Welche Fragen stellen Sie sich bei der Umsetzung der Datenschutzbestimmungen in der Arztpraxis?
- Welche Patientendaten dürfen wir weitergeben?
- Welche Maßnahmen müssen wir in der Praxis umsetzen?
- Wie gehen wir vor um die Speicherung und Verarbeitung von sensiblen medizinischen Informationen gut zu sichern, um die Privatsphäre unserer Patienten zu schützen?
- Wie können wir sicherstellen, dass unsere Mitarbeiter geschult und sensibilisiert sind, um den Datenschutz unserer Patienten in der Praxis zu gewährleisten?
- Ist unser Datenschutzkonzept ausreichend?
- Brauchen wir einen externen Datenschutzbeauftragten?
Im Rahmen der vertrauensvollen Beziehung zwischen der Arztpraxis und Patient werden Gesundheitsdaten behandelt, diese Daten benötigen einen besonderen Schutz und dürfen nicht für jedermann zugänglich sein.
Wir beleuchten für Sie die Besonderheiten des Datenschutzes in der Arztpraxis und geben Ihnen einen Leitfaden an die Hand, damit Ihre Arztpraxis der Datenschutzgrundverordnung (DSGVO) entspricht.
Die Rechtsgrundlage für den Datenschutz in der Arztpraxis
- Grundsätzlich muss jeder Verantwortliche der personenbezogene Daten verarbeitet, die Vorgaben der DSGVO beachten.
- Bei Praxen besteht als Kernfunktion, die Verarbeitung von Gesundheitsdaten. Im Umgang mit sensiblen Patientendaten müssen besondere Vorschriften der DSGVO eingehalten werden.
- Die rechtlichen Grundlagen für den Umgang bei der Verarbeitung von Gesundheitsdaten in der Arztpraxis, kann in den meisten Fällen auf Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO bzw. Art. 6 Abs. 1 lit.b) DSGVO gestützt werden.
- Gesundheitsdaten sind gemäß Artikel 4 Nr.15 DSGVO definiert und umfassen Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen, einschließlich Informationen über deren Gesundheitszustand im Zusammenhang mit medizinischen Dienstleistungen. Der Name des Patienten, sowie ihre Adresse und die ärztliche Dokumentation jeder einzelnen Behandlung fallen hierunter. Diese Daten sind notwendig zur Begründung und Durchführung des Behandlungsvertrages.
- Für zusätzliche Leistungen, die nicht unmittelbar mit dem Behandlungsvertrag zusammenhängen, ist jedoch eine Einwilligung der Patienten aufgrund von Art. 9 Absatz 2 Buchstabe a) DSGVO bzw. Art. 6 Absatz1 Buchstabe a) DSGVO erforderlich. Dazu gehören zum Beispiel schriftliche oder telefonische Terminerinnerungen oder der sogenannte Recall-Service, wenn Patientendaten an eine (private) Abrechnungsstelle übermittelt werden. Die freiwillige Einwilligung muss dabei den gesetzlichen Anforderungen entsprechen, insbesondere müssen die Patienten ausreichend informiert werden (Art. 13 DSGVO).
- Nur in Fällen, in denen Ärztinnen und Ärzte gesetzlich berechtigt sind, die personenbezogenen Daten von Patienten und Patientinnen an Dritte zu übermitteln, braucht es keine Einwilligung. Solche Berechtigungen können beispielsweise Meldungen nach dem Infektionsschutzgesetz sein oder die Abrechnungen über die Kassenärztliche Vereinigung.
Wann braucht eine Arztpraxis einen Datenschutzbeauftragten?
Besteht die Hauptaufgabe eines Verantwortlichen darin, umfangreiche Datenverarbeitung von speziellen Kategoriengemäß Art. 9 der DSGVO durchzuführen, wie zum Beispiel Gesundheitsdaten, dann ist er gemäß Art. 37 Absatz 1 Buchstabe c) der DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen.
Es steht außer Frage, dass die Verarbeitung von Patientengesundheitsdaten zu den Haupttätigkeiten in der Arztpraxis gehört. Schließlich ist die Verarbeitung von Gesundheitsdaten notwendig, zur Behandlung und zur Erstellung von Diagnosen.
Allerdings bedarf es auch einer umfangreichen Verarbeitung dieser Arten von Daten. Bei einem einzelnen Arzt kann nicht davon ausgegangen werden, dass eine "umfangreiche Verarbeitung" stattfindet. Wenn jedoch in der Regel mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt sind, muss gemäß §38 Absatz 1 Satz 1 des BDSG ein Datenschutzbeauftragter bestellt werden.
In anderen Fällen hängt dies vom Einzelfall ab und kann gegeben falls durch Rücksprache mit der zuständigen Aufsichtsbehörde geklärt werden. Angesichts der Gesundheitsdatenverarbeitungen und den damit verbundenen Risiken empfiehlt es sich jedoch, auch in einer kleineren Arztpraxis, einen (externen) Datenschutzbeauftragten zu benennen, der bei der Umsetzung von datenschutzrechtlichen Maßnahmen berät.
Ebenso muss eine Arztpraxis gemäß §38 Absatz 1 Satz 2 des BDSG einen Datenschutzbeauftragten bestellen, wenn Datenverarbeitungsvorgänge durchgeführt werden, die einer Datenschutzfolgenabschätzung nach Art. 35 der DSGVO unterliegen. Dies gilt jedoch nicht für die DSFA der Telematikinfrastruktur gemäß §307 SGB V Absatz 1 Satz 4.
Rechtsgrundlagen für den Umgang mit Gesundheitsdaten
Grundsätzlich ist die Verarbeitung von Daten ist nur zulässig, wenn die betroffene Person ausdrücklich einwilligt oder eine rechtliche Grundlage besteht. Eine solche Grundlage ist der Behandlungsvertrag zwischen Arzt und Patient.
Gemäß Art. 9 der DSGVO müssen Gesundheitsdaten als besondere Kategorie sensibler Daten besonders geschützt werden. Die Datenverarbeitung von Gesundheitsdaten ist jedoch explizit für medizinische Zwecke in einer ärztlichen Praxis erlaubt.
Für alle anderen Verarbeitungsvorgänge außerhalb des Behandlungsvertrages wird eine separate schriftliche Einwilligungserklärung benötigt. Dies gilt beispielsweise, wenn Sie Patientendaten an ein privates Abrechnungsunternehmen übermitteln. Die Praxis muss nachweisen können, dass eine solche Einwilligungserklärung vorliegt.
Zusätzlich können gesetzliche Bestimmungen einen zusätzlichen Schutz von Gesundheitsdaten erfordern - wie zum Beispiel ärztliche Schweigepflicht (Patientengeheimnis, § 9 Musterberufsordnung der Ärztekammern, § 203 Strafgesetzbuch) oder §§67a ff. SGB X für Leistungsträger im Sozialrecht.
Häufige Fehler beim Datenschutz in der Arztpraxis
Mögliche Datenschutzverletzungen am Empfang einer Arztpraxis
- Der erste Schritt beim Besuch einer Praxis, ist die Anmeldung am Empfang. Schon hier kann es Verstöße im Datenschutz geben. Die Patienten werden gefragt, warum sie den Arzt aufsuchen. Liegt der Empfangsbereich direkt an einem offenen Wartebereich oder es bildet sich eine lange Schlange ohne ausreichenden Abstand zur Diskretion, können andere Personen hören, was der Patient antwortet.
- Während sich Patienten im Wartezimmer aufhalten, führen Ärzte und/oder Mitarbeiter am Empfang Gesprächeüber die Testergebnisse von Patienten oder andere personenbezogene Daten. Dabei könnten andere Patienten möglicherweise mithören.
- Der Empfang ist nicht besetzt, die Schränke mit den Patientenakten, Computern und Ablagen dahinter sind für jeden frei zugänglich.
- Am Empfang werden nicht nur Patienten angemeldet, sondern auch Telefonanrufe entgegengenommen. Hierbei geht es nicht nur um die Koordination von Terminen, sondern auch um telefonische Besprechungen zu gesundheitlichen Themen dabei werden oft auch Patientennamen und Gesundheitsdaten genannt. Wenn keine räumliche Trennung zum Warte- oder Behandlungsbereich besteht, können andere Patienten die Inhalte der Gespräche problemlos mithören.
Online-Terminvereinbarung
Besteht die Möglichkeit Termine online zu buchen, dabei wird häufig eine Terminbuchungssoftware von externen Anbietern genutzt. Dies kann potenzielle Risiken beherbergen. Ein bekanntes Ärzteportal für die Online-Terminvergabe namens Doctolib wurde bereits von der Berliner Aufsichtsbehörde ins Visier genommen (Gutachten August 2022).
Daher ist es wichtig, dass sowohl Arztpraxen als auch der Dienstleister angemessene technische und organisatorische Maßnahmen ergreifen, um die Sicherheit sensibler Daten zu gewährleisten (Art. 32 DSGVO). Beispielsweise sollte eine sichere Verschlüsselung bei der Übertragung der Daten verwendet werden, damit Unbefugte nicht auf Informationen zugreifen können.
Zusätzlich müssen Arztpraxen einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 Abs. 3 DSGVO mit dem externen Dienstleister abschließen, sofern die Software nicht ausschließlich lokal betrieben wird.
Datenweitergabe der Arztpraxis an Krankenkassen
Im Zuge der medizinischen Betreuung werden die Informationen der Patienten letztendlich an ihre jeweilige Krankenkasse weitergeleitet. Neben den gängigen persönlichen Daten wie Name, Adresse und Geburtsdatum werden auch Diagnosen und Abrechnungen übermittelt und von den Krankenkassen entsprechend gespeichert. Die rechtliche Grundlage für die Verarbeitung dieser Daten durch die Krankenversicherungen ist gegeben und ergibt sich aus § 284 SGB V.
Hinsichtlich der rechtlichen Regelung zur Löschung der Daten sieht der § 84 Abs. 2 S. 2 SGB X vor, dass die Krankenkassen die Daten löschen müssen, sobald sie nicht erforderlich sind und kein Grund zur Annahme besteht, die Daten weiterhin zu speichern.
Versand von sensiblen Daten an den Patienten per E-Mail
Wenn Gesundheitsinformationen per E-Mail an Patienten oder Dritte gesendet werden, muss sichergestellt werden, dass Unbefugte Dritte keinen Zugriff auf diese Daten haben und die Übertragung der E-Mails verschlüsselt erfolgt. Wenn eine sichere Übermittlung nicht gewährleistet werden kann, sollte aus dringend von dieser Methode abgesehen werden.
Die Verpflichtung zur verschlüsselten Übermittlung stellt eine Maßnahme zum Schutz der Daten gemäß Art. 32 der Datenschutz-Grundverordnung dar, von der nicht zum Nachteil des Betroffenen abgewichen werden darf - auch nicht durch datenschutzrechtliche Einwilligung.
Die meisten deutschen Aufsichtsbehörden erlauben in bestimmten Fällen unter vertretbaren Umstände den Verzicht auf entsprechende technische und organisatorische Maßnahmen bei Vorliegen eines ausdrücklichen Wunsches seitens des Betroffenen.
Datenschutzerklärung für die Arztpraxis
In vielen Arztpraxen werden neue Patienten vor der Behandlung aufgefordert eine Datenschutzerklärung unterschreiben.
Ist es tatsächlich erforderlich, dass Ärzte schriftliche Einwilligungen und Bestätigungen von Patienten für den Datenschutz in Arztpraxen einholen?
Seit Inkrafttreten der Datenschutzgrundverordnung, gibt es eine Zunahme an schriftlichen Formularen für Patienten bei Ärzten und Zahnärzten. Diese sollen unter anderem den Erhalt der Informationen über die Datenverarbeitung gemäß Art. 13 Datenschutz Grundverordnung bestätigen oder um eine Einwilligung zur Datenverarbeitung gemäß Art. 6 Absatz 1 Satz 1 lit. a DSGVO bitten. Jedoch, selbst wenn Patientinnen oder Patienten ihre Unterschrift verweigern, bleibt dies ohne Auswirkungen auf etwaige Behandlungspflichten seitens des Arztes im Hinblick auf das Bundesdatenschutzgesetz.
Die Datenverarbeitung ist bereits rechtlich zulässig, wenn sie erforderlich ist für die Erfüllung des Behandlungsvertrags (Art. 6 Absatz 1 Satz 1 lit. b DSGVO), um einer rechtlichen Verpflichtung nachzukommen (Art. 6 Absatz 1 Satz 1 lit. c DSGVO) oder um lebenswichtige Interessen der betroffenen Person oder anderer natürlicher Personen zu schützen (Art. 6 Absatz 1 Satz 1 lit. d DSGVO), im öffentlichen Interesse liegt (Art. 6 Absatz 1 Satz lit. e DSGVO) oder zur Wahrung berechtigter Interessen des Verantwortlichen dient (Art. 6 Absatz 1 Satz lit. f DSGVO).
Das Problem ist, der Datenverarbeiter muss nachweisen können, dass er seinen Informationspflichten nachgekommen ist bzw., warum er diesen Pflichten nicht nachkommen konnte. Ebenso müssen Datenverarbeiter einen Nachweis über eine Einwilligung erbringen können. Andernfalls drohen empfindliche Geldbußen.
Die Information kann auch mittels Merkblättern, Aushängen oder elektronisch erfolgen.
Das Einfordern einer schriftlichen unterschriebenen Bestätigung bindet unnötige personelle Ressourcen ein; hier sei nur an das Archivieren gedacht! Für die Umsetzung ist zu überlegen: Benötige ich dieses Formular wirklich? Welche Alternativen sind möglich?
Die Lösung sollte einfach und praktisch in die Arbeitsabläufe integriert werden können. Bei der Berechnung von Arbeitszeiten, Papier-, Druck- und Archivierungskosten wird es letztendlich wirtschaftlicher sein, eine individuelle Lösung zu entwickeln. Auch die Datenminimierung und Datensicherung sollten bei den Überlegungen nicht außer Achte gelassen werden.
Falls Arztpraxen über eine Website verfügen, muss diese ebenfalls eine Datenschutzerklärung enthalten. Der Inhalt sollte sich jedoch auf die Datenerhebung beim Besuch und der weiteren Interaktion mit der Website beziehen und nicht auf die Datenerhebung im Rahmen einer Behandlung
Wann muss eine Arztpraxis eine Datenschutzfolgenabschätzung durchführen?
Der Umgang mit Patientendaten birgt immer ein gewisses Risiko für die Rechte und Freiheiten der betroffenen Personen. Aus diesem Grund müssen Maßnahmen zur Gewährleistung der Datensicherheit gemäß Artikel 32 der Datenschutzgrundverordnung der europäischen Union ergriffen werden.
Eine DSFA ist erforderlich, wenn eine Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten einer betroffen Person darstellt.
Das Ziel besteht darin, dass Organisationen sich mit diesen Risiken auseinandersetzen. Eine Möglichkeit des Gesetzgebers hierfür ist die Durchführung einer Datenschutz Folgenabschätzung (DSFA), bei welcher die Risiken beschrieben, bewertet und entsprechende Schutzmaßnahmen entwickelt werden sollen.
Obwohl Ärzte Gesundheitsdaten verarbeiten, wurden sie vom Gesetzgeber bewusst entlastet, sodass in den meisten Fällen keine DSFA erforderlich ists
Wann muss mit Bußgeldern gerechnet werden?
Es ist wichtig, dass Arztpraxen die Datenschutzbestimmungen einhalten, da sie sonst mit empfindlichen Strafen rechnen müssen. Um Vertraulichkeit zu gewährleisten, sollten Behandlungen von Patienten nicht in Räumen durchgeführt werden, bei denen die Tür offen steht und dadurch andere Patienten Gespräche mithören können.
Es ist nicht nur entscheidend, dass hoch sensiblen Patientendaten ordnungsgemäß erhoben werden; auch die nachfolgende Aufbewahrung und Vernichtung der Daten muss datenschutzkonform erfolgen.
Das ULD Schleswig-Holstein hat bereits ein Bußgeld verhängt, weil eine Arztpraxis medizinische Unterlagen unsachgemäß in einem einfachen Papiercontainer entsorgt hat und diese dann von Dritten eingesehen wurden.
Eine weitere Ärztin betrieb ihre Praxis in ihrem Wohngebäude und lagerte Patientendokumente in einem ungesicherten Schuppen. Auch gegen sie wurde eine Geldstrafe verhängt.
Die Aufsichtsbehörde Rheinland-Pfalz hat 2019 ein Bußgeld in Höhe von 105.000 € gegen die Uniklinik Mainz verhängt. Grund dafür war eine Verwechslung von Patienteninformationen, wodurch Gesundheitsdaten an die falsche Adresse übermittelt wurden.
Kurz gefasst:
Im Alltag erscheint der Datenschutz in der Arztpraxis oft lästig, dennoch ist es wichtig sich damit auseinanderzusetzen. Dies verhindert nicht nur Bußgelder, sondern auch unangenehmen und zeitraubenden Ärger.
Das Vertrauen der Patienten ist von großer Bedeutung, denn niemand möchte dass seine vertraulichen Gesundheitsdaten in falsche Hände geraten. Die wichtigste Voraussetzung ist dafür , dass in der Arztpraxis Datensicherheit und IT-Sicherheit einen hohen Stellenwert hat. Durch gründliche Überprüfung der eigenen Prozesse sowie regelmäßige Schulungen des Personals können potenzielle Risiken minimiert werden.
Zusätzlich sollten Patienten transparent informiert werden, wie das Datenschutzrecht in der Praxis umgesetzt wird. Dies stärkt das Vertrauen und ermöglicht einen offenen Dialog zwischen Arzt und Patient. Letztendlich geht es darum, sowohl das Recht als auch die persönliche Freiheit der betroffenen Personen zu schützen – ohne dabei auf eine effektive Behandlung verzichten zu müssen.
Benötigen Sie die Unterstützung unseres externen Datenschutzbeauftragten, wenden Sie sich gerne an Immerce Consulting GmbH.