Dem Schutz der personenbezogenen Daten der Patienten kommt dabei höchste Priorität zu. Für Ärzte, MFA und Praxismanager gibt es einige unterschätze Fallstricke, die sich beim Datenschutz ergeben können.
Das Arzt-Patienten-Vertrauensverhältnis ist ein besonders schützenswertes Gut
Der sensible Umgang mit Wissen und Informationen zu Patienten ist Teil der Berufsethik und Ärzten durch den Hippokratischen Eid schon immer vertraut. Darin heißt es u. a. „Was ich bei der Behandlung sehe oder höre oder auch außerhalb der Behandlung im Leben der Menschen, werde ich, soweit man es nicht ausplaudern darf, verschweigen und solches als ein Geheimnis betrachten.“ Das Genfer Gelöbnis geht bei diesem Schwur noch weiter: „Ich werde die mir anvertrauten Geheimnisse auch über den Tod der Patientin oder des Patienten hinaus wahren“. Die ärztliche Schweigepflicht ist in Deutschland durch § 203 StGB gesetzlich geregelt. Das schützt Patienten vor der Verletzung von Privatgeheimnissen und stärkt so das besondere Vertrauensverhältnis zwischen Ärzten und Patienten.
Datenschutzrechtliche Verantwortung des Arztes
Vor dem Hintergrund der Digitalisierung bekommt dieser Schutzauftrag für den Arzt eine neue Dimension. Wie sähe es ganz ohne Anbindung an EDV, AIS, E-Mail-Verkehr, elektronische Befundübermittlung, Telematikinfrastruktur (TI), elektronische Gesundheitskarte (eGK), Online-Terminbuchung, Videosprechstunde oder elektronisches Termin- und Ressourcenmanagement aus? Arztpraxen, Berufsausübungsgemeinschaften (BAG), fachgleiche wie fachübergreifende Praxisgemeinschaften oder medizinische Versorgungszentren (MVZ) wären nicht mehr zu führen. Um etwa den digitalen Fortschritt in der bildgebenden Diagnostik oder beim Patienten-Monitoring nutzen zu können, bedarf es sicherer Geräte, Archive und Übermittlungswege.
Damit erweitert sich die Pflicht des Arztes und der Heilmittelerbringer, die Daten der Patienten auf den neuen Speichermedien (zur Übermittlung und Archivierung), Aufnahme- und Abspielgeräten (zur Untersuchung, Befundung und erweiterten Diagnostik) und im Internet zu schützen. Nicht zuletzt durch Einführung europäischen Rechts und unmittelbarer Geltung der DSGVO wurde und wird dabei das Augenmerk in Arztpraxen und MVZ verschärft auf praktikable Lösungen gelegt.
Mit der Gestaltung sicherer digitaler Workflows für die sensiblen und besonders schützenswerten Daten kommen aber auch vermehrt die gängigen Sicherheitsvorkehrungen im Umgang zwischen Patienten, Personal und Ärzten in der Praxis auf den Prüfstand. Ist Ihre Praxis in sämtlichen Funktionsbereichen wirklich sicher? Moderne Innengestaltung von Empfang, Fluren, Wartezimmern, Wartebereichen, Sprechzimmern und Behandlungsräumen oder Untersuchungszimmern beugt möglichen Verstößen gegen die Datenschutzverordnungen schon beim Blick auf die Raumstruktur und Einrichtung Ihrer Praxis vor.
Tipp 1: Schaffen Sie eine bessere Akustik am Empfang und in der Praxis.
Bilden sich in Ihrer Praxis hin und wieder Schlangen am Empfang? Meistens können dann die wartenden Patienten nur sehr schwer weghören, wenn der Patient vor ihnen an der Reihe ist und seine persönlichen gesundheitlichen Anliegen vorträgt. Akustik-Trennwände oder Paravents können hier Abhilfe schaffen. Auch die Optimierung der Raumakustik kann bei der Einrichtung aller öffentlich zugänglichen Praxisräume von großem Nutzen sein. Durch den Einsatz von schallschluckenden Paneelen, speziellen Wandbildern, Deckensegeln, Trennwänden oder Säulen kommt viel mehr Ruhe in Ihre Praxis. Einzelne Gespräche können nicht mehr ungewollt mitgehört werden und es entsteht eine fokussierte Atmosphäre mit dem einzelnen Patienten.
Tipp 2: Rufen Sie Patienten datenschutzkonform auf.
Sie haben es sich bestimmt schon gedacht: Das namentliche Aufrufen von Patienten im Wartezimmer ist ein No-Go, das nach wie vor weit verbreitet ist. Wie durchbrechen Sie diese Gewohnheit, ohne dabei zu anonymen Methoden wie den Einsatz eines Wartenummernautomaten samt Installation einer Aufrufanlage zu greifen?
Mit einer Patienten-App und sicherem Gäste-WLAN, die jeden Patienten diskret und persönlich das ihm zugeteilte Sprechzimmer oder den Behandlungsraum auf dem eigenen Tablet, Smartphone oder alternativ auf einem am Empfang zur Verfügung gestelltem Handheld anzeigt. Die Identität bleibt uneingeschränkt geschützt. Der Patient kann sich besser orientieren und sich bei Bedarf alle notwendigen Informationen zur Sprechstunde noch einmal in Ruhe anschauen.
- Für das Wartezimmer eine Nummer ziehen müssen?
Aus der Kategorie „Kurios und für sehr gut befunden“ stammt diese Idee: Ein Arzt im Sauerland hat während der Corona-Pandemie ein Wartezimmerradio entwickelt, das seine Patienten auf ihren Autoradios empfangen können. Im „Radio Wartezimmer“ wird ausschließlich die Uhrzeit des vereinbarten Termins zum Aufruf gesendet. Patienten können gemütlich in ihrem Wagen warten, bis sie zusammen mit der Uhrzeit ihres Termins aufgerufen werden. Sie kommen in die Praxis und können direkt ins Sprechzimmer bzw. zur Behandlung gehen.
Tipp 3: Sorgen Sie während des Patientengesprächs für eine Clean Desk-Policy im Arzt- und Behandlungszimmer.
Noch bevor Sie einen Blick auf den Bildschirm werfen oder Ihre Fingerspitzen auf die vor Ihnen stehende Tastatur legen: Datenschutz und Informationssicherheit im Sprechzimmer fängt mit Ordnung auf dem Schreibtisch an. Gerade während der Sprechstunde im direkten Gespräch mit dem Patienten am Schreibtisch sollten keine Daten Dritter sichtbar oder einsehbar sein. Elektronische Gesundheitskarten und Patientenakten anderer, oder Notizen mit fremden Informationen haben hier nichts zu suchen.
Etablieren und halten Sie eine Clean Desk-Policy in den Praxisräumen. Wenn Sie konsequent auf ein papierloses System setzen, erübrigen sich ganz einfach Situationen, in denen Patienten Informationen über andere Patienten lesen könnten. Denn diese können im Übrigen nicht nur einen Gesetzesverstoß darstellen und angezeigt werden, sie können auch das Vertrauensverhältnis erheblich beeinflussen.
Der Patient kann zumeist mit den Informationen über Dritte gar nicht so viel anfangen, aber er kann die Situation in Gedanken übertragen. So denkt er vielleicht bei sich, wann und bei welchem anderen Patienten Informationen und Daten über ihn selbst sichtbar für den anderen herumliegen.
Tipp 4: Holen Sie sich IT-Unterstützung vom Profi.
Durch die fortschreitende Digitalisierung der allermeisten Lebensbereiche hat sich auch das Bewusstsein der Patienten zum Schutz der eigenen personenbezogenen Daten geändert. Daten Leaks und Angriffe mit Schadsoftware wie Erpressung durch Ransomware sind schon längst keine Unbekannten mehr. Um die Daten Ihrer Patienten angemessen zu schützen, sollten Sie Ihre IT-Infrastruktur und verwendete Software stets auf dem neuesten Stand halten.
Und das ist gar nicht so einfach! Denn die geltenden Datenschutzbestimmungen können sich unversehens ändern. Daher ist es wichtig, über aktuelle Entwicklungen auf dem Laufenden zu bleiben und entsprechende Maßnahmen zu ergreifen. Doch dafür bleibt im oftmals herausfordernden Arbeitsalltag in der Praxis und im MVZ nicht immer Zeit. Die gute Nachricht: Sie müssen diese Herausforderung nicht alleine bewältigen. Unterstützung durch Experten ist hier entscheidend.
Lassen Sie die Einrichtung, Unterhaltung und Wartung der IT und Software nicht nebenbei von einem Mitarbeitenden erledigen – auch wenn dieser noch so technikaffin ist. Ziehen Sie stattdessen qualifizierte Fachleute hinzu, um sicherzustellen, dass Ihre Software optimal gewartet und aktuell gehalten wird. Datenschutzerfahrene Software-Anbieter wie samedi unterstützen Sie beim DSGVO-konformen Patienten- und Terminmanagement in Ihrer Praxis. Mit einem kompetenten Partner an Ihrer Seite beugen Sie eigenen ungewollten Verstößen gegen den Datenschutz vor und sichern sich effektiv gegen aktuelle und zukünftige Cyber-Bedrohungen ab.
Tipp 5: Benennen Sie einen Datenschutzbeauftragten.
Praxisgemeinschaften, Praxisverbünde und MVZ benötigen gemäß Art. 37 DSGVO i. V. m. § 38 BDSG – Benennung eines Datenschutzbeauftragten (DSB) – einen unabhängigen DSB, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Beachten Sie dabei, dass der Inhaber einer Arztpraxis aus Prinzip nicht zum DSB des eigenen Unternehmens ernannt werden darf. Ersparen Sie sich hohe Bußgelder durch Ordnungswidrigkeit nach Art. 83 DSGVO – Allgemeine Bedingungen für die Verhängung von Geldbußen - und klären Sie den betrieblichen Datenschutz und die damit verbundenen Bestellpflichten ihrer Arztpraxis, Praxisgemeinschaft oder MVZ individuell mit Ihrem Rechtsexperten.
Tipp 6: Löschen Sie Daten DSGVO-konform im Sinne des Patientenrechts.
Patienten können unter den in Art. 17 DSGVO genannten Voraussetzungen die Löschung Ihrer Daten verlangen. Dabei sollten Sie sorgfältig sein, denn es gibt die Notwendigkeit, beim Löschen DSGVO-konform vorzugehen. Bevor Sie also alles löschen oder vernichten, sind Sie verpflichtet zu überprüfen, ob einer Löschung rechtlich nichts im Wege steht. Insbesondere die gesetzliche Aufbewahrungsfrist der Behandlungsdokumentation muss eingehalten werden. Die Mindestaufbewahrungsfristen gestalten sich je nach Art des Dokuments unterschiedlich, von einem bis zu 30 Jahren. „Die Unterlagen bis zum St. Nimmerleinstag einzulagern, ist keine zulässige Option. Der Arzt bleibt datenschutzrechtlich verantwortlich und sollte regelmäßig den Archivbestand aktualisieren.“ (Kanzlei-WBK) Eine detaillierte Übersicht zu den Fristen gibt die Bundesärztekammer und die Kassenärztliche Bundesvereinigung mit der Bekanntmachung „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ heraus.
Wenn Sie die Behandlungsdokumentation und Patientendaten von einem dafür zertifizierten Unternehmen datenschutzkonform entsorgen lassen, haben Sie einen Beleg für Ihr rechtlich einwandfreies Handeln. Die Beauftragung der Datenvernichtung kann sich also durchaus bezahlt machen. Der Vernichtung der Behandlungsdokumentation und Patientendaten müssen Sie auch ohne das persönliche Ersuchen eines Patienten gemäß Art. 17 DSGVO nach der gesetzlichen Mindestaufbewahrungsfrist nachkommen. Setzen Sie sich bei einem Löschungsbegehren in jedem Fall nach der Überprüfung des individuellen Falles mit dem Patienten in Verbindung. Die Kölner Kanzlei Wienke & Becker zum Beispiel bietet hier eine praktische Vorformulierung an.
Tipp 7: Beachten Sie das Recht auf Aufbewahrung.
Wussten Sie, dass Ärzten nicht nur die Pflicht, sondern auch das Recht zusteht, Patientendaten aufzubewahren, damit sie sich im Falle des Falles vor Gericht verteidigen können? Diese Aufbewahrungszeiten richten sich je nach Gesetzeslage und angesprochener Verordnung aus. Daraus ergeben sich individuelle Vorrangigkeiten und Fristen, die Sie zusammen mit Ihrem Rechtsanwalt abklären sollten. Im Zweifel sollte jeder rechtliche Einzelfall mit den Bestimmungen der Kassenärztlichen Vereinigung des zutreffenden Bundeslands abgeglichen werden.
Im Falle von bestehenden Rechtsstreitigkeiten kann die Aufbewahrungszeit von Patientendaten bis zu 30 Jahre möglich sein. Den Rahmen setzt hier das Zivilrecht, das maximal 30 Jahre als Höchstverjährungsfrist kennt. Sachdienliche Hinweise und problemorientierte Hilfestellung bei spezifischen Fragen und Detailvorgängen zu Datenschutz und Informationssicherheit in der Arztpraxis bietet Ihnen übrigens die Kassenärztliche Bundesvereinigung online an.
Unser Fazit:
Um Datenschutz und Informationssicherheit im Betriebsablauf einer Arztpraxis, Praxisgemeinschaft oder MVZ zu gewährleisten und die Anforderungen der DSGVO zu erfüllen, bedarf es grundlegender Kontrolle und Überprüfung aller Abläufe. Dabei bezieht sich Informationssicherheit nicht nur auf technische, sondern auch auf nicht technische Systeme: „Die Informationssicherheit dient der Sicherstellung der drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch Maßnahmen in technischen und nicht-technischen Systemen“ (BREKOM).
Neben der IT-Sicherheit sind es der geschulte Umgang des Personals mit personenbezogenen Daten und die Anpassung der Räumlichkeiten Ihrer ambulant versorgenden Institution mit zweckgemäßer Einrichtung, die Sie am besten vor möglichen Ordnungswidrigkeiten, die hohe Bußgelder nach sich ziehen könnten, schützen.
Der Schlüssel zu einem effektiven und möglichst reibungslosen Umgang mit Patientendaten liegt darin, nicht erst dann aktiv zu werden, wenn es zu einem Cyber-Security-Vorfall kam, sondern von vorneherein geeignete Datenschutzmaßnahmen zu treffen. Medizinische Institutionen sind dabei nicht auf sich allein gestellt, sondern sollten regelmäßig ausgewiesene Experten für medizinische Software zurate ziehen, die sie dabei unterstützen.
Quellen:
- Ärzteblatt: „Gesundheitsforschung: Datenhoheit für Patienten und Nutzen für alle“:
https://www.aerzteblatt.de/archiv/230827/Gesundheitsforschung-Datenhoheit-fuer-Patienten-und-Nutzen-fuer-alle - Bundesärztekammer & Kassenärztliche Bundesvereinigung: „Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“:
https://www.kbv.de/media/sp/Empfehlungen_aerztliche_Schweigepflicht_Datenschutz.pdf - Datenschutz & Gesundheit: „Clean Desk Policy in Arztpraxen: Ein Leitfaden zur Verbesserung des Datenschutzes“:
https://www.datenschutzundgesundheit.de/2023/07/03/clean-desk-policy-in-arztpraxen-ein-leitfaden-zur-verbesserung-des-datenschutzes/ - Datenschutz & Gesundheit: „Schweigepflicht und Datenschutz in der Arztpraxis“:
https://www.datenschutzundgesundheit.de/2023/09/06/schweigepflicht-und-datenschutz-in-der-arztpraxis/ - Dr. Datenschutz: „Schweigepflicht: Umfang, Berufsgruppen und Besonderheiten des § 203 StGB“:
https://www.dr-datenschutz.de/schweigepflicht-umfang-berufsgruppen-besonderheiten-des-%C2%A7-203-stgb/ - IITR Datenschutz GmbH: „Was droht, wenn kein Datenschutzbeauftragter bestellt wird?”:
https://www.iitr.de/was-droht-wenn-kein-datenschutzbeauftragter-bestellt-wird/ - Kanzlei Wienke & Becker – Köln (WBK): „Löschung von Patientendaten – DSGVO gegen Berufsrecht“:
https://www.kanzlei-wbk.de/aktuelles-medizinrecht/loeschung-von-patientendaten-%E2%80%93-dsgvo-gegen-berufsrecht-243.html - Landesärztekammer Hessen (LÄKH): „Hippokratischer Eid / Genfer Gelöbnis“:
https://www.laekh.de/fileadmin/user_upload/Aerzte/Rund_ums_Recht/Publikationen_und_Merkblaetter/Hippokratischer_Eid_Genfer_Geloebnis.pdf