Datenschutz in der Arztpraxis: Was gilt es für Ärzte zu beachten?
Sie leisten essenzielle Arbeit für unsere Gesellschaft.
Das vermutlich wichtigste berufliche Feld überhaupt leistete besondere Arbeit während der Corona-Pandemie. Egal ob Arzt oder Pflegekraft, in der Covid-19-Ära zeigte sich, wie unglaublich fähig das Gesundheitswesen in Deutschland ist. Natürlich unterlagen besonders die Kliniken großem Andrang, doch auch Hausarztpraxen waren stark ausgelastet. Dort wurde massiv geimpft, um die Gesellschaft sicherer zu machen und vor dem Virus zu schützen.
Trotz diesen, teils unglaublichen Taten, steht natürlich niemand über dem Gesetz.
Seit Mai 2018 ist die Datenschutzgrundverordnung der Europäischen Union in Kraft gesetzt. Eine Verordnung ist mit einer direkten Gesetzgebung zu vergleichen und muss nicht mehr in den Mitgliedsstaaten umgesetzt werden, sondern entfaltet unmittelbare Wirkung. So gilt sie unter anderem auch in Deutschland als verbindlich und ist damit hoheitlich gegenüber dem nationalen Recht zu sehen. Auch das Bundesdatenschutzgesetz (BDSG) darf also nicht gegen die DSGVO verstoßen und entfaltet nur daneben ergänzende Wirkung.
Da Arztpraxen auch nur Unternehmen sind, gilt das Datenschutzrecht auch hier. Was gilt es also in Sachen Datenschutz in der Arztpraxis zu beachten?
Was ist wichtig?
Wie gesagt, das Datenschutzrecht basiert auf der DSGVO. In deren Art. 9 Abs. 1 sind sogenannte „besondere Kategorien“ personenbezogener Daten aufgezählt. Darunter fallen auch Gesundheitsdaten, die damit noch strengeren Auflagen unterliegen als personenbezogene Daten sowieso schon.
Verarbeitung von Gesundheitsdaten
Neben der strengen Dokumentation dürfen diese Form von Daten nach Art. 9 Abs. 3 DSGVO nur unter der Verantwortung von Fachpersonal verarbeitet werden und dieses einer Schweigepflicht unterliegt. Auch dürfen sie durch eine „andere Person“ verarbeitet werden, wenn diese einer beruflichen Schweigepflicht unterliegt.
Das ist jedoch nicht alles. Nach Art. 9 Abs. 3 in Verbindung mit Art. 9 Abs. 2 h) DSGVO muss auch noch ein besonderer Zweck für die Verarbeitung vorliegen. Dabei kommen folgende Verarbeitungszwecke infrage: „[…] die Gesundheitsvorsorge, Arbeitsmedizin, die Beurteilung der Arbeitsfähigkeit eines Beschäftigten, die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs […]“.
Neben diesen Anforderungen müssen auch diese aus Art. 5 der DSGVO erfüllt sein.
Maßnahmen
Um den Umgang mit Datenschutz in der Arztpraxis zu erleichtern, empfiehlt es sich, einen praxisinternen Plan zu erstellen, der die zu treffenden Maßnahmen beinhaltet, die notwendig sind.
Dabei lassen sich diese in technische also auch organisatorische Maßnahmen unterscheiden. Diese sind nicht explizit durch die DSGVO vorgegeben, jedoch haben sie sich mit der Zeit, in der Praxis entwickelt.
Um den Datenschutz in praktischer Hinsicht zu gewährleisten, ist es auf jeden Fall sinnvoll, die Akten mit Patientendaten abzusperren, sodass Unbefugte nicht darauf zugreifen können. Außerdem sollte auch bei Gesprächen mit Patienten stets auf Anonymität geachtet werden, also geschlossene Räume genutzt werden, wobei auch keine Auskünfte über das Telefon erfolgen sollten. Zudem sollten die Daten, zu dem Zeitpunkt, an dem sie vernichtet werden, sollten auch nicht rekonstruierbar geschreddert werden. Auch bei der Anmeldung können Fehler gemacht werden. Denn hier darf kein anderer Kunde hören, wer die Person ist, die sich gerade anmeldet und warum sie das macht.
Auch technische Maßnahmen verhindern den fahrlässigen Umgang mit Patientendaten. So ist es beispielsweise wichtig, alle Rechner mit Passwörtern zu sperren. Diese Passwörter sollten mindestens acht Zeichen lang sein und Sonderzeichen, Zahlen und Buchstaben beinhalten. Außerdem sollten sie regelmäßig erneuert werden. Verschlüsselungen sind eine tragende Komponente für den Datenschutz in der Praxis. Denn E-Mails sollten auf jeden Fall nur verschlüsselt ausgetauscht werden. Auch personenbezogene Daten, die von der Praxis erhoben werden, sollten stets verschlüsselt werden. Für bestimmte Ordner, die sensible Daten enthalten, ist es zudem sinnvoll, eine extra Sicherung einzubauen, etwa durch ein weiteres Passwort oder eine Zweifaktor-Authentifizierung.
Die Datenschutzerklärung
Auch für Arztpraxen relevant ist die Datenschutzerklärung auf der eigenen Website.
Diese muss den Besucher der Praxis zwingend über alle Vorgänge aufklären, bei denen personenbezogene Daten erhoben werden. Für diesen Zweck muss die Datenschutzerklärung in, für jedermann, verständlicher Sprache geschrieben sein.
Außerdem müssen Namen und Kontaktdaten des Praxisbetreibers enthalten sein. Darunter versteht sich Name, Anschrift und E-Mail-Adresse. Das Gleiche gilt für den Datenschutzbeauftragten, jedoch, nur wenn dieser existiert.
Auch müssen die Zwecke der Verarbeitung und die Rechtsgrundlage genannt werden, um den Kunden aufzuklären. Der Kunden muss über seine Rechte aufgeklärt werden, wie das Recht auf Löschung oder das Recht auf Berichtigung seiner Daten. Auch muss enthalten sein, wie lange die personenbezogenen Daten des Kunden gespeichert werden und dass er das Recht hat, sich bei der zuständigen Aufsichtsbehörde zu beschweren.
Der Datenschutzbeauftragte
Wann muss in einer Praxis ein Datenschutzbeauftragter eingesetzt werden?
Dies lässt sich nicht ohne Weiteres mit „Ja“ oder „Nein“ beantworten.
Ob ein Datenschutzbeauftragter eingesetzt werden muss, bestimmt sich nach Art. 37 Abs. 1. der DSGVO. Dort sind drei Varianten aufgelistet, bei deren Vorliegen immer ein Datenschutzbeauftragter benannt werden muss. Eine davon ist, wenn die Verarbeitung von, unter anderem, Gesundheitsdaten, in umfangreicher Form stattfindet. Bei Arztpraxen kann davon zumeist ausgegangen werden, es sein denn, die Praxis beinhaltet lediglich einen Arzt. In diesem Fall wird nicht von einer umfassenden Verarbeitung von Gesundheitsdaten ausgegangen.
Alles in allem ist es jedoch für jede Praxis, unabhängig von der Größe, ratsam, einen externen DSB zu engagieren. Dieser ist nicht nur, aufgrund seiner Expertise, viel besser geeignet sich um die DSGVO-Belange in der Praxis zu kümmern, sondern unterstützt auch Mitarbeiter, Kunden und die Leitung bei Fragen zum Thema Datenschutz. Er optimiert Prozesse, schreibt die Datenschutzerklärung und bewahrt vor allem davor, sich den Sanktionen auszusetzen, die bei einem DSGVO-Verstoß drohen.
Die Immerce GmbH ist die Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für ihre Kunden Suchmaschinenoptimierung. Seit 2018 ist mit der Einführung der DSGVO der Geschäftsbereich betreuen wir unsere Kunden zusätzlich in den Bereichen Datenschutz & IT-Sicherheit.
Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce-consulting.de
Die Bildrechte liegen bei dem Verfasser der Mitteilung.