Der Praxisalltag ist oft herausfordernd genug, sodass der Datenschutz verständlicherweise nicht immer höchste Priorität hat. Gleichzeitig werden Patienten und Bürger zunehmend für den Schutz ihrer personenbezogenen Daten sensibilisiert. Datenschutzverstöße werden häufiger bei den Aufsichtsbehörden gemeldet, insbesondere im Bereich Gesundheit und Soziales, wo die Beschwerdezahlen konstant hoch oder steigend sind.
Aus diesem Grund ist eine gezielte Sensibilisierung für dieses Thema notwendig.
Typische Datenschutz-Stolperfallen aus der Praxis
Im Folgenden werden drei Beispiele dargestellt, die in der Vergangenheit bereits zu Bußgeldern oder zu Konflikten mit Patienten und Aufsichtsbehörden geführt haben.
1. Fehlende Einwilligung zur Datenweitergabe an externe Abrechnungsstellen
In vielen Praxen wurden keine wirksamen Datenweitergabeeinwilligungen für den Versand von Patientendaten an externe Abrechnungsstellen eingeholt.
Tipp:
Jeder Patient sollte eine gesonderte Einwilligungserklärung unterzeichnen. Externe Abrechnungsstellen stellen hierfür geprüfte Formulare zur Verfügung, die alle erforderlichen juristischen Kriterien erfüllen.
Von selbst formulierten Einwilligungen wird abgeraten. Ebenso ist es nicht empfehlenswert, die Einwilligung mit anderen Verträgen (z. B. Behandlungsvertrag) zu kombinieren.
Die Praxis ist verpflichtet, die ordnungsgemäße Einholung der Einwilligung jederzeit nachweisen zu können.
2. Datenschutzrisiken am Empfang der Arztpraxis
Der Empfang ist meist die erste Anlaufstelle für Patienten. Häufig wird dort offen nach dem Besuchsgrund gefragt. Da der Empfangsbereich oft an einen offenen Wartebereich grenzt oder sich Warteschlangen bilden, können sensible Informationen von Dritten mitgehört werden. Dies ist nicht nur datenschutzrechtlich problematisch, sondern auch für Patienten unangenehm.
Auch Telefongespräche am Empfang stellen ein Risiko dar. Neben Terminabsprachen werden oft gesundheitliche Themen besprochen. Fehlt eine räumliche Trennung zum Warte- oder Behandlungsbereich, können unbefugte Dritte diese Gespräche mithören.
Tipp:
Geeignete Maßnahmen zur Wahrung der Vertraulichkeit sind erforderlich. Einige Praxen haben das Telefon bewusst in einen separaten Büroraum verlagert.
3. Fehlerhafte Zuordnung von Befunden zur Patientenakte
Ein häufiger, aber oft unterschätzter Datenschutzverstoß ist die falsche Zuordnung von Befunden in der Patientenakte. Werden diese Unterlagen anschließend an Patienten oder weiterbehandelnde Fachärzte herausgegeben, kann es zur unzulässigen Offenlegung fremder Gesundheitsdaten kommen.
Besondere Vorsicht ist auch bei der Herausgabe von Befunden an Angehörige geboten. Holt beispielsweise ein Ehepartner Unterlagen ab, sollten diese ausschließlich in einem verschlossenen Umschlag übergeben werden.
Ohne ausdrückliche Einwilligung des Patienten hat kein Angehöriger oder Partner das Recht auf Einsicht in die Krankenunterlagen.
Allgemeine Grundlagen zum Datenschutz und zur Datensicherheit
Die Datenschutz-Grundverordnung (DS-GVO) regelt europaweit die rechtmäßige Verarbeitung personenbezogener Daten und stellt den Schutz sowie die Rechte der betroffenen Personen sicher.
Datenschutz beschreibt den rechtlichen Rahmen für die Verarbeitung personenbezogener Daten unter besonderer Berücksichtigung der Rechte und Freiheiten natürlicher Personen.
Datensicherheit umfasst alle technischen und organisatorischen Maßnahmen, die Daten vor Verlust, Manipulation, unbefugtem Zugriff oder sonstiger unzulässiger Verarbeitung schützen – unabhängig davon, ob ein Personenbezug besteht.
