Tanja Altmaier
Datenschutzbeauftragte
Datenschutz setzt sich aus vielen kleinen To-Do´s zusammen. Und es ist wichtig, dass alle zusammen, also Verantwortlicher, Mitarbeiter und Dienstleister, daran arbeiten, den Schutz der erhobenen personenbezogenen Daten zu wahren.
Aber lässt sich eine „Hitlist“ aufstellen, welche Punkte vorrangig und zwingend notwendig sind?
Setzt man diese ersten und wichtigen Schritte um, so ist schon ein guter Weg eingeschlagen. Wobei das längst nicht alles ist. 100% Datenschutz gibt es nicht, in keiner Arztpraxis. Doch sollte versucht werden, ein dem Risiko angemessenes Schutzniveau zu erreichen, unter der Berücksichtigung der Verhältnismäßigkeit der Maßnahmen.
Nicht vergessen – Datenschutz in einer Arztpraxis gilt nicht nur direkt für Patienten – sondern selbstverständlich auch für die erhobenen personenbezogenen Daten von Betreuern, Angehörigen, Bezugspersonen. Und logischerweise gehören auch die personenbezogenen Daten von Mitarbeitern oder Bewerbern zu den schützenswerten Daten.
Datenschutz ist immer dynamisch und muss deshalb stets im Auge behalten werden. „Einmal save – immer save“ gibt es im Datenschutz leider nicht. Deshalb regelmäßig evaluieren und gegebenenfalls anpassen.
Unsere Empfehlung – spätestens nach einem Jahr sollten bestehende Dokumente, Verträge und Vereinbarungen überprüft werden. Außerdem muss immer dann, wenn es z. B. neue Prozesse, oder neue Technologien gibt, geklärt werden, ob die vorhandenen Schutzmechanismen aus den TOM´s weiter adäquat greifen.
Grundsätzlich stellt die DSGVO keine Regelung auf, ob der Datenschutzbeauftragte innerbetrieblich oder extern sein muss. Viel wichtiger ist, dass die Qualifikation vorhanden ist, um die Aufgabe als Berater des Verantwortlichen zu übernehmen. Und es ist darauf zu achten, dass es zu keinem Interessenskonflikt kommt.
So darf beispielsweise kein Mitglied der Geschäftsführung gleichzeitig auch Datenschutzbeauftragter sein. Ebenso scheiden Mitarbeiter aus dem Bereich der IT oder der Personalabteilung aus. In all diesen Fällen würde es zwangsläufig zum Interessenskonflikt kommen.
Wofür man sich entscheidet, obliegt immer dem Verantwortlichen.
Betriebliche Datenschutzbeauftragte haben den Vorteil, dass sie den „laufenden Betrieb“ bereits gut kennen, und keine lange Einarbeitung in Prozesse brauchen.
Doch oftmals fehlt es ihnen an der nötigen Zeit, sich ausreichend um datenschutzrelevante Themen zu kümmern. Denn „schnell mal nebenbei“ ist Datenschutz nicht erledigt. Bekommt der ausgewählte Mitarbeiter nicht entsprechend Zeit eingeräumt, um seiner Tätigkeit als betrieblicher Datenschutzbeauftragter nachzukommen, wird wenig bis nichts in dieser Richtung passieren.
Oftmals scheuen sich Verantwortliche auch, die Stelle intern zu besetzen, da der betriebliche Datenschutzbeauftrage einem besonderen Kündigungsschutz unterliegt und nicht einfach wieder abberufen werden kann.
Auch die Möglichkeit zur Fortbildung, die einem Datenschutzbeauftragen gestellt werden muss, lässt sich bei interner Besetzung oft nur schwer realisieren.
Darum entscheiden viele Praxen mittlerweile, für den Datenschutz einen externen Berater zu bestellen. Dieser braucht zwar etwas Zeit und Unterstützung, um sich mit Abläufen vertraut zu machen. Hat aber auch einen objektiven Blick von außen und tut sich somit oftmals leichter, die Verantwortlichen zu beraten, wenn es um die Umsetzung von DSGVO und BDSG geht.
Hier nun ein paar Tipps und Überlegungen aus unterschiedlichen Bereichen:
Beim Betreten von Arztpraxen fallen manchmal kreativ gestaltete Bildergalerien ins Auge. Meist sind es die Bilder von Mitarbeitern der Praxis, die sich mit Leib und Seele um die Patienten und einen reibungslosen Praxisbetrieb kümmern. Und mal ehrlich – wer schaut nicht gerne Bilder an, zumal wenn man damit gleich erfährt, wer da gerade an der Anmeldung sitzt, oder mit wem man telefoniert hat. Doch datenschutzrechtlich betrachtet, lauert hier schon die erste Gefahr für einen Verantwortlichen. Warum?
Für jede Verarbeitung braucht es eine fundierte Rechtsgrundlage. Der Arbeitsvertrag, der mit den medizinischen Fachangestellten oder den Mitarbeitern der Verwaltung geschlossen wurde, kann pauschal nicht einfach für die Veröffentlichung und Ausstellung von Bildern als Rechtsgrundlage verwendet werden.
Sollen Bildercollagen erstellt und veröffentlicht werden, so muss der Betroffene (in dem Fall also Mitarbeiter) darüber im Voraus informiert werden, so dass er die Möglichkeit hat, seine Einwilligung zur Veröffentlichung zu geben. Das trifft umso mehr zu, wenn nicht nur das Bild, sondern dazu vielleicht der Name, oder weitere Informationen oder Qualifikationen preisgegeben werden.
Rechtsgrundlage für die Veröffentlichung von Bildern ist die Einwilligung des Betroffenen (Art. 6 Abs. 1 a DSGVO)
Eine zentrale Rolle spielt in jeder Arztpraxis, unabhängig der Größe, stets „der Empfang“ oder „die Anmeldung“. Schließlich laufen hier alle Fäden zusammen. Es werden Termine vereinbart, neue Patienten aufgenommen, ärztliche Verordnungen oder Arbeitsunfähigkeitsbescheinigungen ausgestellt, und so weiter. Und für einen kleinen Plausch mit dem ein oder anderen Patienten muss auch noch Zeit sein. Damit steht fest -genau hier findet man eine Vielzahl von personenbezogenen Daten und selbstverständlich auch Gesundheitsdaten. Somit ist dieser Bereich eine der größten Schwachstellen, die eine Arztpraxis aufweisen kann.
Neben den Unterlagen, die vielleicht gerade direkt am Tresen liegen, wie beispielsweise Rezepte, die der Arzt noch zu unterschreiben hat, liegt vielleicht auf dem Tisch noch das Terminbuch oder der Befund, der eben per Fax kam, … Und der nächste Patient, der sich zu seinem Termin meldet und seine Versichertenkarte abgibt hat freien Blick auf alles. Je nachdem, in welche Unterlagen die Person Einsicht erhält, die gerade am Empfang steht, geht es nicht nur um eine Verletzung im Datenschutz, sondern es kann auch eine Verletzung der Schweigepflicht damit einhergehen.
Gerade am Empfang, an dem eine Vielzahl von personen- und gesundheitsbezogenen Daten anzutreffen ist, sollten besondere Schutzmaßnahmen ergriffen werden, um den Schutz der Patientendaten zu gewährleisten. Vielleicht einfach aus Sicht des Patienten kritisch an den Bereich der Anmeldung herangehen, und prüfen in was man so alles Einblick erhalten könnte. Dann gilt es entsprechende Maßnahmen zu ergreifen – und das unter Umständen sowohl im Bereich Technik als auch in der Organisation, und dies wird abschließend in den TOM´s dokumentiert (Art. 32 DSGVO)
Es muss nicht immer die große Veränderung im Arbeitsablauf sein. Denn die Arbeit soll durch den Datenschutz ja nicht massiv eingeschränkt werden.
Ein paar Gedankenanstöße, für kleine Maßnahmen, die trotzdem Wirkung zeigen:
— Lässt es sich einrichten, dass das Terminbuch weiter weg vom Empfang liegt.
— Kann man den Bildschirm so drehen, dass dieser vom Tresen aus nicht einsehbar ist? Und falls nicht – hilft ein Blickschutzfilter für den Bildschirm?
— Kann man die Tür zum Wartezimmer schließen, so dass nicht alle Patienten darin jedes Gespräch, jedes Telefonat live mitverfolgen können?
Solche relativ einfachen Maßnahmen kosten kein Geld, vielleicht nur etwas Umgewöhnung, sind aber wesentliche Bausteine, um den Datenschutz innerhalb einer Arztpraxis auf ein höheres Niveau zu bringen. Ziel ist aber, die anvertrauten Patientendaten, in denen durchaus sensible Informationen zu finden sind, vor dem Zugriff unbefugter Dritter zu schützen.
Das Wartezimmer wurde schon in Verbindung mit dem Empfangsbereich der Praxis kurz angesprochen. Zugegeben, warten ist nervig und lästig. Und was ist interessanter, als beim Warten auf den Termin ein bisschen die Ohren zu spitzen, was am Empfang gesprochen wird. Sowohl zwischen Praxispersonal und den Patienten, die kommen und gehen, oder auch dem Arzt und einem Patienten, den er zum Empfang begleitet.
Um die Möglichkeit für das Mithören von teils sicherlich sensiblen Daten zu unterbinden, wäre es sicher von Vorteil – sofern eine Tür vorhanden ist – diese zu schließen. So lässt sich mit einer einfachen Maßnahme ein weiterer Schritt in Richtung Vertraulichkeit gehen. (Art. 5 Abs. 1 f DSGVO – Integrität und Vertraulichkeit)
Und vielleicht etwas unkonventionell, aber zumindest eine machbare Lösung, falls es keine Türe gibt – vielleicht hilft ein Fernseher, der im Wartezimmer läuft, ein Mithören von Abläufen am Empfang zu minimieren oder sogar ganz zu verhindern.
Datenschutzrechtlich in Ordnung oder nicht? Nun grundsätzlich wäre gegen das bloße namentliche Aufrufen aus Sicht der DSGVO kein Einwand zu erheben. Zwar gilt der Name als personenbezogenes Datum – allerdings wäre das Risiko für die Rechte und Freiheiten eines Patienten wohl nicht nennenswert. Denn was kann ein anderer Patient mit dem Namen an sich anfangen? Und schließlich wird keine Arztpraxis den Patienten mit Namen und Beschwerdebild aufrufen: „Herr XY mit den Hämorrhoiden bitte in Sprechzimmer 1“.
Sollte ein Patient allerdings darauf bestehen, dass er nicht namentlich aufgerufen werden möchte, so sollte diesem Wunsch nachgekommen werden.
Meist verfügt eine Praxis nicht nur über ein Sprechzimmer. Um einen flüssigen Betrieb sicherzustellen, wird meist schon der nächste Patient ins Sprechzimmer geholt, während der Arzt noch im Behandlungsraum nebenan ist. Welche Gefahren lauern hier? Nun, häufig findet sich allerlei Schriftverkehr auf dem Schreibtisch, unter Umständen der ein oder andere Patientenakt und beinahe immer ein PC. Neben all den offenen Unterlagen auf dem Tisch, die ohne große Anstrengung einsehbar sind, bietet ein nicht gesperrter Bildschirm viel Interessantes – und auch einen unbefugten Zugriff Dritter auf viele Daten. Und wer lässt nicht schon mal seinen Blick schweifen, wenn er im Sprechzimmer auf den behandelnden Arzt wartet? Das Arztzimmer stellt aus datenschutzrechtlicher Sicht eine richtig große Schwachstelle dar.
Doch auch hier kann mit technischen-organisatorischen Maßnahmen erreicht werden, dass ein dem Risiko angemessenes Schutzniveau herrscht. Ein paar Beispiele, die kein Geld kosten – aber effektiv sind:
Anfragen und Auskünfte am Telefon – wie damit umgehen? Grundsätzlich ist erst einmal höchste Vorsicht geboten, wenn am Telefon nach Informationen über bestimmte Personen gefragt wird. Und dabei ist es unerheblich, ob es sich um Auskünfte über Mitarbeiter, oder um Rückfragen zu Patienten handelt.
Auf die Frage nach einem Arzt oder einer medizinischen Fachangestellten sollte sicher nicht die Antwort kommen: „Ach, der oder die ist drei Wochen krank. Wissen Sie, hat sich beim Joggen das linke Bein gebrochen. Das musste jetzt operiert werden, ….“ So etwas geht gar nicht. Schließlich möchte keiner, dass über ihn solche Informationen einfach mal eben am Telefon an „wildfremde Personen“ weitergegeben werden. Also ist Schulung und Sensibilisierung von Mitarbeitern wichtig, um derlei „Pannen“ zu vermeiden.
Und wie sieht es mit Rückfragen zu Patienten aus? Besonders hier kommt Sensibilität und Vorsorge ins Spiel. Es ist im Voraus klipp und klar festzulegen, wer grundsätzlich auskunftsberechtigt ist. Ist es ein bestimmtes Kind, ein Betreuer, der Ehepartner? Und wie lässt sich die Person identifizieren, dass gewährleistet ist, dass der richtige Anrufer Informationen erhält? Welche Informationen dürfen überhaupt am Telefon übermittelt werden?
Es muss innerhalb der Arztpraxis einen fest etablierten Prozess geben, der beinhaltet, dass der Patient (sofern möglich) selbst festlegt, an welche Personen Auskünfte erteilt werden dürfen. Und er muss seine Einwilligung dazu erteilen.
Während bis vor gar nicht allzu langer Zeit ein Versand von Unterlagen standardmäßig per Briefpost abgewickelt wurde, stehen neue mehr und mehr schnellere Versandwege im Fokus. So ist ein Befund viel schneller per Fax oder Email verschickt, als per Post. Wie sieht es hierbei in puncto Datenschutz aus?
Eine generelle Antwort mit zulässig oder nicht zulässig gibt es nicht. Denn es kommt immer auf die entsprechenden Sicherungsmaßnahmen – also die technischen-organisatorischen Maßnahmen an, sowie auf den gewählten Weg.
Ein Versand von Befunden, Arztbriefen, Laborergebnissen per Fax oder Email birgt verschiedenste Risiken. Denn eine falsche Faxnummer, durch menschliches Versagen, kann im Zweifelsfall zu einem meldepflichtigen Vorfall bei der Aufsichtsbehörde werden, wenn durch den Irrläufer einem unbefugten Dritten Zugriff auf personenbezogene Daten gewährt wurde.
Auch ein Versand direkt an den Patienten ist mit größter Vorsicht vorzunehmen. Denn auch ein Angehöriger hat nicht zwingend das Recht, Einsicht in einen Befund zu nehmen. Doch wie kann die Arztpraxis gewährleisten, dass tatsächlich der richtige Empfänger am Fax steht, und dieses in Empfang nimmt?
Die Empfehlung ist – statt der Nutzung des Faxgerätes beim Versand von Gesundheitsdaten doch lieber den Postweg zu nehmen.
Und wie sieht es mit E-Mails aus? Natürlich sollte akribisch auf die Eingabe der korrekten Email-Adresse geachtet werden. Außerdem müssen spezielle Maßnahmen getroffen werden, um sicherzustellen, dass Daten nur verschlüsselt verschickt werden. Außerdem sollten die entsprechenden Vorkehrungen in den technisch-organisatorischen Maßnahmen dokumentiert sein.
Dieser kleine Überblick greift sicher nicht alle Bereiche auf, in denen eine Arztpraxis unter Umständen angreifbar ist, was eine Verletzung des Datenschutzes angeht. Doch er soll sensibilisieren und dazu anregen, die eigene Praxis und gewohnte Abläufe kritisch zu hinterfragen und überprüfen. Denn nur, weil etwas schon immer so gemacht wurde, muss es nicht für alle Zeiten so beibehalten werde.
Vertraulichkeit und Schutz von personenbezogenen Daten ist in jedem Fall zu wahren.
Details zur Schweigepflicht wurden schon in einem der vorangegangenen Unterthemen behandelt. Hier geht es noch einmal um den Praxisbezug und die Sensibilisierung.
An welche Personen Auskünfte erteilt werden, liegt grundsätzlich in der Entscheidung des Betroffenen selbst. Er bestimmt den Umfang, in dem Auskünfte erteilt werden dürfen. Somit ist klar, dass Angehörige nicht einfach über alles, was den Patienten betrifft informiert werden dürfen. Und selbst die Abholung eines Rezeptes durch einen Angehörigen sollte datenschutzkonform ablaufen – sprich, nur mit ausdrücklicher Einwilligung durch den Patienten selbst.
Oder ein Betreuer, der vielleicht für den Bereich Vermögenssorge bestellt wurde, hat nicht automatisch das Recht, Auskünfte über seinen Schützling einzuholen, die den Bereich Gesundheit, Aufenthalt oder Ähnliches betreffen.
Deshalb ist es enorm wichtig, sich genau rückzuversichern, für welche Bereiche eine Betreuung gerichtlich bestellt worden ist.
Beim Aufenthalt im Krankenhaus, wird dem Patienten oftmals ein Dokument zur Entbindung von der ärztlichen Schweigepflicht vorgelegt. Mit der Unterschrift willigt der Patient ein, dass seine Daten an einen mit- oder weiterbehandelnden Arzt übermittelt werden. Doch wie sieht es im Notfall aus?
Bei medizinischen Notfällen spielt die Weitergabe von personenbezogenen Daten (incl. Gesundheitsdaten) eine wichtige Rolle. Dem eintreffenden Rettungsmittel, egal ob in Begleitung eines Notarztes oder nicht, wird immer ein Dokument mit wichtigen Angaben zum Patienten übergeben (Einweisung in ein Krankenhaus), sowie das Formular „Verordnung einer Krankenbeförderung“, das ebenfalls personenbezogene Daten enthält. Hier eine separate Einwilligung einzuholen, ist einerseits meist zeitlich gar nicht machbar, zudem andererseits so nicht umsetzbar.
Doch ist für jede Verarbeitung und Weitergabe von personenbezogenen Daten eine rechtliche Grundlage erforderlich. Im Fall eines medizinischen Notfalls, wo das Wohl des Patienten in Gefahr ist, greift meist der Schutz der lebenswichtigen Interessen von betroffenen Personen. (Art. 6 Abs. 1 d DSGVO i. V. m. Art. 9 Abs. 2 c DSGVO)
Wenn Sie nicht sicher sind, ob Ihre Arztpraxis alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!